Check Point startade 2019 ganska snabbt med att göra flera tillkÀnnagivanden samtidigt. Det Àr omöjligt att prata om allt i en artikel, sÄ lÄt oss börja med det viktigaste - . Maestro Àr en ny skalbar plattform som lÄter dig öka "kraften" i sÀkerhetsporten till "oanstÀndiga" siffror och nÀstan linjÀrt. Detta uppnÄs naturligt genom att balansera belastningen mellan enskilda gateways som fungerar i ett kluster som en enda enhet. NÄgon kanske sÀger - "Var! Det finns redan 44000 XNUMX bladplattformar/64000". Men Maestro Àr en helt annan sak. I den hÀr artikeln kommer jag kort att försöka förklara vad det Àr, hur det fungerar och hur denna teknik kommer att hjÀlpa spara pÄ nÀtverkets perimeterskydd.
Var - Har blivit
Det enklaste sÀttet att förstÄ Àr hur den nya skalbara plattformen skiljer sig frÄn den gamla goda 44000/64000 Àr titta pÄ bilden nedan:
Skillnaden Àr uppenbar.
Legacy Check Point 44000-plattform/64000
Som framgÄr av bilden ovan Àr det första alternativet en fast plattform (chassi), i vilken ett begrÀnsat antal speciella "bladmoduler" kan sÀttas in (Check Point SGM). Allt detta Àr kopplat till SÀkerhetsbrytarmodul (SSM), som balanserar trafik mellan gateways. Bilden nedan visar komponenterna i denna plattform mer detaljerat:
Det hÀr Àr en utmÀrkt plattform om du vet exakt vilken prestanda du behöver nu och hur mycket den kan vÀxa. Men pÄ grund av den fasta formfaktorn (12 eller 6 blad) Àr du begrÀnsad i ytterligare skalbarhet. Dessutom tvingas du anvÀnda uteslutande SGM-blad, utan möjlighet att ansluta konventionella uplines, som har ett mycket bredare utbud av modeller. Med advent Maestro Hyperscale Network Security situationen förÀndras dramatiskt.
Ny Check Point Maestro Hyperscale Network Security Platform
Check Point Maestro introducerades först den 22 januari pÄ CPX-konferensen i Bangkok. De viktigaste egenskaperna kan ses pÄ bilden nedan:
Som du kan se Àr den största fördelen med Check Point Maestro möjligheten att anvÀnda vanliga gateways (apparater) för balansering. De dÀr. Vi Àr inte lÀngre begrÀnsade till SGM-blad. Du kan fördela belastningen mellan alla enheter frÄn och med 5600-modellen (SMB-modeller och Chassis 44000)/64000 stöds inte). Bilden ovan visar de viktigaste indikatorerna som kan uppnÄs nÀr du anvÀnder den nya plattformen. Vi kan kombinera till en datorresurs upp till 31! inkörsport. Nu kan din brandvÀgg se ut sÄ hÀr:
Maestro Hyperscale Orchestrator
Jag Ă€r sĂ€ker pĂ„ att mĂ„nga redan har frĂ„gat: "Vad Ă€r det hĂ€r för orkesterare?"Tja, trĂ€ffa mig. Maestro Hyperscale Orchestrator â det Ă€r den hĂ€r saken som ansvarar för lastbalanseringen. Operativsystemet som Ă€r installerat pĂ„ den hĂ€r enheten Ă€r Gaia R80.20 SP. Det finns för nĂ€rvarande tvĂ„ modeller av Orchestrators - MHO-140 Đž MHO-170. Funktioner pĂ„ bilden nedan:
Vid första anblicken kan det tyckas att detta Àr en vanlig switch. I sjÀlva verket Àr det "vÀxel + balanserar + resurshanteringssystem." Allt i en lÄda.
Gateways Àr anslutna till dessa Orchestrators. Om balanserarna Àr feltoleranta Àr varje gateway ansluten till varje orkestrator. För anslutning kan "optik" (sfp+ / qsfp+ / qsfp28+) eller DAC-kabel (Direct Attach Copper) anvÀndas. I detta fall mÄste det naturligtvis finnas en synkroniseringslÀnk mellan orkestrarna:
PÄ bilden nedan kan du se hur dessa orkestratorers hamnar Àr fördelade:
SĂ€kerhetsgrupper
För att lasten ska kunna fördelas mellan gateways mÄste dessa gateways finnas i samma sÀkerhetsgrupp. SÀkerhetsgrupp det Àr en logisk grupp av enheter som fungerar som ett aktivt/aktivt kluster. Denna grupp fungerar oberoende av andra sÀkerhetsgrupper. Ur hanteringsserverns synvinkel ser sÀkerhetsgruppen ut som en enhet med en IP-adress.
