Check Point comenzó rápidamente el año 2019 con varios anuncios. No hay forma de hablar de todo en un artículo, así que comencemos con lo más importante:
Check Point Maestro Hyperscale Network Security . Maestro es una nueva plataforma escalable que le permite aumentar el "poder" de Security Gateway a números "indecentes" y casi linealmente. Esto se logra naturalmente equilibrando la carga entre las puertas de enlace individuales que funcionan en el clúster como una entidad única. Alguien podría decir: "¡
Lo fue! Ya hay plataformas blade 44000/64000 "
. Sin embargo, Maestro es un asunto completamente diferente. En el marco de este artículo, trataré brevemente de explicar qué es, cómo funciona y cómo esta tecnología ayudará a
ahorrar en la protección del perímetro de la red .
Fue - se convirtió
La forma más fácil de entender cómo la nueva plataforma escalable difiere de la antigua 44000/64000 es mirar la imagen a continuación:
La diferencia es obvia.
Antigua plataforma Check Point 44000/64000
Como puede ver en la imagen de arriba, la primera opción es una plataforma fija (chasis), en la que puede insertar un número limitado de "módulos blade" especiales (
Check Point SGM ). Todo esto se conecta al
Módulo de Interruptor de Seguridad (SSM), que equilibra el tráfico entre las puertas de enlace. La siguiente imagen detalla los componentes de esta plataforma:
Esta es una gran plataforma si sabe exactamente qué rendimiento necesita ahora y dentro de los límites que puede crecer. Sin embargo, debido al factor de forma fijo (12 o 6 cuchillas), está limitado en el escalado futuro. Además, se ve obligado a usar exclusivamente blades SGM, sin la capacidad de conectar capas superiores convencionales que tienen una línea mucho más amplia. Con el advenimiento de
Maestro Hyperscale Network Security, la situación ha cambiado dramáticamente.
Nueva plataforma de seguridad de red Check Point Maestro Hyperscale
Check Point Maestro se presentó por primera vez el 22 de enero en CPX en Bangkok. Las características principales se pueden ver en la imagen a continuación:
Como puede ver, la principal ventaja de Check Point Maestro es la capacidad de utilizar pasarelas de dispositivos convencionales para el equilibrio. Es decir ya no estamos limitados a cuchillas SGM. Puede distribuir la carga entre cualquier dispositivo que comience con el modelo 5600 (los modelos SMB y Chassis 44000/64000 no son compatibles). La imagen de arriba muestra los principales indicadores que se pueden lograr con la nueva plataforma. ¡Podemos combinar
hasta 31 en un recurso informático
! puerta de entrada Ahora su "firewall" podría verse así:
Maestro orquestador hiperescala
Estoy seguro de que muchos ya han tenido la pregunta: “
¿Qué tipo de orquesta es esta? "Bueno, familiarízate.
Maestro Hyperscale Orchestrator : esta cosa en particular es responsable del equilibrio de carga. El sistema operativo de
Gaia R80.20 SP está instalado en este dispositivo. Actualmente, hay dos modelos de orquestadores:
MHO-140 y
MHO-170 . Las características en la imagen a continuación:
A primera vista, puede parecer un cambio normal. De hecho, este es un "conmutador + equilibrador + sistema de gestión de recursos". Todo en una caja.
Las puertas de enlace están conectadas a estos orquestadores. Si los balanceadores tienen un diseño tolerante a fallas, entonces cada puerta de enlace está conectada a cada orquesta. Para conectarse, puede usar "óptica" (sfp + / qsfp + / qsfp28 +) o un cable DAC (Direct Attach Copper). Al mismo tiempo, naturalmente debería haber un enlace de sincronización entre los orquestadores:
En la imagen a continuación puede ver cómo se distribuyen los puertos de estos orquestadores:
Grupos de seguridad
Para que la carga se distribuya entre las puertas de enlace, estas deben estar en el mismo grupo de seguridad.
Security Group es un grupo lógico de dispositivos que funciona como un clúster activo / activo. Este grupo opera independientemente de otros grupos de seguridad. Desde el punto de vista del servidor de administración, el Grupo de seguridad se parece a un dispositivo con una dirección IP.
