Check Point alustas 2019. aastat üsna kiiresti, tehes korraga mitu teadaannet. Ühes artiklis on võimatu rääkida kõigest, nii et alustame kõige olulisemast - . Maestro on uus skaleeritav platvorm, mis võimaldab suurendada turvavärava “võimsust” “sündmatute” numbriteni ja peaaegu lineaarselt. See saavutatakse loomulikult koormuse tasakaalustamisega üksikute lüüside vahel, mis töötavad klastris ühe üksusena. Keegi võib öelda -"Oli! Teraplatvorme on juba 44000 XNUMX/64000". Maestro on aga hoopis teine asi. Selles artiklis proovin lühidalt selgitada, mis see on, kuidas see töötab ja kuidas see tehnoloogia aitab säästa võrgu perimeetri kaitset.
Oli – on saanud
Lihtsaim viis aru saada on, kuidas uus skaleeritav platvorm erineb vanast heast 44000-st/64000 on vaadake allolevat pilti:
Erinevus on ilmne.
Legacy Check Point 44000 platvorm/64000
Nagu ülaltoodud pildilt näha, on esimene võimalus fikseeritud platvorm (šassii), millesse saab sisestada piiratud arvu spetsiaalseid "teramooduleid" (Kontrollpunkti SGM). Kõik see on seotud Turvalüliti moodul (SSM), mis tasakaalustab liiklust lüüside vahel. Allolev pilt näitab selle platvormi komponente üksikasjalikumalt:
See on suurepärane platvorm, kui teate täpselt, millist jõudlust praegu vajate ja kui palju see võib kasvada. Fikseeritud kujuteguri (12 või 6 tera) tõttu on teie edasine skaleeritavus siiski piiratud. Lisaks olete sunnitud kasutama eranditult SGM labasid, ilma võimaluseta ühendada tavalisi ülesliine, millel on palju laiem mudelivalik. Advendiga Maestro hüperskaala võrguturve olukord muutub dramaatiliselt.
Uus Check Point Maestro hüperskaala võrguturbeplatvorm
Check Point Maestrot tutvustati esmakordselt 22. jaanuaril CPX konverentsil Bangkokis. Peamised omadused on näha alloleval pildil:
Nagu näete, on Check Point Maestro peamine eelis võimalus kasutada tasakaalustamiseks tavalisi väravaid (seadmeid). Need. Me ei piirdu enam SGM-teradega. Saate jaotada koormuse mis tahes seadmete vahel alates mudelist 5600 (SMB mudelid ja šassii 44000/64000 ei toetata). Ülaltoodud pildil on näha peamised näitajad, mida uut platvormi kasutades on võimalik saavutada. Saame ühendada üheks arvutusressursiks kuni 31! värav. Nüüd võib teie tulemüür välja näha selline:
Maestro hüperskaala orkestrant
Olen kindel, et paljud inimesed on juba küsinud: "Mis orkestrijuht see on?"Noh, kohtuge minuga. Maestro hüperskaala orkestrant — just see asi vastutab koormuse tasakaalustamise eest. Sellele seadmele installitud operatsioonisüsteem on Gaia R80.20 SP. Praegu on kaks orkestrantide mudelit - MHO-140 и MHO-170. Funktsioonid alloleval pildil:
Esmapilgul võib tunduda, et see on tavaline lüliti. Tegelikult on see "lüliti + tasakaalustaja + ressursside haldussüsteem". Kõik ühes kastis.
Nende orkestritega on ühendatud lüüsid. Kui tasakaalustajad on veakindlad, on iga lüüs ühendatud iga orkestraatoriga. Ühendamiseks võib kasutada optikat (sfp+ / qsfp+ / qsfp28+) või DAC-kaablit (Direct Attach Copper). Sel juhul peab loomulikult olema orkestrantide vahel sünkroniseerimislink:
Alloleval pildil näete, kuidas nende orkestraatorite pordid on jaotatud:
Turvarühmad
Koormuse jaotamiseks lüüside vahel peavad need lüüsid olema samas turberühmas. Julgeolekukomitee see on loogiline seadmete rühm, mis toimib aktiivse/aktiivse klastrina. See rühm toimib teistest turvagruppidest sõltumatult. Haldusserveri seisukohalt näeb Turvagrupp välja nagu üks seade, millel on üks IP-aadress.
