צ'ק פוינט פתחה את 2019 בצורה די נמרצת, עם מספר הכרזות בו זמנית. אי אפשר לכסות הכל במאמר אחד, אז נתחיל עם הדבר הכי חשוב - Maestro היא פלטפורמה חדשה וניתנת להרחבה המאפשרת לך להגדיל את "העוצמה" של שער אבטחה למספרים "מגונים" וכמעט באופן ליניארי. זה מושג באופן טבעי על ידי איזון העומס בין שערים בודדים הפועלים באשכול כישות אחת. מישהו אולי יאמר - "זה היה! כבר יש פלטפורמות להב 44000/64000". עם זאת, מאסטרו הוא עניין שונה לחלוטין. במאמר זה אנסה להסביר בקצרה מה זה, איך זה עובד וכיצד טכנולוגיה זו תעזור לחסוך בהגנה על היקפי הרשת.
לפני - אחרי
הדרך הקלה ביותר להבין כיצד הפלטפורמה החדשה והניתנת להרחבה שונה מה-44000 הישנה והטובה/64000 זה להסתכל על התמונה למטה:
ההבדל ברור.
רציף צ'ק פוינט 44000 הישן/64000
כפי שניתן לראות בתמונה למעלה, האפשרות הראשונה היא פלטפורמה קבועה (שלדה) שאליה ניתן להכניס מספר מוגבל של "מודולי להב" מיוחדים (צ'ק פוינט SGMכל זה מחובר ב מודול מתג אבטחה (SSM), אשר מאזן את התעבורה בין שערים. התמונה למטה מציגה את רכיבי הפלטפורמה הזו ביתר פירוט:
זוהי פלטפורמה נהדרת אם אתם יודעים בדיוק אילו ביצועים אתם צריכים כעת וכמה היא יכולה לגדול. עם זאת, בשל גודל הלהבים הקבוע (12 או 6 להבים), אתם מוגבלים בהרחבה נוספת. בנוסף, אתם נאלצים להשתמש אך ורק בלהבי SGM, ללא אפשרות לחבר מערכות הפעלה רגילות, שיש להן מגוון דגמים רחב בהרבה. עם הופעתה של אבטחת רשת מאסטרו היפרסקאל המצב משתנה באופן דרמטי.
פלטפורמת אבטחת הרשת החדשה של צ'ק פוינט, מאסטרו, Hyperscale
צ'ק פוינט מאסטרו הוצג לראשונה ב-22 בינואר בכנס CPX בבנגקוק. ניתן לראות את המאפיינים העיקריים בתמונה למטה:
כפי שאתם רואים, היתרון העיקרי של Check Point Maestro הוא היכולת להשתמש בשערים רגילים (מכשירים) לצורך איזון. כלומר, אנחנו כבר לא מוגבלים ללהבים של SGM. אתם יכולים לחלק את העומס בין כל התקנים החל מדגם 5600 (דגמי SMB ודגמי Chassis 44000)./64000 אינם נתמכים). התמונה למעלה מציגה את האינדיקטורים העיקריים שניתן להשיג באמצעות הפלטפורמה החדשה. אנו יכולים לשלב אותם למשאב מחשוב אחד עד 31! שערכעת "חומת האש" שלך עשויה להיראות כך:
מאסטרו היפרסקייל תזמור
אני בטוח שלרבים כבר יש את השאלה: "איזה סוג של תזמורת זו?"טוב, בואו ניפגש." מאסטרו היפרסקייל תזמור — זה הדבר שאחראי על איזון עומסים. מערכת ההפעלה המותקנת על מכשיר זה גאיה R80.20 SPכרגע ישנם שני מודלים של מתזמרים - MHO-140 и MHO-170מאפיינים בתמונה למטה:
במבט ראשון, זה אולי נראה כמו מתג רגיל. למעשה, מדובר ב"מתג + מאזן + מערכת ניהול משאבים". הכל בקופסה אחת.
שערים מחוברים לאורסטרטורים אלה. אם המאזנים הם בתכנון עמיד בפני תקלות, אז כל שער מחובר לכל אורסטרטור. לצורך החיבור, ניתן להשתמש ב"אופטיקה" (sfp+ / qsfp+ / qsfp28+) או בכבל DAC (Direct Attach Copper). במקרה זה, באופן טבעי חייב להיות קישור סנכרון בין האוורסטרטורים:
בתמונה למטה ניתן לראות כיצד מפוזרים הפורטים של מתזמרי התזמורת הללו:
קבוצות אבטחה
על מנת שהעומס יפוזר בין שערים, שערים אלה חייבים להיות באותה קבוצת אבטחה. קבוצת אבטחה היא קבוצה לוגית של התקנים המתפקדת כאשכול פעיל/פעיל. קבוצה זו פועלת באופן עצמאי מקבוצות אבטחה אחרות. מנקודת מבטו של שרת הניהול, קבוצת אבטחה נראית כהתקן יחיד עם כתובת IP יחידה.
במידת הצורך, נוכל להעביר שער אחד או יותר לקבוצת אבטחה נפרדת ולהשתמש בקבוצה זו למטרות אחרות, כחומת אש נפרדת מנקודת מבט ניהולית. דוגמה לשימוש מוצגת בתמונה למטה:
מגבלה חשובה, ניתן להשתמש רק בשערים (מודל) זהים בקבוצת אבטחה אחת. כלומר, אם ברצונך להגדיל באופן ליניארי את הקיבולת של שער האבטחה שלך (שהוא אשכול של מספר מכשירים), עליך להוסיף בדיוק את אותם שערים. בגרסאות התוכנה הבאות, מגבלה זו אמורה להיעלם.
הסרטון למטה מציג את תהליך יצירת קבוצת אבטחה. ההליך אינטואיטיבי.
שוב, אם משווים את רכיבי המאסטרו לפלטפורמת השלדה, מקבלים משהו כמו התמונה הבאה של "לפני-אחרי":
מה היתרון של הפלטפורמה החדשה?
למעשה ישנם יתרונות רבים, הן מבחינה טכנית והן מבחינה כלכלית. אתאר בקצרה את החשובים ביותר:
- אין לנו כמעט שום מגבלות על הרחבה. עד 31 שערים בתוך קבוצת אבטחה אחת.
- אנו יכולים להוסיף שערים לפי הצורך. המינימום שנקבע בעת הרכישה הוא תזמור אחד + שני שערים. אין צורך לקבוע מודלים "לצמיחה".
- יתרון נוסף נובע מהנקודה הקודמת. איננו צריכים עוד להחליף שערים שאינם יכולים עוד להתמודד עם העומס. בעבר, בעיה זו נפתרה באמצעות הליך טרייד-אין - הם מסרו את החומרה הישנה וקיבלו חומרה חדשה בהנחה. עם תוכנית כזו, "הפסדים" כספיים הם בלתי נמנעים. הליך קנה המידה החדש מבטל גורם זה. אינך צריך למסור דבר, אתה יכול פשוט להמשיך ולהגדיל את הפרודוקטיביות עם חומרה נוספת.
- אפשרות לשילוב משאבים קיימים כדי לפזר את העומס. לדוגמה, ניתן "לגרור" את כל האשכולות שלכם לפלטפורמת Maestro ולהרכיב מספר קבוצות אבטחה, בהתאם לעומס.
חבילות אבטחת רשת Maestro Hyperscale
כרגע, ישנן מספר אפשרויות לרכישת מה שנקרא חבילות עם פלטפורמת Maestro. פתרון המבוסס על שערים 23800, 6800 ו-6500:
ניתן לבחור מבין שני סוגי ציוד סטנדרטיים:
- תזמור אחד ושני שערים;
- תזמור אחד ושלושה שערים.
ניתן לראות את המחירים המשוערים. כמובן, ניתן גם להגדיר תזמור נוסף וכמה שערים שתרצו. ניתן לבקש מידע נוסף על המפרט. .
התקנים 6500 и 6800 אלו הדגמים החדשים ביותר, שהוצגו גם הם בתחילת השנה הנוכחית. אך נדבר עליהם ביתר פירוט במאמר הבא.
מתי אוכל לקנות את זה?
אין כאן תשובה ברורה. כרגע, אין הודעה על ייבוא פתרונות אלה למדינתנו. ברגע שיופיע מידע על מועד ההגעה, נפרסם הודעה מיידית לציבור שלנו (, , בנוסף, מתוכנן לעתיד הקרוב וובינר המוקדש לפתרון Check Point Maestro, בו ייבחנו כל התכונות הטכניות. וכמובן, תוכלו לשאול כל שאלה שיש לכם. הישארו מעודכנים!
מסקנה
פלטפורמה חדשה בהחלט מהווה תוספת מצוינת לפתרונות החומרה של צ'ק פוינט. למעשה, מוצר זה פותח פלח חדש עבורו לא כל ספק אבטחת מידע מציע פתרון דומה. יתר על כן, כיום ל-Check Point Maestro כמעט ואין אלטרנטיבות בכל הנוגע למתן "כוח אבטחה" חסר תקדים שכזה. עם זאת, Maestro Hyperscale Network Security יעניין לא רק בעלי מרכזי נתונים, אלא גם חברות רגילות. אלו שבבעלותם או מתכננים לרכוש מכשירים החל מדגם 5600 כבר יכולים "להסתכל מקרוב" על Maestro. במקרים מסוימים, שימוש ב-Maestro Hyperscale Network Security עשוי להיות פתרון רווחי מאוד, הן מבחינה כלכלית והן מבחינה טכנית.
נ.ב. המאמר הוכן בהשתתפות אנטולי מסובר — מומחה לפלטפורמות ניתנות להרחבה, צ'ק פוינט טכנולוגיות תוכנה.
מקור: www.habr.com
