Check Point začal rok 2019 pomerne rýchlo tým, že vydal niekoľko oznámení naraz. Nie je možné hovoriť o všetkom v jednom článku, takže začnime tým najdôležitejším -
Bolo - Stalo sa
Najjednoduchší spôsob, ako pochopiť, ako sa nová škálovateľná platforma líši od starej dobrej 44000/64000 sa pozrite na obrázok nižšie:
Rozdiel je zrejmý.
Staršia platforma Check Point 44000/64000
Ako je vidieť na obrázku vyššie, prvou možnosťou je pevná platforma (šasi), do ktorej je možné vložiť obmedzený počet špeciálnych „lopatkových modulov“ (Check Point SGM). S tým všetkým súvisí Modul bezpečnostného prepínača (SSM), ktorý vyrovnáva prevádzku medzi bránami. Nasledujúci obrázok zobrazuje komponenty tejto platformy podrobnejšie:
Toto je vynikajúca platforma, ak presne viete, aký výkon teraz potrebujete a ako veľmi môže rásť. Vzhľadom na pevný tvarový faktor (12 alebo 6 čepelí) ste však obmedzení v ďalšej škálovateľnosti. Navyše ste nútení používať výhradne čepele SGM, bez možnosti pripojenia bežných upline, ktoré majú oveľa širšiu škálu modelov. S príchodom Bezpečnosť siete Maestro Hyperscale situácia sa dramaticky mení.
Nová platforma zabezpečenia siete Check Point Maestro Hyperscale
Check Point Maestro bol prvýkrát predstavený 22. januára na konferencii CPX v Bangkoku. Hlavné charakteristiky možno vidieť na obrázku nižšie:
Ako vidíte, hlavnou výhodou Check Point Maestro je možnosť využívať bežné brány (spotrebiče) na balansovanie. Tie. Už sa neobmedzujeme len na čepele SGM. Záťaž môžete rozdeliť medzi akékoľvek zariadenia počnúc modelom 5600 (modely SMB a podvozok 44000/64000 nie sú podporované). Vyššie uvedený obrázok ukazuje hlavné ukazovatele, ktoré je možné dosiahnuť pri používaní novej platformy. Môžeme spojiť do jedného výpočtového zdroja až 31! brána. Teraz môže váš firewall vyzerať takto:
Maestro Hyperscale Orchestrator
Som si istý, že veľa ľudí sa už pýtalo: “Čo je to za Orchestrator?„No, zoznámte sa. Maestro Hyperscale Orchestrator — práve táto vec je zodpovedná za vyrovnávanie záťaže. Operačný systém nainštalovaný na tomto zariadení je Gaia R80.20 SP. V súčasnosti existujú dva modely orchestrátorov - MHO-140 и MHO-170. Vlastnosti na obrázku nižšie:
Na prvý pohľad sa môže zdať, že ide o obyčajný vypínač. V skutočnosti je to „spínač + vyvažovač + systém riadenia zdrojov“. Všetko v jednej krabici.
Brány sú pripojené k týmto Orchestratorom. Ak sú balancery odolné voči chybám, potom je každá brána pripojená ku každému orchestrátoru. Na pripojenie možno použiť „optiku“ (sfp+ / qsfp+ / qsfp28+) alebo kábel DAC (Direct Attach Copper). V tomto prípade musí prirodzene existovať synchronizačné prepojenie medzi orchestrátormi:
Na obrázku nižšie môžete vidieť, ako sú distribuované porty týchto orchestrátorov:
Skupiny zabezpečenia
Aby sa záťaž rozložila medzi brány, tieto brány musia byť v rovnakej skupine zabezpečenia. bezpečnostná skupina je to logická skupina zariadení, ktorá funguje ako aktívny/aktívny klaster. Táto skupina funguje nezávisle od iných bezpečnostných skupín. Z pohľadu riadiaceho servera vyzerá skupina zabezpečenia ako jedno zariadenie s jednou IP adresou.
V prípade potreby môžeme presunúť jednu alebo viac brán do samostatnej skupiny zabezpečenia a použiť túto skupinu na iné účely, ako napríklad samostatný firewall z hľadiska správy. Príklad použitia je uvedený na obrázku nižšie:
Dôležité Obmedzenie, v jednej bezpečnostnej skupine môžu byť použité iba identické brány (model). Tie. ak chcete lineárne zvyšovať kapacitu vašej bezpečnostnej brány (ktorá je zhlukom niekoľkých zariadení), musíte pridať presne tie isté brány. Toto obmedzenie by malo zmiznúť v ďalších vydaniach softvéru.
Vo videu nižšie môžete vidieť proces vytvárania bezpečnostnej skupiny. Postup je intuitívny.
Opäť, ak porovnáte komponenty Maestro s podvozkovou platformou, dostanete niečo ako nasledujúci obrázok:
Aké sú výhody novej platformy?
Výhod z technického aj ekonomického hľadiska je skutočne veľa. Stručne popíšem tie najdôležitejšie:
- V škálovaní sme prakticky neobmedzení. Až 31 brán v rámci jednej bezpečnostnej skupiny.
- Podľa potreby môžeme pridať brány. Minimálna sada na nákup je jeden orchestrátor + dve brány. Nie je potrebné stanovovať modely „rastu“.
- Ďalšie plus vyplýva z predchádzajúceho bodu. Už nemusíme meniť brány, ktoré už nezvládajú záťaž. Predtým sa tento problém riešil výmenou - starý hardvér odovzdali a nový dostali so zľavou. Pri takejto schéme sú finančné „straty“ nevyhnutné. Nový postup škálovania tento faktor eliminuje. Nemusíte nič odovzdávať, môžete len pokračovať vo zvyšovaní produktivity pomocou dodatočného hardvéru.
- Schopnosť kombinovať existujúce zdroje na rozloženie záťaže. Môžete napríklad „pretiahnuť“ všetky svoje klastre na platformu Maestro a zostaviť niekoľko bezpečnostných skupín v závislosti od zaťaženia.
Balíky Maestro Hyperscale Network Security
V súčasnosti existuje niekoľko možností nákupu takzvaných bundle s platformou Maestro. Riešenie založené na bránach 23800, 6800 a 6500:
V tomto prípade si môžete vybrať z dvoch štandardných typov vybavenia:
- Jeden orchestrátor a dve brány;
- Jeden orchestrátor a tri brány.
zariadenie 6500 и 6800 Toto sú najnovšie modely, ktoré boli tiež predstavené začiatkom tohto roka. Ale o nich si povieme podrobnejšie v ďalšom článku.
Kedy si ho môžem kúpiť?
Tu neexistuje jednoznačná odpoveď. Momentálne neexistuje žiadna notifikácia na dovoz týchto riešení do našej krajiny. Hneď ako budú k dispozícii informácie o načasovaní, okamžite to oznámime na našich verejných stránkach (
Záver
Určite nová platforma
PS Tento článok bol pripravený za účasti Anatolij Masover — Škálovateľná platforma Expert, Check Point Software Technologies.
Zdroj: hab.com