Geekly articles weekly

1. Check Point Maestro Hyperscale Network Security - une nouvelle plate-forme de sécurité évolutive



Check Point a commencé assez rapidement l'année 2019 avec plusieurs annonces. Il n'y a aucun moyen de parler de tout dans un seul article, alors commençons par la chose la plus importante - Check Point Maestro Hyperscale Network Security . Maestro est une nouvelle plate-forme évolutive qui vous permet d'augmenter la "puissance" de la passerelle de sécurité vers des nombres "indécents" et de manière presque linéaire. Ceci est réalisé naturellement en équilibrant la charge entre les passerelles individuelles qui fonctionnent dans le cluster comme une seule entité. Quelqu'un pourrait dire: " Ça l'était! Il existe déjà des plates-formes de lames 44000/64000. " Cependant, Maestro est une affaire complètement différente. Dans le cadre de cet article, j'essaierai brièvement d'expliquer de quoi il s'agit, comment cela fonctionne et comment cette technologie permettra d' économiser sur la protection du périmètre du réseau .

C'était - c'est devenu


La façon la plus simple de comprendre en quoi la nouvelle plate-forme évolutive diffère du bon vieux 44000/64000 est de regarder l'image ci-dessous:



La différence est évidente.

Ancienne plate-forme Check Point 44000/64000


Comme vous pouvez le voir sur l'image ci-dessus, la première option est une plate-forme fixe (châssis), dans laquelle vous pouvez insérer un nombre limité de «modules lames» spéciaux ( Check Point SGM ). Tout cela se connecte au module de commutation de sécurité (SSM), qui équilibre le trafic entre les passerelles. L'image ci-dessous détaille les composants de cette plateforme:



Il s'agit d'une excellente plate-forme si vous savez exactement de quelles performances vous avez besoin maintenant et dans quelles limites elle peut croître. Cependant, en raison du facteur de forme fixe (12 ou 6 lames), vous êtes limité dans la mise à l'échelle future. De plus, vous êtes obligé d'utiliser exclusivement des lames SGM, sans la possibilité de connecter des uplays conventionnels qui ont une gamme beaucoup plus large. Avec l'avènement de Maestro Hyperscale Network Security, la situation a radicalement changé.

Nouvelle plate-forme de sécurité réseau Check Point Maestro Hyperscale


Check Point Maestro a été présenté pour la première fois le 22 janvier au CPX de Bangkok. Les principales caractéristiques peuvent être vues dans l'image ci-dessous:



Comme vous pouvez le voir, le principal avantage de Check Point Maestro est la possibilité d'utiliser des passerelles d'appareil conventionnelles pour l'équilibrage. C'est-à-dire nous ne sommes plus limités aux lames SGM. Vous pouvez répartir la charge entre tous les appareils commençant par le modèle 5600 (les modèles SMB et les châssis 44000/64000 ne sont pas pris en charge). L'image ci-dessus montre les principaux indicateurs qui peuvent être atteints en utilisant la nouvelle plateforme. Nous pouvons combiner jusqu'à 31 en une seule ressource informatique ! passerelle . Maintenant, votre «pare-feu» pourrait ressembler à ceci:



Orchestrateur hyperscale Maestro


Je suis sûr que beaucoup ont déjà posé la question: « De quel genre d'orchestre s'agit-il? "Eh bien, faites connaissance. Maestro Hyperscale Orchestrator - cette chose particulière est responsable de l'équilibrage de charge. Le système d'exploitation du Gaia R80.20 SP est installé sur cet appareil. Actuellement, il existe deux modèles d'orchestrateurs - MHO-140 et MHO-170 . Les caractéristiques de l'image ci-dessous:



À première vue, cela peut sembler être un interrupteur normal. En fait, il s'agit d'un «commutateur + équilibreur + système de gestion des ressources». Le tout dans une seule boîte.
Les passerelles sont connectées à ces orchestrateurs. Si les équilibreurs sont de conception à tolérance de pannes, chaque passerelle est connectée à chaque orchestre. Pour vous connecter, vous pouvez utiliser des «optiques» (sfp + / qsfp + / qsfp28 +) ou un câble DAC (Direct Attach Copper). Dans le même temps, il devrait naturellement y avoir un lien de synchronisation entre les orchestrateurs:



Dans l'image ci-dessous, vous pouvez voir comment les ports de ces orchestrateurs sont distribués:



Groupes de sécurité


Pour que la charge soit répartie entre les passerelles, ces passerelles doivent se trouver dans le même groupe de sécurité. Le groupe de sécurité est un groupe logique de périphériques qui fonctionne comme un cluster actif / actif. Ce groupe fonctionne indépendamment des autres groupes de sécurité. Du point de vue du serveur de gestion, le groupe de sécurité ressemble à un appareil avec une adresse IP.
Si nécessaire, nous pouvons intégrer une ou plusieurs passerelles dans un groupe de sécurité distinct et utiliser ce groupe à d'autres fins, en tant que pare-feu distinct du point de vue de la gestion. Un exemple d'utilisation est illustré dans l'image ci-dessous:



Une limitation importante , dans le même groupe de sécurité, seules les mêmes passerelles (modèle) peuvent être utilisées. C'est-à-dire si vous souhaitez augmenter linéairement la puissance de votre passerelle de sécurité (qui est un cluster de plusieurs appareils), vous devez ajouter exactement les mêmes passerelles. Dans les prochaines versions du logiciel, cette restriction devrait disparaître.

