Check Point startete das Jahr 2019 recht schnell mit mehreren Ankündigungen gleichzeitig. Es ist unmöglich, alles in einem Artikel zu besprechen, also fangen wir mit dem Wichtigsten an –
War – Ist geworden
Am einfachsten lässt sich verstehen, wie sich die neue skalierbare Plattform vom guten alten 44000 unterscheidet/64000 sehen Sie sich das Bild unten an:
Der Unterschied liegt auf der Hand.
Legacy Check Point 44000-Plattform/64000
Wie aus dem Bild oben ersichtlich ist, handelt es sich bei der ersten Option um eine feste Plattform (Chassis), in die eine begrenzte Anzahl spezieller „Blade-Module“ eingefügt werden kann (Kontrollpunkt SGM). Das alles hängt damit zusammen Sicherheitsschaltermodul (SSM), das den Datenverkehr zwischen Gateways ausgleicht. Das Bild unten zeigt die Komponenten dieser Plattform detaillierter:
Dies ist eine hervorragende Plattform, wenn Sie genau wissen, welche Leistung Sie jetzt benötigen und wie stark diese wachsen kann. Aufgrund des festen Formfaktors (12 oder 6 Blades) ist die weitere Skalierbarkeit jedoch eingeschränkt. Darüber hinaus sind Sie gezwungen, ausschließlich SGM-Blades zu verwenden, ohne die Möglichkeit, herkömmliche Uplines anzuschließen, die über eine viel größere Modellpalette verfügen. Mit dem Advent Maestro Hyperscale-Netzwerksicherheit die Situation verändert sich dramatisch.
Neue Check Point Maestro Hyperscale Netzwerksicherheitsplattform
Check Point Maestro wurde erstmals am 22. Januar auf der CPX-Konferenz in Bangkok vorgestellt. Die Hauptmerkmale sind im Bild unten zu sehen:
Wie Sie sehen, besteht der Hauptvorteil von Check Point Maestro in der Möglichkeit, reguläre Gateways (Geräte) für den Ausgleich zu verwenden. Diese. Wir sind nicht mehr auf SGM-Sägeblätter beschränkt. Sie können die Last auf beliebige Geräte ab dem Modell 5600 (SMB-Modelle und Chassis 44000) verteilen/64000 werden nicht unterstützt). Das Bild oben zeigt die wichtigsten Indikatoren, die mit der neuen Plattform erreicht werden können. Wir können sie zu einer Rechenressource kombinieren bis 31! Tor. Nun könnte Ihre Firewall so aussehen:
Maestro Hyperscale Orchestrator
Ich bin mir sicher, dass viele Leute schon gefragt haben: „Was für ein Orchestrator ist das?„Nun, wir treffen uns. Maestro Hyperscale Orchestrator – es ist dieses Ding, das für den Lastausgleich verantwortlich ist. Das auf diesem Gerät installierte Betriebssystem ist Gaia R80.20 SP. Derzeit gibt es zwei Modelle von Orchestratoren: MHO-140 и MHO-170. Merkmale im Bild unten:
Auf den ersten Blick scheint es, dass es sich um einen gewöhnlichen Schalter handelt. Tatsächlich handelt es sich um ein „Switch + Balancer + Ressourcenmanagementsystem“. Alles in einer Box.
Gateways sind mit diesen Orchestratoren verbunden. Wenn die Balancer fehlertolerant sind, ist jedes Gateway mit jedem Orchestrator verbunden. Zur Verbindung können „Optik“ (sfp+ / qsfp+ / qsfp28+) oder DAC-Kabel (Direct Attach Copper) verwendet werden. In diesem Fall muss natürlich eine Synchronisationsverbindung zwischen den Orchestratoren bestehen:
Im Bild unten sehen Sie, wie die Ports dieser Orchestratoren verteilt sind:
Sicherheitsgruppen
Damit die Last auf die Gateways verteilt werden kann, müssen sich diese Gateways in derselben Sicherheitsgruppe befinden. Sicherheitsgruppe Es handelt sich um eine logische Gruppe von Geräten, die als Aktiv/Aktiv-Cluster fungiert. Diese Gruppe funktioniert unabhängig von anderen Sicherheitsgruppen. Aus Sicht des Verwaltungsservers sieht die Sicherheitsgruppe wie ein Gerät mit einer IP-Adresse aus.
