1. Check Point Maestro Hyperscale Network Security - 新しいスケーラブルなセキュリティ プラットフォーム

Check Point は 2019 年を一度にいくつかの発表で非常に活発にスタートさせました。 XNUMX つの記事ですべてを説明することはできません。そのため、最も重要なことから始めましょう。 Check Point Maestro ハイパースケール ネットワーク セキュリティ。 Maestro は、セキュリティ ゲートウェイの「能力」を「卑劣な」数まで、ほぼ直線的に増加できる新しいスケーラブルなプラットフォームです。 これは、クラスタ内で単一のエンティティとして動作する個々のゲートウェイ間の負荷分散によって自然に実現されます。 誰かがこう言うかも知れません -だった！ すでに 44000 のブレード プラットフォームが存在します/64000」。 しかし、マエストロとなると全く違います。 この記事の枠組みの中で、それが何であるか、どのように機能するか、そしてこのテクノロジーがどのように役立つかについて簡単に説明してみます。 ネットワーク境界保護を節約する.

だった - になった

理解する最も簡単な方法は、新しいスケーラブルなプラットフォームが古き良き 44000 とどう違うのかということです。/64000 は下の写真を見てください。

違いは明らかです。

レガシー Check Point 44000 プラットフォーム/64000

上の図からわかるように、最初のオプションは、限られた数の特殊な「ブレード モジュール」を挿入できる固定プラットフォーム (シャーシ) です。チェックポイントSGM）。 これらすべてがつながっている セキュリティスイッチモジュール (SSM)、ゲートウェイ間のトラフィックのバランスをとります。 以下の図は、このプラットフォームのコンポーネントを詳しく示しています。

これは、現在必要なパフォーマンスと、それがどの程度の制限で拡張できるかを正確に知っている場合に最適なプラットフォームです。 ただし、フォーム ファクターが固定されているため (12 ブレードまたは 6 ブレード)、それ以上の拡張には制限があります。 さらに、はるかに広い範囲を持つ従来のアップラインに接続することができず、SGM ブレードのみを使用する必要があります。 出現に伴い Maestro ハイパースケール ネットワーク セキュリティ 状況は劇的に変化しています。

新しいCheck Point Maestro ハイパースケール ネットワーク セキュリティ プラットフォーム

Check Point Maestro は、22 月 XNUMX 日にバンコクで開催された CPX カンファレンスで初めて発表されました。 主な特徴は以下の図で見ることができます。

ご覧のとおり、Check Point Maestro の主な利点は、バランスをとるために通常のゲートウェイ (アプライアンス) を使用できることです。 それらの。 もはや SGM ブレードに限定されることはありません。 5600 モデル (SMB モデルおよびシャーシ 44000) 以降のデバイス間で負荷を分散できます。/64000はサポートされていません）。 上の図は、新しいプラットフォームを使用したときに達成できる主な指標を示しています。 XNUMX つのコンピューティング リソースに結合できる 31まで！ ゲートウェイ。 ファイアウォールは次のようになっているはずです。

マエストロ ハイパースケール オーケストレーター

すでに疑問を持っている方も多いと思います。オーケストレーターとは何ですか?「まあ、知り合いよ。 マエストロ ハイパースケール オーケストレーター — この部分は負荷分散を担当します。 このデバイスにインストールされているオペレーティング システム ガイア R80.20SP。 現在、オーケストレーターには XNUMX つのモデルがあります- MHO-140 и MHO-170。 下の写真の特徴:

一見すると普通のスイッチのように見えるかもしれません。 実際には、これは「スイッチ + バランサ + リソース管理システム」です。 すべてが XNUMX つのボックスに収まります。
ゲートウェイはこれらのオーケストレーターに接続します。 バランサーがフェールセーフである場合、各ゲートウェイは各オーケストレーターに接続されます。 接続には光ファイバー（sfp+ / qsfp+ / qsfp28+）またはDACケーブル（Direct Attach Copper）を使用できます。 同時に、オーケストレーター間には当然のことながら同期リンクが存在するはずです。

以下の図では、これらのオーケストレーターのポートがどのように分散されているかがわかります。

セキュリティグループ

負荷をゲートウェイ間で分散するには、これらのゲートウェイが同じセキュリティ グループに属している必要があります。 セキュリティグループ これは、アクティブ/アクティブ クラスターとして機能するデバイスの論理グループです。 このグループは、他のセキュリティ グループから独立して機能します。 管理サーバーの観点からは、セキュリティ グループは XNUMX つの IP アドレスを持つ XNUMX つのデバイスのように見えます。
必要に応じて、XNUMX つ以上のゲートウェイを別のセキュリティ グループに組み込み、このグループを管理の観点から見た別のファイアウォールなどの他の目的に使用できます。 使用例を以下の図に示します。