Dans la vidéo ci-dessous, vous pouvez voir le processus de création d'un groupe de sécurité. La procédure est intuitive.



Encore une fois, si vous comparez les composants de Maestro avec la plate-forme du châssis, vous obtenez l'image suivante "était-ce que c'était":



Quel est l'avantage de la nouvelle plateforme?


En fait, il y a de nombreux avantages, à la fois d'un point de vue technique et d'un point de vue économique. Je décrirai brièvement les plus importants:

  1. Nous sommes pratiquement illimités dans la mise à l'échelle. Jusqu'à 31 passerelles au sein d'un groupe de sécurité.
  2. Nous pouvons ajouter des passerelles au besoin. L'ensemble minimum à l'achat est un orchestre + deux passerelles. Pas besoin de poser le modèle de croissance.
  3. Un autre avantage découle du paragraphe précédent. Nous n'avons plus besoin de changer les passerelles qui ont cessé de faire face à la charge. Auparavant, ce problème était résolu en utilisant la procédure de reprise - ils ont remis l'ancien matériel et en ont reçu un nouveau à prix réduit. Avec un tel schéma, les «pertes» financières sont inévitables. Une nouvelle procédure de mise à l'échelle élimine ce facteur. Vous n'avez pas besoin de remettre quoi que ce soit, vous pouvez simplement continuer à augmenter la productivité à l'aide de matériel supplémentaire.
  4. Possibilité de combiner les ressources existantes pour l'équilibrage de charge. Par exemple, vous pouvez «faire glisser» tous vos clusters sur la plateforme Maestro et assembler plusieurs groupes de sécurité, en fonction de la charge.

Ensembles de sécurité réseau Maestro Hyperscale


Actuellement, il existe plusieurs options pour acquérir des soi-disant bundles avec la plate-forme Maestro. Solution basée sur les passerelles 23800, 6800 et 6500:



Dans ce cas, vous pouvez choisir entre deux types de configuration standard:

  1. Un orchestre et deux passerelles;
  2. Un orchestre et trois passerelles.

Ici vous pouvez voir les prix estimés. Naturellement, vous pouvez également créer un autre orchestre et autant de passerelles que vous le souhaitez. De plus amples informations sur les spécifications peuvent être demandées ici .
Les 6500 et 6800 sont les derniers modèles qui ont également été introduits plus tôt cette année. Mais nous en parlerons plus en détail dans le prochain article.

Quand puis-je acheter?


Il n'y a pas de réponse unique. Pour le moment, il n'y a pas de notification sur l'importation de ces décisions dans notre pays. Dès que l'information sur les dates apparaîtra, nous ferons immédiatement une annonce dans nos publics ( vk , télégramme , facebook ). En outre, dans un avenir proche, un webinaire est prévu sur la solution Check Point Maestro, où toutes les fonctionnalités techniques seront prises en compte. Et bien sûr, vous pouvez poser des questions d'intérêt. Restez à l'écoute!

Conclusion


Bien entendu, la nouvelle plateforme Maestro Hyperscale Network Security est un excellent ajout aux solutions matérielles Check Point. En fait, ce produit ouvre un nouveau segment pour lequel la solution de sécurité des informations de tous les fournisseurs n’a pas une solution similaire. De plus, Check Point Maestro n'a pratiquement pas d'alternative aujourd'hui lorsqu'il s'agit de fournir un «pouvoir de sécurité» sans précédent. Cependant, Maestro Hyperscale Network Security sera intéressant non seulement pour les propriétaires de centres de données, mais aussi pour les entreprises ordinaires. Vous pouvez déjà «examiner de plus près» Maestro pour ceux qui possèdent ou ont l'intention d'acheter des appareils à partir du modèle 5600. Dans certains cas, l'utilisation de Maestro Hyperscale Network Security peut être une solution très rentable, tant d'un point de vue économique que technique.

PS Cet article a été écrit avec l'aide d' Anatoly Masover , Expert sur les plateformes évolutives, Check Point Software Technologies.

Source: https://habr.com/ru/post/fr438314/

More articles:


All Articles