Check Point startet 2019 ganske raskt med flere kunngjøringer samtidig. Det er umulig å snakke om alt i en artikkel, så la oss starte med det viktigste - . Maestro er en ny skalerbar plattform som lar deg øke "kraften" til sikkerhetsporten til "uanstendige" tall og nesten lineært. Dette oppnås naturlig ved å balansere belastningen mellom individuelle gatewayer som opererer i en klynge som en enkelt enhet. Noen vil kanskje si - "Var! Det er allerede 44000 bladplattformer/64000". Maestro er imidlertid en helt annen sak. I denne artikkelen vil jeg kort prøve å forklare hva det er, hvordan det fungerer og hvordan denne teknologien vil hjelpe spar på perimeterbeskyttelse av nettverket.
Var - Har blitt
Den enkleste måten å forstå er hvordan den nye skalerbare plattformen skiller seg fra den gode gamle 44000/64000 er se på bildet nedenfor:
Forskjellen er åpenbar.
Legacy Check Point 44000-plattform/64000
Som det fremgår av bildet ovenfor, er det første alternativet en fast plattform (chassis), der et begrenset antall spesielle "bladmoduler" kan settes inn (Sjekkpunkt SGM). Alt dette er knyttet til Sikkerhetsbrytermodul (SSM), som balanserer trafikk mellom gatewayer. Bildet nedenfor viser komponentene til denne plattformen mer detaljert:
Dette er en utmerket plattform hvis du vet nøyaktig hvilken ytelse du trenger nå og hvor mye den kan vokse. Men på grunn av den faste formfaktoren (12 eller 6 blader), er du begrenset med ytterligere skalerbarhet. I tillegg er du tvunget til å bruke utelukkende SGM-blader, uten mulighet til å koble til konvensjonelle uplines, som har et mye bredere utvalg av modeller. Med advent Maestro Hyperscale Network Security situasjonen endrer seg dramatisk.
Ny Check Point Maestro Hyperscale Network Security Platform
Check Point Maestro ble først introdusert 22. januar på CPX-konferansen i Bangkok. Hovedkarakteristikkene kan sees på bildet nedenfor:
Som du kan se, er hovedfordelen med Check Point Maestro muligheten til å bruke vanlige gatewayer (apparater) for balansering. De. Vi er ikke lenger begrenset til SGM-blader. Du kan fordele belastningen mellom alle enheter fra 5600-modellen (SMB-modeller og chassis 44000)/64000 støttes ikke). Bildet ovenfor viser hovedindikatorene som kan oppnås ved bruk av den nye plattformen. Vi kan kombinere til én dataressurs opp til 31! inngangsport. Nå kan brannmuren din se slik ut:
Maestro Hyperscale Orchestrator
Jeg er sikker på at mange allerede har spurt: "Hva slags orkester er dette?"Vel, møt meg. Maestro Hyperscale Orchestrator — det er denne tingen som er ansvarlig for lastbalansering. Operativsystemet som er installert på denne enheten er Gaia R80.20 SP. Det er for tiden to modeller av Orchestrators - MHO-140 и MHO-170. Funksjoner på bildet nedenfor:
Ved første øyekast kan det virke som om dette er en vanlig bryter. Faktisk er det "bryter + balanserer + ressursstyringssystem." Alt i en boks.
Gatewayer er koblet til disse orkestrene. Hvis balansørene er feiltolerante, er hver gateway koblet til hver orkestrator. For tilkobling kan "optikk" (sfp+ / qsfp+ / qsfp28+) eller DAC-kabel (Direct Attach Copper) brukes. I dette tilfellet må det naturligvis være en synkroniseringskobling mellom orkestratorene:
På bildet nedenfor kan du se hvordan portene til disse orkestratorene er fordelt:
Sikkerhetsgrupper
For at lasten skal fordeles mellom gatewayer, må disse gatewayene være i samme sikkerhetsgruppe. Sikkerhetsgruppe det er en logisk gruppe enheter som fungerer som en aktiv/aktiv klynge. Denne gruppen fungerer uavhengig av andre sikkerhetsgrupper. Fra administrasjonsserverens synspunkt ser sikkerhetsgruppen ut som én enhet med én IP-adresse.
