Компанія Check Point досить швидко початку 2019 року зробивши відразу кілька анонсів. Розповісти про все в одній статті не вийде, тож почнемо з найголовнішого. . Maestro це нова масштабована платформа, яка дозволяє нарощувати "потужність" шлюзу безпеки до "непристойних" цифр і практично лінійно. Досягається це природно за рахунок балансування навантаження між окремими шлюзами, які працюють у кластері як єдина сутність. Хтось може сказати - «Було! Вже є блейд-платформи 44000/64000«. Однак Maestro це зовсім інша річ. В рамках цієї статті я коротко постараюсь пояснити, що це, як це працює і як ця технологія допоможе заощадити на захисті периметра мережі.
Було стало
Найпростіше зрозуміти чим відрізняється нова масштабована платформа від старих добрих 44000/64000 це подивитися на картинку нижче:
Різниця очевидна.
Стара платформа Check Point 44000/64000
Як видно з картинки вище, перший варіант являє собою фіксовану платформу (шасі), в яку можна вставляти обмежену кількість спеціальних "модулів-лез" (Check Point SGM). Все це підключається до Security Switch Module (SSM), який здійснює балансування трафіку між шлюзами. На малюнку нижче докладніше представлені складові цієї платформи:
Це чудова платформа в тому випадку, якщо ви точно знаєте, яка продуктивність вам потрібна зараз і в яких межах вона може вирости. Однак через фіксований форм-фактор (12 або 6 лез) ви обмежені в подальшому масштабуванні. До того ж, ви змушені використовувати виключно SGM леза, без можливості підключення звичайних аплайнсів у яких набагато ширший модельний ряд. З появою Maestro Hyperscale Network Security ситуація змінюється кардинально.
Нова платформа Check Point Maestro Hyperscale Network Security
Check Point Maestro був уперше представлений 22 січня на конференції CPX у Бангкоку. Головні характеристики можна побачити на малюнку нижче:
Як можна помітити, головна перевага Check Point Maestro – можливість використовувати для балансування звичайні шлюзи (appliance). Тобто. ми більше не обмежені SGM лезами. Розподіляти навантаження можна між будь-якими пристроями починаючи з моделі 5600 (SMB моделі та Шасі 44000/64000 не підтримуються). На зображенні вище наведено основні показники, яких можна досягти при використанні нової платформи. Ми можемо об'єднати в один обчислювальний ресурс до 31! шлюзу. Тепер ваш "фаєрвол" може виглядати так:
Maestro Hyperscale Orchestrator
Упевнений, у багатьох вже постало питання: “Що це за оркестратор?” Що ж, знайомтеся. Maestro Hyperscale Orchestrator - Саме ця штука відповідає за балансування навантаження. На даний девайс встановлена операційна система Gaia R80.20 SP. На даний момент є дві моделі Оркестраторів. МХО-140 и МХО-170. Характеристики на зображенні нижче:
На перший погляд може здатись, що це звичайний комутатор. Насправді це “комутатор + балансувальник + система управління ресурсами”. Все в одній коробці.
До цих оркестраторів підключаються шлюзи. Якщо балансувальники у відмовостійкому виконанні, то кожен шлюз підключається до кожного оркестратора. Для підключення може використовуватися оптика (sfp + / qsfp + / qsfp28 +) або DAC кабель (Direct Attach Copper). При цьому між оркестраторами природно має бути лінк синхронізації:
На малюнку нижче можна побачити, як розподіляються порти цих оркестраторів:
Групи безпеки
Для того щоб навантаження могло розподілятися між шлюзами, ці шлюзи повинні бути в одній Security Group. Група безпеки це логічна група пристроїв, що функціонує як кластер active/active. Ця група працює незалежно від інших Security Group. З точки зору сервера управління Security Group виглядає як один пристрій з однією IP-адресою.
