Check Point Maestro Hyperscale Network Security — новая масштабируемая security платформа

u6yrbr50r1x5-skdorgoris6ixc.png

Компания Check Point довольно резво начала 2019 год сделав сразу несколько анонсов. Рассказать обо всем в одной статье не получится, поэтому начнем с самого главного — Check Point Maestro Hyperscale Network Security. Maestro это новая масштабируемая платформа, которая позволяет наращивать «мощность» шлюза безопасности до «неприличных» цифр и практически линейно. Достигается это естественно за счет балансировки нагрузки между отдельными шлюзами, которые работают в кластере, как единая сущность. Кто-то может сказать — »Было! Уже есть блейд-платформы 44000/64000». Однако Maestro это совсем другое дело. В рамках этой статьи я вкратце постараюсь объяснить что это, как это работает и как эта технология поможет сэкономить на защите периметра сети.

Было — Стало


Проще всего понять чем отличается новая масштабируемая платформа от старых добрых 44000/64000 это взглянуть на картинку ниже:

zpgjidxnsaf5_wyjuz9rrghozn8.jpeg

Разница очевидна.

Старая платформа Check Point 44000/64000


Как видно из картинки выше, первый вариант представляет из себя фиксированную платформу (шасси), в которую можно вставлять ограниченное количество специальных «модулей-лезвий» (Check Point SGM). Все это подключается в Security Switch Module (SSM), который и осуществляет балансировку трафика между шлюзами. На картинке ниже более подробно представлены составляющие этой платформы:

e_zkf_asht4uho44ixcp0xselws.jpeg

Это отличная платформа в том случае, если вы точно знаете какая производительность вам нужна сейчас и в каких пределах она может вырасти. Однако из-за фиксированного форм-фактора (12 или 6 лезвий) вы ограничены в дальнейшем масштабировании. К тому же, вы вынуждены использовать исключительно SGM лезвия, без возможности подключения обычных аплайнсов у которых гораздо шире модельный ряд. С появлением Maestro Hyperscale Network Security ситуация меняется кардинально.

Новая платформа Check Point Maestro Hyperscale Network Security


Check Point Maestro был впервые представлен 22 января на конференции CPX в Бангкоке. Главные характеристики можно увидеть на картинке ниже:

vkl3o2re3z3dxffx9063o7tjpjs.jpeg

Как можно заметить, главное преимущество Check Point Maestro — возможность использовать для балансировки обычные шлюзы (appliance). Т.е. мы больше не ограничены SGM лезвиями. Распределять нагрузку можно между любыми устройствами начиная с модели 5600 (SMB модели и Шасси 44000/64000 не поддерживаются). На картинке выше приведены основные показатели, которых можно достичь при использовании новой платформы. Мы можем объединить в один вычислительный ресурс до 31! шлюза. Теперь ваш «фаервол» может выглядеть следующим образом:

ztwaydu6gwfpujhttbu_wmtgdbc.jpeg

Maestro Hyperscale Orchestrator


Уверен, у многих уже появился вопрос:»Что это за Оркестратор? » Что ж, знакомьтесь. Maestro Hyperscale Orchestrator — именно эта штука отвечает за балансировку нагрузки. На данный девайс установлена операционная систем Gaia R80.20 SP. На текущий момент есть две модели Оркестраторов — MHO-140 и MHO-170. Характеристики на картинке ниже:

lzc2znny-eq_zbnmflbalkb0vby.png

На первый взгляд может показаться, что это обычный коммутатор. На самом же деле это «коммутатор + балансировщик + система управления ресурсами». Все в одной коробке.
К этим Оркестраторам подключаются шлюзы. В случае если балансировщики в отказоустойчивом исполнении, то каждый шлюз подключается к каждому оркестратору. Для подключения может использоваться «оптика» (sfp+ / qsfp+ / qsfp28+) либо DAC кабель (Direct Attach Copper). При этом между оркестраторами естественно должен быть линк синхронизации:

jtnirzuqdlid0fq1i0el2iqsihe.jpeg

На картинке ниже можно увидеть, как распределяются порты этих оркестраторов:

