Check Point ја започна 2019 година доста брзо со објавување на неколку најави одеднаш. Невозможно е да се зборува за сè во една статија, па да започнеме со најважното - . Maestro е нова скалабилна платформа која ви овозможува да ја зголемите „моќта“ на безбедносната порта до „непристојни“ броеви и речиси линеарно. Ова се постигнува природно со балансирање на оптоварувањето помеѓу поединечни порти кои работат во кластер како единствен ентитет. Некој може да каже - "Беше! Веќе има 44000 платформи со сечила/64000“. Меѓутоа, Маестро е сосема друга работа. Во оваа статија накратко ќе се обидам да објаснам што е тоа, како функционира и како ќе помогне оваа технологија заштедете на заштита на периметарот на мрежата.
Беше - стана
Најлесен начин да се разбере е како новата скалабилна платформа се разликува од старата добра 44000/64000 е погледнете ја сликата подолу:
Разликата е очигледна.
Платформа на Legacy Check Point 44000/64000
Како што може да се види од сликата погоре, првата опција е фиксна платформа (шасија), во која може да се вметнат ограничен број специјални „модули на сечилото“ (Check Point SGM). Сето ова е поврзано со Модул за безбедносен прекинувач (SSM), кој го балансира сообраќајот помеѓу портите. Сликата подолу ги прикажува компонентите на оваа платформа подетално:
Ова е одлична платформа ако точно знаете какви перформанси ви требаат сега и колку може да порасне. Сепак, поради фиксниот фактор на форма (12 или 6 сечила), вие сте ограничени во понатамошната приспособливост. Дополнително, вие сте принудени да користите исклучиво SGM сечила, без можност за поврзување на конвенционалните горни линии, кои имаат многу поширок опсег на модели. Со доаѓањето Maestro Hyperscale мрежна безбедност ситуацијата драматично се менува.
Нова Check Point Maestro Hyperscale Мрежна безбедносна платформа
Check Point Maestro првпат беше претставен на 22 јануари на конференцијата CPX во Бангкок. Главните карактеристики може да се видат на сликата подолу:
Како што можете да видите, главната предност на Check Point Maestro е можноста за користење на редовни порти (апарати) за балансирање. Оние. Ние веќе не сме ограничени на SGM ножеви. Можете да го дистрибуирате товарот помеѓу сите уреди почнувајќи од моделот 5600 (модели SMB и Chassis 44000/64000 не се поддржани). Сликата погоре ги прикажува главните индикатори што може да се постигнат при користење на новата платформа. Можеме да се комбинираме во еден компјутерски ресурс до 31! портата. Сега вашиот заштитен ѕид може да изгледа вака:
Маестро оркестратор на хиперскалила
Сигурен сум дека многу луѓе веќе прашаа:Каков оркестратор е ова?„Па, запознај ме. Маестро оркестратор на хиперскалила — токму оваа работа е одговорна за балансирање на товарот. Оперативниот систем инсталиран на овој уред е Gaia R80.20 SP. Во моментов има два модели на оркестратори - MHO-140 и MHO-170. Карактеристики на сликата подолу:
На прв поглед може да изгледа дека ова е обичен прекинувач. Всушност, тоа е „прекинувач + балансер + систем за управување со ресурси“. Сè во една кутија.
Портите се поврзани со овие оркестратори. Ако балансерите се толерантни на грешки, тогаш секоја порта е поврзана со секој оркестратор. За поврзување, може да се користи „оптика“ (sfp+ / qsfp+ / qsfp28+) или DAC кабел (Direct Attach Copper). Во овој случај, природно мора да постои врска за синхронизација помеѓу оркестраторите:
На сликата подолу можете да видите како се дистрибуирани пристаништата на овие оркестратори:
Безбедносни групи
За да може товарот да се дистрибуира помеѓу портите, овие порти мора да бидат во истата група за безбедност. Група за безбедност тоа е логичка група на уреди која функционира како активен/активен кластер. Оваа група функционира независно од другите безбедносни групи. Од гледна точка на серверот за управување, Групата за безбедност изгледа како еден уред со една IP адреса.
