1. Check Point Maestro Hyperscale Network Security - แพลตฟอร์มความปลอดภัยใหม่ที่ปรับขนาดได้

Check Point เริ่มต้นปี 2019 อย่างรวดเร็วด้วยการประกาศหลายรายการพร้อมกัน เป็นไปไม่ได้ที่จะพูดถึงทุกสิ่งในบทความเดียว ดังนั้นเรามาเริ่มกันที่สิ่งที่สำคัญที่สุดกันดีกว่า - Check Point Maestro ความปลอดภัยเครือข่ายไฮเปอร์สเกล. Maestro เป็นแพลตฟอร์มใหม่ที่ปรับขนาดได้ซึ่งช่วยให้คุณสามารถเพิ่ม "พลัง" ของเกตเวย์ความปลอดภัยเป็นตัวเลขที่ "ไม่เหมาะสม" และแทบจะเป็นเชิงเส้น ซึ่งสามารถทำได้โดยธรรมชาติโดยการปรับสมดุลโหลดระหว่างเกตเวย์แต่ละเกตเวย์ที่ทำงานในคลัสเตอร์เป็นเอนทิตีเดียว อาจจะมีคนบอกว่า-"เคยเป็น! มีแท่นเบลดอยู่แล้ว 44000 อัน/64000". อย่างไรก็ตาม Maestro เป็นเรื่องที่แตกต่างไปจากเดิมอย่างสิ้นเชิง ในบทความนี้ ฉันจะพยายามอธิบายสั้นๆ ว่ามันคืออะไร ทำงานอย่างไร และเทคโนโลยีนี้จะช่วยได้อย่างไร ประหยัดในการป้องกันขอบเขตเครือข่าย.

เป็น - ได้กลายเป็น

วิธีที่ง่ายที่สุดในการทำความเข้าใจคือแพลตฟอร์มที่ปรับขนาดได้ใหม่แตกต่างจากแพลตฟอร์ม 44000 แบบเก่าที่ดีอย่างไร/64000 ดูภาพด้านล่าง:

ความแตกต่างที่ชัดเจน

แพลตฟอร์ม Legacy Check Point 44000/64000

ดังที่เห็นได้จากภาพด้านบน ตัวเลือกแรกคือแพลตฟอร์มแบบตายตัว (แชสซี) ซึ่งสามารถแทรก “โมดูลเบลด” พิเศษในจำนวนจำกัดได้ (จุดตรวจสอบ SGM). ทั้งหมดนี้เชื่อมโยงกับ โมดูลสวิตช์ความปลอดภัย (SSM) ซึ่งสร้างสมดุลการรับส่งข้อมูลระหว่างเกตเวย์ รูปภาพด้านล่างแสดงส่วนประกอบของแพลตฟอร์มนี้โดยละเอียด:

นี่เป็นแพลตฟอร์มที่ยอดเยี่ยมหากคุณทราบแน่ชัดว่าคุณต้องการประสิทธิภาพใดในตอนนี้และสามารถเติบโตได้มากเพียงใด อย่างไรก็ตาม เนื่องจากฟอร์มแฟคเตอร์คงที่ (12 หรือ 6 เบลด) คุณจึงถูกจำกัดในเรื่องความสามารถในการขยายเพิ่มเติม นอกจากนี้ คุณจะถูกบังคับให้ใช้เบลด SGM โดยเฉพาะ โดยไม่มีความสามารถในการเชื่อมต่ออัพไลน์แบบธรรมดาซึ่งมีรุ่นที่หลากหลายกว่ามาก ด้วยการเสด็จมา ความปลอดภัยเครือข่าย Maestro Hyperscale สถานการณ์กำลังเปลี่ยนแปลงไปอย่างมาก

แพลตฟอร์มความปลอดภัยเครือข่าย Check Point Maestro Hyperscale ใหม่

Check Point Maestro เปิดตัวครั้งแรกเมื่อวันที่ 22 มกราคมที่การประชุม CPX ในกรุงเทพฯ ลักษณะสำคัญสามารถดูได้ในภาพด้านล่าง:

อย่างที่คุณเห็น ข้อได้เปรียบหลักของ Check Point Maestro คือความสามารถในการใช้เกตเวย์ปกติ (อุปกรณ์) เพื่อสร้างสมดุล เหล่านั้น. เราไม่ได้จำกัดอยู่เพียงใบมีด SGM อีกต่อไป คุณสามารถกระจายโหลดระหว่างอุปกรณ์ใดก็ได้โดยเริ่มจากรุ่น 5600 (รุ่น SMB และแชสซี 44000/64ไม่รองรับ 000) รูปภาพด้านบนแสดงตัวบ่งชี้หลักที่สามารถทำได้เมื่อใช้แพลตฟอร์มใหม่ เราสามารถรวมเป็นทรัพยากรคอมพิวเตอร์เดียวได้ ถึง 31! ประตู. ตอนนี้ไฟร์วอลล์ของคุณอาจมีลักษณะดังนี้:

ปรมาจารย์ Hyperscale Orchestrator

ฉันแน่ใจว่าหลายคนถามแล้ว: “นี่คือออร์เคสตราเตอร์แบบไหน?“เอาล่ะ เจอกัน.. ปรมาจารย์ Hyperscale Orchestrator — มันคือสิ่งที่รับผิดชอบในการจัดสรรภาระงาน ระบบปฏิบัติการที่ติดตั้งบนอุปกรณ์นี้คือ ไกอา R80.20 SP. ปัจจุบันมี Orchestrator อยู่ XNUMX รุ่น ได้แก่ MHO-140 и MHO-170. คุณสมบัติในภาพด้านล่าง:

เมื่อมองแวบแรกอาจดูเหมือนว่านี่เป็นสวิตช์ธรรมดา อันที่จริงมันคือ “สวิตช์ + บาลานเซอร์ + ระบบการจัดการทรัพยากร” ทุกอย่างในกล่องเดียว
เกตเวย์เชื่อมต่อกับ Orchestrator เหล่านี้ หากบาลานเซอร์ทนทานต่อข้อผิดพลาด แต่ละเกตเวย์จะเชื่อมต่อกับผู้ควบคุมเครื่องแต่ละคน สำหรับการเชื่อมต่อ สามารถใช้ "ออปติก" (sfp+ / qsfp+ / qsfp28+) หรือสาย DAC (Direct Attach Copper) ได้ ในกรณีนี้ จะต้องมีลิงก์การซิงโครไนซ์ระหว่างผู้เรียบเรียงโดยธรรมชาติ:

ในภาพด้านล่างคุณจะเห็นว่าพอร์ตของออเคสตราเตอร์เหล่านี้มีการกระจายอย่างไร:

กลุ่มรักษาความปลอดภัย

เพื่อให้โหลดถูกกระจายระหว่างเกตเวย์ เกตเวย์เหล่านี้จะต้องอยู่ในกลุ่มความปลอดภัยเดียวกัน กลุ่มรักษาความปลอดภัย เป็นกลุ่มอุปกรณ์แบบลอจิคัลที่ทำหน้าที่เป็นคลัสเตอร์ที่ใช้งานอยู่/ใช้งานอยู่ กลุ่มนี้ทำงานโดยไม่ขึ้นอยู่กับกลุ่มความปลอดภัยอื่นๆ จากมุมมองของเซิร์ฟเวอร์การจัดการ กลุ่มความปลอดภัยดูเหมือนอุปกรณ์เครื่องเดียวที่มีที่อยู่ IP เดียว
หากจำเป็น เราสามารถย้ายเกตเวย์หนึ่งรายการขึ้นไปไปยังกลุ่มความปลอดภัยที่แยกจากกัน และใช้กลุ่มนี้เพื่อวัตถุประสงค์อื่น เช่น ไฟร์วอลล์ที่แยกจากมุมมองการจัดการ ตัวอย่างการใช้งานแสดงอยู่ในภาพด้านล่าง:

ข้อจำกัดที่สำคัญสามารถใช้เกตเวย์ (รุ่น) ที่เหมือนกันเท่านั้นในกลุ่มความปลอดภัยกลุ่มเดียว เหล่านั้น. หากคุณต้องการเพิ่มขีดความสามารถของเกตเวย์ความปลอดภัยของคุณแบบเชิงเส้น (ซึ่งเป็นคลัสเตอร์ของอุปกรณ์หลายตัว) คุณต้องเพิ่มเกตเวย์เดียวกันทุกประการ ข้อจำกัดนี้ควรจะหายไปในซอฟต์แวร์รุ่นถัดไป

ในวิดีโอด้านล่าง คุณสามารถดูกระบวนการสร้างกลุ่มความปลอดภัยได้ ขั้นตอนนี้ใช้งานง่าย

ขอย้ำอีกครั้ง หากคุณเปรียบเทียบส่วนประกอบ Maestro กับแพลตฟอร์มแชสซี คุณจะได้ภาพดังต่อไปนี้:

แพลตฟอร์มใหม่มีประโยชน์อย่างไร?

จริงๆ แล้วมีข้อดีหลายประการ ทั้งจากมุมมองทางเทคนิคและเศรษฐศาสตร์ ฉันจะอธิบายสิ่งที่สำคัญที่สุดโดยย่อ:

