Check Point begon 2019 vrij snel door meerdere aankondigingen tegelijk te doen. Het is onmogelijk om alles in één artikel te bespreken, dus laten we beginnen met het belangrijkste: . Maestro is een nieuw schaalbaar platform waarmee u de ‘kracht’ van de beveiligingsgateway kunt vergroten tot ‘onfatsoenlijke’ cijfers en vrijwel lineair. Dit wordt op natuurlijke wijze bereikt door de belasting te verdelen tussen individuele gateways die als één geheel in een cluster werken. Iemand zou kunnen zeggen: "Was! Er zijn al 44000 bladeplatforms/64000". Maestro is echter een heel andere zaak. In dit artikel zal ik kort proberen uit te leggen wat het is, hoe het werkt en hoe deze technologie zal helpen bespaar op netwerkperimeterbeveiliging.
Was - is geworden
De gemakkelijkste manier om te begrijpen is hoe het nieuwe schaalbare platform verschilt van de goede oude 44000/64000 is, kijk eens naar de onderstaande afbeelding:
Het verschil is duidelijk.
Legacy Check Point 44000-platform/64000
Zoals op de bovenstaande afbeelding te zien is, is de eerste optie een vast platform (chassis), waarin een beperkt aantal speciale “blade-modules” kan worden geplaatst (Controlepunt SGM). Dit alles is ermee verbonden Beveiligingsschakelmodule (SSM), dat het verkeer tussen gateways in evenwicht brengt. De onderstaande afbeelding toont de componenten van dit platform in meer detail:
Dit is een uitstekend platform als je precies weet welke performance je nu nodig hebt en hoeveel deze nog kan groeien. Door de vaste vormfactor (12 of 6 blades) ben je echter beperkt in de verdere schaalbaarheid. Bovendien bent u gedwongen uitsluitend SGM-blades te gebruiken, zonder de mogelijkheid om conventionele uplines aan te sluiten, die een veel breder scala aan modellen hebben. Met de komst Maestro grootschalige netwerkbeveiliging de situatie verandert dramatisch.
Nieuw Check Point Maestro grootschalige netwerkbeveiligingsplatform
Check Point Maestro werd voor het eerst geïntroduceerd op 22 januari tijdens de CPX-conferentie in Bangkok. De belangrijkste kenmerken zijn te zien op de onderstaande afbeelding:
Zoals u kunt zien, is het belangrijkste voordeel van Check Point Maestro de mogelijkheid om reguliere gateways (apparaten) te gebruiken voor balancering. Die. We zijn niet langer beperkt tot SGM-mesjes. U kunt de belasting verdelen over alle apparaten vanaf het 5600-model (SMB-modellen en chassis 44000/64000 worden niet ondersteund). De afbeelding hierboven toont de belangrijkste indicatoren die kunnen worden bereikt bij het gebruik van het nieuwe platform. We kunnen combineren tot één computerbron tot 31! poort. Nu kan uw firewall er als volgt uitzien:
Maestro grootschalige orkestrator
Ik weet zeker dat veel mensen al hebben gevraagd: “Wat voor soort orkestrator is dit?'Nou, ontmoet mij. Maestro grootschalige orkestrator — het is dit ding dat verantwoordelijk is voor de taakverdeling. Het besturingssysteem dat op dit apparaat is geïnstalleerd, is Gaia R80.20 SP. Er zijn momenteel twee modellen Orchestrators: MHO-140 и MHO-170. Kenmerken op de onderstaande afbeelding:
Op het eerste gezicht lijkt het misschien dat dit een gewone schakelaar is. In feite is het een “switch + balancer + resource management-systeem.” Alles in één doos.
Gateways zijn verbonden met deze Orchestrators. Als de balancers fouttolerant zijn, is elke gateway verbonden met elke Orchestrator. Voor de aansluiting kan “optica” (sfp+ / qsfp+ / qsfp28+) of DAC-kabel (Direct Attach Copper) worden gebruikt. In dit geval moet er uiteraard een synchronisatielink zijn tussen de orkestrators:
In de onderstaande afbeelding kun je zien hoe de ports van deze orkestrators zijn verdeeld:
Beveiligingsgroepen
Om de belasting tussen gateways te kunnen verdelen, moeten deze gateways zich in dezelfde beveiligingsgroep bevinden. Beveiligingsgroep het is een logische groep apparaten die functioneert als een actief/actief cluster. Deze groep functioneert onafhankelijk van andere beveiligingsgroepen. Vanuit het oogpunt van de beheerserver ziet de Security Group eruit als één apparaat met één IP-adres.
