Компанія Check Point досить швидко початку 2019 року зробивши відразу кілька анонсів. Розповісти про все в одній статті не вийде, тож почнемо з найголовнішого.
Було стало
Найпростіше зрозуміти чим відрізняється нова масштабована платформа від старих добрих 44000/64000 це подивитися на картинку нижче:
Різниця очевидна.
Стара платформа Check Point 44000/64000
Як видно з картинки вище, перший варіант являє собою фіксовану платформу (шасі), в яку можна вставляти обмежену кількість спеціальних "модулів-лез" (Check Point SGM). Все це підключається до Security Switch Module (SSM), який здійснює балансування трафіку між шлюзами. На малюнку нижче докладніше представлені складові цієї платформи:
Це чудова платформа в тому випадку, якщо ви точно знаєте, яка продуктивність вам потрібна зараз і в яких межах вона може вирости. Однак через фіксований форм-фактор (12 або 6 лез) ви обмежені в подальшому масштабуванні. До того ж, ви змушені використовувати виключно SGM леза, без можливості підключення звичайних аплайнсів у яких набагато ширший модельний ряд. З появою Maestro Hyperscale Network Security ситуація змінюється кардинально.
Нова платформа Check Point Maestro Hyperscale Network Security
Check Point Maestro був уперше представлений 22 січня на конференції CPX у Бангкоку. Головні характеристики можна побачити на малюнку нижче:
Як можна помітити, головна перевага Check Point Maestro – можливість використовувати для балансування звичайні шлюзи (appliance). Тобто. ми більше не обмежені SGM лезами. Розподіляти навантаження можна між будь-якими пристроями починаючи з моделі 5600 (SMB моделі та Шасі 44000/64000 не підтримуються). На зображенні вище наведено основні показники, яких можна досягти при використанні нової платформи. Ми можемо об'єднати в один обчислювальний ресурс до 31! шлюзу. Тепер ваш "фаєрвол" може виглядати так:
Maestro Hyperscale Orchestrator
Упевнений, у багатьох вже постало питання: “Що це за оркестратор?” Що ж, знайомтеся. Maestro Hyperscale Orchestrator - Саме ця штука відповідає за балансування навантаження. На даний девайс встановлена операційна система Gaia R80.20 SP. На даний момент є дві моделі Оркестраторів. МХО-140 и МХО-170. Характеристики на зображенні нижче:
На перший погляд може здатись, що це звичайний комутатор. Насправді це “комутатор + балансувальник + система управління ресурсами”. Все в одній коробці.
До цих оркестраторів підключаються шлюзи. Якщо балансувальники у відмовостійкому виконанні, то кожен шлюз підключається до кожного оркестратора. Для підключення може використовуватися оптика (sfp + / qsfp + / qsfp28 +) або DAC кабель (Direct Attach Copper). При цьому між оркестраторами природно має бути лінк синхронізації:
На малюнку нижче можна побачити, як розподіляються порти цих оркестраторів:
Групи безпеки
Для того щоб навантаження могло розподілятися між шлюзами, ці шлюзи повинні бути в одній Security Group. Група безпеки це логічна група пристроїв, що функціонує як кластер active/active. Ця група працює незалежно від інших Security Group. З точки зору сервера управління Security Group виглядає як один пристрій з однією IP-адресою.
При необхідності ми можемо вивести один або кілька шлюзів в окрему Security Group і використовувати цю групу для інших цілей як окремий фаєрвол з точки зору менеджменту. Приклад використання наведено на малюнку нижче:
Важливе обмеження, в одній Security Group можуть використовуватись виключно однакові шлюзи (модель). Тобто. якщо ви хочете лінійно вирощувати потужність вашого шлюзу безпеки (який є кластером з декількох пристроїв), то ви повинні додавати такі самі шлюзи. У найближчих релізах софту це обмеження має зникнути.
На відео нижче можна побачити процес створення Security Group. Процедура інтуїтивно зрозуміла.
Знову ж таки, якщо порівняти компоненти Maestro з шасійною платформою, то вийде приблизно наступна картинка "було-стало":
У чому вигода нової платформи?
Плюсів насправді багато як з технічної точки зору, так і з економічної. Розпишу коротко найголовніші:
- Ми практично не обмежені у масштабуванні. До 31 шлюзу в рамках однієї Security Group.
- Можемо додавати шлюзи в міру потреби. Мінімальний набір при покупці - один оркестратор + два шлюзи. Не треба закладати моделі "на зріст".
- Із попереднього пункту випливає ще один плюс. Нам більше не треба міняти шлюзи, які перестали справлятися із навантаженням. Раніше ця проблема вирішувалася за допомогою процедури trade-in — здавали старе залізо і отримували нове зі знижкою. За такої схеми неминучі фінансові “втрати”. Нова процедура із масштабуванням усуває цей фактор. Нічого здавати не треба, можна просто продовжувати збільшувати продуктивність за допомогою додаткового заліза.
- Можливість поєднання вже існуючих ресурсів для розподілу навантаження. Наприклад, можна "перетягнути" всі свої кластери на платформу Maestro і зібрати кілька Security Group, вже залежно від навантаження.
Бандли Maestro Hyperscale Network Security
На даний момент є кілька варіантів придбання про бандлів з платформою Maestro. Рішення на базі шлюзів 23800, 6800 та 6500:
При цьому можна вибрати із двох стандартних типів комплектації:
- Один оркестратор та два шлюзи;
- Один оркестратор та три шлюзи.
пристрої 6500 и 6800 це новітні моделі, які були представлені на початку цього року. Але про них ми поговоримо докладніше вже у наступній статті.
Коли можна придбати?
Тут немає однозначної відповіді. На даний момент немає нотифікації на ввезення цих рішень до нас у країну. Як тільки з'явиться інформація про терміни ми відразу зробимо анонс у наших пабликах (
Висновок
Безумовно, нова платформа
PS Стаття підготовлена за участю Анатолія Масовера — Експерта з платформ, що масштабуються, Check Point Software Technologies.
Джерело: habr.com