Check Point, aynı anda birçok duyuru yaparak 2019 yılına oldukça hızlı başladı. Her şeyi tek bir makalede anlatmak mümkün değil, o yüzden en önemli şeyle başlayalım: . Maestro, güvenlik ağ geçidinin "gücünü" "uygunsuz" sayılara ve neredeyse doğrusal olarak artırmanıza olanak tanıyan yeni, ölçeklenebilir bir platformdur. Bu, doğal olarak, bir kümede tek bir varlık olarak çalışan bireysel ağ geçitleri arasındaki yükün dengelenmesiyle elde edilir. Birisi şöyle diyebilir: "Öyleydi! Zaten 44000 blade platformu var/64000". Ancak Maestro tamamen farklı bir konudur. Bu yazımda kısaca ne olduğunu, nasıl çalıştığını ve bu teknolojinin nasıl yardımcı olacağını anlatmaya çalışacağım. ağ çevre korumasından tasarruf edin.
Oldu - Oldu
Anlamanın en kolay yolu, yeni ölçeklenebilir platformun eski güzel 44000'den ne kadar farklı olduğudur./64000 aşağıdaki resme bakın:
Fark açıktır.
Eski Check Point 44000 platformu/64000
Yukarıdaki resimden de görülebileceği gibi ilk seçenek, içine sınırlı sayıda özel “blade modülünün” takılabildiği sabit bir platformdur (şasi).Kontrol Noktası SGM). Bütün bunlar bağlantılı Güvenlik Anahtarı Modülü (SSM), ağ geçitleri arasındaki trafiği dengeler. Aşağıdaki resimde bu platformun bileşenleri daha ayrıntılı olarak gösterilmektedir:
Şu anda tam olarak hangi performansa ihtiyacınız olduğunu ve ne kadar büyüyebileceğini biliyorsanız, bu mükemmel bir platformdur. Ancak sabit form faktörü (12 veya 6 blade) nedeniyle daha fazla ölçeklenebilirlik sınırlıdır. Ayrıca, çok daha geniş bir model yelpazesine sahip olan geleneksel üst hatlara bağlanma yeteneği olmadan, yalnızca SGM kanatlarını kullanmak zorunda kalıyorsunuz. Gelmesiyle birlikte Maestro Hiper Ölçekli Ağ Güvenliği durum çarpıcı biçimde değişiyor.
Yeni Check Point Maestro Hiper Ölçekli Ağ Güvenliği Platformu
Check Point Maestro ilk olarak 22 Ocak'ta Bangkok'taki CPX konferansında tanıtıldı. Ana özellikleri aşağıdaki resimde görülebilir:
Gördüğünüz gibi Check Point Maestro'nun temel avantajı dengeleme için normal ağ geçitlerini (cihazları) kullanabilme yeteneğidir. Onlar. Artık SGM bıçaklarıyla sınırlı değiliz. Yükü 5600 modelinden (SMB modelleri ve Şasi 44000) başlayarak tüm cihazlar arasında dağıtabilirsiniz./64000 desteklenmiyor). Yukarıdaki resim yeni platformu kullanırken elde edilebilecek ana göstergeleri göstermektedir. Tek bir bilgi işlem kaynağında birleştirebiliriz 31'e kadar! geçit. Artık güvenlik duvarınız şöyle görünebilir:
Maestro Hiper Ölçek Orkestratörü
Eminim birçok kişi şu soruyu sormuştur: "Bu nasıl bir Orkestratör?"Pekala, tanışalım. Maestro Hiper Ölçek Orkestratörü — yük dengelemeden sorumlu olan şey budur. Bu cihazda yüklü olan işletim sistemi Gaia R80.20 SP. Şu anda Orkestratörlerin iki modeli bulunmaktadır: MHO-140 и MHO-170. Aşağıdaki resimdeki özellikler:
İlk bakışta bu sıradan bir anahtar gibi görünebilir. Aslında “anahtar + dengeleyici + kaynak yönetim sistemi”dir. Her şey tek bir kutuda.
Ağ geçitleri bu Orkestratörlere bağlıdır. Dengeleyiciler hataya dayanıklıysa, her ağ geçidi her orkestratöre bağlanır. Bağlantı için “optik” (sfp+ / qsfp+ / qsfp28+) veya DAC kablosu (Direct Insert Copper) kullanılabilir. Bu durumda orkestratörler arasında doğal olarak bir senkronizasyon bağlantısının olması gerekir:
Aşağıdaki resimde bu orkestratörlerin portlarının nasıl dağıtıldığını görebilirsiniz:
Güvenlik Grupları
Yükün ağ geçitleri arasında dağıtılabilmesi için bu ağ geçitlerinin aynı Güvenlik Grubunda olması gerekir. Güvenlik Grubu aktif/etkin bir küme olarak işlev gören mantıksal bir cihaz grubudur. Bu grup diğer Güvenlik Gruplarından bağımsız olarak çalışır. Yönetim sunucusu açısından Güvenlik Grubu, tek IP adresine sahip tek bir cihaz gibi görünür.
