Geekly articles weekly

1. Check Point Maestro Hyperscale-Netzwerksicherheit - eine neue skalierbare Sicherheitsplattform



Check Point begann das Jahr 2019 recht schnell mit mehreren Ankündigungen. Es gibt keine Möglichkeit, über alles in einem Artikel zu sprechen. Beginnen wir also mit dem Wichtigsten - Check Point Maestro Hyperscale Network Security . Maestro ist eine neue skalierbare Plattform, mit der Sie die "Leistung" des Sicherheitsgateways nahezu linear auf "unanständige" Zahlen erhöhen können. Dies wird auf natürliche Weise erreicht, indem die Last zwischen den einzelnen Gateways verteilt wird, die im Cluster als einzelne Einheit arbeiten. Jemand könnte sagen: " Es war! Es gibt bereits 44000/64000 Blade-Plattformen. " Maestro ist jedoch eine ganz andere Sache. Im Rahmen dieses Artikels werde ich kurz versuchen zu erklären, was es ist, wie es funktioniert und wie diese Technologie zum Schutz des Netzwerkumfangs beiträgt .

Es war - es wurde


Der einfachste Weg zu verstehen, wie sich die neue skalierbare Plattform von der guten alten 44000/64000 unterscheidet, ist das folgende Bild:



Der Unterschied ist offensichtlich.

Alte Check Point Plattform 44000/64000


Wie Sie auf dem Bild oben sehen können, ist die erste Option eine feste Plattform (Chassis), in die Sie eine begrenzte Anzahl spezieller „Blade-Module“ ( Check Point SGM ) einsetzen können. All dies stellt eine Verbindung zum Security Switch Module (SSM) her, das den Datenverkehr zwischen Gateways ausgleicht. Das folgende Bild zeigt die Komponenten dieser Plattform:



Dies ist eine großartige Plattform, wenn Sie genau wissen, welche Leistung Sie jetzt benötigen und in welchen Grenzen sie wachsen kann. Aufgrund des festen Formfaktors (12 oder 6 Blades) sind Sie jedoch in der zukünftigen Skalierung eingeschränkt. Darüber hinaus müssen Sie ausschließlich SGM-Blades verwenden, ohne herkömmliche Uplays mit einer viel breiteren Aufstellung anschließen zu können. Mit dem Aufkommen von Maestro Hyperscale Network Security hat sich die Situation dramatisch geändert.

Neue Check Point Maestro Hyperscale-Netzwerksicherheitsplattform


Check Point Maestro wurde erstmals am 22. Januar auf der CPX in Bangkok vorgestellt. Die Hauptmerkmale sind im Bild unten zu sehen:



Wie Sie sehen können, ist der Hauptvorteil von Check Point Maestro die Möglichkeit, herkömmliche Appliance-Gateways zum Auswuchten zu verwenden. Das heißt, Wir sind nicht länger auf SGM-Blades beschränkt. Sie können die Last auf alle Geräte verteilen, die mit dem Modell 5600 beginnen (SMB-Modelle und Chassis 44000/64000 werden nicht unterstützt). Das Bild oben zeigt die Hauptindikatoren, die mit der neuen Plattform erreicht werden können. Wir können bis zu 31 in einer Computerressource kombinieren ! Gateway . Jetzt könnte Ihre "Firewall" folgendermaßen aussehen:



Maestro Hyperscale Orchestrator


Ich bin sicher, dass viele bereits die Frage hatten: „ Was für ein Orchester ist das? "Nun, lerne dich kennen. Maestro Hyperscale Orchestrator - diese spezielle Sache ist für den Lastausgleich verantwortlich. Auf diesem Gerät ist das Betriebssystem des Gaia R80.20 SP installiert. Derzeit gibt es zwei Modelle von Orchestratoren - MHO-140 und MHO-170 . Die Eigenschaften im Bild unten:



Auf den ersten Blick scheint es ein normaler Schalter zu sein. Tatsächlich handelt es sich hierbei um ein "Switch + Balancer + Ressourcenmanagementsystem". Alles in einer Box.
Gateways sind mit diesen Orchestratoren verbunden. Wenn Balancer fehlertolerant ausgeführt sind, ist jedes Gateway mit jedem Orchester verbunden. Zum Anschließen können Sie „Optik“ (sfp + / qsfp + / qsfp28 +) oder ein DAC-Kabel (Direct Attach Copper) verwenden. Gleichzeitig sollte natürlich eine Synchronisationsverbindung zwischen den Orchestratoren bestehen:



In der Abbildung unten sehen Sie, wie die Ports dieser Orchestratoren verteilt sind:



Sicherheitsgruppen


Damit die Last auf die Gateways verteilt werden kann, müssen sich diese Gateways in derselben Sicherheitsgruppe befinden. Sicherheitsgruppe ist eine logische Gruppe von Geräten, die als Aktiv / Aktiv-Cluster fungieren. Diese Gruppe arbeitet unabhängig von anderen Sicherheitsgruppen. Aus Sicht des Verwaltungsservers sieht die Sicherheitsgruppe wie ein Gerät mit einer IP-Adresse aus.
Bei Bedarf können wir ein oder mehrere Gateways in eine separate Sicherheitsgruppe einbinden und diese Gruppe für andere Zwecke als separate Firewall aus Sicht der Verwaltung verwenden. Ein Anwendungsbeispiel ist in der folgenden Abbildung dargestellt:



Eine wichtige Einschränkung : In derselben Sicherheitsgruppe können nur dieselben Gateways (Modell) verwendet werden. Das heißt, Wenn Sie die Leistung Ihres Sicherheitsgateways (bei dem es sich um einen Cluster aus mehreren Geräten handelt) linear erhöhen möchten, müssen Sie genau dieselben Gateways hinzufügen. In den nächsten Softwareversionen sollte diese Einschränkung verschwinden.