Om nødvendig kan vi flytte en eller flere gatewayer inn i en egen sikkerhetsgruppe og bruke denne gruppen til andre formål, som en egen brannmur fra et administrasjonssynspunkt. Et eksempel på bruk er vist på bildet nedenfor:
Viktig begrensning, bare identiske gatewayer (modell) kan brukes i én sikkerhetsgruppe. De. hvis du ønsker å lineært øke kapasiteten til sikkerhetsgatewayen din (som er en klynge av flere enheter), må du legge til nøyaktig de samme gatewayene. Denne begrensningen bør forsvinne i de neste programvareutgivelsene.
I videoen nedenfor kan du se prosessen med å opprette en sikkerhetsgruppe. Prosedyren er intuitiv.
Igjen, hvis du sammenligner Maestro-komponentene med chassisplattformen, får du noe sånt som følgende bilde:
Hva er fordelene med den nye plattformen?
Det er faktisk mange fordeler, både fra et teknisk og økonomisk synspunkt. Jeg vil kort beskrive de viktigste:
- Vi er praktisk talt ubegrenset i skalering. Opptil 31 gatewayer i én sikkerhetsgruppe.
- Vi kan legge til gatewayer etter behov. Minimumssettet for kjøp er en orkestrator + to gatewayer. Det er ikke nødvendig å legge ned modeller "for vekst".
- Et annet pluss følger av forrige punkt. Vi trenger ikke lenger å endre gatewayer som ikke lenger tåler belastningen. Tidligere ble dette problemet løst ved hjelp av innbytteprosedyren - de overleverte gammel maskinvare og fikk ny med rabatt. Med en slik ordning er økonomiske "tap" uunngåelige. Den nye skaleringsprosedyren eliminerer denne faktoren. Du trenger ikke å gi fra deg noe, du kan bare fortsette å øke produktiviteten ved hjelp av ekstra maskinvare.
- Evnen til å kombinere eksisterende ressurser for å fordele belastningen. For eksempel kan du "dra" alle klyngene dine til Maestro-plattformen og sette sammen flere sikkerhetsgrupper, avhengig av belastningen.
Maestro Hyperscale Network Security-pakker
Foreløpig er det flere alternativer for å kjøpe såkalte bunter med Maestro-plattformen. Løsning basert på gatewayer 23800, 6800 og 6500:
I dette tilfellet kan du velge mellom to standardtyper utstyr:
- En orkestrator og to gateways;
- En orkestrator og tre porter.
du kan se estimerte priser. Naturligvis kan du i tillegg legge til en annen orkestrator og så mange gatewayer du vil. Ytterligere informasjon om spesifikasjoner kan bes om .
Enheter 6500 и 6800 Dette er de nyeste modellene som også ble introdusert tidligere i år. Men vi vil snakke om dem mer detaljert i neste artikkel.
Når kan jeg kjøpe det?
Det er ikke noe klart svar her. For øyeblikket er det ingen melding om import av disse løsningene til vårt land. Så snart informasjon om tidspunktet blir tilgjengelig, vil vi umiddelbart gi en kunngjøring på våre offentlige sider (, , ). I tillegg er det planlagt et webinar dedikert til Check Point Maestro-løsningen i nær fremtid, hvor alle tekniske funksjoner vil bli diskutert. Og selvfølgelig kan du stille spørsmål. Følg med!
Konklusjon
Definitivt en ny plattform er et utmerket tillegg til Check Points maskinvareløsninger. Faktisk åpner dette produktet et nytt segment, som ikke alle leverandører av informasjonssikkerhet har en lignende løsning for. Dessuten har Check Point Maestro i dag praktisk talt ingen alternativer når det gjelder å tilby en slik enestående "sikkerhetskraft". Maestro Hyperscale Network Security vil imidlertid være av interesse ikke bare for datasentereiere, men også for vanlige bedrifter. De som eier eller planlegger å kjøpe enheter som starter med 5600-modellen kan allerede nå se nærmere på Maestro.I noen tilfeller kan bruk av Maestro Hyperscale Network Security være en svært lønnsom løsning, både fra et økonomisk og teknisk synspunkt.
PS Denne artikkelen ble utarbeidet med deltagelse av Anatoly Masover — Skalerbar plattformekspert, Check Point Software Technologies.
Kilde: www.habr.com