Gerekirse, bir veya daha fazla ağ geçidini ayrı bir Güvenlik Grubuna taşıyabilir ve bu grubu, yönetim açısından ayrı bir güvenlik duvarı gibi başka amaçlar için kullanabiliriz. Aşağıdaki resimde bir kullanım örneği gösterilmektedir:
Önemli Sınırlamabir Güvenlik Grubunda yalnızca aynı ağ geçitleri (model) kullanılabilir. Onlar. Güvenlik ağ geçidinizin (birkaç cihazdan oluşan bir küme) kapasitesini doğrusal olarak artırmak istiyorsanız, tam olarak aynı ağ geçitlerini eklemeniz gerekir. Bu sınırlamanın sonraki yazılım sürümlerinde ortadan kalkması gerekmektedir.
Aşağıdaki videoda Güvenlik Grubu oluşturma sürecini görebilirsiniz. Prosedür sezgiseldir.
Yine Maestro bileşenlerini şasi platformuyla karşılaştırırsanız aşağıdaki resme benzer bir sonuç elde edersiniz:
Yeni platformun faydaları neler?
Aslında hem teknik hem de ekonomik açıdan pek çok avantajı var. En önemlilerini kısaca anlatacağım:
- Ölçeklendirme konusunda neredeyse sınırsızız. Bir Güvenlik Grubunda en fazla 31 ağ geçidi.
- Gerektiğinde ağ geçitleri ekleyebiliriz. Minimum satın alma seti bir orkestratör + iki ağ geçididir. “Büyümeye yönelik” modeller ortaya koymaya gerek yok.
- Bir önceki noktadan başka bir artı daha geliyor. Artık yükle baş edemeyen ağ geçitlerini değiştirmemize gerek yok. Daha önce bu sorun, takas prosedürü kullanılarak çözülüyordu - eski donanımı teslim ediyorlardı ve indirimli olarak yenilerini alıyorlardı. Böyle bir planla mali “kayıplar” kaçınılmazdır. Yeni ölçeklendirme prosedürü bu faktörü ortadan kaldırmaktadır. Hiçbir şeyi teslim etmenize gerek yok, ek donanımların yardımıyla verimliliği artırmaya devam edebilirsiniz.
- Yükü dağıtmak için mevcut kaynakları birleştirme yeteneği. Örneğin, tüm kümelerinizi Maestro platformuna "sürükleyebilir" ve yüke bağlı olarak birkaç Güvenlik Grubu oluşturabilirsiniz.
Maestro Hiper Ölçekli Ağ Güvenliği paketleri
Şu anda Maestro platformuyla paket adı verilen paketleri satın almak için çeşitli seçenekler bulunmaktadır. 23800, 6800 ve 6500 ağ geçitlerini temel alan çözüm:
Bu durumda iki standart ekipman türü arasından seçim yapabilirsiniz:
- Bir orkestratör ve iki ağ geçidi;
- Bir orkestratör ve üç ağ geçidi.
tahmini fiyatları görebilirsiniz. Doğal olarak, ek olarak başka bir orkestratör ve istediğiniz sayıda ağ geçidi ekleyebilirsiniz. Spesifikasyonlara ilişkin ek bilgi talep edilebilir .
cihazlar 6500 и 6800 Bunlar yine bu yılın başlarında tanıtılan en son modeller. Ancak bir sonraki makalede onlar hakkında daha ayrıntılı olarak konuşacağız.
Ne zaman satın alabilirim?
Burada net bir cevap yok. Şu anda bu çözümlerin ülkemize ithalatına ilişkin bir bildirim bulunmuyor. Zamanlamaya ilişkin bilgi elde edilir edilmez, kamuya açık sayfalarımızda derhal bir duyuru yapacağız (, , ). Ayrıca yakın gelecekte Check Point Maestro çözümüne özel, tüm teknik özelliklerin tartışılacağı bir web semineri planlanıyor. Ve elbette soru sorabilirsiniz. Bizi izlemeye devam edin!
Sonuç
Kesinlikle yeni bir platform Check Point donanım çözümlerine mükemmel bir eklentidir. Aslında bu ürün, her bilgi güvenliği satıcısının benzer bir çözüme sahip olmadığı yeni bir segmentin kapısını açıyor. Üstelik bugün Check Point Maestro'nun benzeri görülmemiş bir "güvenlik gücü" sağlama konusunda neredeyse hiçbir alternatifi yok. Ancak Maestro Hyperscale Network Security yalnızca veri merkezi sahiplerinin değil sıradan şirketlerin de ilgisini çekecek. 5600 modelinden itibaren cihaz sahibi olanlar veya satın almayı düşünenler şimdiden Maestro'yu daha yakından inceleyebilirler.Bazı durumlarda Maestro Hyperscale Network Security'yi kullanmak hem ekonomik hem de teknik açıdan çok karlı bir çözüm olabilir.
Not: Bu makale aşağıdakilerin katılımıyla hazırlanmıştır: Anatoly Masover — Ölçeklenebilir Platform Uzmanı, Check Point Yazılım Teknolojileri.
Kaynak: habr.com