1. Check Point Maestro Hyperscale Network Security - une nouvelle plateforme de sécurité évolutive

Check Point a démarré l’année 2019 assez rapidement en faisant plusieurs annonces d’un coup. Il est impossible de tout parler dans un seul article, alors commençons par le plus important : Sécurité du réseau hyperscale Check Point Maestro. Maestro est une nouvelle plateforme évolutive qui permet d'augmenter la « puissance » de la passerelle de sécurité jusqu'à des nombres « indécents » et presque linéairement. Ceci est réalisé naturellement en équilibrant la charge entre les passerelles individuelles qui fonctionnent dans un cluster en tant qu'entité unique. Quelqu'un pourrait dire : "Était! Il existe déjà 44000 XNUMX plates-formes lames/64000". Cependant, Maestro est une tout autre affaire. Dans cet article, je vais brièvement essayer d'expliquer de quoi il s'agit, comment cela fonctionne et comment cette technologie aidera économisez sur la protection du périmètre du réseau.

Était - Est devenu

Le moyen le plus simple de comprendre est de savoir en quoi la nouvelle plateforme évolutive diffère du bon vieux 44000./64000, c'est regarder l'image ci-dessous :

La différence est évidente.

Ancienne plateforme Check Point 44000/64000

Comme le montre l'image ci-dessus, la première option est une plate-forme fixe (châssis), dans laquelle un nombre limité de « modules lames » spéciaux peuvent être insérés (Check Point SGM). Tout cela est lié à Module de commutateur de sécurité (SSM), qui équilibre le trafic entre les passerelles. L'image ci-dessous montre plus en détail les composants de cette plateforme :

Il s'agit d'une excellente plate-forme si vous savez exactement de quelles performances vous avez besoin maintenant et dans quelle mesure elles peuvent augmenter. Cependant, en raison du facteur de forme fixe (12 ou 6 lames), votre évolutivité est limitée. De plus, vous êtes obligé d’utiliser exclusivement des lames SGM, sans possibilité de connecter des uplines classiques, qui disposent d’une gamme de modèles beaucoup plus large. Avec l'avènement de Sécurité réseau hyperscale Maestro la situation change radicalement.

Nouvelle plateforme de sécurité réseau hyperscale Check Point Maestro

Check Point Maestro a été présenté pour la première fois le 22 janvier lors de la conférence CPX à Bangkok. Les principales caractéristiques sont visibles dans l’image ci-dessous :

Comme vous pouvez le constater, le principal avantage de Check Point Maestro est la possibilité d'utiliser des passerelles (appareils) classiques pour l'équilibrage. Ceux. Nous ne sommes plus limités aux lames SGM. Vous pouvez répartir la charge entre tous les appareils à partir du modèle 5600 (modèles SMB et châssis 44000/64000 ne sont pas pris en charge). L'image ci-dessus montre les principaux indicateurs pouvant être obtenus lors de l'utilisation de la nouvelle plateforme. Nous pouvons combiner en une seule ressource informatique jusqu'à 31 ! passerelle. Maintenant, votre pare-feu pourrait ressembler à ceci :

Orchestrateur hyperscale Maestro

Je suis sûr que beaucoup de gens ont déjà demandé : «De quel genre d'Orchestrateur s'agit-il ?«Eh bien, retrouve-moi. Orchestrateur hyperscale Maestro — c'est cette chose qui est responsable de l'équilibrage de charge. Le système d'exploitation installé sur cet appareil est Gaia R80.20 SP. Il existe actuellement deux modèles d'Orchestrateurs : MHO-140 и MHO-170. Caractéristiques dans l'image ci-dessous :

À première vue, il peut sembler qu’il s’agit d’un interrupteur ordinaire. En fait, il s’agit d’un « commutateur + équilibreur + système de gestion des ressources ». Tout dans une seule boîte.
Les passerelles sont connectées à ces orchestrateurs. Si les équilibreurs sont tolérants aux pannes, alors chaque passerelle est connectée à chaque orchestrateur. Pour la connexion, des « optiques » (sfp+ / qsfp+ / qsfp28+) ou un câble DAC (Direct Attach Copper) peuvent être utilisés. Dans ce cas, il doit naturellement y avoir un lien de synchronisation entre les orchestrateurs :

Dans l'image ci-dessous, vous pouvez voir comment les ports de ces orchestrateurs sont distribués :

