Mabilis na nagsimula ang Check Point sa 2019 sa pamamagitan ng paggawa ng ilang anunsyo nang sabay-sabay. Imposibleng pag-usapan ang lahat sa isang artikulo, kaya magsimula tayo sa pinakamahalagang bagay - . Ang Maestro ay isang bagong scalable na platform na nagbibigay-daan sa iyong pataasin ang "kapangyarihan" ng gateway ng seguridad sa mga "indecent" na numero at halos linearly. Ito ay natural na nakakamit sa pamamagitan ng pagbabalanse ng load sa pagitan ng mga indibidwal na gateway na gumagana sa isang cluster bilang isang entity. Baka may magsabi-"Ay! Mayroon nang 44000 blade platform/64000". Gayunpaman, ang Maestro ay isang ganap na naiibang bagay. Sa artikulong ito, susubukan kong maipaliwanag kung ano ito, kung paano ito gumagana at kung paano makakatulong ang teknolohiyang ito makatipid sa proteksyon ng perimeter ng network.
Ay - Ay naging
Ang pinakamadaling paraan upang maunawaan ay kung paano naiiba ang bagong scalable na platform sa magandang lumang 44000/64000 ay tingnan ang larawan sa ibaba:
Ang pagkakaiba ay halata.
Legacy Check Point 44000 platform/64000
Tulad ng makikita mula sa larawan sa itaas, ang unang pagpipilian ay isang nakapirming platform (chassis), kung saan maaaring maipasok ang isang limitadong bilang ng mga espesyal na "blade modules" (Check Point SGM). Ang lahat ng ito ay konektado sa Security Switch Module (SSM), na nagbabalanse ng trapiko sa pagitan ng mga gateway. Ang larawan sa ibaba ay nagpapakita ng mga bahagi ng platform na ito nang mas detalyado:
Ito ay isang mahusay na platform kung alam mo kung ano mismo ang pagganap na kailangan mo ngayon at kung gaano ito maaaring lumago. Gayunpaman, dahil sa nakapirming form factor (12 o 6 na blades), limitado ka sa karagdagang scalability. Bilang karagdagan, napipilitan kang gumamit ng eksklusibong SGM blades, nang walang kakayahang kumonekta sa mga maginoo na upline, na may mas malawak na hanay ng mga modelo. Sa pagdating Maestro Hyperscale Network Security ang sitwasyon ay kapansin-pansing nagbabago.
Bagong Check Point Maestro Hyperscale Network Security Platform
Unang ipinakilala ang Check Point Maestro noong Enero 22 sa CPX conference sa Bangkok. Ang mga pangunahing katangian ay makikita sa larawan sa ibaba:
Tulad ng nakikita mo, ang pangunahing bentahe ng Check Point Maestro ay ang kakayahang gumamit ng mga regular na gateway (mga appliances) para sa pagbabalanse. Yung. Hindi na kami limitado sa SGM blades. Maaari mong ipamahagi ang load sa pagitan ng anumang device simula sa 5600 model (SMB models at Chassis 44000/64000 ay hindi suportado). Ang larawan sa itaas ay nagpapakita ng mga pangunahing tagapagpahiwatig na maaaring makamit kapag gumagamit ng bagong platform. Maaari nating pagsamahin sa isang mapagkukunan ng pag-compute hanggang 31! gateway. Ngayon ang iyong firewall ay maaaring magmukhang ganito:
Maestro Hyperscale Orchestrator
Sigurado akong marami na ang nagtanong: βAnong klaseng Orkestra ito?βWell, meet me. Maestro Hyperscale Orchestrator β ang bagay na ito ang may pananagutan sa pagbalanse ng load. Ang operating system na naka-install sa device na ito ay Gaia R80.20 SP. Sa kasalukuyan ay may dalawang modelo ng mga Orkestra - MHO-140 ΠΈ MHO-170. Mga tampok sa larawan sa ibaba:
Sa unang sulyap ay maaaring mukhang ito ay isang ordinaryong switch. Sa katunayan, ito ay "switch + balancer + resource management system." Lahat sa isang kahon.
Ang mga gateway ay konektado sa mga Orkestrator na ito. Kung ang mga balancer ay fault-tolerant, ang bawat gateway ay konektado sa bawat orkestra. Para sa koneksyon, maaaring gamitin ang βopticsβ (sfp+ / qsfp+ / qsfp28+) o DAC cable (Direct Attach Copper). Sa kasong ito, dapat na natural na mayroong link ng pag-synchronize sa pagitan ng mga orkestra:
Sa larawan sa ibaba makikita mo kung paano ipinamamahagi ang mga port ng mga orkestrator na ito:
Mga Pangkat sa Seguridad
Upang maipamahagi ang load sa pagitan ng mga gateway, ang mga gateway na ito ay dapat nasa parehong Security Group. Grupo ng Seguridad ito ay isang lohikal na pangkat ng mga device na gumagana bilang isang aktibo/aktibong cluster. Ang grupong ito ay gumagana nang hiwalay sa iba pang mga Security Group. Mula sa punto ng view ng server ng pamamahala, ang Security Group ay mukhang isang device na may isang IP address.
