Check Point Maestro Hyperscale-Netzwerksicherheit - neue skalierbare Sicherheitsplattform



    Die Check Point-Gesellschaft beginnt recht lebhaft im Jahr 2019 und hat mehrere Ankündigungen gleichzeitig gemacht. Über alles in einem Artikel zu berichten, funktioniert nicht, also fangen wir mit dem wichtigsten an - Check Point Maestro Hyperscale Network Security . Maestro ist eine neue skalierbare Plattform, mit der Sie die "Leistung" des Sicherheitsgateways auf "unanständige" Zahlen und nahezu linear erhöhen können. Dies wird auf natürliche Weise durch Lastausgleich zwischen den einzelnen Gateways erreicht, die in einem Cluster als einzelne Entität arbeiten. Jemand kann sagen: " Das war es! Es gibt bereits Blade-Plattformen 44000/64000 ". Maestro ist jedoch eine andere Sache. In diesem Artikel werde ich kurz versuchen zu erklären, was es ist, wie es funktioniert und wie diese Technologie dazu beitragen kann , den Netzwerkperipherieschutz zu sparen .

    Es war - es wurde


    Der einfachste Weg, den Unterschied zwischen der neuen skalierbaren Plattform und der guten alten 44000/64000 zu verstehen, ist das Bild unten:



    Der Unterschied liegt auf der Hand.

    Alte Checkpoint-Plattform 44000/64000


    Wie aus dem obigen Bild ersichtlich, handelt es sich bei der ersten Version um eine feste Plattform (Chassis), in die eine begrenzte Anzahl spezieller Blade-Module ( Check Point SGM ) eingesetzt werden kann . All dies verbindet sich mit dem Security Switch Module (SSM), das den Datenverkehr zwischen Gateways ausgleicht. Das Bild unten zeigt die Komponenten dieser Plattform detaillierter:



    Dies ist eine großartige Plattform, wenn Sie genau wissen, welche Art von Leistung Sie jetzt benötigen und inwieweit sie wachsen kann. Aufgrund des festen Formfaktors (12 oder 6 Blades) sind Sie jedoch bei der weiteren Skalierung eingeschränkt. Außerdem müssen Sie nur SGM-Blades verwenden, ohne die Möglichkeit, normale Uplinks mit einer viel größeren Modellpalette anzuschließen. Mit dem Aufkommen von Maestro Hyperscale Network Security ändert sich die Situation dramatisch.

    Neue Check Point-Maestro-Hyperscale-Plattform für Netzwerksicherheit


    Check Point Maestro wurde erstmals am 22. Januar auf der CPX-Konferenz in Bangkok vorgestellt. Die Hauptmerkmale sind in der Abbildung unten zu sehen:



    Wie Sie sehen können, besteht der Hauptvorteil von Check Point Maestro darin, dass herkömmliche Gateways (Appliances) zum Auswuchten verwendet werden können. Ie Wir sind nicht mehr auf SGM-Klingen beschränkt. Es ist möglich, die Last auf alle Geräte ab Modell 5600 zu verteilen (SMB-Modelle und Chassis 44000/64000 werden nicht unterstützt). Das Bild oben zeigt die wichtigsten Indikatoren, die mit einer neuen Plattform erreicht werden können. Wir können bis zu 31 in einer Rechenressource kombinieren ! Gateway . Nun könnte Ihre Firewall so aussehen:



    Maestro Hyperscale Orchestrator


    Ich bin sicher, viele haben schon eine Frage: „ Was ist dieser Orchestrator? „Nun, treffen Sie sich. Maestro Hyperscale Orchestrator - das ist der Lastenausgleich. Dieses Gerät ist mit den Betriebssystemen Gaia R80.20 SP installiert . Im Moment gibt es zwei Modelle von Orchestratoren - MHO-140 und MHO-170 . Eigenschaften im Bild unten:



    Auf den ersten Blick scheint es sich um einen regulären Schalter zu handeln. Tatsächlich handelt es sich hierbei um ein "Switch + Balancer + Resource Management System". Alles in einer Box.
    Gateways sind mit diesen Orchestratoren verbunden. Wenn Balancer sich in einer ausfallsicheren Ausführung befinden, ist jedes Gateway mit jedem Orchestrator verbunden. Für die Verbindung kann „Optik“ (sfp + / qsfp + / qsfp28 +) oder DAC-Kabel (Direct Attach Copper) verwendet werden. In diesem Fall muss die Synchronisationsverbindung natürlich zwischen den Orchestratoren bestehen:



    In der folgenden Abbildung können Sie sehen, wie die Ports dieser Orchestratoren verteilt sind:



    Sicherheitsgruppen


    Damit die Last zwischen den Gateways verteilt werden kann, müssen sich diese Gateways in derselben Sicherheitsgruppe befinden. Eine Sicherheitsgruppe ist eine logische Gruppe von Geräten, die als Aktiv / Aktiv-Cluster fungiert. Diese Gruppe funktioniert unabhängig von anderen Sicherheitsgruppen. Aus Sicht des Verwaltungsservers sieht die Sicherheitsgruppe aus wie ein Gerät mit einer IP-Adresse.
    Bei Bedarf können wir ein oder mehrere Gateways in eine separate Sicherheitsgruppe einbinden und diese Gruppe für andere Zwecke verwenden, z. B. aus Firewall-Sicht eine separate Firewall. Das Anwendungsbeispiel ist in der folgenden Abbildung dargestellt:



    Eine wichtige EinschränkungIn einer Sicherheitsgruppe können nur identische Gateways (Modell) verwendet werden. Ie Wenn Sie die Leistung Ihres Sicherheits-Gateways (ein Cluster mehrerer Geräte) linear erhöhen möchten, müssen Sie genau dieselben Gateways hinzufügen. In den nächsten Softwareversionen sollte diese Einschränkung verschwinden.

