„Check Point“ gana greitai pradėjo 2019 m., paskelbdama kelis pranešimus vienu metu. Neįmanoma kalbėti apie viską viename straipsnyje, todėl pradėkime nuo svarbiausio dalyko - . Maestro yra nauja keičiamo dydžio platforma, leidžianti padidinti saugumo vartų „galią“ iki „nepadoraus“ skaičiaus ir beveik tiesiškai. Tai pasiekiama natūraliai subalansuojant apkrovą tarp atskirų šliuzų, kurie veikia klasteryje kaip vienas objektas. Kas nors gali pasakyti - "Buvo! Jau yra 44000 XNUMX ašmenų platformų/64000“. Tačiau Maestro – visai kitas reikalas. Šiame straipsnyje trumpai pabandysiu paaiškinti, kas tai yra, kaip tai veikia ir kuo ši technologija padės taupyti tinklo perimetro apsaugą.
Buvo – tapo
Lengviausias būdas suprasti, kuo naujoji keičiamo dydžio platforma skiriasi nuo senos geros 44000/64000 pažiūrėkite į paveikslėlį žemiau:
Skirtumas akivaizdus.
Legacy Check Point 44000 platforma/64000
Kaip matyti iš aukščiau esančio paveikslėlio, pirmasis variantas yra fiksuota platforma (važiuoklė), į kurią galima įterpti ribotą skaičių specialių „blade modulių“ (Check Point SGM). Visa tai susiję su Apsaugos jungiklio modulis (SSM), kuris subalansuoja srautą tarp šliuzų. Žemiau esančiame paveikslėlyje išsamiau pavaizduoti šios platformos komponentai:
Tai puiki platforma, jei tiksliai žinote, kokio našumo jums reikia dabar ir kiek jis gali augti. Tačiau dėl fiksuoto formos faktoriaus (12 arba 6 ašmenys) jūsų tolesnis mastelio keitimas yra ribotas. Be to, jūs esate priversti naudoti išskirtinai SGM peilius, be galimybės prijungti įprastų aukštutinių linijų, kurios turi daug platesnį modelių asortimentą. Su atėjimu Maestro Hyperscale tinklo sauga situacija kardinaliai keičiasi.
Nauja „Check Point Maestro Hyperscale“ tinklo saugos platforma
„Check Point Maestro“ pirmą kartą buvo pristatytas sausio 22 d. CPX konferencijoje Bankoke. Pagrindines charakteristikas galite pamatyti žemiau esančiame paveikslėlyje:
Kaip matote, pagrindinis Check Point Maestro privalumas yra galimybė balansavimui naudoti įprastus vartus (prietaisus). Tie. Mes nebeapsiribojame vien SGM peiliukais. Galite paskirstyti apkrovą tarp bet kokių įrenginių, pradedant nuo 5600 modelio (SMB modeliai ir Chassis 44000/64000 nepalaikomi). Aukščiau pateiktame paveikslėlyje parodyti pagrindiniai rodikliai, kuriuos galima pasiekti naudojant naują platformą. Galime sujungti į vieną skaičiavimo šaltinį iki 31! vartai. Dabar jūsų užkarda gali atrodyti taip:
Maestro Hyperscale Orchestrator
Esu tikras, kad daugelis žmonių jau klausė: „Koks čia orkestrantas?„Na, susipažink. Maestro Hyperscale Orchestrator — būtent šis dalykas yra atsakingas už apkrovos balansavimą. Šiame įrenginyje įdiegta operacinė sistema yra Gaia R80.20 SP. Šiuo metu yra du orkestrantų modeliai - MHO-140 и MHO-170. Savybės žemiau esančioje nuotraukoje:
Iš pirmo žvilgsnio gali atrodyti, kad tai paprastas jungiklis. Tiesą sakant, tai yra „jungiklis + balansavimo priemonė + išteklių valdymo sistema“. Viskas vienoje dėžutėje.
Prie šių orkestrantų prijungti vartai. Jei balansuotojai yra atsparūs gedimams, kiekvienas šliuzas yra prijungtas prie kiekvieno orkestro. Prijungimui galima naudoti „optiką“ (sfp+ / qsfp+ / qsfp28+) arba DAC kabelį (tiesioginio prijungimo vario). Šiuo atveju, žinoma, tarp orkestrantų turi būti sinchronizavimo ryšys:
Žemiau esančiame paveikslėlyje galite pamatyti, kaip paskirstomi šių orkestrantų prievadai:
Apsaugos grupės
Kad apkrova būtų paskirstyta tarp šliuzų, šie vartai turi būti toje pačioje saugos grupėje. Saugumo grupė tai logiška įrenginių grupė, kuri veikia kaip aktyvus/aktyvus klasteris. Ši grupė veikia nepriklausomai nuo kitų saugos grupių. Valdymo serverio požiūriu saugos grupė atrodo kaip vienas įrenginys su vienu IP adresu.