1. เรามีการปรับขนาดได้ไม่จำกัดในทางปฏิบัติ มากถึง 31 เกตเวย์ภายในกลุ่มความปลอดภัยเดียว
2. เราสามารถเพิ่มเกตเวย์ได้ตามต้องการ ชุดขั้นต่ำสำหรับการซื้อคือหนึ่งผู้ดำเนินการ + สองเกตเวย์ ไม่จำเป็นต้องวางโมเดล "เพื่อการเติบโต"
3. ข้อดีอีกประการหนึ่งต่อจากจุดก่อนหน้า เราไม่จำเป็นต้องเปลี่ยนเกตเวย์ที่ไม่สามารถรับมือกับโหลดได้อีกต่อไป ก่อนหน้านี้ปัญหานี้ได้รับการแก้ไขโดยใช้ขั้นตอนการแลกเปลี่ยน - พวกเขาส่งมอบฮาร์ดแวร์เก่าและรับฮาร์ดแวร์ใหม่พร้อมส่วนลด ด้วยแผนการเช่นนี้ “ความสูญเสีย” ทางการเงินจึงเป็นสิ่งที่หลีกเลี่ยงไม่ได้ ขั้นตอนการปรับขนาดใหม่จะขจัดปัจจัยนี้ คุณไม่จำเป็นต้องส่งมอบสิ่งใดๆ คุณสามารถเพิ่มประสิทธิภาพการทำงานต่อไปได้โดยใช้ฮาร์ดแวร์เพิ่มเติม
4. ความสามารถในการรวมทรัพยากรที่มีอยู่เพื่อกระจายโหลด ตัวอย่างเช่น คุณสามารถ “ลาก” คลัสเตอร์ทั้งหมดของคุณไปยังแพลตฟอร์ม Maestro และรวบรวมกลุ่มความปลอดภัยหลายกลุ่ม ขึ้นอยู่กับปริมาณงาน

ชุด Maestro Hyperscale Network Security

ปัจจุบัน มีหลายทางเลือกในการซื้อชุดรวมที่มีแพลตฟอร์ม Maestro โซลูชันที่ใช้เกตเวย์ 23800, 6800 และ 6500:

ในกรณีนี้ คุณสามารถเลือกอุปกรณ์มาตรฐานได้สองประเภท:

1. หนึ่งออเคสตราและสองเกตเวย์
2. หนึ่งออเคสตราและสามเกตเวย์

ที่นี่ คุณสามารถดูราคาโดยประมาณได้ โดยปกติแล้ว คุณสามารถเพิ่มผู้ควบคุมระบบรายอื่นและเกตเวย์ได้มากเท่าที่คุณต้องการ ข้อมูลเพิ่มเติมเกี่ยวกับข้อกำหนดสามารถขอได้ ที่นี่.
อุปกรณ์ 6500 и 6800 เหล่านี้เป็นรุ่นล่าสุดที่เปิดตัวเมื่อต้นปีนี้เช่นกัน แต่เราจะพูดถึงรายละเอียดเพิ่มเติมในบทความถัดไป

ฉันจะซื้อได้เมื่อไหร่?

ไม่มีคำตอบที่ชัดเจนที่นี่ ในขณะนี้ยังไม่มีการแจ้งเตือนเกี่ยวกับการนำเข้าโซลูชันเหล่านี้เข้ามาในประเทศของเรา ทันทีที่มีข้อมูลเกี่ยวกับกำหนดเวลา เราจะประกาศในหน้าสาธารณะของเราทันที (vk, โทรเลข, Facebook). นอกจากนี้ ยังมีการวางแผนการสัมมนาผ่านเว็บเกี่ยวกับโซลูชัน Check Point Maestro ในอนาคตอันใกล้นี้ โดยจะมีการหารือเกี่ยวกับคุณลักษณะทางเทคนิคทั้งหมด และแน่นอนคุณสามารถถามคำถามได้ คอยติดตาม!

ข้อสรุป

แพลตฟอร์มใหม่อย่างแน่นอน ความปลอดภัยเครือข่าย Maestro Hyperscale เป็นส่วนเสริมที่ยอดเยี่ยมสำหรับโซลูชันฮาร์ดแวร์ของ Check Point ในความเป็นจริง ผลิตภัณฑ์นี้เปิดกลุ่มใหม่ ซึ่งไม่ใช่ผู้จำหน่ายความปลอดภัยข้อมูลทุกรายจะมีโซลูชันที่คล้ายกัน ยิ่งไปกว่านั้น ในปัจจุบัน Check Point Maestro แทบไม่มีทางเลือกอื่นในการมอบ "พลังรักษาความปลอดภัย" ที่ไม่เคยมีมาก่อน อย่างไรก็ตาม Maestro Hyperscale Network Security จะเป็นที่สนใจไม่เฉพาะกับเจ้าของศูนย์ข้อมูลเท่านั้น แต่ยังรวมถึงบริษัททั่วไปด้วย ผู้ที่เป็นเจ้าของหรือกำลังวางแผนที่จะซื้ออุปกรณ์ที่เริ่มต้นด้วยรุ่น 5600 สามารถดู Maestro อย่างใกล้ชิดได้แล้ว ในบางกรณี การใช้ Maestro Hyperscale Network Security อาจเป็นโซลูชันที่ทำกำไรได้มากทั้งจากมุมมองทางเศรษฐกิจและทางเทคนิค

ป.ล. บทความนี้จัดทำขึ้นโดยการมีส่วนร่วมของ อนาโตลี มาโซเวอร์ — ผู้เชี่ยวชาญด้านแพลตฟอร์มที่ปรับขนาดได้ เทคโนโลยีซอฟต์แวร์ Check Point

ที่มา: will.com