A Check Point começou 2019 bastante rapidamente, fazendo vários anúncios ao mesmo tempo. É impossível falar sobre tudo em um artigo, então vamos começar com o mais importante: . Maestro é uma nova plataforma escalável que permite aumentar o “poder” do gateway de segurança para números “indecentes” e quase linearmente. Isto é conseguido naturalmente equilibrando a carga entre gateways individuais que operam em um cluster como uma entidade única. Alguém pode dizer - "Era! Já existem 44000 plataformas de lâminas/64000". No entanto, Maestro é uma questão completamente diferente. Neste artigo tentarei explicar brevemente o que é, como funciona e como essa tecnologia vai ajudar economize na proteção do perímetro da rede.
Foi - tornou-se
A maneira mais fácil de entender é como a nova plataforma escalável difere da boa e velha 44000/64000 é olhe a imagem abaixo:
A diferença é óbvia.
Plataforma legada Check Point 44000/64000
Como pode ser visto na imagem acima, a primeira opção é uma plataforma fixa (chassi), na qual um número limitado de “módulos blade” especiais pode ser inserido (Ponto de verificação SGM). Tudo isso está conectado Módulo de chave de segurança (SSM), que equilibra o tráfego entre gateways. A imagem abaixo mostra os componentes desta plataforma com mais detalhes:
Esta é uma excelente plataforma se você sabe exatamente qual desempenho precisa agora e quanto ele pode crescer. No entanto, devido ao formato fixo (12 ou 6 blades), você fica limitado em termos de escalabilidade adicional. Além disso, você é obrigado a usar exclusivamente lâminas SGM, sem a possibilidade de conectar uplines convencionais, que possuem uma gama de modelos muito maior. Com o advento Segurança de rede em hiperescala Maestro a situação está mudando dramaticamente.
Nova plataforma de segurança de rede Check Point Maestro Hyperscale
O Check Point Maestro foi apresentado pela primeira vez em 22 de janeiro na conferência CPX em Bangkok. As principais características podem ser conferidas na imagem abaixo:
Como você pode ver, a principal vantagem do Check Point Maestro é a capacidade de usar gateways regulares (eletrodomésticos) para balanceamento. Aqueles. Não estamos mais limitados às lâminas SGM. Você pode distribuir a carga entre quaisquer dispositivos a partir do modelo 5600 (modelos SMB e chassi 44000/64000 não são suportados). A imagem acima mostra os principais indicadores que podem ser alcançados com a utilização da nova plataforma. Podemos combinar em um recurso de computação até 31! Porta de entrada. Agora seu firewall pode ficar assim:
Orquestrador Maestro Hiperescala
Tenho certeza que muitas pessoas já perguntaram: “Que tipo de orquestrador é esse?“Bem, me encontre. Orquestrador Maestro Hiperescala - é isso que é responsável pelo balanceamento de carga. O sistema operacional instalado neste dispositivo é Gaia R80.20SP. Atualmente existem dois modelos de orquestradores - MHO-140 и MHO-170. Recursos na imagem abaixo:
À primeira vista, pode parecer que se trata de uma mudança comum. Na verdade, é “switch + balanceador + sistema de gerenciamento de recursos”. Tudo em uma caixa.
Os gateways estão conectados a esses orquestradores. Se os balanceadores forem tolerantes a falhas, cada gateway será conectado a cada orquestrador. Para conexão, pode-se usar “óptica” (sfp+ / qsfp+ / qsfp28+) ou cabo DAC (Direct Attach Copper). Neste caso, naturalmente deve haver um link de sincronização entre os orquestradores:
Na imagem abaixo você pode ver como as portas desses orquestradores estão distribuídas:
Grupos de Segurança
Para que a carga seja distribuída entre gateways, estes gateways devem estar no mesmo grupo de segurança. Grupo de segurança é um grupo lógico de dispositivos que funciona como um cluster ativo/ativo. Este grupo funciona independentemente de outros grupos de segurança. Do ponto de vista do servidor de gerenciamento, o Grupo de Segurança se parece com um dispositivo com um endereço IP.
