A Check Point meglehetősen gyorsan indult 2019-ben, egyszerre több bejelentéssel. Lehetetlen mindenről egy cikkben beszélni, ezért kezdjük a legfontosabbal - . A Maestro egy új méretezhető platform, amely lehetővé teszi a biztonsági átjáró „erejének” növelését „illetéktelen” számokig, és szinte lineárisan. Ez természetesen úgy érhető el, hogy kiegyenlíti a terhelést az egyes átjárók között, amelyek egy fürtben egyetlen entitásként működnek. Valaki azt mondhatná...Volt! Már 44000 XNUMX pengeplatform létezik/64000". A Maestro azonban teljesen más kérdés. Ebben a cikkben röviden megpróbálom elmagyarázni, mi ez, hogyan működik, és hogyan segít ez a technológia spóroljon a hálózati kerület védelmén.
Volt – vált
A legegyszerűbb úgy megérteni, hogy miben különbözik az új méretezhető platform a jó öreg 44000-től/64000 az alábbi képen:
A különbség nyilvánvaló.
Legacy Check Point 44000 platform/64000
Mint a fenti képen látható, az első lehetőség egy fix platform (alváz), amelybe korlátozott számú speciális „blade modul” helyezhető (Check Point SGM). Mindez összefügg Biztonsági kapcsoló modul (SSM), amely kiegyensúlyozza a forgalmat az átjárók között. Az alábbi kép a platform összetevőit mutatja be részletesebben:
Ez egy kiváló platform, ha pontosan tudja, milyen teljesítményre van szüksége most, és mennyit nőhet. A rögzített alaktényező (12 vagy 6 blade) miatt azonban korlátozott a további méretezhetőség. Ezenkívül kénytelen kizárólag SGM lapátokat használni, anélkül, hogy a hagyományos felsővonalakat csatlakoztathatná, amelyek sokkal szélesebb modellválasztékkal rendelkeznek. Az adventtel Maestro Hyperscale Network Security a helyzet drámaian megváltozik.
Új Check Point Maestro Hyperscale hálózati biztonsági platform
A Check Point Maestro január 22-én mutatkozott be először a bangkoki CPX konferencián. A főbb jellemzők az alábbi képen láthatók:
Amint láthatja, a Check Point Maestro fő előnye, hogy rendszeres átjárókat (készülékeket) használhat a kiegyensúlyozáshoz. Azok. Már nem korlátozzuk az SGM pengékre. A terhelést az 5600-as modelltől kezdődően bármely eszköz között megoszthatja (SMB modellek és 44000 alváz/64000 nem támogatott). A fenti képen az új platform használatával elérhető főbb mutatók láthatók. Összevonhatjuk egyetlen számítási erőforrásba 31-ig! átjáró. Most a tűzfala így nézhet ki:
Maestro Hyperscale Orchestrator
Biztos vagyok benne, hogy sokan kérdezték már: "Milyen Orchestrator ez?„Nos, találkozzunk. Maestro Hyperscale Orchestrator — ez a felelős a terheléselosztásért. Az eszközre telepített operációs rendszer a Gaia R80.20 SP. Jelenleg két Orchestrator modell létezik: MHO-140 и MHO-170. Jellemzők az alábbi képen:
Első pillantásra úgy tűnhet, hogy ez egy közönséges kapcsoló. Valójában ez „kapcsoló + kiegyenlítő + erőforrás-kezelő rendszer”. Minden egy dobozban.
Az átjárók ezekhez az Orchestratorokhoz csatlakoznak. Ha a kiegyenlítők hibatűrők, akkor minden átjáró minden hangszerelőhöz csatlakozik. A csatlakoztatáshoz „optika” (sfp+ / qsfp+ / qsfp28+) vagy DAC kábel (Direct Attach Copper) használható. Ebben az esetben természetesen szinkronizációs kapcsolatnak kell lennie a hangszerelők között:
Az alábbi képen láthatja, hogyan oszlanak meg ezeknek az orchestratoroknak a portjai:
Biztonsági csoportok
Az átjárók közötti terhelés elosztásához ezeknek az átjáróknak ugyanabban a biztonsági csoportban kell lenniük. Biztonsági csoport ez eszközök logikai csoportja, amely aktív/aktív klaszterként működik. Ez a csoport a többi biztonsági csoporttól függetlenül működik. A felügyeleti szerver szempontjából a Biztonsági csoport úgy néz ki, mint egy eszköz egy IP-címmel.
