Check Point ha iniziato il 2019 abbastanza rapidamente facendo diversi annunci contemporaneamente. È impossibile parlare di tutto in un articolo, quindi iniziamo con la cosa più importante:
Era - È diventato
Il modo più semplice per capire è in cosa differisce la nuova piattaforma scalabile dalla buona vecchia 44000/64000 è guarda l'immagine qui sotto:
La differenza è evidente.
Piattaforma legacy Check Point 44000/64000
Come si può vedere dall'immagine sopra, la prima opzione è una piattaforma fissa (chassis), nella quale è possibile inserire un numero limitato di speciali “moduli lama” (Punto di controllo SGM). Tutto ciò è collegato a Modulo interruttore di sicurezza (SSM), che bilancia il traffico tra i gateway. L'immagine seguente mostra i componenti di questa piattaforma in modo più dettagliato:
Questa è una piattaforma eccellente se sai esattamente di quali prestazioni hai bisogno ora e quanto può crescere. Tuttavia, a causa del fattore di forma fisso (12 o 6 blade), l'ulteriore scalabilità è limitata. Inoltre si è costretti ad utilizzare esclusivamente blade SGM, senza la possibilità di collegare le upline convenzionali, che hanno una gamma di modelli molto più ampia. Con l'avvento Sicurezza della rete iperscala Maestro la situazione sta cambiando radicalmente.
Nuova piattaforma di sicurezza di rete iperscale Check Point Maestro
Check Point Maestro è stato presentato per la prima volta il 22 gennaio alla conferenza CPX a Bangkok. Le caratteristiche principali le potete vedere nella foto qui sotto:
Come puoi vedere, il vantaggio principale di Check Point Maestro è la possibilità di utilizzare gateway (appliance) regolari per il bilanciamento. Quelli. Non ci limitiamo più alle lame SGM. È possibile distribuire il carico tra tutti i dispositivi a partire dal modello 5600 (modelli SMB e Chassis 44000/64000 non sono supportati). L'immagine sopra mostra i principali indicatori che possono essere raggiunti utilizzando la nuova piattaforma. Possiamo combinarli in un'unica risorsa informatica fino a 31! porta. Ora il tuo firewall potrebbe assomigliare a questo:
Maestro Orchestratore di Iperscala
Sono sicuro che molte persone hanno già chiesto: “Che tipo di orchestratore è questo?“Bene, vediamoci. Maestro Orchestratore di Iperscala - è questa cosa che è responsabile del bilanciamento del carico. Il sistema operativo installato su questo dispositivo è Gaia R80.20SP. Attualmente esistono due modelli di orchestrator: MHO-140 и MHO-170. Caratteristiche nella foto qui sotto:
A prima vista può sembrare che si tratti di un normale interruttore. In effetti, è "switch + bilanciatore + sistema di gestione delle risorse". Tutto in una scatola.
I gateway sono connessi a questi orchestrator. Se i bilanciatori sono con tolleranza agli errori, ogni gateway è connesso a ogni orchestratore. Per il collegamento è possibile utilizzare un cavo “ottico” (sfp+ / qsfp+ / qsfp28+) o un cavo DAC (Direct Attack Copper). In questo caso deve naturalmente esserci un collegamento di sincronizzazione tra gli orchestratori:
Nell'immagine seguente puoi vedere come sono distribuite le porte di questi orchestratori:
Gruppi di sicurezza
Affinché il carico venga distribuito tra i gateway, questi gateway devono appartenere allo stesso gruppo di sicurezza. Gruppo di sicurezza è un gruppo logico di dispositivi che funziona come un cluster attivo/attivo. Questo gruppo funziona indipendentemente dagli altri gruppi di sicurezza. Dal punto di vista del server di gestione, il gruppo di sicurezza appare come un dispositivo con un indirizzo IP.
Se necessario, possiamo spostare uno o più gateway in un gruppo di sicurezza separato e utilizzare questo gruppo per altri scopi, come un firewall separato dal punto di vista gestionale. Un esempio di utilizzo è mostrato nella figura seguente:
Limitazione importante, solo gateway (modello) identici possono essere utilizzati in un gruppo di sicurezza. Quelli. se desideri aumentare in modo lineare la capacità del tuo gateway di sicurezza (che è un cluster di diversi dispositivi), devi aggiungere esattamente gli stessi gateway. Questa limitazione dovrebbe scomparire nelle prossime versioni del software.
Nel video qui sotto puoi vedere il processo di creazione di un gruppo di sicurezza. La procedura è intuitiva.
Ancora una volta, se confronti i componenti Maestro con la piattaforma del telaio, otterrai qualcosa di simile alla seguente immagine:
Quali sono i vantaggi della nuova piattaforma?
I vantaggi infatti sono molteplici, sia dal punto di vista tecnico che economico. Descrivo brevemente quelli più importanti:
- Siamo praticamente illimitati nella scalabilità. Fino a 31 gateway all'interno di un gruppo di sicurezza.
- Possiamo aggiungere gateway secondo necessità. Il set minimo per l'acquisto è un orchestratore + due gateway. Non è necessario stabilire modelli “di crescita”.
- Un altro vantaggio deriva dal punto precedente. Non abbiamo più bisogno di cambiare gateway che non riescono più a far fronte al carico. In precedenza, questo problema veniva risolto utilizzando la procedura di permuta: veniva consegnato il vecchio hardware e ne veniva ricevuto di nuovo con uno sconto. Con un tale schema, le “perdite” finanziarie sono inevitabili. La nuova procedura di ridimensionamento elimina questo fattore. Non devi rinunciare a nulla, puoi semplicemente continuare ad aumentare la produttività con l'aiuto di hardware aggiuntivo.
- La capacità di combinare le risorse esistenti per distribuire il carico. Ad esempio, puoi “trascinare” tutti i tuoi cluster sulla piattaforma Maestro e assemblare più gruppi di sicurezza, a seconda del carico.
Pacchetti Maestro Hyperscale Network Security
Attualmente esistono diverse possibilità per acquistare i cosiddetti bundle con la piattaforma Maestro. Soluzione basata sui gateway 23800, 6800 e 6500:
In questo caso è possibile scegliere tra due tipologie di equipaggiamento standard:
- Un orchestratore e due gateway;
- Un orchestratore e tre gateway.
dispositivi 6500 и 6800 Questi sono gli ultimi modelli introdotti anche all'inizio di quest'anno. Ma ne parleremo più approfonditamente nel prossimo articolo.
Quando posso acquistarlo?
Non esiste una risposta chiara qui. Al momento non esiste alcuna notifica per l’importazione di queste soluzioni nel nostro Paese. Non appena saranno disponibili informazioni sulle tempistiche, ne daremo immediatamente avviso nelle nostre pagine pubbliche (
conclusione
Sicuramente una nuova piattaforma
PS Questo articolo è stato preparato con la partecipazione di Anatoly Masover — Esperto di piattaforme scalabili, Check Point Software Technologies.
Fonte: habr.com