Check Point komencis 2019 sufiĉe rapide farante plurajn anoncojn samtempe. Ne eblas paroli pri ĉio en unu artikolo, do ni komencu per la plej grava afero - . Maestro estas nova skalebla platformo, kiu permesas vin pliigi la "potencon" de la sekureca enirejo al "maldecaj" nombroj kaj preskaŭ linie. Ĉi tio estas atingita nature balancante la ŝarĝon inter individuaj enirejoj kiuj funkcias en areto kiel ununura unuo. Iu povus diri - "Estis! Estas jam 44000 klingoplatformoj/64000". Tamen, Majstro estas tute alia afero. En ĉi tiu artikolo, mi mallonge provos klarigi kio ĝi estas, kiel ĝi funkcias kaj kiel ĉi tiu teknologio helpos ŝparu sur reta perimetra protekto.
Estis - Fariĝis
La plej facila maniero kompreni estas kiel la nova skalebla platformo diferencas de la bona malnova 44000/64000 estas rigardu la suban bildon:
La diferenco estas evidenta.
Legacy Check Point 44000 platformo/64000
Kiel videblas de la supra bildo, la unua opcio estas fiksa platformo (ĉasio), en kiu limigita nombro da specialaj "klingomoduloj" povas esti enmetita (Check Point SGM). Ĉio ĉi estas konektita al Sekureca Ŝaltilo-Modulo (SSM), kiu ekvilibrigas trafikon inter enirejoj. La suba bildo montras la komponantojn de ĉi tiu platformo pli detale:
Ĉi tio estas bonega platformo se vi scias precize kian rendimenton vi bezonas nun kaj kiom ĝi povas kreski. Tamen, pro la fiksita formo (12 aŭ 6 klingoj), vi estas limigita en plia skaleblo. Krome, vi estas devigitaj uzi ekskluzive SGM-klingojn, sen la kapablo konekti konvenciajn suprenliniojn, kiuj havas multe pli larĝan gamon da modeloj. Kun la alveno Majstro Hyperscale Network Security la situacio draste ŝanĝiĝas.
Nova Check Point Maestro Hyperscale Network Security Platform
Check Point Maestro unue estis prezentita la 22-an de januaro ĉe la CPX-konferenco en Bangkok. La ĉefaj karakterizaĵoj povas esti viditaj en la bildo sube:
Kiel vi povas vidi, la ĉefa avantaĝo de Check Point Maestro estas la kapablo uzi regulajn enirejojn (aparatoj) por ekvilibro. Tiuj. Ni ne plu estas limigitaj al SGM-klingoj. Vi povas distribui la ŝarĝon inter iuj aparatoj ekde la modelo 5600 (modeloj SMB kaj Ĉasio 44000)./64000 ne estas subtenataj). La supra bildo montras la ĉefajn indikilojn, kiujn oni povas atingi uzante la novan platformon. Ni povas kombini en unu komputika rimedo ĝis 31! enirejo. Nun via fajroŝirmilo povus aspekti jene:
Majstro Hyperscale Orchestrator
Mi certas, ke multaj homoj jam demandis: "Kia orkestro ĉi tio estas?“Nu, renkontu min. Majstro Hyperscale Orchestrator — estas ĉi tiu afero, kiu respondecas pri ŝarĝbalancado. La operaciumo instalita sur ĉi tiu aparato estas Gaia R80.20 SP. Nuntempe ekzistas du modeloj de orkestroj - MHO-140 и MHO-170. Karakterizaĵoj en la suba bildo:
Unuavide ŝajnas, ke ĉi tio estas ordinara ŝaltilo. Fakte, ĝi estas "ŝaltilo + ekvilibro + administradsistemo de rimedoj." Ĉio en unu skatolo.
Enirejoj estas konektitaj al ĉi tiuj Orkestroistoj. Se la ekvilibristoj estas toleremaj al misfunkciadoj, tiam ĉiu enirejo estas ligita al ĉiu orkestranto. Por konekto, "optiko" (sfp+ / qsfp+ / qsfp28+) aŭ DAC-kablo (Direct Attach Copper) povas esti uzata. En ĉi tiu kazo, devas kompreneble ekzisti sinkroniga ligo inter la orkestrantoj:
En la suba bildo vi povas vidi kiel la havenoj de ĉi tiuj orkestrantoj estas distribuitaj:
Sekurecaj Grupoj
Por ke la ŝarĝo estu distribuita inter enirejoj, ĉi tiuj enirejoj devas esti en la sama Sekureca Grupo. Sekureca Grupo ĝi estas logika grupo de aparatoj, kiu funkcias kiel aktiva/aktiva areto. Ĉi tiu grupo funkcias sendepende de aliaj Sekurecaj Grupoj. El la vidpunkto de la administra servilo, la Sekureca Grupo aspektas kiel unu aparato kun unu IP-adreso.