    In dem folgenden Video können Sie den Vorgang zum Erstellen der Sicherheitsgruppe sehen. Das Verfahren ist intuitiv.



    Wenn Sie die Komponenten von Maestro mit der Chassis-Plattform vergleichen, erhalten Sie so etwas wie "was-was":



    Was ist der Vorteil der neuen Plattform?


    Es gibt tatsächlich viele Vorteile, sowohl aus technischer als auch aus wirtschaftlicher Sicht. Ich werde die wichtigsten kurz beschreiben:

    1. Die Skalierung ist praktisch nicht beschränkt. Bis zu 31 Gateways innerhalb einer Sicherheitsgruppe.
    2. Wir können Gateways nach Bedarf hinzufügen. Der Mindestsatz für den Kauf ist ein Orchestrator + zwei Gateways. Keine Notwendigkeit, das Modell "für Wachstum" zu legen.
    3. Aus dem vorherigen Absatz folgt ein weiterer Pluspunkt. Wir müssen keine Gateways mehr ändern, die die Last nicht mehr bewältigen. Zuvor wurde dieses Problem durch das Trade-In-Verfahren gelöst. Sie übergaben das alte „Eisen“ und bekamen ein neues mit Rabatt. Bei einem solchen System sind finanzielle "Verluste" unvermeidlich. Neues Verfahren mit Skalierung beseitigt diesen Faktor. Sie müssen nichts spenden, Sie können die Produktivität mit zusätzlicher „Hardware“ einfach weiter steigern.
    4. Die Möglichkeit, vorhandene Ressourcen für die Lastverteilung zu kombinieren. Sie können beispielsweise alle Cluster auf die Maestro-Plattform ziehen und je nach Last mehrere Sicherheitsgruppen zusammenstellen.

    Maestro Hyperscale Network Security Bundles


    Derzeit gibt es mehrere Möglichkeiten, die sogenannten Bundles mit der Maestro-Plattform zu erwerben. Lösung basierend auf Gateways 23800, 6800 und 6500:



    In diesem Fall können Sie zwischen zwei Standardtypen der Konfiguration wählen:

    1. Ein Orchestrator und zwei Gateways;
    2. Ein Orchestrator und drei Gateways.

    Hier können Sie die geschätzten Preise sehen. Natürlich können Sie zusätzlich einen anderen Orchestrator und so viele Gateways legen, wie Sie möchten. Sie können weitere Informationen zu den Spezifikationen verlangen hier .
    Bei den Geräten 6500 und 6800 handelt es sich um die neuesten Modelle, die ebenfalls in diesem Jahr eingeführt wurden. Wir werden aber im nächsten Artikel näher darauf eingehen.

    Wann kann ich kaufen?


    Es gibt keine eindeutige Antwort. Im Moment gibt es keine Mitteilung über die Einfuhr dieser Entscheidungen in unser Land. Sobald die Informationen zu den Bedingungen erscheinen, werden wir dies unverzüglich in unseren öffentlichen Dokumenten ( vk , telegram , facebook ) veröffentlichen. Darüber hinaus ist in naher Zukunft ein Webinar geplant, das der Check Point Maestro-Lösung gewidmet ist und alle technischen Merkmale berücksichtigt. Und natürlich können Sie Fragen stellen. Bleiben Sie dran für Updates!

    Fazit


    Natürlich ist die neue Maestro Hyperscale Network Security- Plattform eine hervorragende Ergänzung zu Check Point-Hardwarelösungen. Tatsächlich eröffnet dieses Produkt ein neues Segment, für das nicht jeder Anbieter von Informationssicherheit eine ähnliche Lösung hat. Darüber hinaus hat Check Point Maestro bis heute praktisch keine Alternativen, wenn es darum geht, eine derart beispiellose "Sicherheitsleistung" bereitzustellen. Maestro Hyperscale Network Security ist jedoch nicht nur für Besitzer von Rechenzentren interessant, sondern auch für gewöhnliche Unternehmen. Maestro kann bereits von denjenigen überwacht werden, die Geräte ab dem Modell 5600 besitzen oder erwerben möchten. In einigen Fällen kann die Verwendung von Maestro Hyperscale Network Security sowohl aus wirtschaftlicher als auch aus technischer Sicht eine sehr rentable Lösung sein.

    PS Der Artikel wurde unter Beteiligung von Anatoly Masover , Experte für skalierbare Plattform, Check Point Software Technologies, erstellt.

    Jetzt auch beliebt: