Check Point comezou o 2019 con bastante rapidez facendo varios anuncios á vez. É imposible falar de todo nun artigo, entón imos comezar polo máis importante: . Maestro é unha nova plataforma escalable que permite aumentar o "poder" da pasarela de seguridade a números "indecentes" e case linealmente. Isto conséguese de forma natural equilibrando a carga entre pasarelas individuais que operan nun clúster como unha única entidade. Alguén pode dicir - "Foi! Xa hai 44000 plataformas láminas/64000". Non obstante, o Mestre é unha cuestión completamente diferente. Neste artigo, intentarei explicar brevemente o que é, como funciona e como axudará esta tecnoloxía aforrar na protección do perímetro da rede.
Foi - Converteuse
A forma máis sinxela de entender é como se diferencia a nova plataforma escalable do bo vello 44000/64000 é mira a seguinte imaxe:
A diferenza é obvia.
Plataforma herdada Check Point 44000/64000
Como se pode ver na imaxe superior, a primeira opción é unha plataforma fixa (chasis), na que se pode inserir un número limitado de "módulos de láminas" especiais (Check Point SGM). Todo isto está conectado Módulo de interruptor de seguridade (SSM), que equilibra o tráfico entre pasarelas. A seguinte imaxe mostra os compoñentes desta plataforma con máis detalle:
Esta é unha excelente plataforma se sabes exactamente o rendemento que necesitas agora e canto pode crecer. Non obstante, debido ao factor de forma fixo (12 ou 6 láminas), ten unha maior escalabilidade. Ademais, está obrigado a utilizar exclusivamente as láminas SGM, sen a posibilidade de conectar liñas ascendentes convencionais, que teñen unha gama de modelos moito máis ampla. Coa chegada Maestro Hyperscale Network Security a situación está cambiando drasticamente.
Nova plataforma de seguridade de rede de hiperescala Check Point Maestro
Check Point Maestro presentouse por primeira vez o 22 de xaneiro na conferencia CPX en Bangkok. As principais características pódense ver na seguinte imaxe:
Como podes ver, a principal vantaxe de Check Point Maestro é a posibilidade de usar pasarelas (electrodomésticos) habituais para o equilibrio. Eses. Xa non nos limitamos ás láminas SGM. Pode distribuír a carga entre calquera dispositivo a partir do modelo 5600 (modelos SMB e Chassis 44000)./64000 non son compatibles). A imaxe de arriba mostra os principais indicadores que se poden conseguir cando se utiliza a nova plataforma. Podemos combinar nun só recurso informático ata 31! pasarela. Agora o teu firewall pode verse así:
Mestre Hyperscale Orchestrator
Estou seguro de que moita xente xa preguntou: "Que tipo de orquestrador é este?"Ben, coñece-me. Mestre Hyperscale Orchestrator — É esta cousa a que se encarga do equilibrio de carga. O sistema operativo instalado neste dispositivo é Gaia R80.20 SP. Actualmente hai dous modelos de orquestradores: MHO-140 и MHO-170. Características na seguinte imaxe:
A primeira vista pode parecer que este é un interruptor común. De feito, é "switch + balance + sistema de xestión de recursos". Todo nunha caixa.
As pasarelas están conectadas a estes orquestadores. Se os equilibradores son tolerantes a fallos, entón cada pasarela está conectada a cada orquestrador. Para a conexión, pódese usar "óptica" (sfp+ / qsfp+ / qsfp28+) ou cable DAC (cobre de conexión directa). Neste caso, naturalmente debe haber unha ligazón de sincronización entre os orquestadores:
Na seguinte imaxe podes ver como están distribuídos os portos destes orquestadores:
Grupos de seguridade
Para que a carga se distribúa entre pasarelas, estas pasarelas deben estar no mesmo grupo de seguridade. Grupo de seguridade é un grupo lóxico de dispositivos que funciona como un clúster activo/activo. Este grupo funciona independentemente doutros grupos de seguridade. Desde o punto de vista do servidor de xestión, o Grupo de Seguridade parece un dispositivo cun enderezo IP.