Vajadusel saame teisaldada ühe või mitu lüüsi eraldi turvagruppi ja kasutada seda rühma muudel eesmärkidel, näiteks halduse seisukohast eraldi tulemüürina. Kasutamise näide on näidatud alloleval pildil:
Oluline piirang, saab ühes turvagrupis kasutada ainult identseid lüüsi (mudelit). Need. kui soovite oma turvalüüsi (mis on mitme seadme klaster) võimsust lineaarselt kasvatada, siis peate lisama täpselt samad lüüsid. See piirang peaks järgmistes tarkvaraväljaannetes kaduma.
Allolevas videos näete turvarühma loomise protsessi. Protseduur on intuitiivne.
Jällegi, kui võrrelda Maestro komponente šassiiplatvormiga, saate midagi sellist, nagu järgmine pilt:
Millised on uue platvormi eelised?
Sellel on tegelikult palju eeliseid nii tehnilisest kui ka majanduslikust seisukohast. Kirjeldan lühidalt kõige olulisemat:
- Oleme skaleerimises praktiliselt piiramatud. Kuni 31 lüüsi ühes turvagrupis.
- Vajadusel saame lisada lüüsi. Minimaalne ostukomplekt on üks orkestraator + kaks väravat. Pole vaja luua mudeleid "kasvu jaoks".
- Eelmisest punktist tuleneb veel üks pluss. Me ei pea enam muutma lüüsi, mis ei suuda enam koormusega toime tulla. Varem lahendati see probleem vahetusprotseduuri abil - anti üle vana riistvara ja uus saadi allahindlusega. Sellise skeemi puhul on rahalised “kahjud” vältimatud. Uus skaleerimisprotseduur välistab selle teguri. Te ei pea midagi üle andma, saate lihtsalt jätkata tootlikkuse suurendamist täiendava riistvara abil.
- Võimalus kombineerida olemasolevaid ressursse koormuse jaotamiseks. Näiteks saate kõik oma klastrid "lohistada" Maestro platvormile ja koostada mitu turvagruppi, sõltuvalt koormusest.
Maestro Hyperscale Network Security paketid
Hetkel on Maestro platvormiga nn kimpude soetamiseks mitu võimalust. Lüüsidel 23800, 6800 ja 6500 põhinev lahendus:
Sel juhul saate valida kahe standardse varustustüübi vahel:
- Üks orkestraator ja kaks väravat;
- Üks orkestrant ja kolm väravat.
näete hinnangulisi hindu. Loomulikult saate lisaks lisada veel ühe orkestraatori ja nii palju lüüsi, kui soovite. Täiendavat teavet spetsifikatsioonide kohta saab küsida .
Seadmed 6500 и 6800 Need on uusimad mudelid, mida tutvustati ka selle aasta alguses. Kuid me räägime neist üksikasjalikumalt järgmises artiklis.
Millal ma saan selle osta?
Siin pole selget vastust. Hetkel puudub teade nende lahenduste importimiseks meie riiki. Niipea kui info ajastuse kohta saab, anname kohe teada oma avalikel lehtedel (, , ). Lisaks on lähiajal plaanis Check Point Maestro lahendusele pühendatud veebiseminar, kus räägitakse kõigist tehnilistest omadustest. Ja muidugi saate küsimusi esitada. Püsige lainel!
Järeldus
Kindlasti uus platvorm on suurepärane täiendus Check Pointi riistvaralahendustele. Tegelikult avab see toode uue segmendi, mille jaoks pole igal infoturbe müüjal sarnast lahendust. Veelgi enam, täna pole Check Point Maestrol sellise enneolematu "turvajõu" pakkumisel praktiliselt mingeid alternatiive. Maestro Hyperscale Network Security pakub aga huvi mitte ainult andmekeskuste omanikele, vaid ka tavalistele ettevõtetele. Need, kes omavad või plaanivad soetada seadmeid alates mudelist 5600, võivad juba Maestroga lähemalt tutvuda, mõnel juhul võib Maestro Hyperscale Network Security kasutamine olla väga tulus lahendus nii majanduslikust kui tehnilisest aspektist.
PS See artikkel valmis osalusel Anatoli Masover — skaleeritava platvormi ekspert, Check Pointi tarkvaratehnoloogiad.
Allikas: www.habr.com