Check Point bắt đầu năm 2019 khá nhanh chóng bằng việc đưa ra nhiều thông báo cùng một lúc. Không thể nói hết mọi thứ trong một bài viết, vì vậy hãy bắt đầu với điều quan trọng nhất - . Maestro là một nền tảng mới có khả năng mở rộng cho phép bạn tăng “sức mạnh” của cổng bảo mật lên những con số “không đứng đắn” và gần như tuyến tính. Điều này đạt được một cách tự nhiên bằng cách cân bằng tải giữa các cổng riêng lẻ hoạt động trong một cụm như một thực thể duy nhất. Ai đó có thể nói - "Đã từng là! Đã có 44000 bệ phiến/64000". Tuy nhiên, Maestro lại là một vấn đề hoàn toàn khác. Trong bài viết này, tôi sẽ cố gắng giải thích ngắn gọn nó là gì, nó hoạt động như thế nào và công nghệ này sẽ giúp ích như thế nào tiết kiệm bảo vệ chu vi mạng.
Đã - Đã trở thành
Cách dễ hiểu nhất là nền tảng có thể mở rộng mới khác với nền tảng 44000 cũ như thế nào/64000 là nhìn vào hình ảnh dưới đây:
Sự khác biệt là rõ ràng.
Nền tảng Điểm kiểm tra kế thừa 44000/64000
Như có thể thấy từ hình trên, tùy chọn đầu tiên là một nền tảng cố định (khung gầm), trong đó có thể chèn một số lượng hạn chế các “mô-đun lưỡi dao” đặc biệt (Điểm kiểm tra SGM). Tất cả điều này được kết nối với Mô-đun chuyển đổi bảo mật (SSM), cân bằng lưu lượng giữa các cổng. Hình ảnh dưới đây cho thấy các thành phần của nền tảng này chi tiết hơn:
Đây là một nền tảng tuyệt vời nếu bạn biết chính xác hiệu suất bạn cần bây giờ và mức độ nó có thể phát triển. Tuy nhiên, do hệ số dạng cố định (12 hoặc 6 lưỡi), khả năng mở rộng của bạn bị hạn chế. Ngoài ra, bạn buộc phải sử dụng các lưỡi SGM độc quyền mà không có khả năng kết nối các đường dây lên thông thường, vốn có nhiều mẫu mã hơn. Với sự xuất hiện Bảo mật mạng siêu quy mô Maestro tình hình đang thay đổi đáng kể.
Nền tảng bảo mật mạng siêu quy mô Maestro điểm kiểm tra mới
Check Point Maestro được giới thiệu lần đầu tiên vào ngày 22 tháng XNUMX tại hội nghị CPX ở Bangkok. Các đặc điểm chính có thể được nhìn thấy trong hình dưới đây:
Như bạn có thể thấy, ưu điểm chính của Check Point Maestro là khả năng sử dụng các cổng (thiết bị) thông thường để cân bằng. Những thứ kia. Chúng tôi không còn bị giới hạn ở lưỡi SGM nữa. Bạn có thể phân phối tải giữa bất kỳ thiết bị nào bắt đầu từ kiểu 5600 (kiểu SMB và Khung gầm 44000/64000 không được hỗ trợ). Hình trên cho thấy các chỉ số chính có thể đạt được khi sử dụng nền tảng mới. Chúng ta có thể kết hợp thành một tài nguyên máy tính lên tới 31! cửa ngõ. Bây giờ tường lửa của bạn có thể trông như thế này:
Nhà soạn nhạc Hyperscale Maestro
Tôi chắc rằng nhiều người đã hỏi: “Đây là loại dàn nhạc gì vậy?“Ừ, gặp tôi nhé. Nhà soạn nhạc Hyperscale Maestro — chính thứ này chịu trách nhiệm cân bằng tải. Hệ điều hành được cài đặt trên thiết bị này là Gaia R80.20 SP. Hiện tại có hai mô hình Người soạn nhạc - MHO-140 и MHO-170. Các tính năng trong hình dưới đây:
Thoạt nhìn có vẻ như đây là một công tắc thông thường. Trên thực tế, đó là “hệ thống chuyển đổi + cân bằng + quản lý tài nguyên”. Tất cả mọi thứ trong một hộp.
Cổng được kết nối với các Orchestrator này. Nếu bộ cân bằng có khả năng chịu lỗi thì mỗi cổng sẽ được kết nối với từng bộ điều phối. Để kết nối, có thể sử dụng “quang học” (sfp+ / qsfp+ / qsfp28+) hoặc cáp DAC (Direct Attach Copper). Trong trường hợp này đương nhiên phải có sự liên kết đồng bộ giữa các người điều phối:
Trong hình bên dưới, bạn có thể thấy các cổng của các bộ điều phối này được phân bổ như thế nào:
Nhóm bảo mật
Để tải được phân phối giữa các cổng, các cổng này phải nằm trong cùng một Nhóm bảo mật. Nhóm bảo mật nó là một nhóm thiết bị logic hoạt động như một cụm hoạt động/hoạt động. Nhóm này hoạt động độc lập với các Nhóm bảo mật khác. Từ quan điểm của máy chủ quản lý, Nhóm bảo mật trông giống như một thiết bị có một địa chỉ IP.
