Check Point bir vaqtning o'zida bir nechta e'lonlarni e'lon qilish orqali 2019 yilni juda tez boshladi. Bitta maqolada hamma narsa haqida gapirishning iloji yo'q, shuning uchun eng muhim narsadan boshlaylik - . Maestro - yangi kengaytiriladigan platforma bo'lib, u xavfsizlik shlyuzining "kuchini" "nomaqbul" raqamlarga va deyarli chiziqli ravishda oshirishga imkon beradi. Bunga tabiiy ravishda klasterda yagona ob'ekt sifatida ishlaydigan alohida shlyuzlar orasidagi yukni muvozanatlash orqali erishiladi. Kimdir aytishi mumkin - "edi! Allaqachon 44000 pichoqli platformalar mavjud/64000". Biroq, Maestro butunlay boshqacha masala. Ushbu maqolada men bu nima ekanligini, qanday ishlashini va bu texnologiya qanday yordam berishini qisqacha tushuntirishga harakat qilaman tarmoq perimetri himoyasini tejash.
Bo'ldi - bo'ldi
Tushunishning eng oson usuli - yangi kengaytiriladigan platforma eski yaxshi 44000 dan qanday farq qilishidir./64000 quyidagi rasmga qarang:
Farqi aniq.
Legacy Check Point 44000 platformasi/64000
Yuqoridagi rasmdan ko'rinib turibdiki, birinchi variant - cheklangan miqdordagi maxsus "pichoq modullari" ni kiritish mumkin bo'lgan sobit platforma (shassi) (Check Point SGM). Bularning barchasi u bilan bog'liq Xavfsizlik kaliti moduli (SSM), bu shlyuzlar orasidagi trafikni muvozanatlashtiradi. Quyidagi rasmda ushbu platformaning tarkibiy qismlari batafsilroq ko'rsatilgan:
Agar siz hozir qanday ishlash kerakligini va u qanchalik o'sishi mumkinligini aniq bilsangiz, bu ajoyib platformadir. Biroq, qat'iy shakl omili (12 yoki 6 pichoq) tufayli siz yanada kengaytira olasiz. Bundan tashqari, siz kengroq modellarga ega bo'lgan an'anaviy yuqori chiziqlarni ulash imkoniyatisiz faqat SGM pichoqlarini ishlatishga majbur bo'lasiz. Kelishi bilan Maestro Hyperscale tarmoq xavfsizligi vaziyat keskin o'zgarmoqda.
Yangi Check Point Maestro Hyperscale tarmoq xavfsizligi platformasi
Check Point Maestro birinchi marta 22 yanvar kuni Bangkokdagi CPX konferensiyasida taqdim etilgan. Asosiy xususiyatlarni quyidagi rasmda ko'rish mumkin:
Ko'rib turganingizdek, Check Point Maestro ning asosiy afzalligi balanslash uchun oddiy shlyuzlardan (maishiy texnika) foydalanish qobiliyatidir. Bular. Biz endi SGM pichoqlari bilan cheklanmaymiz. Siz yukni 5600 modelidan boshlab har qanday qurilmalar o'rtasida taqsimlashingiz mumkin (SMB modellari va Shassis 44000)/64000 qo'llab-quvvatlanmaydi). Yuqoridagi rasmda yangi platformadan foydalanishda erishish mumkin bo'lgan asosiy ko'rsatkichlar ko'rsatilgan. Biz bitta hisoblash resursiga birlasha olamiz 31 gacha! shlyuz. Endi sizning xavfsizlik devoringiz quyidagicha ko'rinishi mumkin:
Maestro Hyperscale orkestri
Ishonchim komilki, ko'p odamlar allaqachon so'rashgan: "Bu qanday orkestr?βXo'sh, men bilan tanishing. Maestro Hyperscale orkestri β aynan shu narsa yukni muvozanatlash uchun javobgardir. Ushbu qurilmada o'rnatilgan operatsion tizim Gaia R80.20 SP. Hozirgi vaqtda orkestrlarning ikkita modeli mavjud - MHO-140 ΠΈ MHO-170. Quyidagi rasmdagi xususiyatlar:
Bir qarashda, bu oddiy kalit bo'lib tuyulishi mumkin. Aslida, bu "o'tish + muvozanatlashtiruvchi + resurslarni boshqarish tizimi". Hammasi bitta qutida.
Shlyuzlar ushbu orkestrlarga ulangan. Agar balanschilar nosozliklarga chidamli bo'lsa, u holda har bir shlyuz har bir orkestrga ulanadi. Ulanish uchun "optika" (sfp+ / qsfp+ / qsfp28+) yoki DAC kabelidan (Direct Attach Copper) foydalanish mumkin. Bunday holda, tabiiy ravishda orkestrlar o'rtasida sinxronizatsiya aloqasi bo'lishi kerak:
Quyidagi rasmda ushbu orkestrlarning portlari qanday taqsimlanganligini ko'rishingiz mumkin:
Xavfsizlik guruhlari
Yukni shlyuzlar o'rtasida taqsimlash uchun bu shlyuzlar bir xil xavfsizlik guruhida bo'lishi kerak. Xavfsizlik guruhi bu faol/faol klaster sifatida ishlaydigan qurilmalarning mantiqiy guruhi. Bu guruh boshqa Xavfsizlik Guruhlaridan mustaqil ravishda ishlaydi. Boshqaruv serveri nuqtai nazaridan, Xavfsizlik guruhi bitta IP-manzilli bitta qurilmaga o'xshaydi.
