Check Point memulai tahun 2019 dengan cukup cepat dengan membuat beberapa pengumuman sekaligus. Tidak mungkin membicarakan semuanya dalam satu artikel, jadi mari kita mulai dengan hal yang paling penting - . Maestro adalah platform baru yang dapat diskalakan yang memungkinkan Anda meningkatkan “kekuatan” gerbang keamanan ke angka “tidak senonoh” dan hampir secara linier. Hal ini dicapai secara alami dengan menyeimbangkan beban antara masing-masing gateway yang beroperasi dalam sebuah cluster sebagai satu kesatuan. Seseorang mungkin berkata - "Dulu! Sudah ada 44000 platform blade/64000". Namun, Maestro adalah masalah yang sama sekali berbeda. Pada artikel ini saya akan mencoba menjelaskan secara singkat apa itu, cara kerjanya, dan bagaimana teknologi ini akan membantu menghemat perlindungan perimeter jaringan.
Dulu - Telah menjadi
Cara termudah untuk memahaminya adalah perbedaan platform baru yang dapat diskalakan dengan 44000 lama yang bagus/64000 adalah lihat gambar di bawah ini:
Perbedaannya jelas.
Platform Warisan Check Point 44000/64000
Seperti dapat dilihat dari gambar di atas, opsi pertama adalah platform tetap (sasis), di mana sejumlah “modul blade” khusus dapat dimasukkan (Periksa Titik SGM). Semua ini terhubung dengan Modul Sakelar Keamanan (SSM), yang menyeimbangkan lalu lintas antar gateway. Gambar di bawah menunjukkan komponen platform ini lebih detail:
Ini adalah platform yang luar biasa jika Anda tahu persis kinerja apa yang Anda butuhkan saat ini dan seberapa besar pertumbuhannya. Namun, karena faktor bentuk tetap (12 atau 6 bilah), skalabilitas lebih lanjut Anda terbatas. Selain itu, Anda terpaksa menggunakan blade SGM secara eksklusif, tanpa kemampuan untuk menghubungkan upline konvensional, yang memiliki model yang jauh lebih beragam. Dengan munculnya Keamanan Jaringan Maestro Hyperscale situasinya berubah secara dramatis.
Platform Keamanan Jaringan Check Point Maestro Hyperscale Baru
Check Point Maestro pertama kali diperkenalkan pada 22 Januari di konferensi CPX di Bangkok. Ciri-ciri utamanya dapat dilihat pada gambar di bawah ini:
Seperti yang Anda lihat, keunggulan utama Check Point Maestro adalah kemampuannya untuk menggunakan gateway (peralatan) biasa untuk penyeimbangan. Itu. Kami tidak lagi terbatas pada pisau SGM. Anda dapat mendistribusikan beban antar perangkat apa pun mulai dari model 5600 (model SMB dan Chassis 44000/64000 tidak didukung). Gambar di atas menunjukkan indikator utama yang dapat dicapai ketika menggunakan platform baru. Kita bisa menggabungkannya menjadi satu sumber daya komputasi hingga 31! gerbang. Sekarang firewall Anda mungkin terlihat seperti ini:
Orkestra Maestro Hyperscale
Saya yakin banyak orang sudah bertanya: “Orkestra macam apa ini?“Baiklah, temui aku. Orkestra Maestro Hyperscale — hal inilah yang bertanggung jawab untuk penyeimbangan beban. Sistem operasi yang diinstal pada perangkat ini adalah Gaia R80.20SP. Saat ini ada dua model Orchestrator - MHO-140 и MHO-170. Fitur pada gambar di bawah ini:
Pada pandangan pertama sepertinya ini adalah saklar biasa. Faktanya, ini adalah “saklar + penyeimbang + sistem manajemen sumber daya.” Semuanya dalam satu kotak.
Gateway terhubung ke Orchestrator ini. Jika penyeimbang toleran terhadap kesalahan, maka setiap gateway terhubung ke setiap orkestrator. Untuk koneksi, dapat digunakan “optik” (sfp+ / qsfp+ / qsfp28+) atau kabel DAC (Direct Attach Copper). Dalam hal ini, tentu saja harus ada hubungan sinkronisasi antar orkestra:
Pada gambar di bawah ini Anda dapat melihat bagaimana port dari orkestrator ini didistribusikan:
Grup Keamanan
Agar beban dapat didistribusikan antar gateway, gateway ini harus berada dalam Grup Keamanan yang sama. Grup Keamanan itu adalah sekelompok perangkat logis yang berfungsi sebagai cluster aktif/aktif. Grup ini berfungsi secara independen dari Grup Keamanan lainnya. Dari sudut pandang server manajemen, Grup Keamanan terlihat seperti satu perangkat dengan satu alamat IP.
