Check Point 2019 жылды бірден бірнеше хабарландырулар жасау арқылы тез бастады. Бір мақалада барлығы туралы айту мүмкін емес, сондықтан ең бастысынан бастайық - . Maestro - қауіпсіздік шлюзінің «қуатын» «әдепсіз» сандарға дейін және дерлік сызықты түрде арттыруға мүмкіндік беретін жаңа масштабталатын платформа. Бұл кластерде жалғыз нысан ретінде жұмыс істейтін жеке шлюздер арасындағы жүктемені теңестіру арқылы табиғи түрде қол жеткізіледі. Біреу айтуы мүмкін - «болды! Қазірдің өзінде 44000 пышақ платформасы бар/64000«. Дегенмен, Маэстро мүлдем басқа мәселе. Бұл мақалада мен бұл не екенін, қалай жұмыс істейтінін және бұл технология қалай көмектесетінін қысқаша түсіндіруге тырысамын желі периметрін қорғауды үнемдеңіз.
Болды - болды
Түсінудің ең оңай жолы - жаңа масштабталатын платформаның ескі жақсы 44000 платформасынан айырмашылығы/64000 төмендегі суретті қараңыз:
Айырмашылық анық.
Legacy Check Point 44000 платформасы/64000
Жоғарыдағы суреттен көрініп тұрғандай, бірінші нұсқа - бекітілген платформа (шасси), оған арнайы «пышақ модульдерінің» шектеулі санын енгізуге болады (Check Point SGM). Мұның бәрі байланысты Қауіпсіздік қосқыш модулі (SSM), ол шлюздер арасындағы трафикті теңестіреді. Төмендегі суретте осы платформаның құрамдас бөліктері толығырақ көрсетілген:
Бұл сізге дәл қазір қандай өнімділік қажет екенін және оның қаншалықты өсетінін білсеңіз, тамаша платформа. Дегенмен, бекітілген пішін факторына байланысты (12 немесе 6 жолақ), сіз одан әрі масштабтауға шектелесіз. Сонымен қатар, сіз үлгілердің әлдеқайда кең ауқымы бар кәдімгі сызықтарды қосу мүмкіндігінсіз тек SGM пышақтарын пайдалануға мәжбүрсіз. Келуімен Maestro Hyperscale Network Security жағдай күрт өзгеруде.
Жаңа Check Point Maestro Hyperscale желілік қауіпсіздік платформасы
Check Point Maestro алғаш рет 22 қаңтарда Бангкоктағы CPX конференциясында таныстырылды. Негізгі сипаттамаларды төмендегі суретте көруге болады:
Көріп отырғаныңыздай, Check Point Maestro-ның басты артықшылығы теңгерімдеу үшін кәдімгі шлюздерді (құрылғыларды) пайдалану мүмкіндігі болып табылады. Анау. Біз енді SGM жүздерімен шектелмейміз. Жүктемені 5600 үлгісінен (SMB үлгілері мен 44000 шассиі) бастап кез келген құрылғылар арасында бөлуге болады./64000 қолдамайды). Жоғарыдағы суретте жаңа платформаны пайдалану кезінде қол жеткізуге болатын негізгі көрсеткіштер көрсетілген. Біз бір есептеу ресурсына біріктіре аламыз 31-ге дейін! шлюз. Енді брандмауэр келесідей болуы мүмкін:
Maestro Hyperscale оркестрі
Мен көптеген адамдар сұрағанына сенімдімін: «Бұл қандай оркестр?«Жақсы, танысыңыз. Maestro Hyperscale оркестрі — дәл осы нәрсе жүктемені теңестіруге жауапты. Бұл құрылғыда орнатылған операциялық жүйе Gaia R80.20 SP. Қазіргі уақытта оркестрлердің екі үлгісі бар - MHO-140 и MHO-170. Төмендегі суреттегі мүмкіндіктер:
Бір қарағанда, бұл кәдімгі қосқыш сияқты көрінуі мүмкін. Шын мәнінде, бұл «қосқыш + теңгерім + ресурстарды басқару жүйесі». Барлығы бір қорапта.
Шлюздар осы оркестрлерге қосылған. Егер балансирлер ақауларға төзімді болса, онда әрбір шлюз әрбір оркестрге қосылған. Қосылу үшін «оптика» (sfp+ / qsfp+ / qsfp28+) немесе DAC кабелін (Direct Attach Copper) пайдалануға болады. Бұл жағдайда, әрине, оркестрлер арасында синхрондау байланысы болуы керек:
Төмендегі суретте осы оркестрлердің порттары қалай таратылатынын көре аласыз:
Қауіпсіздік топтары
Жүктеме шлюздер арасында бөлінуі үшін бұл шлюздер бір қауіпсіздік тобында болуы керек. Қауіпсіздік тобы бұл белсенді/белсенді кластер ретінде жұмыс істейтін құрылғылардың логикалық тобы. Бұл топ басқа қауіпсіздік топтарынан тәуелсіз жұмыс істейді. Басқару сервері тұрғысынан Қауіпсіздік тобы бір IP мекенжайы бар бір құрылғыға ұқсайды.
