Check Point je 2019. započeo prilično brzo objavljujući nekoliko najava odjednom. Nemoguće je govoriti o svemu u jednom članku, pa krenimo od najvažnijeg - . Maestro je nova skalabilna platforma koja vam omogućuje povećanje "snage" sigurnosnog pristupnika na "nepristojne" brojeve i to gotovo linearno. To se prirodno postiže balansiranjem opterećenja između pojedinačnih pristupnika koji rade u klasteru kao jedna cjelina. Netko bi mogao reći - "bio! Već postoji 44000 XNUMX blade platformi/64000". Međutim, Maestro je sasvim druga stvar. U ovom članku ću ukratko pokušati objasniti što je to, kako radi i kako će ova tehnologija pomoći uštedite na zaštiti perimetra mreže.
Bio - Postao
Najlakši način da shvatite je kako se nova skalabilna platforma razlikuje od dobre stare 44000/64000 je pogledajte sliku ispod:
Razlika je očita.
Legacy Check Point 44000 platforma/64000
Kao što se može vidjeti na gornjoj slici, prva opcija je fiksna platforma (šasija), u koju se može umetnuti ograničeni broj posebnih "blade modula" (Check Point SGM). Sve je to povezano s Modul sigurnosne sklopke (SSM), koji uravnotežuje promet između pristupnika. Slika u nastavku detaljnije prikazuje komponente ove platforme:
Ovo je izvrsna platforma ako točno znate kakvu izvedbu trebate sada i koliko može rasti. Međutim, zbog fiksnog faktora oblika (12 ili 6 bladeova), ograničeni ste u daljnjoj skalabilnosti. Osim toga, prisiljeni ste koristiti isključivo SGM noževe, bez mogućnosti spajanja konvencionalnih upline-ova, koji imaju puno širi raspon modela. S dolaskom Maestro Hyperscale Network Security situacija se dramatično mijenja.
Nova mrežna sigurnosna platforma Check Point Maestro Hyperscale
Check Point Maestro je prvi put predstavljen 22. siječnja na CPX konferenciji u Bangkoku. Glavne karakteristike se mogu vidjeti na slici ispod:
Kao što vidite, glavna prednost Check Point Maestra je mogućnost korištenja uobičajenih pristupnika (uređaja) za balansiranje. Oni. Više nismo ograničeni na SGM oštrice. Možete rasporediti opterećenje između bilo kojeg uređaja počevši od modela 5600 (SMB modeli i šasija 44000/64000 nisu podržani). Gornja slika prikazuje glavne pokazatelje koji se mogu postići korištenjem nove platforme. Možemo kombinirati u jedan računalni resurs do 31! pristupnik. Sada bi vaš vatrozid mogao izgledati ovako:
Maestro Hyperscale Orchestrator
Siguran sam da su se mnogi ljudi već pitali: "Kakav je ovo orkestrator?“Pa, upoznaj me. Maestro Hyperscale Orchestrator — to je ta stvar koja je odgovorna za uravnoteženje opterećenja. Operativni sustav instaliran na ovom uređaju je Gaia R80.20 SP. Trenutno postoje dva modela orkestratora - MHO-140 и MHO-170. Značajke na slici ispod:
Na prvi pogled može se činiti da je ovo običan prekidač. Zapravo, to je "prekidač + balanser + sustav upravljanja resursima." Sve u jednoj kutiji.
Pristupnici su povezani s ovim orkestratorima. Ako su balanseri tolerantni na pogreške, tada je svaki pristupnik povezan sa svakim orkestratorom. Za povezivanje se može koristiti “optika” (sfp+ / qsfp+ / qsfp28+) ili DAC kabel (Direct Attach Copper). U ovom slučaju mora prirodno postojati veza za sinkronizaciju između orkestratora:
Na slici ispod možete vidjeti kako su portovi ovih orkestratora raspoređeni:
Sigurnosne grupe
Kako bi se opterećenje raspodijelilo između pristupnika, ti pristupnici moraju biti u istoj sigurnosnoj grupi. Sigurnosna grupa to je logična skupina uređaja koja funkcionira kao aktivni/aktivni klaster. Ova grupa funkcionira neovisno o drugim sigurnosnim grupama. Sa stajališta poslužitelja za upravljanje, Sigurnosna grupa izgleda kao jedan uređaj s jednom IP adresom.