Groupes de sécurité

Pour que la charge soit répartie entre les passerelles, ces passerelles doivent appartenir au même groupe de sécurité. Groupe de sécurité il s'agit d'un groupe logique de périphériques qui fonctionne comme un cluster actif/actif. Ce groupe fonctionne indépendamment des autres groupes de sécurité. Du point de vue du serveur de gestion, le groupe de sécurité ressemble à un seul appareil avec une seule adresse IP.
Si nécessaire, nous pouvons déplacer une ou plusieurs passerelles dans un groupe de sécurité distinct et utiliser ce groupe à d'autres fins, comme un pare-feu distinct du point de vue de la gestion. Un exemple d'utilisation est présenté dans l'image ci-dessous :

Limite importante, seules les passerelles identiques (modèle) peuvent être utilisées dans un groupe de sécurité. Ceux. si vous souhaitez augmenter linéairement la capacité de votre passerelle de sécurité (qui est un cluster de plusieurs appareils), alors vous devez ajouter exactement les mêmes passerelles. Cette limitation devrait disparaître dans les prochaines versions logicielles.

Dans la vidéo ci-dessous, vous pouvez voir le processus de création d'un groupe de sécurité. La procédure est intuitive.

Encore une fois, si vous comparez les composants Maestro avec la plate-forme du châssis, vous obtenez quelque chose comme l'image suivante :

Quels sont les avantages de la nouvelle plateforme ?

Les avantages sont en réalité nombreux, tant d’un point de vue technique qu’économique. Je décrirai brièvement les plus importants :

1. Nous sommes pratiquement illimités en termes d’évolutivité. Jusqu'à 31 passerelles au sein d'un groupe de sécurité.
2. Nous pouvons ajouter des passerelles si nécessaire. L’ensemble minimum à acheter est d’un orchestrateur + deux passerelles. Il n’est pas nécessaire d’établir des modèles « de croissance ».
3. Un autre avantage découle du point précédent. Nous n’avons plus besoin de changer de passerelles qui ne peuvent plus supporter la charge. Auparavant, ce problème était résolu à l'aide de la procédure de reprise : ils remettaient l'ancien matériel et en recevaient de nouveaux à prix réduit. Avec un tel système, les « pertes » financières sont inévitables. La nouvelle procédure de mise à l'échelle élimine ce facteur. Vous n’avez rien à céder, vous pouvez simplement continuer à augmenter votre productivité à l’aide de matériel supplémentaire.
4. La possibilité de combiner les ressources existantes pour répartir la charge. Par exemple, vous pouvez « glisser » tous vos clusters sur la plateforme Maestro et assembler plusieurs groupes de sécurité, en fonction de la charge.

Offres groupées Maestro Hyperscale Network Security

Actuellement, il existe plusieurs options pour acheter des forfaits avec la plateforme Maestro. Solution basée sur les passerelles 23800, 6800 et 6500 :

Dans ce cas, vous pouvez choisir parmi deux types d’équipements standards :

1. Un orchestrateur et deux passerelles ;
2. Un orchestrateur et trois passerelles.

il est vous pouvez voir les prix estimés. Bien entendu, vous pouvez également ajouter un autre orchestrateur et autant de passerelles que vous le souhaitez. Des informations complémentaires sur les spécifications peuvent être demandées ici.
Appareils 6500 и 6800 Ce sont les derniers modèles qui ont également été introduits plus tôt cette année. Mais nous en parlerons plus en détail dans le prochain article.

Quand puis-je l'acheter ?

Il n’y a pas de réponse claire ici. Pour le moment, il n’y a aucune notification concernant l’importation de ces solutions dans notre pays. Dès que les informations sur le calendrier seront disponibles, nous ferons immédiatement une annonce sur nos pages publiques (vk, télégramme, sur Facebook). Par ailleurs, un webinaire dédié à la solution Check Point Maestro est prévu prochainement, où toutes les fonctionnalités techniques seront abordées. Et bien sûr, vous pouvez poser des questions. Restez à l'écoute!

Conclusion

Certainement une nouvelle plateforme Sécurité réseau hyperscale Maestro est un excellent complément aux solutions matérielles Check Point. En fait, ce produit ouvre un nouveau segment pour lequel tous les fournisseurs de sécurité de l’information ne disposent pas d’une solution similaire. De plus, Check Point Maestro n’a aujourd’hui pratiquement aucune alternative lorsqu’il s’agit de fournir un « pouvoir de sécurité » sans précédent. Cependant, Maestro Hyperscale Network Security intéressera non seulement les propriétaires de centres de données, mais également les entreprises ordinaires. Ceux qui possèdent ou envisagent d'acheter des appareils à partir du modèle 5600 peuvent déjà regarder de plus près Maestro. Dans certains cas, l'utilisation de Maestro Hyperscale Network Security peut être une solution très rentable, tant du point de vue économique que technique.

PS Cet article a été préparé avec la participation de Anatoly Masover — Expert en plate-forme évolutive, Check Point Software Technologies.

Source: habr.com