hdfpk1wftmuykrsr5inkdpav8vm.png

Security Groups


Для того, чтобы нагрузка могла распределяться между шлюзами, эти шлюзы должны быть в одной Security Group. Security Group это логическая группа устройств, которая функционирует как кластер active/active. Эта группа функционирует независимо от других Security Group. С точки зрения сервера управления Security Group выглядит как одно устройство с одним ip-адресом.
При необходимости мы можем вывести один или несколько шлюзов в отдельную Security Group и использовать эту группу для других целей, как отдельный фаервол с точки зрения менеджмента. Пример использования приведен на картинке ниже:

n4kfsocodszkjgx3uxsoh7nirqy.jpeg

Важное ограничение, в одной Security Group могут использоваться исключительно одинаковые шлюзы (модель). Т.е. если вы хотите линейно растить мощность вашего шлюза безопасности (который является кластером из нескольких устройств), то вы должны добавлять точно такие же шлюзы. В ближайших релизах софта это ограничение должно исчезнуть.
На видео ниже можно увидеть процесс создания Security Group. Процедура интуитивно понятна.

lenqjs3ora7geigx5xtc7eg2zji.gif

Опять же, если сравнить компоненты Maestro с шассийной платформой, то получится примерно следующая картинка «было-стало»:

g1go_4jockxnlubswr5yroakllk.png

В чем выгода новой платформы?


Плюсов на самом деле много, как с технической точки зрения, так и с экономической. Распишу вкратце самые главные:

  1. Мы практически не ограничены в масштабировании. До 31 шлюза в рамках одной Security Group.
  2. Можем добавлять шлюзы по мере необходимости. Минимальный набор при покупке — один оркестратор + два шлюза. Не надо закладывать модели «на рост».
  3. Из предыдущего пункта вытекает еще один плюс. Нам больше не надо менять шлюзы, которые перестали справляться с нагрузкой. Раньше эта проблема решалась с помощью процедуры trade-in — сдавали старое «железо» и получали новое со скидкой. При такой схеме неизбежны финансовые «потери». Новая процедура с масштабированием устраняет этот фактор. Ничего сдавать не надо, можно просто продолжать увеличивать производительность с помощью дополнительного «железа».
  4. Возможность объединения уже существующих ресурсов для распределения нагрузки. К примеру, можно «перетащить» все свои кластеры на платформу Maestro и собрать несколько Security Group, уже в зависимости от нагрузки.


Бандлы Maestro Hyperscale Network Security


На текущий момент есть несколько вариантов приобретения так называемых бандлов с платформой Maestro. Решение на базе шлюзов 23800, 6800 и 6500:

zun4c7tfbkaoxjhscutjjpq3jl4.png

При этом можно выбрать из двух стандартных типов комплектации:

  1. Один оркестратор и два шлюза;
  2. Один оркестратор и три шлюза.


Здесь можно посмотреть ориентировочные цены. Естественно дополнительно можно заложить еще один оркестратор и сколько угодно шлюзов. Дополнительную информацию по спецификациям можно запросить здесь.
Устройства 6500 и 6800 это новейшие модели, которые были также представлены в начале этого года. Но о них мы поговорим более подробно уже в следующей статье.

Когда можно купить?


Здесь нет однозначного ответа. На данный момент отсутствует нотификация на ввоз этих решений к нам в страну. Как только появится информация по срокам мы сразу сделаем анонс в наших пабликах (vk, telegram, facebook). Кроме того, в ближайшее время планируется вебинар, посвященный решению Check Point Maestro, где будут рассмотрены все технические особенности. И конечно же можно будет задать интересующие вопросы. Следите за обновлениями!

Заключение


Безусловно, новая платформа Maestro Hyperscale Network Security является отличным пополнением в аппаратных решениях Check Point. По сути, данный продукт открывает новый сегмент, для которого далеко не у каждого ИБ вендора есть похожее решение. Более того, на сегодняшний день у Check Point Maestro практически нет альтернатив, если речь идет об обеспечении такой беспрецедентной «security мощности». Однако Maestro Hyperscale Network Security будет интересен не только для владельцев датацентров, но и для обычных компаний. «Присматриваться» к Maestro уже можно тем, кто владеет или собирается приобретать устройства, начиная с модели 5600. В некоторых случаях использование Maestro Hyperscale Network Security может оказаться весьма выгодным решением, как с экономической, так и технической точки зрения.

P.S. Статья подготовлена при участии Анатолия Масовера — Эксперта по масштабируемым платформам, Check Point Software Technologies.

© Habrahabr.ru