重要な制限事項、同じセキュリティ グループ内では同じゲートウェイ (モデル) のみを使用できます。 それらの。 セキュリティ ゲートウェイ (複数のデバイスのクラスター) の容量を直線的に増加したい場合は、まったく同じゲートウェイを追加する必要があります。 次のソフトウェア リリースでは、この制限はなくなるはずです。

以下のビデオでは、セキュリティ グループを作成するプロセスをご覧いただけます。 手順は直感的です。

ここでも、Maestro コンポーネントとシャーシ プラットフォームを比較すると、次のような「使用前と使用後」の図が得られます。

新しいプラットフォームの利点は何ですか?

技術的な観点からも経済的な観点からも、実際には多くのメリットがあります。 最も重要なものを要約します。

1. 私たちのスケーリングは事実上無制限です。 31 つのセキュリティ グループ内に最大 XNUMX のゲートウェイ。
2. 必要に応じてゲートウェイを追加できます。 最小購入セットは、XNUMX つのオーケストレーター + XNUMX つのゲートウェイです。 「成長のため」のモデルを構築する必要はない。
3. 前のポイントからさらにもう XNUMX つの利点が続きます。 負荷に対応できなくなったゲートウェイを変更する必要はもうありません。 以前は、この問題は下取り手順を使用して解決されていました。古いハードウェアを引き渡し、新しいハードウェアを割引価格で受け取りました。 このような計画では、経済的な「損失」は避けられません。 新しいスケーリング手順では、この要素が排除されます。 何も諦める必要はありません。追加のハードウェアを利用して生産性を向上し続けることができます。
4. 既存のリソースを組み合わせて負荷を分散する機能。 たとえば、すべてのクラスターを Maestro プラットフォームに「ドラッグ アンド ドロップ」し、負荷に応じて複数のセキュリティ グループを組み立てることができます。

Maestro ハイパースケール ネットワーク セキュリティ バンドル

現時点では、Maestro プラットフォームとのいわゆるバンドルを購入するにはいくつかのオプションがあります。 23800、6800、および 6500 ゲートウェイに基づくソリューション:

この場合、次の XNUMX つの標準タイプの機器から選択できます。

1. XNUMX つのオーケストレーターと XNUMX つのゲートウェイ。
2. XNUMX つのオーケストレーターと XNUMX つのゲートウェイ。

それは 参考価格をご覧いただけます。 当然のことながら、さらに XNUMX つ以上のオーケストレーターと必要な数のゲートウェイを追加することもできます。 仕様に関する追加情報をリクエストできます。 ここで.
デバイス 6500 и 6800 これらも今年初めに導入された最新モデルです。 ただし、それらについては次の記事で詳しく説明します。

いつ買えますか？

ここには明確な答えはありません。 現時点では、これらのソリューションの我が国への輸入に関する通知はありません。 時期に関する情報が入り次第、直ちに公開ページでお知らせいたします（vk, 電報, フェイスブック）。 さらに、Check Point Maestro ソリューション専用のウェビナーが近い将来に予定されており、すべての技術的特徴について説明されます。 そしてもちろん質問することもできます。 乞うご期待！

まとめ

間違いなく新しいプラットフォーム Maestro ハイパースケール ネットワーク セキュリティ は、Check Point ハードウェア ソリューションへの優れた追加です。 実際、この製品は、すべての情報セキュリティ ベンダーが同様のソリューションを持っているわけではない新しい分野を切り開きます。 さらに、現在、Check Point Maestro には、このような比類のない「セキュリティ パワー」を提供する上で、他に選択肢はほとんどありません。 ただし、Maestro Hyperscale Network Security は、データセンターの所有者だけでなく、一般企業にとっても興味深いものとなるでしょう。 5600 モデル以降のデバイスを所有している、または購入を予定している人は、すでに Maestro を「よく見る」ことができ、場合によっては、Maestro ハイパースケール ネットワーク セキュリティを使用することが、経済的および技術的な観点の両方で非常に有益なソリューションとなる可能性があります。

PS この記事は参加者に協力して作成されました アナトリー・マソバー - スケーラブル プラットフォーム エキスパート、Check Point Software Technologies。

出所： habr.com