🥇1. Check Point Maestro Hyperscale Network Security — jauna mērogojama drošības platforma

Check Point 2019. gadu sāka diezgan ātri, vienlaikus sniedzot vairākus paziņojumus. Nav iespējams runāt par visu vienā rakstā, tāpēc sāksim ar vissvarīgāko - Check Point Maestro Hyperscale tīkla drošība. Maestro ir jauna mērogojama platforma, kas ļauj palielināt drošības vārtejas “jaudu” līdz “nepiedienīgiem” skaitļiem un gandrīz lineāri. Tas tiek panākts dabiski, līdzsvarojot slodzi starp atsevišķām vārtejām, kas darbojas klasterī kā viena vienība. Kāds varētu teikt - "Bija! Ir jau 44000 XNUMX asmeņu platformu/64000". Tomēr Maestro ir pavisam cita lieta. Šajā rakstā es īsi mēģināšu izskaidrot, kas tas ir, kā tas darbojas un kā šī tehnoloģija palīdzēs ietaupīt uz tīkla perimetra aizsardzību.

Bija - Ir kļuvis

Vienkāršākais veids, kā saprast, kā jaunā mērogojamā platforma atšķiras no vecās labās 44000./64000 ir apskatīt attēlu zemāk:

Atšķirība ir acīmredzama.

Legacy Check Point 44000 platforma/64000

Kā redzams augšējā attēlā, pirmā iespēja ir fiksēta platforma (šasija), kurā var ievietot ierobežotu skaitu īpašu “asmeņu moduļu” (Check Point SGM). Tas viss ir saistīts ar Drošības slēdža modulis (SSM), kas līdzsvaro trafiku starp vārtejām. Zemāk esošajā attēlā ir sīkāk parādītas šīs platformas sastāvdaļas:

Šī ir lieliska platforma, ja precīzi zināt, kāda veiktspēja jums tagad ir nepieciešama un cik daudz tā var pieaugt. Tomēr fiksētā formas faktora (12 vai 6 asmeņi) dēļ turpmāka mērogojamība ir ierobežota. Turklāt jūs esat spiesti izmantot tikai SGM asmeņus, bez iespējas savienot parastās augšējos līnijas, kurām ir daudz plašāks modeļu klāsts. Ar adventi Maestro Hyperscale tīkla drošība situācija krasi mainās.

Jauna Check Point Maestro Hyperscale tīkla drošības platforma

Check Point Maestro pirmo reizi tika prezentēts 22. janvārī CPX konferencē Bangkokā. Galvenās īpašības var redzēt zemāk esošajā attēlā:

Kā redzat, Check Point Maestro galvenā priekšrocība ir iespēja izmantot regulāras vārtejas (ierīces) balansēšanai. Tie. Mēs vairs neaprobežojamies ar SGM asmeņiem. Varat sadalīt slodzi starp visām ierīcēm, sākot no 5600 modeļa (SMB modeļi un šasijas 44000/64000 netiek atbalstīti). Augšējā attēlā redzami galvenie rādītāji, ko var sasniegt, izmantojot jauno platformu. Mēs varam apvienot vienā skaitļošanas resursā līdz 31! vārteja. Tagad jūsu ugunsmūris varētu izskatīties šādi:

Maestro Hyperscale Orchestrator

Esmu pārliecināts, ka daudzi cilvēki jau ir jautājuši: "Kas tas par orķestrantu?"Nu, satiec mani. Maestro Hyperscale Orchestrator — tieši šī lieta ir atbildīga par slodzes balansēšanu. Šajā ierīcē instalētā operētājsistēma ir Gaia R80.20 SP. Pašlaik ir divi Orchestratoru modeļi - MHO-140 и MHO-170. Funkcijas zemāk esošajā attēlā:

No pirmā acu uzmetiena var šķist, ka tas ir parasts slēdzis. Faktiski tā ir "slēdzis + balansētājs + resursu pārvaldības sistēma". Viss vienā kastē.
Vārtejas ir savienotas ar šiem orķestrantiem. Ja balansieri ir izturīgi pret defektiem, tad katra vārteja ir savienota ar katru orķestrētāju. Savienojumam var izmantot “optiku” (sfp+ / qsfp+ / qsfp28+) vai DAC kabeli (Direct Attach Copper). Šajā gadījumā starp orķestrantiem, protams, ir jābūt sinhronizācijas saitei:

Zemāk esošajā attēlā varat redzēt, kā tiek sadalīti šo orķestratoru porti:

Drošības grupas

Lai slodze tiktu sadalīta starp vārtejām, šīm vārtejām ir jābūt vienā drošības grupā. Drošības grupa tā ir loģiska ierīču grupa, kas darbojas kā aktīva/aktīva klasteris. Šī grupa darbojas neatkarīgi no citām drošības grupām. No pārvaldības servera viedokļa drošības grupa izskatās kā viena ierīce ar vienu IP adresi.
Ja nepieciešams, mēs varam pārvietot vienu vai vairākas vārtejas uz atsevišķu drošības grupu un izmantot šo grupu citiem mērķiem, piemēram, atsevišķam ugunsmūrim no pārvaldības viedokļa. Lietošanas piemērs ir parādīts zemāk esošajā attēlā:

Svarīgs ierobežojums, vienā drošības grupā var izmantot tikai identiskas vārtejas (modelis). Tie. ja vēlaties lineāri palielināt drošības vārtejas (kas ir vairāku ierīču klasteris) jaudu, jums jāpievieno tieši tādas pašas vārtejas. Šim ierobežojumam vajadzētu pazust nākamajos programmatūras laidienos.