Jei reikia, galime perkelti vieną ar daugiau šliuzų į atskirą saugos grupę ir naudoti šią grupę kitiems tikslams, pavyzdžiui, atskira užkarda valdymo požiūriu. Naudojimo pavyzdys parodytas paveikslėlyje žemiau:
Svarbus apribojimas, vienoje saugos grupėje gali būti naudojami tik identiški vartai (modelis). Tie. Jei norite linijiškai padidinti savo saugos šliuzo (kuris yra kelių įrenginių klasteris) pajėgumą, turite pridėti lygiai tuos pačius šliuzus. Šis apribojimas turėtų išnykti kituose programinės įrangos leidimuose.
Žemiau esančiame vaizdo įraše galite pamatyti saugos grupės kūrimo procesą. Procedūra yra intuityvi.
Vėlgi, jei palyginsite Maestro komponentus su važiuoklės platforma, gausite kažką panašaus į šį paveikslėlį:
Kokie yra naujos platformos pranašumai?
Iš tikrųjų yra daug privalumų tiek techniniu, tiek ekonominiu požiūriu. Trumpai aprašysiu svarbiausius:
- Mes praktiškai neribojame mastelio. Iki 31 šliuzo vienoje saugos grupėje.
- Prireikus galime pridėti vartus. Minimalus pirkimo rinkinys yra vienas orkestrantas + du vartai. Nereikia kurti modelių „augimui“.
- Dar vienas pliusas išplaukia iš ankstesnio punkto. Mums nebereikia keisti vartų, kurie nebegali susidoroti su apkrova. Anksčiau ši problema buvo sprendžiama permainų tvarka – perdavė seną aparatūrą, o naują gaudavo su nuolaida. Taikant tokią schemą, finansiniai „nuostoliai“ yra neišvengiami. Nauja mastelio keitimo procedūra pašalina šį veiksnį. Jums nereikia nieko perduoti, tiesiog galite toliau didinti našumą naudodami papildomą techninę įrangą.
- Galimybė sujungti esamus išteklius, kad būtų paskirstyta apkrova. Pavyzdžiui, galite „nuvilkti“ visas savo grupes į Maestro platformą ir surinkti kelias saugos grupes, priklausomai nuo apkrovos.
Maestro Hyperscale Network Security paketai
Šiuo metu yra keletas variantų, kaip įsigyti vadinamųjų paketų su Maestro platforma. Sprendimas, pagrįstas vartais 23800, 6800 ir 6500:
Tokiu atveju galite rinktis iš dviejų standartinių įrangos tipų:
- Vienas orkestrantas ir du vartai;
- Vienas orkestrantas ir trys vartai.
galite pamatyti numatomas kainas. Natūralu, kad galite papildomai pridėti dar vieną orkestrantą ir tiek šliuzų, kiek norite. Galima paprašyti papildomos informacijos apie specifikacijas .
Prietaisai 6500 и 6800 Tai naujausi modeliai, kurie taip pat buvo pristatyti šių metų pradžioje. Bet apie juos plačiau pakalbėsime kitame straipsnyje.
Kada galiu nusipirkti?
Čia nėra aiškaus atsakymo. Šiuo metu pranešimų apie šių sprendimų importą į mūsų šalį nėra. Kai tik pasirodys informacija apie laiką, mes nedelsdami paskelbsime savo viešuose puslapiuose (, , ). Be to, artimiausiu metu planuojamas „Check Point Maestro“ sprendimui skirtas webinaras, kuriame bus aptariamos visos techninės ypatybės. Ir, žinoma, galite užduoti klausimus. Sekite naujienas!
išvada
Tikrai nauja platforma yra puikus Check Point techninės įrangos sprendimų priedas. Tiesą sakant, šis produktas atveria naują segmentą, kuriam ne kiekvienas informacijos saugumo pardavėjas turi panašų sprendimą. Be to, šiandien „Check Point Maestro“ praktiškai neturi alternatyvų, kai reikia suteikti tokią precedento neturinčią „saugumo galią“. Tačiau „Maestro Hyperscale Network Security“ sudomins ne tik duomenų centrų savininkus, bet ir paprastas įmones. Tie, kurie turi ar planuoja įsigyti įrenginius pradedant nuo 5600 modelio, jau gali iš arčiau pasidomėti Maestro. Kai kuriais atvejais Maestro Hyperscale Network Security naudojimas gali būti labai pelningas sprendimas tiek ekonominiu, tiek techniniu požiūriu.
PS Šis straipsnis buvo parengtas dalyvaujant Anatolijus Masoveris — Keičiamos platformos ekspertas, „Check Point“ programinės įrangos technologijos.
Šaltinis: www.habr.com