Check Point startade 2019 ganska snabbt med att göra flera tillkännagivanden samtidigt. Det är omöjligt att prata om allt i en artikel, så låt oss börja med det viktigaste - . Maestro är en ny skalbar plattform som låter dig öka "kraften" i säkerhetsporten till "oanständiga" siffror och nästan linjärt. Detta uppnås naturligt genom att balansera belastningen mellan enskilda gateways som fungerar i ett kluster som en enda enhet. Någon kanske säger - "Var! Det finns redan 44000 XNUMX bladplattformar/64000". Men Maestro är en helt annan sak. I den här artikeln kommer jag kort att försöka förklara vad det är, hur det fungerar och hur denna teknik kommer att hjälpa spara på nätverkets perimeterskydd.
Var - Har blivit
Det enklaste sättet att förstå är hur den nya skalbara plattformen skiljer sig från den gamla goda 44000/64000 är titta på bilden nedan:
Skillnaden är uppenbar.
Legacy Check Point 44000-plattform/64000
Som framgår av bilden ovan är det första alternativet en fast plattform (chassi), i vilken ett begränsat antal speciella "bladmoduler" kan sättas in (Check Point SGM). Allt detta är kopplat till Säkerhetsbrytarmodul (SSM), som balanserar trafik mellan gateways. Bilden nedan visar komponenterna i denna plattform mer detaljerat:
Det här är en utmärkt plattform om du vet exakt vilken prestanda du behöver nu och hur mycket den kan växa. Men på grund av den fasta formfaktorn (12 eller 6 blad) är du begränsad i ytterligare skalbarhet. Dessutom tvingas du använda uteslutande SGM-blad, utan möjlighet att ansluta konventionella uplines, som har ett mycket bredare utbud av modeller. Med advent Maestro Hyperscale Network Security situationen förändras dramatiskt.
Ny Check Point Maestro Hyperscale Network Security Platform
Check Point Maestro introducerades först den 22 januari på CPX-konferensen i Bangkok. De viktigaste egenskaperna kan ses på bilden nedan:
Som du kan se är den största fördelen med Check Point Maestro möjligheten att använda vanliga gateways (apparater) för balansering. De där. Vi är inte längre begränsade till SGM-blad. Du kan fördela belastningen mellan alla enheter från och med 5600-modellen (SMB-modeller och Chassis 44000)/64000 stöds inte). Bilden ovan visar de viktigaste indikatorerna som kan uppnås när du använder den nya plattformen. Vi kan kombinera till en datorresurs upp till 31! inkörsport. Nu kan din brandvägg se ut så här:
Maestro Hyperscale Orchestrator
Jag är säker på att många redan har frågat: "Vad är det här för orkesterare?"Tja, träffa mig. Maestro Hyperscale Orchestrator — det är den här saken som ansvarar för lastbalanseringen. Operativsystemet som är installerat på den här enheten är Gaia R80.20 SP. Det finns för närvarande två modeller av Orchestrators - MHO-140 и MHO-170. Funktioner på bilden nedan:
Vid första anblicken kan det tyckas att detta är en vanlig switch. I själva verket är det "växel + balanserar + resurshanteringssystem." Allt i en låda.
Gateways är anslutna till dessa Orchestrators. Om balanserarna är feltoleranta är varje gateway ansluten till varje orkestrator. För anslutning kan "optik" (sfp+ / qsfp+ / qsfp28+) eller DAC-kabel (Direct Attach Copper) användas. I detta fall måste det naturligtvis finnas en synkroniseringslänk mellan orkestrarna:
På bilden nedan kan du se hur dessa orkestratorers hamnar är fördelade:
Säkerhetsgrupper
För att lasten ska kunna fördelas mellan gateways måste dessa gateways finnas i samma säkerhetsgrupp. Säkerhetsgrupp det är en logisk grupp av enheter som fungerar som ett aktivt/aktivt kluster. Denna grupp fungerar oberoende av andra säkerhetsgrupper. Ur hanteringsserverns synvinkel ser säkerhetsgruppen ut som en enhet med en IP-adress.
