Check Point je leto 2019 začel precej hitro z več objavami hkrati. Nemogoče je govoriti o vsem v enem članku, zato začnimo z najpomembnejšo stvarjo - . Maestro je nova razširljiva platforma, ki vam omogoča povečanje "moči" varnostnega prehoda na "nespodobne" številke in skoraj linearno. To se doseže naravno z uravnoteženjem obremenitve med posameznimi prehodi, ki delujejo v gruči kot ena sama entiteta. Nekdo bi lahko rekel - "bil! Obstaja že 44000 blade platform/64000". Maestro pa je povsem druga zadeva. V tem članku bom na kratko poskušal razložiti, kaj je to, kako deluje in kako bo ta tehnologija pomagala prihranite pri zaščiti perimetra omrežja.
Bil - je postal
Najlažji način za razumevanje je, kako se nova razširljiva platforma razlikuje od dobrega starega 44000/64000 je poglejte spodnjo sliko:
Razlika je očitna.
Podedovana platforma Check Point 44000/64000
Kot je razvidno iz zgornje slike, je prva možnost fiksna platforma (podvozje), v katero je mogoče vstaviti omejeno število posebnih “blade modulov” (Check Point SGM). Vse to je povezano z Varnostni stikalni modul (SSM), ki uravnava promet med prehodi. Spodnja slika podrobneje prikazuje komponente te platforme:
To je odlična platforma, če natančno veste, kakšno zmogljivost potrebujete zdaj in koliko lahko raste. Vendar pa ste zaradi fiksnega faktorja oblike (12 ali 6 rezil) omejeni pri nadaljnji razširljivosti. Poleg tega ste prisiljeni uporabljati izključno rezila SGM, brez možnosti povezovanja običajnih navzgor, ki imajo veliko širšo paleto modelov. S prihodom Maestro Hyperscale Network Security razmere se dramatično spreminjajo.
Nova platforma za varnost omrežja Check Point Maestro Hyperscale
Check Point Maestro je bil prvič predstavljen 22. januarja na konferenci CPX v Bangkoku. Glavne značilnosti so vidne na spodnji sliki:
Kot lahko vidite, je glavna prednost Check Point Maestro možnost uporabe običajnih prehodov (naprav) za uravnoteženje. Tisti. Nismo več omejeni na rezila SGM. Obremenitev lahko porazdelite med katere koli naprave, začenši z modelom 5600 (modeli SMB in šasija 44000)./64000 niso podprti). Zgornja slika prikazuje glavne kazalnike, ki jih je mogoče doseči z uporabo nove platforme. Lahko jih združimo v en računalniški vir do 31! prehod. Zdaj bi lahko vaš požarni zid izgledal takole:
Maestro Hyperscale Orchestrator
Prepričan sem, da se je že veliko ljudi vprašalo: "Kakšen orkestrator je to?»No, spoznaj me. Maestro Hyperscale Orchestrator — ta stvar je odgovorna za uravnoteženje obremenitve. Operacijski sistem, nameščen v tej napravi, je Gaia R80.20 SP. Trenutno obstajata dva modela Orchestrators - MHO-140 и MHO-170. Lastnosti na spodnji sliki:
Na prvi pogled se morda zdi, da je to navadno stikalo. Pravzaprav je to »stikalo + uravnavalec + sistem za upravljanje virov«. Vse v eni škatli.
Prehodi so povezani s temi orkestratorji. Če so uravnoteženja odporna na napake, je vsak prehod povezan z vsakim orkestratorjem. Za povezavo lahko uporabite »optiko« (sfp+ / qsfp+ / qsfp28+) ali kabel DAC (Direct Attach Copper). V tem primeru mora seveda obstajati sinhronizacijska povezava med orkestratorjema:
Na spodnji sliki lahko vidite, kako so razdeljena vrata teh orkestratorjev:
Varnostne skupine
Da se obremenitev porazdeli med prehodi, morajo biti ti prehodi v isti varnostni skupini. Varnostna skupina je logična skupina naprav, ki deluje kot aktivna/aktivna gruča. Ta skupina deluje neodvisno od drugih varnostnih skupin. Z vidika strežnika za upravljanje je varnostna skupina videti kot ena naprava z enim naslovom IP.