Agar kerak bo'lsa, biz bir yoki bir nechta shlyuzlarni alohida Xavfsizlik guruhiga o'tkazishimiz va bu guruhdan boshqaruv nuqtai nazaridan alohida xavfsizlik devori kabi boshqa maqsadlarda foydalanishimiz mumkin. Foydalanish misoli quyidagi rasmda ko'rsatilgan:
Muhim cheklov, bitta Xavfsizlik guruhida faqat bir xil shlyuzlardan (modeldan) foydalanish mumkin. Bular. agar siz xavfsizlik shlyuzingizning sig'imini chiziqli ravishda oshirmoqchi bo'lsangiz (bu bir nechta qurilmalar klasteri), unda siz aynan bir xil shlyuzlarni qo'shishingiz kerak. Ushbu cheklov keyingi dasturiy ta'minot nashrlarida yo'qolishi kerak.
Quyidagi videoda siz Xavfsizlik guruhini yaratish jarayonini ko'rishingiz mumkin. Jarayon intuitivdir.
Shunga qaramay, agar siz Maestro komponentlarini shassi platformasi bilan taqqoslasangiz, siz quyidagi rasmga o'xshash narsani olasiz:
Yangi platformaning afzalliklari nimada?
Texnik va iqtisodiy nuqtai nazardan, aslida juda ko'p afzalliklar mavjud. Men eng muhimlarini qisqacha ta'riflayman:
- Biz masshtablashda deyarli cheksizmiz. Bitta xavfsizlik guruhida 31 tagacha shlyuz.
- Biz kerak bo'lganda shlyuzlarni qo'shishimiz mumkin. Sotib olish uchun minimal to'plam - bitta orkestr + ikkita shlyuz. "O'sish uchun" modellarni qo'yishning hojati yo'q.
- Yana bir ortiqcha oldingi nuqtadan kelib chiqadi. Biz endi yukga bardosh bera olmaydigan shlyuzlarni o'zgartirishimiz shart emas. Ilgari bu muammo savdo-sotiq tartibi yordamida hal qilingan - ular eski jihozlarni topshirib, yangilarini chegirma bilan olishgan. Bunday sxema bilan moliyaviy "yo'qotishlar" muqarrar. Yangi masshtablash tartibi bu omilni bartaraf qiladi. Hech narsa topshirishingiz shart emas, qo'shimcha qurilmalar yordamida hosildorlikni oshirishni davom ettirishingiz mumkin.
- Yukni taqsimlash uchun mavjud resurslarni birlashtirish qobiliyati. Misol uchun, siz barcha klasterlaringizni Maestro platformasiga sudrab olishingiz va yukga qarab bir nechta Xavfsizlik guruhlarini yig'ishingiz mumkin.
Maestro Hyperscale Network Security to'plamlari
Hozirgi vaqtda Maestro platformasi bilan to'plamlarni sotib olishning bir nechta variantlari mavjud. 23800, 6800 va 6500 shlyuzlariga asoslangan yechim:
Bunday holda siz ikkita standart turdagi uskunani tanlashingiz mumkin:
- Bitta orkestr va ikkita shlyuz;
- Bitta orkestr va uchta shlyuz.
taxminiy narxlarni ko'rishingiz mumkin. Tabiiyki, siz qo'shimcha ravishda boshqa orkestr va xohlaganingizcha shlyuzlarni qo'shishingiz mumkin. Spetsifikatsiyalar bo'yicha qo'shimcha ma'lumot so'ralishi mumkin .
Qurilmalar 6500 ΠΈ 6800 Bu yil boshida taqdim etilgan eng so'nggi modellar. Ammo keyingi maqolada ular haqida batafsilroq gaplashamiz.
Qachon sotib olsam bo'ladi?
Bu erda aniq javob yo'q. Ayni paytda ushbu yechimlarni mamlakatimizga olib kirish haqida hech qanday xabar yo'q. Vaqt haqida ma'lumot paydo bo'lishi bilanoq, biz darhol ochiq sahifalarimizda e'lon qilamiz (, , ). Bundan tashqari, yaqin kelajakda Check Point Maestro yechimiga bag'ishlangan vebinar rejalashtirilgan bo'lib, unda barcha texnik xususiyatlar muhokama qilinadi. Va, albatta, siz savol berishingiz mumkin. Yangiliklarni kuzatib boring, xabardor bo'lib boring; Biz bilan qoling!
xulosa
Albatta, yangi platforma Check Point apparat yechimlariga ajoyib qo'shimcha hisoblanadi. Aslida, ushbu mahsulot yangi segmentni ochadi, buning uchun har bir axborot xavfsizligi sotuvchisi o'xshash echimga ega emas. Bundan tashqari, bugungi kunda Check Point Maestro bunday misli ko'rilmagan "xavfsizlik kuchi" ni ta'minlashda deyarli hech qanday alternativa yo'q. Biroq, Maestro Hyperscale Network Security nafaqat ma'lumotlar markazlari egalarini, balki oddiy kompaniyalarni ham qiziqtiradi. 5600 modelidan boshlanadigan qurilmalarga ega boβlganlar yoki sotib olishni rejalashtirayotganlar allaqachon Maestro bilan yaqindan tanishishlari mumkin.Baβzi hollarda Maestro Hyperscale Network Securityβdan foydalanish iqtisodiy va texnik nuqtai nazardan juda foydali yechim boβlishi mumkin.
PS Ushbu maqola ishtirokida tayyorlangan Anatoliy Masover β Scalable Platform Expert, Check Point Software Technologies.
Manba: www.habr.com