Доколку е потребно, можеме да преместиме еден или повеќе портали во посебна група за безбедност и да ја користиме оваа група за други цели, како посебен заштитен ѕид од гледна точка на управување. Пример за употреба е прикажан на сликата подолу:
Важно ограничување, само идентични порти (модел) може да се користат во една група за безбедност. Оние. ако сакате линеарно да го зголемите капацитетот на вашиот безбедносен портал (кој е кластер од неколку уреди), тогаш мора да ги додадете токму истите порти. Ова ограничување треба да исчезне во следните изданија на софтвер.
Во видеото подолу можете да го видите процесот на креирање на Група за безбедност. Постапката е интуитивна.
Повторно, ако ги споредите компонентите на Maestro со платформата на шасијата, ќе добиете нешто како следнава слика:
Кои се придобивките од новата платформа?
Има всушност многу предности, и од технички и од економски аспект. Накратко ќе ги опишам најважните:
- Ние сме практично неограничени во скалирање. До 31 портал во една група за безбедност.
- Можеме да додадеме порти по потреба. Минималниот сет за купување е еден оркестратор + два порти. Нема потреба да се поставуваат модели „за раст“.
- Уште еден плус следи од претходната точка. Повеќе не треба да ги менуваме портите што повеќе не можат да се справат со товарот. Претходно овој проблем се решаваше со постапката за тргување - предале стар хардвер и добиле нов со попуст. Со таква шема, финансиските „загуби“ се неизбежни. Новата процедура на скалирање го елиминира овој фактор. Не треба ништо да предавате, можете само да продолжите да ја зголемувате продуктивноста со помош на дополнителен хардвер.
- Способност да се комбинираат постоечките ресурси за да се дистрибуира товарот. На пример, можете да ги „влечете“ сите ваши кластери на платформата Maestro и да соберете неколку безбедносни групи, во зависност од оптоварувањето.
Пакети за безбедност на мрежата Maestro Hyperscale
Во моментов, постојат неколку опции за купување на таканаречените пакети со платформата Maestro. Решение засновано на портите 23800, 6800 и 6500:
Во овој случај, можете да изберете од два стандардни типа на опрема:
- Еден оркестратор и две порти;
- Еден оркестратор и три порти.
можете да ги видите проценетите цени. Секако, можете дополнително да додадете друг оркестратор и онолку порти колку што сакате. Може да се побараат дополнителни информации за спецификациите .
Уреди 6500 и 6800 Ова се најновите модели кои исто така беа претставени на почетокот на оваа година. Но, ние ќе зборуваме за нив подетално во следната статија.
Кога можам да го купам?
Тука нема јасен одговор. Во моментов нема известување за увоз на овие решенија во нашата земја. Штом информациите за времето ќе станат достапни, веднаш ќе објавиме соопштение на нашите јавни страници (, , ). Дополнително, во блиска иднина се планира и вебинар посветен на Check Point Maestro решението, на кој ќе се разговара за сите технички карактеристики. И, се разбира, можете да поставувате прашања. Останете со нас!
Заклучок
Дефинитивно нова платформа е одличен додаток на хардверските решенија Check Point. Всушност, овој производ отвора нов сегмент, за кој не секој продавач на информациска безбедност има слично решение. Згора на тоа, денес Check Point Maestro практично нема алтернативи кога станува збор за обезбедување на таква невидена „безбедносна моќ“. Сепак, Maestro Hyperscale Network Security ќе биде од интерес не само за сопствениците на центрите за податоци, туку и за обичните компании. Оние кои поседуваат или планираат да купат уреди почнувајќи од моделот 5600, веќе можат подетално да го разгледаат Maestro. Во некои случаи, користењето на Maestro Hyperscale Network Security може да биде многу профитабилно решение, и од економска и од техничка гледна точка.
PS Оваа статија е подготвена со учество на Анатолиј Масовер — Експерт за скалабилна платформа, софтверски технологии за проверка на точката.
Извор: www.habr.com