Se necessário, podemos mover um ou mais gateways para um grupo de segurança separado e usar esse grupo para outros fins, como um firewall separado do ponto de vista do gerenciamento. Um exemplo de uso é mostrado na imagem abaixo:
Limitação importante, apenas gateways idênticos (modelo) podem ser usados em um grupo de segurança. Aqueles. se quiser aumentar linearmente a capacidade do seu gateway de segurança (que é um cluster de vários dispositivos), você deverá adicionar exatamente os mesmos gateways. Esta limitação deverá desaparecer nas próximas versões de software.
No vídeo abaixo você confere o processo de criação de um Grupo de Segurança. O procedimento é intuitivo.
Novamente, se você comparar os componentes do Maestro com a plataforma do chassi, obterá algo como a seguinte imagem:
Quais são os benefícios da nova plataforma?
Na verdade, as vantagens são muitas, tanto do ponto de vista técnico como económico. Descreverei brevemente os mais importantes:
- Somos praticamente ilimitados em escala. Até 31 gateways em um grupo de segurança.
- Podemos adicionar gateways conforme necessário. O conjunto mínimo para compra é um orquestrador + dois gateways. Não há necessidade de estabelecer modelos “para o crescimento”.
- Outra vantagem decorre do ponto anterior. Não precisamos mais mudar os gateways que não aguentam mais a carga. Anteriormente, esse problema era resolvido por meio do procedimento de troca - eles entregavam hardware antigo e recebiam novos com desconto. Com tal esquema, as “perdas” financeiras são inevitáveis. O novo procedimento de dimensionamento elimina esse fator. Você não precisa entregar nada, basta continuar a aumentar a produtividade com a ajuda de hardware adicional.
- A capacidade de combinar recursos existentes para distribuir a carga. Por exemplo, você pode “arrastar” todos os seus clusters para a plataforma Maestro e montar vários Security Groups, dependendo da carga.
Pacotes de segurança de rede Maestro Hyperscale
Atualmente, existem diversas opções de aquisição dos chamados pacotes com a plataforma Maestro. Solução baseada nos gateways 23800, 6800 e 6500:
Neste caso, você pode escolher entre dois tipos de equipamentos padrão:
- Um orquestrador e dois gateways;
- Um orquestrador e três gateways.
você pode ver os preços estimados. Naturalmente, você também pode adicionar outro orquestrador e quantos gateways desejar. Informações adicionais sobre especificações podem ser solicitadas .
Devices 6500 и 6800 Estes são os modelos mais recentes que também foram lançados no início deste ano. Mas falaremos sobre eles com mais detalhes no próximo artigo.
Quando posso comprar?
Não há uma resposta clara aqui. De momento não existe qualquer notificação de importação destas soluções para o nosso país. Assim que a informação sobre o momento estiver disponível, faremos imediatamente um anúncio nas nossas páginas públicas (, , ). Além disso, está previsto para um futuro próximo um webinar dedicado à solução Check Point Maestro, onde serão discutidas todas as características técnicas. E é claro que você pode fazer perguntas. Fique atento!
Conclusão
Definitivamente uma nova plataforma é um excelente complemento às soluções de hardware da Check Point. Na verdade, este produto abre um novo segmento, para o qual nem todos os fornecedores de segurança da informação possuem uma solução semelhante. Além disso, hoje a Check Point Maestro praticamente não tem alternativas quando se trata de fornecer um “poder de segurança” sem precedentes. No entanto, o Maestro Hyperscale Network Security será de interesse não apenas para proprietários de data centers, mas também para empresas comuns. Quem possui ou pretende adquirir dispositivos a partir do modelo 5600 já pode dar uma olhada no Maestro. Em alguns casos, utilizar o Maestro Hyperscale Network Security pode ser uma solução muito lucrativa, tanto do ponto de vista econômico quanto técnico.
PS Este artigo foi elaborado com a participação de Anatoly Masover — Especialista em plataformas escaláveis, Check Point Software Technologies.
Fonte: habr.com