При необхідності ми можемо вивести один або кілька шлюзів в окрему Security Group і використовувати цю групу для інших цілей як окремий фаєрвол з точки зору менеджменту. Приклад використання наведено на малюнку нижче:
Важливе обмеження, в одній Security Group можуть використовуватись виключно однакові шлюзи (модель). Тобто. якщо ви хочете лінійно вирощувати потужність вашого шлюзу безпеки (який є кластером з декількох пристроїв), то ви повинні додавати такі самі шлюзи. У найближчих релізах софту це обмеження має зникнути.
На відео нижче можна побачити процес створення Security Group. Процедура інтуїтивно зрозуміла.
Знову ж таки, якщо порівняти компоненти Maestro з шасійною платформою, то вийде приблизно наступна картинка "було-стало":
У чому вигода нової платформи?
Плюсів насправді багато як з технічної точки зору, так і з економічної. Розпишу коротко найголовніші:
- Ми практично не обмежені у масштабуванні. До 31 шлюзу в рамках однієї Security Group.
- Можемо додавати шлюзи в міру потреби. Мінімальний набір при покупці - один оркестратор + два шлюзи. Не треба закладати моделі "на зріст".
- Із попереднього пункту випливає ще один плюс. Нам більше не треба міняти шлюзи, які перестали справлятися із навантаженням. Раніше ця проблема вирішувалася за допомогою процедури trade-in — здавали старе залізо і отримували нове зі знижкою. За такої схеми неминучі фінансові “втрати”. Нова процедура із масштабуванням усуває цей фактор. Нічого здавати не треба, можна просто продовжувати збільшувати продуктивність за допомогою додаткового заліза.
- Можливість поєднання вже існуючих ресурсів для розподілу навантаження. Наприклад, можна "перетягнути" всі свої кластери на платформу Maestro і зібрати кілька Security Group, вже залежно від навантаження.
Бандли Maestro Hyperscale Network Security
На даний момент є кілька варіантів придбання про бандлів з платформою Maestro. Рішення на базі шлюзів 23800, 6800 та 6500:
При цьому можна вибрати із двох стандартних типів комплектації:
- Один оркестратор та два шлюзи;
- Один оркестратор та три шлюзи.
можна переглянути орієнтовні ціни. Звичайно додатково можна закласти ще один оркестратор і скільки завгодно шлюзів. Додаткову інформацію щодо специфікацій можна запросити .
пристрої 6500 и 6800 це новітні моделі, які були представлені на початку цього року. Але про них ми поговоримо докладніше вже у наступній статті.
Коли можна придбати?
Тут немає однозначної відповіді. На даний момент немає нотифікації на ввезення цих рішень до нас у країну. Як тільки з'явиться інформація про терміни ми відразу зробимо анонс у наших пабликах (, , ). Крім того, найближчим часом планується вебінар, присвячений рішенню Check Point Maestro, де будуть розглянуті всі технічні особливості. І звичайно ж можна буде поставити запитання, що цікавлять. Слідкуйте за оновленнями!
Висновок
Безумовно, нова платформа є чудовим поповненням в апаратних рішеннях Check Point. По суті, цей продукт відкриває новий сегмент, для якого далеко не у кожного ІБ вендора є схоже рішення. Більш того, на сьогоднішній день Check Point Maestro практично не має альтернатив, якщо йдеться про забезпечення такої безпрецедентної «security потужності». Однак Maestro Hyperscale Network Security буде цікавим не тільки для власників датацентрів, але і для звичайних компаній. «Приглядатися» до Maestro вже можна тим, хто володіє або збирається купувати пристрої, починаючи з моделі 5600. У деяких випадках використання Maestro Hyperscale Network Security може виявитися дуже вигідним рішенням, як з економічної, так і з технічної точки зору.
PS Стаття підготовлена за участю Анатолія Масовера — Експерта з платформ, що масштабуються, Check Point Software Technologies.
Джерело: habr.com