Vid behov kan vi flytta en eller flera gateways till en separat säkerhetsgrupp och använda denna grupp för andra ändamål, som en separat brandvägg ur förvaltningssynpunkt. Ett exempel på användning visas på bilden nedan:
Viktig begränsning, endast identiska gateways (modell) kan användas i en säkerhetsgrupp. De där. om du vill öka kapaciteten för din säkerhetsgateway linjärt (som är ett kluster av flera enheter), måste du lägga till exakt samma gateways. Denna begränsning bör försvinna i nästa programvaruversioner.
I videon nedan kan du se processen för att skapa en säkerhetsgrupp. Proceduren är intuitiv.
Återigen, om du jämför Maestro-komponenterna med chassiplattformen får du ungefär följande bild:
Vilka är fördelarna med den nya plattformen?
Det finns faktiskt många fördelar, både ur teknisk och ekonomisk synvinkel. Jag ska kort beskriva de viktigaste:
- Vi är praktiskt taget obegränsade i skalning. Upp till 31 gateways inom en säkerhetsgrupp.
- Vi kan lägga till gateways efter behov. Minsta uppsättning för köp är en orkestrator + två gateways. Det finns inget behov av att fastställa modeller "för tillväxt".
- Ett annat plus följer av föregående punkt. Vi behöver inte längre byta gateways som inte längre klarar belastningen. Tidigare löstes detta problem med hjälp av inbytesproceduren - de lämnade över gammal hårdvara och fick ny till rabatterat pris. Med ett sådant system är ekonomiska "förluster" oundvikliga. Den nya skalningsproceduren eliminerar denna faktor. Du behöver inte lämna över något, du kan bara fortsätta att öka produktiviteten med hjälp av ytterligare hårdvara.
- Möjligheten att kombinera befintliga resurser för att fördela belastningen. Till exempel kan du "dra" alla dina kluster till Maestro-plattformen och sätta ihop flera säkerhetsgrupper, beroende på belastningen.
Maestro Hyperscale Network Security-paket
För närvarande finns det flera alternativ för att köpa så kallade buntar med Maestro-plattformen. Lösning baserad på gateways 23800, 6800 och 6500:
I det här fallet kan du välja mellan två standardtyper av utrustning:
- En orkestrator och två gateways;
- En orkestrator och tre gateways.
du kan se de uppskattade priserna. Naturligtvis kan du lägga till ytterligare en orkestrator och så många gateways du vill. Ytterligare information om specifikationer kan begäras .
enheter 6500 и 6800 Det är de senaste modellerna som också introducerades tidigare i år. Men vi kommer att prata om dem mer i detalj i nästa artikel.
När kan jag köpa den?
Det finns inget tydligt svar här. För närvarande finns det ingen anmälan för import av dessa lösningar till vårt land. Så snart information om tidpunkten blir tillgänglig kommer vi omedelbart att göra ett tillkännagivande på våra offentliga sidor (, , ). Dessutom planeras ett webbseminarium dedikerat till Check Point Maestro-lösningen inom en snar framtid, där alla tekniska funktioner kommer att diskuteras. Och självklart kan du ställa frågor. Håll ögonen öppna!
Slutsats
Helt klart en ny plattform är ett utmärkt komplement till Check Points hårdvarulösningar. Faktum är att denna produkt öppnar ett nytt segment, för vilket inte alla leverantörer av informationssäkerhet har en liknande lösning. Dessutom har Check Point Maestro idag praktiskt taget inga alternativ när det gäller att tillhandahålla en sådan oöverträffad "säkerhetskraft". Maestro Hyperscale Network Security kommer dock att vara av intresse inte bara för datacenterägare utan även för vanliga företag. De som äger eller planerar att köpa enheter som börjar med modellen 5600 kan redan nu titta närmare på Maestro.I vissa fall kan det vara en mycket lönsam lösning att använda Maestro Hyperscale Network Security, både ur ekonomisk och teknisk synvinkel.
PS Denna artikel utarbetades med deltagande av Anatoly Masover — Skalbar plattformsexpert, Check Point Software Technologies.
Källa: will.com