Vid behov kan vi flytta en eller flera gateways till en separat sÀkerhetsgrupp och anvÀnda denna grupp för andra ÀndamÄl, som en separat brandvÀgg ur förvaltningssynpunkt. Ett exempel pÄ anvÀndning visas pÄ bilden nedan:
Viktig begrÀnsning, endast identiska gateways (modell) kan anvÀndas i en sÀkerhetsgrupp. De dÀr. om du vill öka kapaciteten för din sÀkerhetsgateway linjÀrt (som Àr ett kluster av flera enheter), mÄste du lÀgga till exakt samma gateways. Denna begrÀnsning bör försvinna i nÀsta programvaruversioner.
I videon nedan kan du se processen för att skapa en sÀkerhetsgrupp. Proceduren Àr intuitiv.
Ă
terigen, om du jÀmför Maestro-komponenterna med chassiplattformen fÄr du ungefÀr följande bild:
Vilka Àr fördelarna med den nya plattformen?
Det finns faktiskt mÄnga fördelar, bÄde ur teknisk och ekonomisk synvinkel. Jag ska kort beskriva de viktigaste:
- Vi Àr praktiskt taget obegrÀnsade i skalning. Upp till 31 gateways inom en sÀkerhetsgrupp.
- Vi kan lÀgga till gateways efter behov. Minsta uppsÀttning för köp Àr en orkestrator + tvÄ gateways. Det finns inget behov av att faststÀlla modeller "för tillvÀxt".
- Ett annat plus följer av föregÄende punkt. Vi behöver inte lÀngre byta gateways som inte lÀngre klarar belastningen. Tidigare löstes detta problem med hjÀlp av inbytesproceduren - de lÀmnade över gammal hÄrdvara och fick ny till rabatterat pris. Med ett sÄdant system Àr ekonomiska "förluster" oundvikliga. Den nya skalningsproceduren eliminerar denna faktor. Du behöver inte lÀmna över nÄgot, du kan bara fortsÀtta att öka produktiviteten med hjÀlp av ytterligare hÄrdvara.
- Möjligheten att kombinera befintliga resurser för att fördela belastningen. Till exempel kan du "dra" alla dina kluster till Maestro-plattformen och sÀtta ihop flera sÀkerhetsgrupper, beroende pÄ belastningen.
Maestro Hyperscale Network Security-paket
För nÀrvarande finns det flera alternativ för att köpa sÄ kallade buntar med Maestro-plattformen. Lösning baserad pÄ gateways 23800, 6800 och 6500:
I det hÀr fallet kan du vÀlja mellan tvÄ standardtyper av utrustning:
- En orkestrator och tvÄ gateways;
- En orkestrator och tre gateways.
du kan se de uppskattade priserna. Naturligtvis kan du lÀgga till ytterligare en orkestrator och sÄ mÄnga gateways du vill. Ytterligare information om specifikationer kan begÀras .
enheter 6500 О 6800 Det Àr de senaste modellerna som ocksÄ introducerades tidigare i Är. Men vi kommer att prata om dem mer i detalj i nÀsta artikel.
NÀr kan jag köpa den?
Det finns inget tydligt svar hÀr. För nÀrvarande finns det ingen anmÀlan för import av dessa lösningar till vÄrt land. SÄ snart information om tidpunkten blir tillgÀnglig kommer vi omedelbart att göra ett tillkÀnnagivande pÄ vÄra offentliga sidor (, , ). Dessutom planeras ett webbseminarium dedikerat till Check Point Maestro-lösningen inom en snar framtid, dÀr alla tekniska funktioner kommer att diskuteras. Och sjÀlvklart kan du stÀlla frÄgor. HÄll ögonen öppna!
Slutsats
Helt klart en ny plattform Àr ett utmÀrkt komplement till Check Points hÄrdvarulösningar. Faktum Àr att denna produkt öppnar ett nytt segment, för vilket inte alla leverantörer av informationssÀkerhet har en liknande lösning. Dessutom har Check Point Maestro idag praktiskt taget inga alternativ nÀr det gÀller att tillhandahÄlla en sÄdan oövertrÀffad "sÀkerhetskraft". Maestro Hyperscale Network Security kommer dock att vara av intresse inte bara för datacenterÀgare utan Àven för vanliga företag. De som Àger eller planerar att köpa enheter som börjar med modellen 5600 kan redan nu titta nÀrmare pÄ Maestro.I vissa fall kan det vara en mycket lönsam lösning att anvÀnda Maestro Hyperscale Network Security, bÄde ur ekonomisk och teknisk synvinkel.
PS Denna artikel utarbetades med deltagande av Anatoly Masover â Skalbar plattformsexpert, Check Point Software Technologies.
KĂ€lla: will.com