Қажет болса, біз бір немесе бірнеше шлюзді жеке қауіпсіздік тобына жылжыта аламыз және бұл топты басқару тұрғысынан бөлек брандмауэр сияқты басқа мақсаттарда пайдалана аламыз. Пайдаланудың мысалы төмендегі суретте көрсетілген:
Маңызды шектеу, бір Қауіпсіздік тобында тек бірдей шлюздерді (үлгіні) пайдалануға болады. Анау. егер сіз қауіпсіздік шлюзіңіздің (бірнеше құрылғылардың кластері) сыйымдылығын сызықты түрде арттырғыңыз келсе, дәл сол шлюздерді қосуыңыз керек. Бұл шектеу бағдарламалық құралдың келесі шығарылымдарында жойылуы керек.
Төмендегі бейнеде сіз Қауіпсіздік тобын құру процесін көре аласыз. Процедура интуитивті.
Тағы да, егер сіз Maestro компоненттерін шасси платформасымен салыстырсаңыз, сіз келесі суретке ұқсас нәрсені аласыз:
Жаңа платформаның артықшылықтары қандай?
Техникалық және экономикалық тұрғыдан алғанда, шын мәнінде көптеген артықшылықтар бар. Мен ең маңыздыларын қысқаша сипаттаймын:
- Біз масштабтауда іс жүзінде шексізміз. Бір қауіпсіздік тобында 31 шлюзге дейін.
- Қажет болса, шлюздерді қоса аламыз. Сатып алу үшін ең аз жинақ - бір оркестр + екі шлюз. «Өсу үшін» үлгілерді қоюдың қажеті жоқ.
- Алдыңғы тармақтан тағы бір плюс шығады. Енді жүктемені көтере алмайтын шлюздерді өзгерту қажет емес. Бұрын бұл мәселе сауда-саттық процедурасы арқылы шешілді - олар ескі жабдықты тапсырып, жаңаларын жеңілдікпен алды. Мұндай схемамен қаржылық «шығындар» сөзсіз. Жаңа масштабтау процедурасы бұл факторды жояды. Сізге ештеңе берудің қажеті жоқ, қосымша жабдықтың көмегімен өнімділікті арттыруды жалғастыра аласыз.
- Жүктемені бөлу үшін бар ресурстарды біріктіру мүмкіндігі. Мысалы, сіз барлық кластерлеріңізді Maestro платформасына «сүйреп апара аласыз» және жүктемеге байланысты бірнеше қауіпсіздік топтарын жинай аласыз.
Maestro Hyperscale Network Security пакеттері
Қазіргі уақытта Maestro платформасы бар пакеттерді сатып алудың бірнеше нұсқасы бар. 23800, 6800 және 6500 шлюздеріне негізделген шешім:
Бұл жағдайда жабдықтың екі стандартты түрін таңдауға болады:
- Бір оркестр және екі шлюз;
- Бір оркестр және үш шлюз.
болжамды бағаларды көре аласыз. Әрине, сіз қосымша басқа оркестрді және қалағаныңызша көптеген шлюздерді қоса аласыз. Техникалық сипаттамалар туралы қосымша ақпаратты сұрауға болады .
Құрылғылар 6500 и 6800 Бұл осы жылдың басында ұсынылған соңғы үлгілер. Бірақ біз олар туралы келесі мақалада толығырақ айтатын боламыз.
Мен оны қашан сатып аламын?
Мұнда нақты жауап жоқ. Қазіргі уақытта бұл шешімдерді біздің елге әкелу туралы хабарлама жоқ. Уақыты туралы ақпарат қол жетімді болған кезде біз бірден жалпыға ортақ парақшаларымызда хабарландыру жасаймыз (, , ). Сонымен қатар, жақын арада Check Point Maestro шешіміне арналған вебинар жоспарланған, онда барлық техникалық мүмкіндіктер талқыланады. Және, әрине, сұрақтар қоюға болады. Бізбен бірге қалыңыз!
қорытынды
Әрине, жаңа платформа Check Point аппараттық шешімдеріне тамаша қосымша болып табылады. Шындығында, бұл өнім жаңа сегментті ашады, ол үшін әрбір ақпараттық қауіпсіздік жеткізушісінің ұқсас шешімі бола бермейді. Оның үстіне бүгінде Check Point Maestro-да бұрын-соңды болмаған «қауіпсіздік күшін» қамтамасыз етуде іс жүзінде ешқандай балама жоқ. Дегенмен, Maestro Hyperscale Network Security тек деректер орталығының иелерін ғана емес, қарапайым компанияларды да қызықтырады. 5600 моделінен басталатын құрылғыларды иеленетін немесе сатып алуды жоспарлап отырғандар Maestro-ны мұқият қарап шығуы мүмкін.Кейбір жағдайларда Maestro Hyperscale Network Security пайдалану экономикалық және техникалық тұрғыдан өте тиімді шешім болуы мүмкін.
PS Бұл мақаланың қатысуымен дайындалды Анатолий Масовер — Scalable Platform Expert, Check Point Software Technologies.
Ақпарат көзі: www.habr.com