Se é necesario, podemos mover unha ou máis pasarelas a un grupo de seguranza independente e usar este grupo para outros fins, como un firewall separado desde o punto de vista da xestión. Un exemplo de uso móstrase na seguinte imaxe:
Limitación importante, só se poden usar pasarelas (modelo) idénticas nun grupo de seguridade. Eses. se queres aumentar linealmente a capacidade da túa pasarela de seguranza (que é un clúster de varios dispositivos), debes engadir exactamente as mesmas pasarelas. Esta limitación debería desaparecer nas próximas versións de software.
No seguinte vídeo podes ver o proceso de creación dun grupo de seguridade. O procedemento é intuitivo.
De novo, se comparas os compoñentes Maestro coa plataforma do chasis, obtén algo así como a seguinte imaxe:
Cales son os beneficios da nova plataforma?
En realidade, hai moitas vantaxes, tanto desde o punto de vista técnico como económico. Vou describir brevemente os máis importantes:
- Somos practicamente ilimitados na escala. Ata 31 pasarelas dentro dun grupo de seguridade.
- Podemos engadir pasarelas segundo sexa necesario. O conxunto mínimo para a compra é un orquestrador + dúas pasarelas. Non hai que establecer modelos "para o crecemento".
- Outro plus segue do punto anterior. Xa non necesitamos cambiar as pasarelas que xa non poden soportar a carga. Anteriormente, este problema resolveuse mediante o procedemento de intercambio: entregaron hardware antigo e recibiron outros novos con desconto. Con tal esquema, as "perdas" financeiras son inevitables. O novo procedemento de escalado elimina este factor. Non necesitas entregar nada, podes seguir aumentando a produtividade coa axuda de hardware adicional.
- A capacidade de combinar os recursos existentes para distribuír a carga. Por exemplo, pode "arrastrar" todos os seus clústeres á plataforma Maestro e montar varios grupos de seguranza, dependendo da carga.
Paquetes de seguridade de rede Maestro Hyperscale
Actualmente, existen varias opcións para adquirir os chamados paquetes coa plataforma Maestro. Solución baseada nas pasarelas 23800, 6800 e 6500:
Neste caso, podes escoller entre dous tipos de equipamento estándar:
- Un orquestrador e dúas pasarelas;
- Un orquestrador e tres pasarelas.
podes ver os prezos estimados. Por suposto, tamén pode engadir outro orquestrador e tantas pasarelas como queira. Pódese solicitar información adicional sobre as especificacións .
Dispositivos 6500 и 6800 Estes son os últimos modelos que tamén se presentaron a principios deste ano. Pero falaremos deles con máis detalle no seguinte artigo.
Cando podo mercalo?
Non hai unha resposta clara aquí. Polo momento, non existe ningunha notificación para a importación destas solucións ao noso país. En canto se dispoña de información sobre o horario, publicaremos inmediatamente un anuncio nas nosas páxinas públicas (, , ). Ademais, está previsto un seminario web dedicado á solución Check Point Maestro nun futuro próximo, onde se discutirán todas as características técnicas. E por suposto podes facer preguntas. Estade atentos!
Conclusión
Sen dúbida unha nova plataforma é unha excelente adición ás solucións de hardware de Check Point. De feito, este produto abre un novo segmento, para o que non todos os provedores de seguridade da información teñen unha solución similar. Ademais, hoxe Check Point Maestro practicamente non ten alternativas á hora de proporcionar un "poder de seguridade" tan sen precedentes. Non obstante, Maestro Hyperscale Network Security será de interese non só para os propietarios de centros de datos, senón tamén para as empresas comúns. Aqueles que posúan ou teñan pensado adquirir dispositivos a partir do modelo 5600 xa poden botar unha ollada máis atenta a Maestro.Nalgúns casos, utilizar Maestro Hyperscale Network Security pode ser unha solución moi rendible, tanto desde o punto de vista económico como técnico.
PD Este artigo foi preparado coa participación de Anatoly Masover — Experto en plataformas escalables, Check Point Software Technologies.
Fonte: www.habr.com