Indien nodig kunnen we één of meerdere gateways verplaatsen naar een aparte Security Group en deze groep vanuit beheeroogpunt voor andere doeleinden gebruiken, zoals een aparte firewall. Een voorbeeld van gebruik ziet u op de onderstaande afbeelding:
Belangrijke beperking, kunnen alleen identieke gateways (model) in één beveiligingsgroep worden gebruikt. Die. als u de capaciteit van uw beveiligingsgateway (die een cluster van verschillende apparaten is) lineair wilt laten groeien, moet u exact dezelfde gateways toevoegen. Deze beperking zou in de volgende softwarereleases moeten verdwijnen.
In de onderstaande video ziet u het proces van het maken van een beveiligingsgroep. De procedure is intuïtief.
Nogmaals, als je de Maestro-componenten vergelijkt met het chassisplatform, krijg je zoiets als het volgende beeld:
Wat zijn de voordelen van het nieuwe platform?
Er zijn eigenlijk veel voordelen, zowel vanuit technisch als economisch oogpunt. Ik zal de belangrijkste kort beschrijven:
- We zijn vrijwel onbeperkt in schaalvergroting. Maximaal 31 gateways binnen één beveiligingsgroep.
- We kunnen indien nodig gateways toevoegen. De minimale set voor aankoop is één Orchestrator + twee gateways. Het is niet nodig om modellen “voor groei” op te stellen.
- Uit het vorige punt volgt nog een pluspunt. We hoeven geen gateways meer te veranderen die de belasting niet meer aankunnen. Voorheen werd dit probleem opgelost via de inruilprocedure: oude hardware werd ingeleverd en met korting nieuwe ontvangen. Met een dergelijk plan zijn financiële ‘verliezen’ onvermijdelijk. De nieuwe schaalprocedure elimineert deze factor. U hoeft niets uit handen te geven, u kunt de productiviteit gewoon blijven verhogen met behulp van extra hardware.
- De mogelijkheid om bestaande bronnen te combineren om de belasting te verdelen. U kunt bijvoorbeeld al uw clusters naar het Maestro-platform ‘slepen’ en afhankelijk van de belasting meerdere Security Groups samenstellen.
Maestro Hyperscale Network Security-bundels
Momenteel zijn er verschillende mogelijkheden om zogenaamde bundels aan te schaffen met het Maestro platform. Oplossing gebaseerd op gateways 23800, 6800 en 6500:
In dit geval kunt u kiezen uit twee standaardtypen apparatuur:
- Eén orkestrator en twee gateways;
- Eén orkestrator en drie gateways.
U kunt de geschatte prijzen zien. Uiteraard kunt u daarnaast nog een Orchestrator en zoveel gateways toevoegen als u wilt. Aanvullende informatie over specificaties kan worden opgevraagd .
apparaten 6500 и 6800 Dit zijn de nieuwste modellen die ook eerder dit jaar zijn geïntroduceerd. Maar we zullen er in het volgende artikel meer in detail over praten.
Wanneer kan ik het kopen?
Er is hier geen duidelijk antwoord. Op dit moment is er geen melding voor de import van deze oplossingen in ons land. Zodra informatie over de timing beschikbaar komt, zullen we onmiddellijk een aankondiging doen op onze openbare pagina's (, , ). Daarnaast staat er in de nabije toekomst een webinar gewijd aan de Check Point Maestro-oplossing gepland, waar alle technische kenmerken zullen worden besproken. En natuurlijk kun je vragen stellen. Blijf kijken!
Conclusie
Absoluut een nieuw platform is een uitstekende aanvulling op de hardwareoplossingen van Check Point. In feite opent dit product een nieuw segment, waarvoor niet elke leverancier van informatiebeveiliging een vergelijkbare oplossing heeft. Bovendien heeft Check Point Maestro tegenwoordig vrijwel geen alternatieven als het gaat om het bieden van zulke ongekende “beveiligingskracht”. Maestro Hyperscale Network Security zal echter niet alleen interessant zijn voor eigenaren van datacenters, maar ook voor gewone bedrijven. Degenen die apparaten bezitten of van plan zijn apparaten aan te schaffen die beginnen met het 5600-model kunnen Maestro alvast eens nader bekijken. In sommige gevallen kan het gebruik van Maestro Hyperscale Network Security een zeer winstgevende oplossing zijn, zowel vanuit economisch als technisch oogpunt.
PS Dit artikel is opgesteld met medewerking van Anatoly Masover — Schaalbare platformexpert, Check Point Software Technologies.
Bron: www.habr.com