Check Point comenzó 2019 bastante rápido haciendo varios anuncios a la vez. Es imposible hablar de todo en un solo artículo, así que comencemos con lo más importante: . Maestro es una nueva plataforma escalable que permite aumentar el “poder” del gateway de seguridad a números “indecentes” y casi linealmente. Esto se logra naturalmente equilibrando la carga entre puertas de enlace individuales que operan en un clúster como una sola entidad. Alguien podría decir - "¡Era! Ya existen 44000 plataformas blade/64000". Sin embargo, Maestro es un asunto completamente diferente. En este artículo intentaré explicar brevemente qué es, cómo funciona y cómo ayudará esta tecnología. ahorrar en protección perimetral de red.
Fue - Se ha convertido
La forma más sencilla de entender es en qué se diferencia la nueva plataforma escalable del viejo 44000./64000 es mira la imagen a continuación:
La diferencia es obvia.
Plataforma heredada Check Point 44000/64000
Como puede verse en la imagen de arriba, la primera opción es una plataforma fija (chasis), en la que se puede insertar un número limitado de "módulos blade" especiales (Punto de control SGM). Todo esto está conectado con Módulo de interruptor de seguridad (SSM), que equilibra el tráfico entre puertas de enlace. La siguiente imagen muestra los componentes de esta plataforma con más detalle:
Esta es una plataforma excelente si sabe exactamente qué rendimiento necesita ahora y cuánto puede crecer. Sin embargo, debido al factor de forma fijo (12 o 6 blades), su escalabilidad adicional está limitada. Además, se ve obligado a utilizar exclusivamente palas SGM, sin posibilidad de conectar líneas ascendentes convencionales, que cuentan con una gama mucho más amplia de modelos. Con el advenimiento Seguridad de red de hiperescala Maestro la situación está cambiando dramáticamente.
Nueva plataforma de seguridad de red a hiperescala Check Point Maestro
Check Point Maestro se presentó por primera vez el 22 de enero en la conferencia CPX en Bangkok. Las principales características se pueden ver en la siguiente imagen:
Como puede ver, la principal ventaja de Check Point Maestro es la posibilidad de utilizar puertas de enlace (dispositivos) habituales para equilibrar. Aquellos. Ya no estamos limitados a las palas SGM. Puede distribuir la carga entre cualquier dispositivo a partir del modelo 5600 (modelos SMB y Chassis 44000/64000 no son compatibles). La imagen de arriba muestra los principales indicadores que se pueden lograr al utilizar la nueva plataforma. Podemos combinarlos en un solo recurso informático. ¡hasta 31! puerta. Ahora su firewall podría verse así:
Maestro orquestador de hiperescala
Seguro que mucha gente ya ha preguntado: “¿Qué clase de orquestador es este?“Bueno, encuéntrame. Maestro orquestador de hiperescala — es esto lo que es responsable del equilibrio de carga. El sistema operativo instalado en este dispositivo es Gaia R80.20SP. Actualmente existen dos modelos de orquestadores: MHO-140 и MHO-170. Características en la imagen a continuación:
A primera vista puede parecer que se trata de un interruptor normal y corriente. De hecho, es "interruptor + equilibrador + sistema de gestión de recursos". Todo en una sola caja.
Las puertas de enlace están conectadas a estos orquestadores. Si los equilibradores son tolerantes a fallas, cada puerta de enlace está conectada a cada orquestador. Para la conexión, se puede utilizar “óptica” (sfp+ / qsfp+ / qsfp28+) o cable DAC (Direct Attach Copper). En este caso, naturalmente debe existir un vínculo de sincronización entre los orquestadores:
En la siguiente imagen puedes ver cómo están distribuidos los puertos de estos orquestadores:
Grupos de seguridad
Para que la carga se distribuya entre puertas de enlace, estas puertas de enlace deben estar en el mismo grupo de seguridad. Grupo de seguridad es un grupo lógico de dispositivos que funciona como un clúster activo/activo. Este grupo funciona independientemente de otros grupos de seguridad. Desde el punto de vista del servidor de administración, el grupo de seguridad parece un dispositivo con una dirección IP.