Nếu cần, chúng tôi có thể chuyển một hoặc nhiều cổng vào một Nhóm bảo mật riêng và sử dụng nhóm này cho các mục đích khác, chẳng hạn như tường lửa riêng theo quan điểm quản lý. Một ví dụ về việc sử dụng được hiển thị trong hình dưới đây:
Hạn chế quan trọng, chỉ các cổng (kiểu máy) giống hệt nhau mới có thể được sử dụng trong một Nhóm bảo mật. Những thứ kia. nếu bạn muốn tăng tuyến tính công suất của cổng bảo mật (là một cụm gồm một số thiết bị), thì bạn phải thêm chính xác các cổng đó. Hạn chế này sẽ biến mất trong các phiên bản phần mềm tiếp theo.
Trong video bên dưới, bạn có thể thấy quá trình tạo Nhóm bảo mật. Thủ tục này là trực quan.
Một lần nữa, nếu bạn so sánh các thành phần Maestro với nền tảng khung gầm, bạn sẽ nhận được kết quả giống như hình ảnh sau:
Lợi ích của nền tảng mới là gì?
Thực tế có rất nhiều lợi thế, cả từ quan điểm kỹ thuật và kinh tế. Tôi sẽ mô tả ngắn gọn những điều quan trọng nhất:
- Chúng tôi thực tế không giới hạn về quy mô. Tối đa 31 cổng trong một Nhóm bảo mật.
- Chúng tôi có thể thêm cổng khi cần thiết. Bộ tối thiểu để mua là một bộ điều phối + hai cổng. Không cần thiết phải đặt ra các mô hình “để tăng trưởng”.
- Một điểm cộng khác tiếp theo từ điểm trước. Chúng tôi không còn cần phải thay đổi các cổng không còn có thể đáp ứng được tải nữa. Trước đây, vấn đề này đã được giải quyết bằng thủ tục trao đổi - họ bàn giao phần cứng cũ và nhận phần cứng mới với giá ưu đãi. Với sơ đồ như vậy, “tổn thất” tài chính là điều không thể tránh khỏi. Quy trình chia tỷ lệ mới sẽ loại bỏ yếu tố này. Bạn không cần phải bàn giao bất cứ thứ gì, bạn có thể tiếp tục tăng năng suất với sự trợ giúp của phần cứng bổ sung.
- Khả năng kết hợp các tài nguyên hiện có để phân phối tải. Ví dụ: bạn có thể “kéo” tất cả các cụm của mình vào nền tảng Maestro và tập hợp một số Nhóm bảo mật, tùy thuộc vào tải.
Gói bảo mật mạng Hyperscale của Maestro
Hiện tại, có một số tùy chọn để mua cái gọi là gói trên nền tảng Maestro. Giải pháp dựa trên cổng 23800, 6800 và 6500:
Trong trường hợp này, bạn có thể chọn từ hai loại thiết bị tiêu chuẩn:
- Một người điều phối và hai cổng;
- Một người điều phối và ba cổng.
bạn có thể thấy giá ước tính Đương nhiên, bạn có thể thêm một bộ điều phối khác và bao nhiêu cổng tùy thích. Thông tin bổ sung về thông số kỹ thuật có thể được yêu cầu .
Thiết bị 6500 и 6800 Đây là những mẫu mới nhất cũng được giới thiệu vào đầu năm nay. Nhưng chúng ta sẽ nói về chúng chi tiết hơn trong bài viết tiếp theo.
Khi nào tôi có thể mua nó?
Không có câu trả lời rõ ràng ở đây. Hiện tại chưa có thông báo về việc nhập khẩu các giải pháp này vào nước ta. Ngay khi có thông tin về thời gian, chúng tôi sẽ ngay lập tức đưa ra thông báo trên các trang công khai của mình (, , ). Ngoài ra, một hội thảo trực tuyến dành riêng cho giải pháp Check Point Maestro sẽ được lên kế hoạch trong tương lai gần, nơi tất cả các tính năng kỹ thuật sẽ được thảo luận. Và tất nhiên bạn có thể đặt câu hỏi. Giữ nguyên!
Kết luận
Chắc chắn là một nền tảng mới là một sự bổ sung tuyệt vời cho các giải pháp phần cứng của Check Point. Trên thực tế, sản phẩm này mở ra một phân khúc mới mà không phải nhà cung cấp bảo mật thông tin nào cũng có giải pháp tương tự. Hơn nữa, ngày nay Check Point Maestro hầu như không có lựa chọn thay thế nào khi cung cấp “sức mạnh bảo mật” chưa từng có như vậy. Tuy nhiên, Maestro Hyperscale Network Security sẽ không chỉ được các chủ sở hữu trung tâm dữ liệu mà còn cả các công ty thông thường quan tâm. Những người sở hữu hoặc đang có ý định mua các thiết bị bắt đầu từ mẫu 5600 có thể xem xét kỹ hơn về Maestro. Trong một số trường hợp, sử dụng Maestro Hyperscale Network Security có thể là một giải pháp mang lại nhiều lợi nhuận, cả từ quan điểm kinh tế và kỹ thuật.
PS Bài viết này được chuẩn bị với sự tham gia của Anatoly Masover — Chuyên gia về nền tảng có thể mở rộng, Công nghệ phần mềm Check Point.
Nguồn: www.habr.com