A Check Point começou rapidamente o ano de 2019 com vários anúncios. Não há como falar sobre tudo em um artigo, então vamos começar com o mais importante -
Check Point Maestro Hyperscale Network Security . O Maestro é uma nova plataforma escalável que permite aumentar o "poder" do Security Gateway para números "indecentes" e quase linearmente. Isso é conseguido naturalmente equilibrando a carga entre os gateways individuais que funcionam no cluster como uma única entidade. Alguém pode dizer: "
Foi! Já existem plataformas blade 44000/64000 "
. No entanto, o Maestro é uma questão completamente diferente. Na estrutura deste artigo, tentarei brevemente explicar o que é, como funciona e como essa tecnologia ajudará a
economizar na proteção do perímetro da rede .
Foi - tornou-se
A maneira mais fácil de entender como a nova plataforma escalável difere da boa e velha 44000/64000 é olhar a figura abaixo:
A diferença é óbvia.
Plataforma Old Check Point 44000/64000
Como você pode ver na figura acima, a primeira opção é uma plataforma fixa (chassi), na qual você pode inserir um número limitado de "módulos blade" especiais (
Check Point SGM ). Tudo isso se conecta ao
Security Switch Module (SSM), que equilibra o tráfego entre gateways. A imagem abaixo detalha os componentes desta plataforma:
Essa é uma ótima plataforma, se você souber exatamente qual desempenho precisa agora e dentro de quais limites ele pode crescer. No entanto, devido ao fator de forma fixo (12 ou 6 lâminas), você está limitado na escala futura. Além disso, você é forçado a usar exclusivamente blades SGM, sem a capacidade de conectar monitores convencionais que possuem uma linha muito mais ampla. Com o advento do
Maestro Hyperscale Network Security, a situação mudou drasticamente.
Nova plataforma de segurança de rede de ponto de verificação Maestro Hyperscale
O Check Point Maestro foi apresentado pela primeira vez em 22 de janeiro no CPX em Bangkok. As principais características podem ser vistas na figura abaixo:
Como você pode ver, a principal vantagem do Check Point Maestro é a capacidade de usar gateways de dispositivos convencionais para balancear. I.e. não estamos mais limitados às lâminas da SGM. Você pode distribuir a carga entre todos os dispositivos que começam com o modelo 5600 (modelos SMB e Chassis 44000/64000 não são suportados). A figura acima mostra os principais indicadores que podem ser alcançados usando a nova plataforma. Podemos combinar
até 31 em um recurso de computação
! gateway . Agora seu "firewall" pode ficar assim:
Orquestrador Maestro em superescala
Tenho certeza que muitos já fizeram a pergunta: “
Que tipo de orquestra é essa? "Bem, familiarize-se.
Maestro Hyperscale Orchestrator - esse
item em particular é responsável pelo balanceamento de carga. O sistema operacional do
Gaia R80.20 SP está instalado neste dispositivo. Atualmente, existem dois modelos de orquestradores -
MHO-140 e
MHO-170 . As características na imagem abaixo:
À primeira vista, pode parecer um interruptor normal. Na verdade, este é um "sistema de gerenciamento de comutador + balanceador + recurso". Tudo em uma caixa.
Os gateways estão conectados a esses orquestradores. Se os balanceadores tiverem um design tolerante a falhas, cada gateway será conectado a cada orquestra. Para conectar, você pode usar “óptica” (sfp + / qsfp + / qsfp28 +) ou um cabo DAC (Direct Attach Copper). Ao mesmo tempo, deve haver naturalmente um link de sincronização entre os orquestradores:
Na figura abaixo, você pode ver como as portas desses orquestradores são distribuídas:
Grupos de segurança
Para que a carga seja distribuída entre os gateways, esses gateways devem estar no mesmo grupo de segurança.
Grupo de segurança é um grupo lógico de dispositivos que funciona como um cluster ativo / ativo. Este grupo opera independentemente de outros grupos de segurança. Do ponto de vista do servidor de gerenciamento, o Grupo de Segurança se parece com um dispositivo com um endereço IP.