Si es necesario, podemos mover una o más puertas de enlace a un grupo de seguridad separado y usar este grupo para otros fines, como un firewall separado desde el punto de vista de la administración. Un ejemplo de uso se muestra en la siguiente imagen:
Limitación importante, solo se pueden utilizar puertas de enlace (modelo) idénticas en un grupo de seguridad. Aquellos. Si desea aumentar linealmente la capacidad de su puerta de enlace de seguridad (que es un grupo de varios dispositivos), debe agregar exactamente las mismas puertas de enlace. Esta limitación debería desaparecer en las próximas versiones de software.
En el vídeo a continuación puedes ver el proceso de creación de un Grupo de Seguridad. El procedimiento es intuitivo.
Nuevamente, si compara los componentes Maestro con la plataforma del chasis, obtendrá algo como la siguiente imagen:
¿Cuáles son los beneficios de la nueva plataforma?
En realidad, existen muchas ventajas, tanto desde el punto de vista técnico como económico. Describiré brevemente los más importantes:
- Somos prácticamente ilimitados en cuanto a escalamiento. Hasta 31 puertas de enlace dentro de un grupo de seguridad.
- Podemos agregar puertas de enlace según sea necesario. El conjunto mínimo de compra es un orquestador + dos puertas de enlace. No es necesario establecer modelos “de crecimiento”.
- Otra ventaja se desprende del punto anterior. Ya no necesitamos cambiar puertas de enlace que ya no pueden soportar la carga. Anteriormente, este problema se resolvió mediante el procedimiento de intercambio: entregaron hardware antiguo y recibieron uno nuevo con descuento. Con un plan así, las “pérdidas” financieras son inevitables. El nuevo procedimiento de escala elimina este factor. No necesita entregar nada, simplemente puede seguir aumentando la productividad con la ayuda de hardware adicional.
- La capacidad de combinar recursos existentes para distribuir la carga. Por ejemplo, puede "arrastrar" todos sus clústeres a la plataforma Maestro y ensamblar varios grupos de seguridad, según la carga.
Paquetes de seguridad de red de hiperescala Maestro
Actualmente, existen varias opciones para comprar los llamados paquetes con la plataforma Maestro. Solución basada en gateways 23800, 6800 y 6500:
En este caso, podrá elegir entre dos tipos de equipamiento estándar:
- Un orquestador y dos puertas de enlace;
- Un orquestador y tres puertas de enlace.
Puedes ver los precios estimados. Naturalmente, también puedes agregar otro orquestador y tantas puertas de enlace como quieras. Se puede solicitar información adicional sobre las especificaciones. .
Dispositivos 6500 и 6800 Estos son los últimos modelos que también se presentaron a principios de este año. Pero hablaremos de ellos con más detalle en el próximo artículo.
¿Cuándo puedo comprarlo?
Aquí no hay una respuesta clara. Por el momento no existe ninguna notificación para la importación de estas soluciones a nuestro país. Tan pronto como esté disponible la información sobre el calendario, haremos inmediatamente un anuncio en nuestras páginas públicas (, , ). Además, en un futuro próximo está previsto un seminario web dedicado a la solución Check Point Maestro, donde se discutirán todas las características técnicas. Y por supuesto puedes hacer preguntas. ¡Manténganse al tanto!
Conclusión
Definitivamente una nueva plataforma es una excelente adición a las soluciones de hardware de Check Point. De hecho, este producto abre un nuevo segmento, para el cual no todos los proveedores de seguridad de la información tienen una solución similar. Además, hoy en día Check Point Maestro prácticamente no tiene alternativas cuando se trata de proporcionar un “poder de seguridad” sin precedentes. Sin embargo, Maestro Hyperscale Network Security será de interés no sólo para los propietarios de centros de datos, sino también para las empresas comunes. Ya pueden echar un vistazo más de cerca a Maestro aquellos que poseen o planean comprar dispositivos a partir del modelo 5600. En algunos casos, utilizar Maestro Hyperscale Network Security puede ser una solución muy rentable, tanto desde el punto de vista económico como técnico.
PD: Este artículo fue preparado con la participación de Anatoly Masover — Experto en plataformas escalables, Check Point Software Technologies.
Fuente: habr.com