Si es necesario, podemos incorporar una o más puertas de enlace a un Grupo de seguridad separado y usar este grupo para otros fines, como un firewall separado desde el punto de vista de la administración. Un ejemplo de uso se muestra en la siguiente imagen:
Una limitación importante , en el mismo grupo de seguridad, solo se pueden usar las mismas puertas de enlace (modelo). Es decir si desea aumentar linealmente la potencia de su puerta de enlace de seguridad (que es un grupo de varios dispositivos), debe agregar exactamente las mismas puertas de enlace. En las próximas versiones de software, esta restricción debería desaparecer.
En el video a continuación, puede ver el proceso de creación de un grupo de seguridad. El procedimiento es intuitivo.
Nuevamente, si compara los componentes de Maestro con la plataforma del chasis, obtendrá la siguiente imagen de "fue-fue":
¿Cuál es el beneficio de la nueva plataforma?
De hecho, hay muchas ventajas, tanto desde un punto de vista técnico como desde un punto de vista económico. Describiré brevemente lo más importante:
- Somos prácticamente ilimitados en escala. Hasta 31 puertas de enlace dentro de un grupo de seguridad.
- Podemos agregar puertas de enlace según sea necesario. El mínimo establecido en la compra es una orquesta + dos puertas de enlace. No es necesario establecer el modelo para el crecimiento.
- Otra ventaja se desprende del párrafo anterior. Ya no necesitamos cambiar las puertas de enlace que han dejado de hacer frente a la carga. Anteriormente, este problema se resolvió mediante el procedimiento de intercambio: entregaron el hardware antiguo y recibieron uno nuevo con descuento. Con tal esquema, las "pérdidas" financieras son inevitables. Un nuevo procedimiento de escala elimina este factor. No necesita entregar nada, simplemente puede continuar aumentando la productividad con la ayuda de hardware adicional.
- Capacidad para combinar recursos existentes para el equilibrio de carga. Por ejemplo, puede "arrastrar" todos sus clústeres a la plataforma Maestro y ensamblar varios grupos de seguridad, dependiendo de la carga.
Paquetes de seguridad de red Maestro Hyperscale
Actualmente hay varias opciones para adquirir los llamados paquetes con la plataforma Maestro. Solución basada en pasarelas 23800, 6800 y 6500:
En este caso, puede elegir entre dos tipos de configuración estándar:
- Una orquesta y dos puertas de enlace;
- Una orquesta y tres puertas de enlace.
Aquí puedes ver los precios estimados. Naturalmente, también puede establecer otra orquesta y tantas puertas de enlace como desee. Puede solicitar más información sobre las especificaciones
aquí .
Los modelos
6500 y
6800 son los últimos modelos que también se presentaron a principios de este año. Pero hablaremos de ellos con más detalle en el próximo artículo.
Cuando puedo comprar
No hay una respuesta única. Por el momento, no hay notificación sobre la importación de estas decisiones a nuestro país. Tan pronto como aparezca la información sobre las fechas, haremos un anuncio de inmediato en nuestros públicos (
vk ,
telegram ,
facebook ). Además, se planifica un seminario web sobre la solución Check Point Maestro en un futuro próximo, donde se considerarán todas las características técnicas. Y, por supuesto, puede hacer preguntas de interés. Estén atentos!
Conclusión
Por supuesto, la nueva
plataforma Maestro Hyperscale Network Security es una excelente adición a las soluciones de hardware de Check Point. De hecho, este producto abre un nuevo segmento para el que no todos los proveedores de IS tienen una solución similar. Además, hoy Check Point Maestro prácticamente no tiene alternativas cuando se trata de proporcionar un "poder de seguridad" sin precedentes. Sin embargo, Maestro Hyperscale Network Security será interesante no solo para los propietarios de centros de datos, sino también para empresas comunes. Ya puede "echar un vistazo más de cerca" a Maestro para aquellos que poseen o tienen la intención de comprar dispositivos a partir del modelo 5600. En algunos casos, el uso de Maestro Hyperscale Network Security puede ser una solución muy rentable, tanto desde un punto de vista económico como técnico.
PD Este artículo fue
escrito con la ayuda de
Anatoly Masover , experto en plataformas escalables, Check Point Software Technologies.