Kung kinakailangan, maaari naming ilipat ang isa o higit pang mga gateway sa isang hiwalay na Security Group at gamitin ang pangkat na ito para sa iba pang mga layunin, tulad ng isang hiwalay na firewall mula sa isang punto ng pamamahala. Ang isang halimbawa ng paggamit ay ipinapakita sa larawan sa ibaba:
Mahalagang Limitasyon, mga magkaparehong gateway (modelo) lang ang magagamit sa isang Security Group. Yung. kung gusto mong linearly na palakihin ang kapasidad ng iyong security gateway (na isang kumpol ng ilang device), dapat kang magdagdag ng eksaktong parehong mga gateway. Dapat mawala ang limitasyong ito sa susunod na paglabas ng software.
Sa video sa ibaba makikita mo ang proseso ng paggawa ng Security Group. Ang pamamaraan ay intuitive.
Muli, kung ihahambing mo ang mga bahagi ng Maestro sa platform ng tsasis, makakakuha ka ng isang bagay tulad ng sumusunod na larawan:
Ano ang mga pakinabang ng bagong platform?
Mayroong talagang maraming mga pakinabang, parehong mula sa isang teknikal at pang-ekonomiyang punto ng view. Ilalarawan ko nang maikli ang pinakamahalaga:
- Kami ay halos walang limitasyon sa pag-scale. Hanggang 31 gateway sa loob ng isang Security Group.
- Maaari kaming magdagdag ng mga gateway kung kinakailangan. Ang minimum na set para sa pagbili ay isang orkestra + dalawang gateway. Hindi na kailangang maglagay ng mga modelo "para sa paglago".
- Ang isa pang plus ay sumusunod mula sa nakaraang punto. Hindi na natin kailangang baguhin ang mga gateway na hindi na makayanan ang pagkarga. Noong nakaraan, ang problemang ito ay nalutas gamit ang trade-in na pamamaraan - ipinasa nila ang lumang hardware at nakatanggap ng mga bago sa isang diskwento. Sa gayong pamamaraan, ang mga "pagkalugi" sa pananalapi ay hindi maiiwasan. Tinatanggal ng bagong pamamaraan ng pag-scale ang salik na ito. Hindi mo kailangang ibigay ang anumang bagay, maaari mo lamang ipagpatuloy ang pagtaas ng pagiging produktibo sa tulong ng karagdagang hardware.
- Ang kakayahang pagsamahin ang mga umiiral na mapagkukunan upang ipamahagi ang pagkarga. Halimbawa, maaari mong "i-drag" ang lahat ng iyong mga cluster papunta sa Maestro platform at mag-assemble ng ilang Security Group, depende sa load.
Mga bundle ng Maestro Hyperscale Network Security
Sa kasalukuyan, mayroong ilang mga opsyon para sa pagbili ng tinatawag na mga bundle na may Maestro platform. Solusyon batay sa mga gateway 23800, 6800 at 6500:
Sa kasong ito, maaari kang pumili mula sa dalawang karaniwang uri ng kagamitan:
- Isang orkestra at dalawang gateway;
- Isang orkestra at tatlong gateway.
makikita mo ang mga tinantyang presyo. Natural, maaari kang magdagdag ng isa pang orkestra at maraming gateway hangga't gusto mo. Maaaring humiling ng karagdagang impormasyon sa mga pagtutukoy .
Mga aparato 6500 ΠΈ 6800 Ito ang mga pinakabagong modelo na ipinakilala rin noong unang bahagi ng taong ito. Ngunit pag-uusapan natin ang mga ito nang mas detalyado sa susunod na artikulo.
Kailan ako makakabili nito?
Walang malinaw na sagot dito. Sa ngayon, walang abiso para sa pag-import ng mga solusyong ito sa ating bansa. Sa sandaling maging available ang impormasyon sa timing, agad kaming gagawa ng anunsyo sa aming mga pampublikong pahina (, , ). Bilang karagdagan, ang isang webinar na nakatuon sa solusyon sa Check Point Maestro ay pinlano sa malapit na hinaharap, kung saan tatalakayin ang lahat ng teknikal na tampok. At siyempre maaari kang magtanong. Manatiling nakatutok!
Konklusyon
Talagang isang bagong platform ay isang mahusay na karagdagan sa mga solusyon sa hardware ng Check Point. Sa katunayan, ang produktong ito ay nagbubukas ng bagong segment, kung saan hindi lahat ng nagbebenta ng seguridad ng impormasyon ay may katulad na solusyon. Bukod dito, ngayon ang Check Point Maestro ay halos walang mga alternatibo pagdating sa pagbibigay ng hindi pa nagagawang "kapangyarihan sa seguridad". Gayunpaman, ang Maestro Hyperscale Network Security ay magiging interesado hindi lamang sa mga may-ari ng data center, kundi pati na rin sa mga ordinaryong kumpanya. Ang mga nagmamay-ari o nagpaplanong bumili ng mga device na nagsisimula sa modelong 5600 ay maaari nang masusing tingnan ang Maestro. Sa ilang mga kaso, ang paggamit ng Maestro Hyperscale Network Security ay maaaring maging isang napaka-kumikitang solusyon, kapwa mula sa pang-ekonomiya at teknikal na pananaw.
PS Ang artikulong ito ay inihanda sa partisipasyon ng Anatoly Masover β Scalable Platform Expert, Check Point Software Technologies.
Pinagmulan: www.habr.com