Jika perlu, kita dapat memindahkan satu atau lebih gateway ke Grup Keamanan terpisah dan menggunakan grup ini untuk tujuan lain, seperti firewall terpisah dari sudut pandang manajemen. Contoh penggunaannya terlihat pada gambar di bawah ini:
Batasan Penting, hanya gateway (model) identik yang dapat digunakan dalam satu Grup Keamanan. Itu. jika Anda ingin meningkatkan kapasitas gateway keamanan Anda secara linier (yang merupakan kumpulan beberapa perangkat), maka Anda harus menambahkan gateway yang sama persis. Batasan ini akan hilang pada rilis perangkat lunak berikutnya.
Dalam video di bawah ini Anda dapat melihat proses pembuatan Grup Keamanan. Prosedurnya intuitif.
Sekali lagi, jika Anda membandingkan komponen Maestro dengan platform sasis, Anda mendapatkan gambar seperti berikut:
Apa manfaat platform baru ini?
Sebenarnya banyak keuntungannya, baik dari segi teknis maupun ekonomis. Saya akan menjelaskan secara singkat yang paling penting:
- Kami praktis tidak terbatas dalam penskalaan. Hingga 31 gateway dalam satu Grup Keamanan.
- Kita dapat menambahkan gateway sesuai kebutuhan. Set minimum untuk pembelian adalah satu orkestrator + dua gateway. Tidak perlu memberikan model “untuk pertumbuhan”.
- Kelebihan lainnya mengikuti poin sebelumnya. Kita tidak perlu lagi mengganti gateway yang tidak mampu lagi menahan beban. Sebelumnya, masalah ini diselesaikan dengan menggunakan prosedur tukar tambah - mereka menyerahkan perangkat keras lama dan menerima yang baru dengan harga diskon. Dengan skema seperti itu, “kerugian” finansial tidak bisa dihindari. Prosedur penskalaan baru menghilangkan faktor ini. Anda tidak perlu menyerahkan apapun, Anda cukup terus meningkatkan produktivitas dengan bantuan hardware tambahan.
- Kemampuan untuk menggabungkan sumber daya yang ada untuk mendistribusikan beban. Misalnya, Anda dapat “menyeret” semua cluster Anda ke platform Maestro dan mengumpulkan beberapa Grup Keamanan, tergantung pada bebannya.
Bundel Keamanan Jaringan Maestro Hyperscale
Saat ini, ada beberapa opsi untuk membeli bundel dengan platform Maestro. Solusi berdasarkan gateway 23800, 6800 dan 6500:
Dalam hal ini, Anda dapat memilih dari dua jenis perlengkapan standar:
- Satu orkestrator dan dua gateway;
- Satu orkestrator dan tiga gateway.
Anda dapat melihat perkiraan harga. Tentu saja, Anda juga dapat menambahkan orkestrator lain dan gateway sebanyak yang Anda suka. Informasi tambahan mengenai spesifikasi dapat diminta .
Perangkat 6500 и 6800 Inilah model terbaru yang juga diperkenalkan awal tahun ini. Namun kami akan membicarakannya lebih detail di artikel berikutnya.
Kapan saya bisa membelinya?
Tidak ada jawaban yang jelas di sini. Saat ini, belum ada pemberitahuan untuk impor solusi ini ke negara kita. Segera setelah informasi mengenai waktunya tersedia, kami akan segera mengumumkannya di halaman publik kami (, , ). Selain itu, webinar yang didedikasikan untuk solusi Check Point Maestro direncanakan dalam waktu dekat, di mana semua fitur teknis akan dibahas. Dan tentu saja Anda bisa bertanya. Pantau terus!
Kesimpulan
Jelas merupakan platform baru adalah tambahan yang bagus untuk solusi perangkat keras Check Point. Faktanya, produk ini membuka segmen baru, dan tidak semua vendor keamanan informasi memiliki solusi serupa. Terlebih lagi, saat ini Check Point Maestro hampir tidak mempunyai alternatif lain dalam hal menyediakan “kekuatan keamanan” yang belum pernah ada sebelumnya. Namun, Keamanan Jaringan Maestro Hyperscale akan menarik tidak hanya bagi pemilik pusat data, tetapi juga bagi perusahaan biasa. Mereka yang memiliki atau berencana membeli perangkat mulai model 5600 sudah bisa melihat lebih dekat Maestro.Dalam beberapa kasus, penggunaan Maestro Hyperscale Network Security bisa menjadi solusi yang sangat menguntungkan, baik dari sudut pandang ekonomi maupun teknis.
PS Artikel ini disiapkan dengan partisipasi Anatoly Masover — Pakar Platform yang Dapat Diskalakan, Teknologi Perangkat Lunak Check Point.
Sumber: www.habr.com