Check Point rozpoczął rok 2019 dość szybko, ogłaszając kilka ogłoszeń na raz. Nie da się omówić wszystkiego w jednym artykule, więc zacznijmy od najważniejszego – . Maestro to nowa skalowalna platforma, która pozwala zwiększyć „moc” bramki bezpieczeństwa do „nieprzyzwoitych” liczb i niemal liniowo. Osiąga się to w sposób naturalny poprzez równoważenie obciążenia pomiędzy poszczególnymi bramami, które działają w klastrze jako pojedyncza jednostka. Ktoś mógłby powiedzieć – „Był! Istnieje już 44000 XNUMX platform typu blade/64000„. Jednak Maestro to zupełnie inna sprawa. W tym artykule postaram się pokrótce wyjaśnić na czym polega, jak działa i w czym pomoże ta technologia oszczędzaj na ochronie obwodu sieci.
Było – stało się
Najłatwiej zrozumieć, czym nowa skalowalna platforma różni się od starego dobrego modelu 44000/64000 jest spójrz na zdjęcie poniżej:
Różnica jest oczywista.
Starsza platforma Check Point 44000/64000
Jak widać na powyższym obrazku, pierwszą opcją jest stała platforma (podwozie), w którą można wstawić ograniczoną liczbę specjalnych „modułów łopatkowych” (Sprawdź punkt SGM). Wszystko to jest ze sobą powiązane Moduł wyłącznika bezpieczeństwa (SSM), który równoważy ruch pomiędzy bramami. Poniższy rysunek przedstawia bardziej szczegółowo elementy tej platformy:
Jest to doskonała platforma, jeśli dokładnie wiesz, jakiej wydajności teraz potrzebujesz i jak bardzo może ona wzrosnąć. Jednak ze względu na stałą obudowę (12 lub 6 serwerów kasetowych) dalsza skalowalność jest ograniczona. Dodatkowo zmuszeni jesteśmy używać wyłącznie ostrzy SGM, bez możliwości łączenia konwencjonalnych uplineów, które posiadają znacznie szerszą gamę modeli. Wraz z nadejściem Bezpieczeństwo sieci Maestro Hyperscale sytuacja zmienia się diametralnie.
Nowa platforma bezpieczeństwa sieci Hyperscale firmy Check Point Maestro
Check Point Maestro został po raz pierwszy zaprezentowany 22 stycznia na konferencji CPX w Bangkoku. Główne cechy można zobaczyć na poniższym obrazku:
Jak widać główną zaletą Check Point Maestro jest możliwość wykorzystania zwykłych bramek (urządzeń) do bilansowania. Te. Nie ograniczamy się już do ostrzy SGM. Możesz rozłożyć obciążenie pomiędzy dowolnymi urządzeniami, począwszy od modelu 5600 (modele SMB i Chassis 44000/64000 nie są obsługiwane). Powyższy obrazek przedstawia główne wskaźniki jakie można osiągnąć korzystając z nowej platformy. Możemy połączyć w jeden zasób obliczeniowy do 31! wejście. Teraz Twoja zapora sieciowa może wyglądać następująco:
Maestro Hyperscale Orchestrator
Jestem pewien, że wiele osób już pytało: „Co to za orkiestrator?„No cóż, poznaj mnie. Maestro Hyperscale Orchestrator — to właśnie ta rzecz odpowiada za równoważenie obciążenia. System operacyjny zainstalowany na tym urządzeniu to Gaia R80.20 SP. Obecnie istnieją dwa modele Orchestratorów - MHO-140 и MHO-170. Funkcje na zdjęciu poniżej:
Na pierwszy rzut oka może się wydawać, że jest to zwykły włącznik. W rzeczywistości jest to „przełącznik + balanser + system zarządzania zasobami”. Wszystko w jednym pudełku.
Bramy są połączone z tymi Orchestratorami. Jeśli moduły równoważące są odporne na błędy, każda brama jest połączona z każdym orkiestratorem. Do połączenia można zastosować „optykę” (sfp+ / qsfp+ / qsfp28+) lub kabel DAC (Direct Connect Copper). W takim przypadku musi oczywiście istnieć łącze synchronizacyjne pomiędzy koordynatorami:
Na poniższym obrazku możesz zobaczyć, jak rozmieszczone są porty tych orkiestratorów:
Grupy bezpieczeństwa
Aby obciążenie mogło zostać rozłożone pomiędzy bramami, bramy te muszą należeć do tej samej grupy zabezpieczeń. Grupa bezpieczeństwa jest to logiczna grupa urządzeń, która funkcjonuje jako klaster aktywny/aktywny. Grupa ta funkcjonuje niezależnie od innych Grup Bezpieczeństwa. Z punktu widzenia serwera zarządzającego Grupa Bezpieczeństwa wygląda jak jedno urządzenie z jednym adresem IP.