Če je potrebno, lahko premaknemo enega ali več prehodov v ločeno varnostno skupino in to skupino uporabimo za druge namene, kot je ločen požarni zid z vidika upravljanja. Primer uporabe je prikazan na spodnji sliki:
Pomembna omejitev, se lahko v eni varnostni skupini uporabljajo samo enaki prehodi (model). Tisti. če želite linearno povečati zmogljivost vašega varnostnega prehoda (ki je gruča več naprav), potem morate dodati popolnoma enake prehode. Ta omejitev bi morala izginiti v naslednjih izdajah programske opreme.
V spodnjem videu si lahko ogledate postopek ustvarjanja varnostne skupine. Postopek je intuitiven.
Še enkrat, če primerjate komponente Maestro s platformo šasije, dobite približno naslednjo sliko:
Kakšne so prednosti nove platforme?
Prednosti je pravzaprav veliko, tako s tehničnega kot ekonomskega vidika. Na kratko bom opisal najpomembnejše:
- Pri skaliranju smo praktično neomejeni. Do 31 prehodov znotraj ene varnostne skupine.
- Po potrebi lahko dodamo prehode. Minimalni komplet za nakup je en orkestrator + dva prehoda. Ni potrebe po postavljanju modelov »za rast«.
- Še en plus sledi iz prejšnje točke. Ni nam več treba menjati prehodov, ki ne zmorejo več obremenitve. Prej je bil ta problem rešen s postopkom zamenjave - oddali so staro strojno opremo in prejeli novo s popustom. S takšno shemo so finančne "izgube" neizogibne. Nov postopek skaliranja ta dejavnik odpravi. Ničesar vam ni treba predati, lahko le še naprej povečujete produktivnost s pomočjo dodatne strojne opreme.
- Sposobnost kombiniranja obstoječih virov za porazdelitev bremena. Na primer, vse svoje gruče lahko »povlečete« na platformo Maestro in sestavite več varnostnih skupin, odvisno od obremenitve.
Maestro Hyperscale Network Security paketi
Trenutno je na voljo več možnosti za nakup tako imenovanih paketov s platformo Maestro. Rešitev, ki temelji na prehodih 23800, 6800 in 6500:
V tem primeru lahko izbirate med dvema standardnima vrstama opreme:
- En orkestrator in dva prehoda;
- En orkestrator in trije prehodi.
lahko vidite okvirne cene. Seveda lahko dodatno dodate še enega orkestratorja in poljubno število prehodov. Zahtevate lahko dodatne informacije o specifikacijah .
Naprave 6500 и 6800 To so najnovejši modeli, ki so bili prav tako predstavljeni v začetku tega leta. Toda o njih bomo podrobneje govorili v naslednjem članku.
Kdaj ga lahko kupim?
Tukaj ni jasnega odgovora. Trenutno ni nobene prijave za uvoz teh raztopin v našo državo. Takoj, ko bodo informacije o terminu na voljo, bomo takoj objavili obvestilo na naših javnih straneh (, , ). Poleg tega je v bližnji prihodnosti načrtovan webinar, posvečen rešitvi Check Point Maestro, kjer bodo obravnavane vse tehnične značilnosti. In seveda lahko postavljate vprašanja. Ostani na vezi!
Zaključek
Vsekakor nova platforma je odličen dodatek k strojnim rešitvam Check Point. Pravzaprav ta izdelek odpira nov segment, za katerega nima vsak ponudnik informacijske varnosti podobne rešitve. Še več, danes Check Point Maestro praktično nima druge možnosti, ko gre za zagotavljanje takšne "varnostne moči" brez primere. Vendar Maestro Hyperscale Network Security ne bo zanimiv le za lastnike podatkovnih centrov, ampak tudi za običajna podjetja. Tisti, ki imate ali načrtujete nakup naprav od modela 5600, si lahko Maestro že ogledate pobližje.V nekaterih primerih je uporaba Maestro Hyperscale Network Security lahko zelo donosna rešitev, tako z ekonomskega kot tehničnega vidika.
PS Ta članek je bil pripravljen s sodelovanjem Anatolij Masover — Strokovnjak za razširljivo platformo, Check Point Software Technologies.
Vir: www.habr.com