Ako je potrebno, možemo premjestiti jedan ili više pristupnika u zasebnu sigurnosnu grupu i koristiti tu grupu za druge svrhe, poput zasebnog vatrozida sa stajališta upravljanja. Primjer korištenja prikazan je na slici ispod:
Važno ograničenje, samo identični pristupnici (model) mogu se koristiti u jednoj sigurnosnoj grupi. Oni. ako želite linearno povećati kapacitet svog sigurnosnog pristupnika (koji je klaster od nekoliko uređaja), tada morate dodati potpuno iste pristupnike. Ovo bi ograničenje trebalo nestati u sljedećim izdanjima softvera.
U videu ispod možete vidjeti proces stvaranja sigurnosne grupe. Postupak je intuitivan.
Opet, ako usporedite Maestro komponente s platformom šasije, dobit ćete nešto poput sljedeće slike:
Koje su prednosti nove platforme?
Postoje zapravo mnoge prednosti, kako s tehničkog tako i s ekonomskog gledišta. Ukratko ću opisati najvažnije:
- Praktički smo neograničeni u skaliranju. Do 31 pristupnika unutar jedne sigurnosne grupe.
- Po potrebi možemo dodati pristupnike. Minimalni set za kupnju je jedan orkestrator + dva gatewaya. Nema potrebe postavljati modele "za rast".
- Još jedan plus proizlazi iz prethodne točke. Više ne moramo mijenjati pristupnike koji više ne mogu podnijeti opterećenje. Prije se ovaj problem rješavao postupkom trade-in - predavali su stari hardver i dobivali novi s popustom. Uz takvu shemu, financijski "gubici" su neizbježni. Novi postupak skaliranja eliminira ovaj faktor. Ne trebate ništa predati, možete samo nastaviti povećavati produktivnost uz pomoć dodatnog hardvera.
- Sposobnost kombiniranja postojećih resursa za raspodjelu opterećenja. Na primjer, možete "odvući" sve svoje klastere na Maestro platformu i sastaviti nekoliko sigurnosnih grupa, ovisno o opterećenju.
Maestro Hyperscale Network Security paketi
Trenutno postoji nekoliko opcija za kupnju tzv. paketa s platformom Maestro. Rješenje temeljeno na pristupnicima 23800, 6800 i 6500:
U ovom slučaju možete birati između dvije standardne vrste opreme:
- Jedan orkestrator i dva pristupnika;
- Jedan orkestrator i tri pristupnika.
možete vidjeti procijenjene cijene. Naravno, možete dodatno dodati još jednog orkestratora i onoliko pristupnika koliko želite. Dodatne informacije o specifikacijama mogu se zatražiti .
uređaji 6500 и 6800 Ovo su najnoviji modeli koji su također predstavljeni početkom ove godine. Ali o njima ćemo detaljnije govoriti u sljedećem članku.
Kada ga mogu kupiti?
Ovdje nema jasnog odgovora. Trenutno nema dojave za uvoz ovih otopina u našu zemlju. Čim informacija o terminu bude dostupna, odmah ćemo objaviti na našim javnim stranicama (, , ). Osim toga, u skoroj budućnosti planiran je webinar posvećen rješenju Check Point Maestro na kojem će se raspravljati o svim tehničkim značajkama. I naravno, možete postavljati pitanja. Ostanite s nama!
Zaključak
Definitivno nova platforma izvrstan je dodatak hardverskim rješenjima tvrtke Check Point. Zapravo, ovaj proizvod otvara novi segment za koji nema svaki dobavljač informacijske sigurnosti slično rješenje. Štoviše, danas Check Point Maestro nema gotovo nikakve alternative kada je u pitanju pružanje takve "sigurnosne moći" bez presedana. Međutim, Maestro Hyperscale Network Security bit će zanimljiv ne samo vlasnicima podatkovnih centara, već i običnim tvrtkama. Oni koji posjeduju ili planiraju kupiti uređaje počevši od modela 5600 već sada mogu pobliže pogledati Maestro.U nekim slučajevima korištenje Maestro Hyperscale Network Security može biti vrlo isplativo rješenje, kako s ekonomskog tako i s tehničkog gledišta.
PS Ovaj članak je pripremljen uz sudjelovanje Anatolij Masover — Stručnjak za skalabilnu platformu, Check Point Software Technologies.
Izvor: www.habr.com