Se necese, ni povas movi unu aŭ plurajn enirejojn en apartan Sekurecan Grupon kaj uzi ĉi tiun grupon por aliaj celoj, kiel aparta fajroŝirmilo el administra vidpunkto. Ekzemplo de uzo estas montrita en la suba bildo:
Grava Limigo, nur identaj enirejoj (modelo) povas esti uzataj en unu Sekureca Grupo. Tiuj. se vi volas linie kreskigi la kapablon de via sekureca enirejo (kiu estas aro de pluraj aparatoj), tiam vi devas aldoni precize la samajn enirejojn. Ĉi tiu limigo devus malaperi en la venontaj softvaraj eldonoj.
En la suba video vi povas vidi la procezon de kreado de Sekureca Grupo. La proceduro estas intuicia.
Denove, se vi komparas la Maestro-komponentojn kun la ĉasioplatformo, vi ricevas ion kiel la sekvan bildon:
Kio estas la avantaĝoj de la nova platformo?
Estas efektive multaj avantaĝoj, kaj el teknika kaj ekonomia vidpunkto. Mi mallonge priskribos la plej gravajn:
- Ni estas preskaŭ senlimaj en skalo. Ĝis 31 enirejoj ene de unu Sekureca Grupo.
- Ni povas aldoni enirejojn laŭbezone. La minimuma aro por aĉeto estas unu orkestro + du enirejoj. Ne necesas meti modelojn "por kresko".
- Alia pluso sekvas el la antaŭa punkto. Ni ne plu bezonas ŝanĝi enirejojn, kiuj ne plu povas elteni la ŝarĝon. Antaŭe, ĉi tiu problemo estis solvita per la interŝanĝo-procedo - ili transdonis malnovan aparataron kaj ricevis novajn kun rabato. Kun tia skemo, financaj "perdoj" estas neeviteblaj. La nova skala proceduro forigas ĉi tiun faktoron. Vi ne bezonas transdoni ion ajn, vi povas simple daŭrigi pliigi produktivecon helpe de plia aparataro.
- La kapablo kombini ekzistantajn rimedojn por distribui la ŝarĝon. Ekzemple, vi povas "treni" ĉiujn viajn aretojn sur la platformon Maestro kaj kunmeti plurajn Sekurecajn Grupojn, depende de la ŝarĝo.
Maestro Hyperscale Network Security-pakaĵoj
Nuntempe, ekzistas pluraj ebloj por aĉeti tielnomitajn pakaĵojn kun la platformo Maestro. Solvo bazita sur enirejoj 23800, 6800 kaj 6500:
En ĉi tiu kazo, vi povas elekti el du normaj specoj de ekipaĵo:
- Unu orkestro kaj du enirejoj;
- Unu orkestro kaj tri enirejoj.
vi povas vidi la taksitajn prezojn. Nature, vi povas aldone aldoni alian orkestron kaj tiom da enirejoj kiom vi volas. Pliaj informoj pri specifoj povas esti petitaj .
Aparatoj 6500 и 6800 Ĉi tiuj estas la plej novaj modeloj, kiuj ankaŭ estis prezentitaj pli frue ĉi-jare. Sed ni parolos pri ili pli detale en la sekva artikolo.
Kiam mi povas aĉeti ĝin?
Ne estas klara respondo ĉi tie. Nuntempe ne ekzistas sciigo pri la importo de ĉi tiuj solvoj en nian landon. Tuj kiam informoj pri la tempo disponeblas, ni tuj faros anoncon en niaj publikaj paĝoj (, , ). Krome, retseminario dediĉita al la solvo Check Point Maestro estas planita en proksima estonteco, kie ĉiuj teknikaj funkcioj estos diskutitaj. Kaj kompreneble vi povas demandi demandojn. Restu agordita!
konkludo
Sendube nova platformo estas bonega aldono al Check Point-aparataj solvoj. Fakte, ĉi tiu produkto malfermas novan segmenton, por kiu ne ĉiu informsekureca vendisto havas similan solvon. Plie, hodiaŭ Check Point Maestro preskaŭ ne havas alternativojn kiam temas pri provizi tian senprecedencan "sekurecan potencon". Tamen, Maestro Hyperscale Network Security estos de intereso ne nur por datumcentraj posedantoj, sed ankaŭ por ordinaraj kompanioj. Tiuj, kiuj posedas aŭ planas aĉeti aparatojn ekde la modelo 5600, povas jam pli detale rigardi Maestron.En iuj kazoj, uzi Maestro Hyperscale Network Security povas esti tre profita solvo, kaj de ekonomia kaj teknika vidpunkto.
PS Ĉi tiu artikolo estis preparita kun la partopreno de Anatoly Masover — Skalebla Platforma Fakulo, Check Point Software Technologies.
fonto: www.habr.com