Check Point a început anul 2019 destul de repede făcând mai multe anunțuri simultan. Este imposibil să vorbim despre totul într-un articol, așa că să începem cu cel mai important lucru - . Maestro este o nouă platformă scalabilă care vă permite să creșteți „puterea” porții de securitate la numere „indecente” și aproape liniar. Acest lucru se realizează în mod natural prin echilibrarea sarcinii dintre gateway-urile individuale care operează într-un cluster ca o singură entitate. Cineva ar putea spune...A fost! Există deja 44000 de platforme cu lame/64000". Cu toate acestea, Maestro este o chestiune complet diferită. În acest articol, voi încerca pe scurt să explic ce este, cum funcționează și cum vă va ajuta această tehnologie economisiți la protecția perimetrului rețelei.
A fost - A devenit
Cel mai simplu mod de a înțelege este modul în care noua platformă scalabilă diferă de vechiul 44000/64000 este uita-te la poza de mai jos:
Diferența este evidentă.
Platforma moștenită Check Point 44000/64000
După cum se poate vedea din imaginea de mai sus, prima opțiune este o platformă fixă (șasiu), în care poate fi introdus un număr limitat de „module lame” speciale (Punct de control SGM). Toate acestea sunt legate de Modul comutator de securitate (SSM), care echilibrează traficul între gateway-uri. Imaginea de mai jos prezintă componentele acestei platforme mai detaliat:
Aceasta este o platformă excelentă dacă știți exact de ce performanță aveți nevoie acum și cât de mult poate crește. Cu toate acestea, datorită factorului de formă fix (12 sau 6 lame), sunteți limitat în scalabilitate suplimentară. În plus, ești obligat să folosești exclusiv lame SGM, fără posibilitatea de a conecta linii ascendente convenționale, care au o gamă mult mai largă de modele. Odată cu venirea Maestro Hyperscale Network Security situația se schimbă dramatic.
Noua platformă de securitate pentru rețea Check Point Maestro Hyperscale
Check Point Maestro a fost prezentat pentru prima dată pe 22 ianuarie la conferința CPX din Bangkok. Principalele caracteristici pot fi văzute în imaginea de mai jos:
După cum puteți vedea, principalul avantaj al Check Point Maestro este capacitatea de a utiliza gateway-uri obișnuite (aparate) pentru echilibrare. Acestea. Nu ne mai limităm la lamele SGM. Puteți distribui sarcina între orice dispozitive începând de la modelul 5600 (modele SMB și șasiu 44000/64000 nu sunt acceptate). Imaginea de mai sus prezintă principalii indicatori care pot fi atinși la utilizarea noii platforme. Putem combina într-o singură resursă de calcul pana la 31! poarta de acces. Acum firewall-ul tău ar putea arăta astfel:
Maestro Hyperscale Orchestrator
Sunt sigur că mulți oameni au întrebat deja: „Ce fel de orchestrator este acesta?„Ei bine, întâlniți-mă. Maestro Hyperscale Orchestrator — acest lucru este responsabil pentru echilibrarea sarcinii. Sistemul de operare instalat pe acest dispozitiv este Gaia R80.20 SP. În prezent există două modele de orchestratori - MHO-140 и MHO-170. Caracteristici din imaginea de mai jos:
La prima vedere, poate părea că acesta este un comutator obișnuit. De fapt, este „comutator + echilibrator + sistem de gestionare a resurselor”. Totul într-o singură cutie.
Gateway-urile sunt conectate la aceste orchestratoare. Dacă echilibratorii sunt toleranți la erori, atunci fiecare gateway este conectat la fiecare orchestrator. Pentru conectare, se poate folosi „optic” (sfp+ / qsfp+ / qsfp28+) sau cablu DAC (Direct Attach Copper). În acest caz, trebuie să existe firesc o legătură de sincronizare între orchestratori:
În imaginea de mai jos puteți vedea cum sunt distribuite porturile acestor orchestratori:
Grupuri de securitate
Pentru ca sarcina să fie distribuită între gateway-uri, aceste gateway-uri trebuie să fie în același grup de securitate. Grupul de securitate este un grup logic de dispozitive care funcționează ca un cluster activ/activ. Acest grup funcționează independent de alte grupuri de securitate. Din punctul de vedere al serverului de management, Grupul de Securitate arată ca un singur dispozitiv cu o singură adresă IP.
