Check Point začal rok 2019 pomerne rýchlo tým, že vydal niekoľko oznámení naraz. Nie je možné hovoriť o všetkom v jednom článku, takže začnime tým najdôležitejším - . Maestro je nová škálovateľná platforma, ktorá vám umožňuje zvýšiť „výkon“ bezpečnostnej brány na „neslušné“ čísla a takmer lineárne. To sa prirodzene dosahuje vyvážením záťaže medzi jednotlivými bránami, ktoré fungujú v klastri ako jeden celok. Niekto by mohol povedať -"Bol! Existuje už 44000 XNUMX platforiem čepelí/64000". Maestro je však úplne iná záležitosť. V tomto článku sa stručne pokúsim vysvetliť, čo to je, ako to funguje a ako táto technológia pomôže ušetriť na ochrane perimetra siete.
Bolo - Stalo sa
Najjednoduchší spôsob, ako pochopiť, ako sa nová škálovateľná platforma líši od starej dobrej 44000/64000 sa pozrite na obrázok nižšie:
Rozdiel je zrejmý.
Staršia platforma Check Point 44000/64000
Ako je vidieť na obrázku vyššie, prvou možnosťou je pevná platforma (šasi), do ktorej je možné vložiť obmedzený počet špeciálnych „lopatkových modulov“ (Check Point SGM). S tým všetkým súvisí Modul bezpečnostného prepínača (SSM), ktorý vyrovnáva prevádzku medzi bránami. Nasledujúci obrázok zobrazuje komponenty tejto platformy podrobnejšie:
Toto je vynikajúca platforma, ak presne viete, aký výkon teraz potrebujete a ako veľmi môže rásť. Vzhľadom na pevný tvarový faktor (12 alebo 6 čepelí) ste však obmedzení v ďalšej škálovateľnosti. Navyše ste nútení používať výhradne čepele SGM, bez možnosti pripojenia bežných upline, ktoré majú oveľa širšiu škálu modelov. S príchodom Bezpečnosť siete Maestro Hyperscale situácia sa dramaticky mení.
Nová platforma zabezpečenia siete Check Point Maestro Hyperscale
Check Point Maestro bol prvýkrát predstavený 22. januára na konferencii CPX v Bangkoku. Hlavné charakteristiky možno vidieť na obrázku nižšie:
Ako vidíte, hlavnou výhodou Check Point Maestro je možnosť využívať bežné brány (spotrebiče) na balansovanie. Tie. Už sa neobmedzujeme len na čepele SGM. Záťaž môžete rozdeliť medzi akékoľvek zariadenia počnúc modelom 5600 (modely SMB a podvozok 44000/64000 nie sú podporované). Vyššie uvedený obrázok ukazuje hlavné ukazovatele, ktoré je možné dosiahnuť pri používaní novej platformy. Môžeme spojiť do jedného výpočtového zdroja až 31! brána. Teraz môže váš firewall vyzerať takto:
Maestro Hyperscale Orchestrator
Som si istý, že veľa ľudí sa už pýtalo: “Čo je to za Orchestrator?„No, zoznámte sa. Maestro Hyperscale Orchestrator — práve táto vec je zodpovedná za vyrovnávanie záťaže. Operačný systém nainštalovaný na tomto zariadení je Gaia R80.20 SP. V súčasnosti existujú dva modely orchestrátorov - MHO-140 и MHO-170. Vlastnosti na obrázku nižšie:
Na prvý pohľad sa môže zdať, že ide o obyčajný vypínač. V skutočnosti je to „spínač + vyvažovač + systém riadenia zdrojov“. Všetko v jednej krabici.
Brány sú pripojené k týmto Orchestratorom. Ak sú balancery odolné voči chybám, potom je každá brána pripojená ku každému orchestrátoru. Na pripojenie možno použiť „optiku“ (sfp+ / qsfp+ / qsfp28+) alebo kábel DAC (Direct Attach Copper). V tomto prípade musí prirodzene existovať synchronizačné prepojenie medzi orchestrátormi:
Na obrázku nižšie môžete vidieť, ako sú distribuované porty týchto orchestrátorov:
Skupiny zabezpečenia
Aby sa záťaž rozložila medzi brány, tieto brány musia byť v rovnakej skupine zabezpečenia. bezpečnostná skupina je to logická skupina zariadení, ktorá funguje ako aktívny/aktívny klaster. Táto skupina funguje nezávisle od iných bezpečnostných skupín. Z pohľadu riadiaceho servera vyzerá skupina zabezpečenia ako jedno zariadenie s jednou IP adresou.