Se necessário, podemos trazer um ou mais gateways para um grupo de segurança separado e usá-lo para outros fins, como um firewall separado do ponto de vista do gerenciamento. Um exemplo de uso é mostrado na figura abaixo:
Uma limitação importante , no mesmo grupo de segurança, apenas os mesmos gateways (modelo) podem ser usados. I.e. se você deseja aumentar linearmente o poder do seu gateway de segurança (que é um cluster de vários dispositivos), adicione exatamente os mesmos gateways. Nas próximas versões de software, essa restrição deve desaparecer.
No vídeo abaixo, você pode ver o processo de criação de um grupo de segurança. O procedimento é intuitivo.
Novamente, se você comparar os componentes do Maestro com a plataforma do chassi, obterá a seguinte imagem "era-era":
Qual é o benefício da nova plataforma?
De fato, existem muitas vantagens, do ponto de vista técnico e do ponto de vista econômico. Descreverei brevemente o mais importante:
- Somos praticamente ilimitados em escala. Até 31 gateways em um grupo de segurança.
- Podemos adicionar gateways conforme necessário. O mínimo estabelecido na compra é uma orquestra + dois gateways. Não há necessidade de estabelecer o modelo de crescimento.
- Outra vantagem segue o parágrafo anterior. Não precisamos mais alterar os gateways que deixaram de lidar com a carga. Anteriormente, esse problema era resolvido usando o procedimento de troca - eles entregavam o hardware antigo e recebiam um novo com desconto. Com este esquema, "perdas" financeiras são inevitáveis. Um novo procedimento de dimensionamento elimina esse fator. Você não precisa entregar nada, basta continuar aumentando a produtividade com a ajuda de hardware adicional.
- Capacidade de combinar recursos existentes para balanceamento de carga. Por exemplo, você pode "arrastar" todos os seus clusters para a plataforma Maestro e montar vários grupos de segurança, dependendo da carga.
Pacotes de segurança de rede Maestro Hyperscale
Atualmente, existem várias opções para adquirir os chamados pacotes com a plataforma Maestro. Solução baseada em gateways 23800, 6800 e 6500:
Nesse caso, você pode escolher entre dois tipos de configuração padrão:
- Uma orquestra e duas entradas;
- Uma orquestra e três passagens.
Aqui você pode ver preços estimados. Naturalmente, você também pode montar outra orquestra e quantos gateways desejar. Mais informações sobre especificações podem ser solicitadas
aqui .
Os
6500 e
6800 são os modelos mais recentes que também foram introduzidos no início deste ano. Mas falaremos sobre eles em mais detalhes no próximo artigo.
Quando posso comprar?
Não existe uma resposta única. No momento, não há notificação sobre a importação dessas decisões para o nosso país. Assim que as informações nas datas aparecerem, imediatamente anunciaremos em nossos públicos (
vk ,
telegrama ,
facebook ). Além disso, um webinar sobre a solução Check Point Maestro está planejado em um futuro próximo, onde todos os recursos técnicos serão considerados. E é claro que você pode fazer perguntas de seu interesse. Fique atento!
Conclusão
Obviamente, a nova plataforma
Maestro Hyperscale Network Security é uma excelente adição às soluções de hardware da Check Point. De fato, este produto abre um novo segmento para o qual nem todo fornecedor de SI possui uma solução semelhante. Além disso, hoje o Check Point Maestro praticamente não tem alternativas quando se trata de fornecer um “poder de segurança” sem precedentes. No entanto, o Maestro Hyperscale Network Security será interessante não apenas para proprietários de data centers, mas também para empresas comuns. Você já pode “olhar mais de perto” no Maestro para aqueles que possuem ou pretendem comprar dispositivos começando com o modelo 5600. Em alguns casos, o uso do Maestro Hyperscale Network Security pode ser uma solução muito lucrativa, tanto do ponto de vista econômico quanto técnico.
PS Este artigo foi
escrito com a assistência de
Anatoly Masover , especialista em plataformas escaláveis, Check Point Software Technologies.