Im folgenden Video sehen Sie den Prozess zum Erstellen einer Sicherheitsgruppe. Das Verfahren ist intuitiv.



Wenn Sie die Komponenten von Maestro mit der Chassis-Plattform vergleichen, erhalten Sie erneut das folgende Bild „Was-es war“:



Was ist der Vorteil der neuen Plattform?


Tatsächlich gibt es viele Vorteile, sowohl aus technischer als auch aus wirtschaftlicher Sicht. Ich werde kurz das Wichtigste beschreiben:

  1. Wir sind praktisch unbegrenzt skalierbar. Bis zu 31 Gateways innerhalb einer Sicherheitsgruppe.
  2. Wir können nach Bedarf Gateways hinzufügen. Der Mindestbetrag beim Kauf beträgt ein Orchester + zwei Gateways. Keine Notwendigkeit, das Modell für Wachstum zu legen.
  3. Ein weiteres Plus ergibt sich aus dem vorherigen Absatz. Wir müssen die Gateways, die nicht mehr mit der Last fertig sind, nicht mehr ändern. Zuvor wurde dieses Problem mithilfe des Inzahlungnahmeverfahrens gelöst - sie übergaben die alte Hardware und erhielten eine neue mit einem Rabatt. Mit einem solchen System sind finanzielle „Verluste“ unvermeidlich. Ein neues Skalierungsverfahren eliminiert diesen Faktor. Sie müssen nichts übergeben, sondern können die Produktivität mithilfe zusätzlicher Hardware einfach weiter steigern.
  4. Möglichkeit, vorhandene Ressourcen für den Lastausgleich zu kombinieren. Sie können beispielsweise alle Ihre Cluster auf die Maestro-Plattform ziehen und je nach Auslastung mehrere Sicherheitsgruppen zusammenstellen.

Maestro Hyperscale Network Security Bundles


Derzeit gibt es mehrere Möglichkeiten, sogenannte Bundles mit der Maestro-Plattform zu erwerben. Lösung basierend auf 23800, 6800 und 6500 Gateways:



In diesem Fall können Sie zwischen zwei Standardkonfigurationstypen wählen:

  1. Ein Orchester und zwei Tore;
  2. Ein Orchester und drei Tore.

Hier sehen Sie geschätzte Preise. Natürlich können Sie zusätzlich ein anderes Orchester und so viele Tore legen, wie Sie möchten. Weitere Informationen zu den Spezifikationen können hier angefordert werden .
Die Modelle 6500 und 6800 sind die neuesten Modelle, die ebenfalls Anfang dieses Jahres eingeführt wurden. Wir werden jedoch im nächsten Artikel ausführlicher darauf eingehen.

Wann kann ich kaufen?


Es gibt keine einzige Antwort. Derzeit gibt es keine Benachrichtigung über die Einfuhr dieser Entscheidungen in unser Land. Sobald die Informationen zu den Daten erscheinen, werden wir sofort eine Ankündigung in unserer Öffentlichkeit machen ( vk , Telegramm , Facebook ). Darüber hinaus ist in naher Zukunft ein Webinar zur Check Point Maestro-Lösung geplant, in dem alle technischen Merkmale berücksichtigt werden. Und natürlich können Sie interessante Fragen stellen. Bleib dran!

Fazit


Natürlich ist die neue Maestro Hyperscale Network Security- Plattform eine hervorragende Ergänzung zu Check Point-Hardwarelösungen. Tatsächlich eröffnet dieses Produkt ein neues Segment, für das nicht jeder IS-Anbieter eine ähnliche Lösung hat. Darüber hinaus hat Check Point Maestro heute praktisch keine Alternativen mehr, wenn es darum geht, eine solch beispiellose „Sicherheitsleistung“ bereitzustellen. Maestro Hyperscale Network Security wird jedoch nicht nur für Eigentümer von Rechenzentren interessant sein, sondern auch für normale Unternehmen. Sie können sich Maestro bereits genauer ansehen, wenn Sie Geräte besitzen oder kaufen möchten, die mit dem Modell 5600 beginnen. In einigen Fällen kann die Verwendung der Maestro Hyperscale-Netzwerksicherheit sowohl aus wirtschaftlicher als auch aus technischer Sicht eine sehr rentable Lösung sein.

PS Dieser Artikel wurde mit Unterstützung von Anatoly Masover , Experte für skalierbare Plattformen, Check Point Software Technologies, verfasst.

Source: https://habr.com/ru/post/de438314/

More articles:


All Articles