V prípade potreby môžeme presunúť jednu alebo viac brán do samostatnej skupiny zabezpečenia a použiť túto skupinu na iné účely, ako napríklad samostatný firewall z hľadiska správy. Príklad použitia je uvedený na obrázku nižšie:
Dôležité Obmedzenie, v jednej bezpečnostnej skupine môžu byť použité iba identické brány (model). Tie. ak chcete lineárne zvyšovať kapacitu vašej bezpečnostnej brány (ktorá je zhlukom niekoľkých zariadení), musíte pridať presne tie isté brány. Toto obmedzenie by malo zmiznúť v ďalších vydaniach softvéru.
Vo videu nižšie môžete vidieť proces vytvárania bezpečnostnej skupiny. Postup je intuitívny.
Opäť, ak porovnáte komponenty Maestro s podvozkovou platformou, dostanete niečo ako nasledujúci obrázok:
Aké sú výhody novej platformy?
Výhod z technického aj ekonomického hľadiska je skutočne veľa. Stručne popíšem tie najdôležitejšie:
- V škálovaní sme prakticky neobmedzení. Až 31 brán v rámci jednej bezpečnostnej skupiny.
- Podľa potreby môžeme pridať brány. Minimálna sada na nákup je jeden orchestrátor + dve brány. Nie je potrebné stanovovať modely „rastu“.
- Ďalšie plus vyplýva z predchádzajúceho bodu. Už nemusíme meniť brány, ktoré už nezvládajú záťaž. Predtým sa tento problém riešil výmenou - starý hardvér odovzdali a nový dostali so zľavou. Pri takejto schéme sú finančné „straty“ nevyhnutné. Nový postup škálovania tento faktor eliminuje. Nemusíte nič odovzdávať, môžete len pokračovať vo zvyšovaní produktivity pomocou dodatočného hardvéru.
- Schopnosť kombinovať existujúce zdroje na rozloženie záťaže. Môžete napríklad „pretiahnuť“ všetky svoje klastre na platformu Maestro a zostaviť niekoľko bezpečnostných skupín v závislosti od zaťaženia.
Balíky Maestro Hyperscale Network Security
V súčasnosti existuje niekoľko možností nákupu takzvaných bundle s platformou Maestro. Riešenie založené na bránach 23800, 6800 a 6500:
V tomto prípade si môžete vybrať z dvoch štandardných typov vybavenia:
- Jeden orchestrátor a dve brány;
- Jeden orchestrátor a tri brány.
môžete vidieť odhadované ceny. Prirodzene, môžete dodatočne pridať ďalší orchestrátor a toľko brán, koľko chcete. Môžete si vyžiadať ďalšie informácie o špecifikáciách .
zariadenie 6500 и 6800 Toto sú najnovšie modely, ktoré boli tiež predstavené začiatkom tohto roka. Ale o nich si povieme podrobnejšie v ďalšom článku.
Kedy si ho môžem kúpiť?
Tu neexistuje jednoznačná odpoveď. Momentálne neexistuje žiadna notifikácia na dovoz týchto riešení do našej krajiny. Hneď ako budú k dispozícii informácie o načasovaní, okamžite to oznámime na našich verejných stránkach (, , ). Okrem toho sa v blízkej budúcnosti plánuje webinár venovaný riešeniu Check Point Maestro, kde sa bude diskutovať o všetkých technických vlastnostiach. A samozrejme môžete klásť otázky. Zostaňte naladení!
Záver
Určite nová platforma je vynikajúcim doplnkom hardvérových riešení Check Point. V skutočnosti tento produkt otvára nový segment, pre ktorý nie každý dodávateľ informačnej bezpečnosti má podobné riešenie. Navyše dnes Check Point Maestro nemá prakticky žiadne alternatívy, pokiaľ ide o poskytovanie takejto bezprecedentnej „bezpečnostnej sily“. Maestro Hyperscale Network Security však nebude zaujímať len majiteľov dátových centier, ale aj bežné firmy. Na Maestro sa už môžu bližšie pozrieť tí, ktorí vlastnia alebo plánujú nákup zariadení počnúc modelom 5600. V niektorých prípadoch môže byť použitie Maestro Hyperscale Network Security veľmi výnosným riešením z ekonomického aj technického hľadiska.
PS Tento článok bol pripravený za účasti Anatolij Masover — Škálovateľná platforma Expert, Check Point Software Technologies.
Zdroj: hab.com