Zemāk esošajā videoklipā varat redzēt drošības grupas izveides procesu. Procedūra ir intuitīva.

Atkal, ja salīdzina Maestro komponentus ar šasijas platformu, jūs iegūstat kaut ko līdzīgu šim attēlam:

Kādas ir jaunās platformas priekšrocības?

Patiesībā ir daudz priekšrocību gan no tehniskā, gan ekonomiskā viedokļa. Īsi aprakstīšu svarīgākos:

Mēs esam praktiski neierobežoti mērogošanas ziņā. Līdz 31 vārtejai vienā drošības grupā.
Mēs varam pievienot vārtejas pēc vajadzības. Minimālais komplekts iegādei ir viens orķestrētājs + divi vārti. Nav nepieciešams izstrādāt modeļus “izaugsmei”.
Vēl viens pluss izriet no iepriekšējā punkta. Mums vairs nav jāmaina vārtejas, kas vairs nevar tikt galā ar slodzi. Iepriekš šī problēma tika atrisināta, izmantojot tirdzniecības procedūru - viņi nodeva veco aparatūru un saņēma jaunu ar atlaidi. Izmantojot šādu shēmu, finansiālie "zaudējumi" ir neizbēgami. Jaunā mērogošanas procedūra novērš šo faktoru. Jums nekas nav jānodod, jūs varat vienkārši turpināt palielināt produktivitāti, izmantojot papildu aparatūru.
Iespēja apvienot esošos resursus, lai sadalītu slodzi. Piemēram, jūs varat “vilkt” visus savus klasterus uz Maestro platformu un salikt vairākas drošības grupas atkarībā no slodzes.

Maestro Hyperscale tīkla drošības komplekti

Šobrīd ir vairākas iespējas iegādāties tā saucamos komplektus ar Maestro platformu. Risinājums, kas balstīts uz vārtejām 23800, 6800 un 6500:

Šajā gadījumā jūs varat izvēlēties no diviem standarta aprīkojuma veidiem:

Viens orķestrētājs un divi vārti;
Viens orķestrētājs un trīs vārtejas.

Šeit jūs varat redzēt paredzamās cenas. Protams, jūs varat papildus pievienot vēl vienu orķestrētāju un tik daudz vārteju, cik vēlaties. Var pieprasīt papildu informāciju par specifikācijām šeit.
Ierīces 6500 и 6800 Šie ir jaunākie modeļi, kas arī tika prezentēti šī gada sākumā. Bet mēs par tiem sīkāk runāsim nākamajā rakstā.

Kad es varu to iegādāties?

Šeit nav skaidras atbildes. Šobrīd nav saņemts paziņojums par šo risinājumu importu mūsu valstī. Tiklīdz būs pieejama informācija par laiku, mēs nekavējoties publicēsim paziņojumu mūsu publiskajās lapās (vk, telegramma, facebook). Turklāt tuvākajā laikā plānots Check Point Maestro risinājumam veltīts vebinārs, kurā tiks apspriestas visas tehniskās iespējas. Un, protams, jūs varat uzdot jautājumus. Sekojiet līdzi!

Secinājums

Noteikti jauna platforma Maestro Hyperscale tīkla drošība ir lielisks papildinājums Check Point aparatūras risinājumiem. Patiesībā šis produkts paver jaunu segmentu, kuram ne katram informācijas drošības pārdevējam ir līdzīgs risinājums. Turklāt šodien Check Point Maestro praktiski nav alternatīvu, lai nodrošinātu tik nebijušu "drošības spēku". Taču Maestro Hyperscale Network Security interesēs ne tikai datu centru īpašnieki, bet arī parastie uzņēmumi. Tie, kam pieder vai plāno iegādāties ierīces, sākot ar modeli 5600, jau var tuvāk apskatīties Maestro. Atsevišķos gadījumos Maestro Hyperscale Network Security izmantošana var būt ļoti izdevīgs risinājums gan no ekonomiskā, gan tehniskā viedokļa.

PS Šis raksts tika sagatavots, piedaloties Anatolijs Masovers — mērogojamās platformas eksperts, Check Point programmatūras tehnoloģijas.

Avots: www.habr.com

1. Check Point Maestro Hyperscale Network Security — jauna mērogojama drošības platforma