Dacă este necesar, putem muta unul sau mai multe gateway-uri într-un grup de securitate separat și folosim acest grup în alte scopuri, cum ar fi un firewall separat din punct de vedere al managementului. Un exemplu de utilizare este prezentat în imaginea de mai jos:
Limitare importantă, numai gateway-uri (model) identice pot fi utilizate într-un grup de securitate. Acestea. dacă doriți să creșteți liniar capacitatea gateway-ului dvs. de securitate (care este un grup de mai multe dispozitive), atunci trebuie să adăugați exact aceleași gateway-uri. Această limitare ar trebui să dispară în următoarele versiuni de software.
În videoclipul de mai jos puteți vedea procesul de creare a unui grup de securitate. Procedura este intuitivă.
Din nou, dacă comparați componentele Maestro cu platforma șasiului, obțineți ceva de genul următoarei imagini:
Care sunt beneficiile noii platforme?
Există de fapt multe avantaje, atât din punct de vedere tehnic, cât și economic. Voi descrie pe scurt pe cele mai importante:
- Suntem practic nelimitați în scalare. Până la 31 de gateway-uri în cadrul unui grup de securitate.
- Putem adăuga gateway-uri după cum este necesar. Setul minim pentru achiziție este un orchestrator + două gateway-uri. Nu este nevoie să stabilim modele „pentru creștere”.
- De la punctul anterior urmează un alt plus. Nu mai trebuie să schimbăm gateway-uri care nu mai pot face față sarcinii. Anterior, această problemă a fost rezolvată folosind procedura de schimb - au predat hardware-ul vechi și au primit altele noi la reducere. Cu o astfel de schemă, „pierderile” financiare sunt inevitabile. Noua procedură de scalare elimină acest factor. Nu trebuie să predați nimic, puteți continua să creșteți productivitatea cu ajutorul hardware-ului suplimentar.
- Abilitatea de a combina resursele existente pentru a distribui sarcina. De exemplu, puteți „trage” toate clusterele pe platforma Maestro și puteți asambla mai multe grupuri de securitate, în funcție de încărcare.
Pachete Maestro Hyperscale Network Security
În prezent, există mai multe opțiuni pentru achiziționarea așa-numitelor pachete cu platforma Maestro. Soluție bazată pe gateway-urile 23800, 6800 și 6500:
În acest caz, puteți alege dintre două tipuri standard de echipamente:
- Un orchestrator și două gateway-uri;
- Un orchestrator și trei porți.
puteti vedea preturile estimative. Desigur, puteți adăuga suplimentar un alt orchestrator și oricâte gateway-uri doriți. Informații suplimentare despre specificații pot fi solicitate .
dispozitive 6500 и 6800 Acestea sunt cele mai recente modele care au fost și ele introduse la începutul acestui an. Dar despre ele vom vorbi mai detaliat în articolul următor.
Când îl pot cumpăra?
Nu există un răspuns clar aici. Momentan nu exista nicio notificare pentru importul acestor solutii in tara noastra. De îndată ce informațiile despre calendar devin disponibile, vom face imediat un anunț în paginile noastre publice (, , ). În plus, în viitorul apropiat este planificat un webinar dedicat soluției Check Point Maestro, unde vor fi discutate toate caracteristicile tehnice. Și, desigur, puteți pune întrebări. Rămâneţi aproape!
Concluzie
Cu siguranță o nouă platformă este o completare excelentă la soluțiile hardware Check Point. De fapt, acest produs deschide un nou segment, pentru care nu toți furnizorii de securitate a informațiilor au o soluție similară. În plus, astăzi Check Point Maestro nu are practic alternative atunci când vine vorba de a oferi o astfel de „putere de securitate” fără precedent. Cu toate acestea, Maestro Hyperscale Network Security va fi de interes nu numai pentru proprietarii de centre de date, ci și pentru companiile obișnuite. Cei care dețin sau plănuiesc să achiziționeze dispozitive începând cu modelul 5600 pot deja să arunce o privire mai atentă la Maestro.În unele cazuri, utilizarea Maestro Hyperscale Network Security poate fi o soluție foarte profitabilă, atât din punct de vedere economic, cât și tehnic.
PS Acest articol a fost pregătit cu participarea lui Anatoly Masover — Expert platformă scalabilă, Check Point Software Technologies.
Sursa: www.habr.com