Jeśli zajdzie taka potrzeba, możemy przenieść jedną lub więcej bram do osobnej grupy zabezpieczeń i wykorzystać tę grupę do innych celów, np. oddzielnej zapory sieciowej z punktu widzenia zarządzania. Przykładowe zastosowanie pokazano na poniższym obrazku:
Ważne ograniczenie, w jednej grupie zabezpieczeń można używać tylko identycznych bram (modeli). Te. jeśli chcesz liniowo zwiększać pojemność swojej bramy bezpieczeństwa (która jest klastrem kilku urządzeń), musisz dodać dokładnie te same bramy. To ograniczenie powinno zniknąć w kolejnych wersjach oprogramowania.
Na poniższym filmie możesz zobaczyć proces tworzenia Grupy Bezpieczeństwa. Procedura jest intuicyjna.
Ponownie, jeśli porównasz komponenty Maestro z platformą podwozia, otrzymasz coś podobnego do poniższego obrazu:
Jakie korzyści daje nowa platforma?
Zalet jest naprawdę wiele, zarówno z technicznego, jak i ekonomicznego punktu widzenia. Opiszę pokrótce najważniejsze:
- Jesteśmy praktycznie nieograniczeni w skalowaniu. Do 31 bramek w ramach jednej Grupy Bezpieczeństwa.
- W razie potrzeby możemy dodać bramki. Minimalny zestaw do zakupu to jeden orkiestrator + dwie bramy. Nie ma potrzeby ustanawiania modeli „wzrostu”.
- Kolejny plus wynika z poprzedniego punktu. Nie musimy już zmieniać bram, które nie są w stanie wytrzymać obciążenia. Wcześniej problem ten rozwiązywano w drodze procedury wymiany - oddawali stary sprzęt, a nowy otrzymywali ze zniżką. Przy takim schemacie „straty” finansowe są nieuniknione. Nowa procedura skalowania eliminuje ten czynnik. Nie musisz niczego oddawać, możesz po prostu dalej zwiększać produktywność za pomocą dodatkowego sprzętu.
- Możliwość łączenia istniejących zasobów w celu rozłożenia obciążenia. Na przykład możesz „przeciągnąć” wszystkie swoje klastry na platformę Maestro i złożyć kilka grup zabezpieczeń, w zależności od obciążenia.
Pakiety Maestro Hyperscale Network Security
Obecnie istnieje kilka możliwości zakupu tzw. pakietów z platformą Maestro. Rozwiązanie oparte na bramkach 23800, 6800 i 6500:
W takim przypadku możesz wybierać spośród dwóch standardowych typów wyposażenia:
- Jeden orkiestrator i dwie bramy;
- Jeden orkiestrator i trzy bramy.
możesz zobaczyć szacunkowe ceny. Oczywiście możesz dodatkowo dodać kolejnego orkiestratora i dowolną liczbę bramek. Można poprosić o dodatkowe informacje na temat specyfikacji .
Urządzenia 6500 и 6800 Są to najnowsze modele, które zostały wprowadzone także na początku tego roku. Ale porozmawiamy o nich bardziej szczegółowo w następnym artykule.
Kiedy mogę to kupić?
Nie ma tutaj jasnej odpowiedzi. Na chwilę obecną nie ma zgłoszenia dotyczącego importu tych rozwiązań do naszego kraju. Gdy tylko pojawi się informacja o terminie, natychmiast ogłosimy to na naszych publicznych stronach (, , ). Ponadto w najbliższym czasie planowane jest webinarium poświęcone rozwiązaniu Check Point Maestro, podczas którego omówione zostaną wszystkie funkcje techniczne. I oczywiście możesz zadawać pytania. Czekać na dalsze informacje!
wniosek
Zdecydowanie nowa platforma stanowi doskonałe uzupełnienie rozwiązań sprzętowych firmy Check Point. Tak naprawdę produkt ten otwiera nowy segment, dla którego nie każdy dostawca bezpieczeństwa informacji ma podobne rozwiązanie. Co więcej, dziś Check Point Maestro nie ma praktycznie żadnej alternatywy, jeśli chodzi o zapewnienie tak niespotykanej „siły bezpieczeństwa”. Jednak Maestro Hyperscale Network Security zainteresuje nie tylko właścicieli centrów danych, ale także zwykłe firmy. Maestro mogą już bliżej przyjrzeć się posiadaczom lub planującym zakup urządzeń począwszy od modelu 5600. W niektórych przypadkach zastosowanie Maestro Hyperscale Network Security może okazać się bardzo opłacalnym rozwiązaniem zarówno z ekonomicznego, jak i technicznego punktu widzenia.
PS Artykuł powstał przy udziale Anatolij Masover — Ekspert ds. platform skalowalnych, Check Point Software Technologies.
Źródło: www.habr.com