Ha szükséges, egy vagy több átjárót áthelyezhetünk egy külön biztonsági csoportba, és ezt a csoportot más célokra használhatjuk, például felügyeleti szempontból különálló tűzfalként. Az alábbi képen látható egy példa a felhasználásra:
Fontos korlátozás, egy biztonsági csoportban csak azonos átjárók (modell) használhatók. Azok. Ha lineárisan szeretné növelni a biztonsági átjáró (amely több eszköz fürtje) kapacitását, akkor pontosan ugyanazokat az átjárókat kell hozzáadnia. Ennek a korlátozásnak el kell tűnnie a következő szoftverkiadásokban.
Az alábbi videóban megtekintheti a biztonsági csoport létrehozásának folyamatát. Az eljárás intuitív.
Ismét, ha összehasonlítja a Maestro alkatrészeket az alváz platformjával, valami hasonlót kap a következő képhez:
Milyen előnyei vannak az új platformnak?
Valójában számos előnye van, mind műszaki, mind gazdasági szempontból. Röviden leírom a legfontosabbakat:
- A méretezésben gyakorlatilag korlátlanok vagyunk. Akár 31 átjáró egy biztonsági csoporton belül.
- Igény szerint hozzáadhatunk átjárókat. A minimálisan megvásárolható készlet egy orchestrator + két átjáró. Nem szükséges modelleket lefektetni a „növekedés érdekében”.
- Még egy plusz következik az előző pontból. Többé nem kell megváltoztatnunk azokat az átjárókat, amelyek már nem bírják a terhelést. Korábban ezt a problémát a trade-in eljárással oldották meg - átadták a régi hardvert és kedvezményesen kaptak újat. Egy ilyen rendszernél elkerülhetetlenek a pénzügyi „veszteségek”. Az új méretezési eljárás kiküszöböli ezt a tényezőt. Nem kell átadnia semmit, csak további hardverek segítségével tovább növelheti a termelékenységet.
- A meglévő erőforrások kombinálásának képessége a terhelés elosztása érdekében. Például „húzhatja” az összes klasztert a Maestro platformra, és összeállíthat több biztonsági csoportot, a terheléstől függően.
Maestro Hyperscale Network Security csomagok
Jelenleg több lehetőség kínálkozik a Maestro platformhoz tartozó úgynevezett kötegek vásárlására. A 23800-as, 6800-as és 6500-as átjárón alapuló megoldás:
Ebben az esetben két szabványos berendezéstípus közül választhat:
- Egy hangszerelő és két átjáró;
- Egy hangszerelő és három átjáró.
láthatja a becsült árakat. Természetesen hozzáadhat még egy hangszerelőt és annyi átjárót, amennyit csak akar. A specifikációkkal kapcsolatban további információ kérhető .
készülékek 6500 и 6800 Ezek a legújabb modellek, amelyeket szintén az év elején mutattak be. De a következő cikkben részletesebben fogunk beszélni róluk.
Mikor vehetem meg?
Itt nincs egyértelmű válasz. Jelenleg nincs értesítés ezen megoldások országunkba történő behozataláról. Amint az időponttal kapcsolatos információk elérhetővé válnak, azonnali bejelentést teszünk nyilvános oldalainkon (, , ). Emellett a közeljövőben a Check Point Maestro megoldásának szentelt webináriumot is terveznek, ahol minden műszaki jellemzőről szó lesz. És persze kérdezhetsz. Maradjon velünk!
Következtetés
Határozottan új platform kiváló kiegészítője a Check Point hardvermegoldásoknak. Valójában ez a termék egy új szegmenst nyit, amelyre nem minden információbiztonsági gyártó rendelkezik hasonló megoldással. Sőt, ma a Check Point Maestronak gyakorlatilag nincs alternatívája, amikor ilyen példátlan „biztonsági hatalom” biztosításáról van szó. A Maestro Hyperscale Network Security azonban nemcsak az adatközpont-tulajdonosokat fogja érdekelni, hanem a hétköznapi cégeket is. Az 5600-as modelltől kezdődő készülékek tulajdonosai vagy beszerzését tervezők már közelebbről is szemügyre vehetik a Maestro-t, bizonyos esetekben a Maestro Hyperscale Network Security használata igen kifizetődő megoldás lehet, mind gazdasági, mind műszaki szempontból.
PS Ez a cikk a részvételével készült Anatolij Masover — Scalable Platform Expert, Check Point Software Technologies.
Forrás: will.com