Bei Bedarf können wir ein oder mehrere Gateways in eine separate Sicherheitsgruppe verschieben und diese Gruppe für andere Zwecke verwenden, beispielsweise als separate Firewall aus Verwaltungssicht. Ein Anwendungsbeispiel ist im Bild unten dargestellt:
Wichtige EinschränkungIn einer Sicherheitsgruppe können nur identische Gateways (Modell) verwendet werden. Diese. Wenn Sie die Kapazität Ihres Sicherheits-Gateways (bei dem es sich um einen Cluster aus mehreren Geräten handelt) linear erhöhen möchten, müssen Sie genau dieselben Gateways hinzufügen. Diese Einschränkung sollte in den nächsten Softwareversionen verschwinden.
Im Video unten können Sie den Prozess der Erstellung einer Sicherheitsgruppe sehen. Die Vorgehensweise ist intuitiv.
Vergleicht man wiederum die Maestro-Komponenten mit der Chassis-Plattform, erhält man etwa das folgende Bild:
Welche Vorteile bietet die neue Plattform?
Tatsächlich gibt es viele Vorteile, sowohl aus technischer als auch aus wirtschaftlicher Sicht. Die wichtigsten beschreibe ich kurz:
- Der Skalierung sind uns praktisch keine Grenzen gesetzt. Bis zu 31 Gateways innerhalb einer Sicherheitsgruppe.
- Wir können bei Bedarf Gateways hinzufügen. Der Mindestkaufsatz besteht aus einem Orchestrator + zwei Gateways. Es besteht keine Notwendigkeit, Modelle „für Wachstum“ festzulegen.
- Ein weiteres Plus ergibt sich aus dem vorherigen Punkt. Wir müssen keine Gateways mehr wechseln, die der Belastung nicht mehr gewachsen sind. Bisher wurde dieses Problem durch das Inzahlungnahmeverfahren gelöst – man gab alte Hardware ab und erhielt neue vergünstigt. Bei einem solchen System sind finanzielle „Verluste“ unvermeidlich. Durch das neue Skalierungsverfahren entfällt dieser Faktor. Sie müssen nichts abgeben, sondern können die Produktivität mithilfe zusätzlicher Hardware weiter steigern.
- Die Möglichkeit, vorhandene Ressourcen zu kombinieren, um die Last zu verteilen. Sie können beispielsweise alle Ihre Cluster auf die Maestro-Plattform „ziehen“ und je nach Auslastung mehrere Security Groups zusammenstellen.
Maestro Hyperscale Network Security-Pakete
Derzeit gibt es mehrere Möglichkeiten, sogenannte Bundles mit der Maestro-Plattform zu erwerben. Lösung basierend auf den Gateways 23800, 6800 und 6500:
In diesem Fall können Sie zwischen zwei Standardausstattungsarten wählen:
- Ein Orchestrator und zwei Gateways;
- Ein Orchestrator und drei Gateways.
Geräte 6500 и 6800 Dabei handelt es sich um die neuesten Modelle, die ebenfalls Anfang des Jahres vorgestellt wurden. Aber wir werden im nächsten Artikel ausführlicher darüber sprechen.
Wann kann ich es kaufen?
Hier gibt es keine klare Antwort. Derzeit gibt es keine Meldung für den Import dieser Lösungen in unser Land. Sobald Informationen zum Zeitpunkt verfügbar sind, werden wir dies umgehend auf unseren öffentlichen Seiten bekannt geben (
Abschluss
Auf jeden Fall eine neue Plattform
PS: Dieser Artikel wurde unter Beteiligung von erstellt Anatoly Masover — Experte für skalierbare Plattformen, Check Point Software Technologies.
Source: habr.com