Компания Check Point довольно резво начала 2019 год сделав сразу несколько анонсов. Рассказать обо всем в одной статье не получится, поэтому начнем с самого главного — Check Point Maestro Hyperscale Network Security. Maestro это новая масштабируемая платформа, которая позволяет наращивать «мощность» шлюза безопасности до «неприличных» цифр и практически линейно. Достигается это естественно за счет балансировки нагрузки между отдельными шлюзами, которые работают в кластере, как единая сущность. Кто-то может сказать — "Было! Уже есть блейд-платформы 44000/64000". Однако Maestro это совсем другое дело. В рамках этой статьи я вкратце постараюсь объяснить что это, как это работает и как эта технология поможет сэкономить на защите периметра сети.

Было — Стало


Проще всего понять чем отличается новая масштабируемая платформа от старых добрых 44000/64000 это взглянуть на картинку ниже:



Разница очевидна.

Старая платформа Check Point 44000/64000


Как видно из картинки выше, первый вариант представляет из себя фиксированную платформу (шасси), в которую можно вставлять ограниченное количество специальных “модулей-лезвий” (Check Point SGM). Все это подключается в Security Switch Module (SSM), который и осуществляет балансировку трафика между шлюзами. На картинке ниже более подробно представлены составляющие этой платформы:



Это отличная платформа в ��ом случае, если вы точно знаете какая производительность вам нужна сейчас и в каких пределах она может вырасти. Однако из-за фиксированного форм-фактора (12 или 6 лезвий) вы ограничены в дальнейшем масштабировании. К тому же, вы вынуждены использовать исключительно SGM лезвия, без возможности подключения обычных аплайнсов у которых гораздо шире модельный ряд. С появлением Maestro Hyperscale Network Security ситуация меняется кардинально.

Новая платформа Check Point Maestro Hyperscale Network Security


Check Point Maestro был впервые представлен 22 января на конференции CPX в Бангкоке. Главные характеристики можно увидеть на картинке ниже:



Как можно заметить, главное преимущество Check Point Maestro — возможность использовать для балансировки обычные шлюзы (appliance). Т.е. мы больше не ограничены SGM лезвиями. Распределять нагрузку можно между любыми устройствами начиная с модели 5600 (SMB модели и Шасси 44000/64000 не поддерживаются). На картинке выше приведены основные показатели, которых можно достичь при использовании новой платформы. Мы можем объединить в один вычислительный ресурс до 31! шлюза. Теперь ваш “фаервол” может выглядеть следующим образом:



Maestro Hyperscale Orchestrator


Уверен, у многих уже появился вопрос: “Что это за Оркестратор?” Что ж, знакомьтесь. Maestro Hyperscale Orchestrator — именно эта штука отвечает за балансировку нагрузки. На данный девайс установлена операционная систем Gaia R80.20 SP. На текущий момент есть две модели Оркестраторов — MHO-140 и MHO-170. Характеристики на картинке ниже:



На первый взгляд может показаться, что это обычный коммутатор. На самом же деле это “коммутатор + балансировщик + система управления ресурсами”. Все в одной коробке.
К этим Оркестраторам подключаются шлюзы. В случае если балансировщики в отказоустойчивом исполнении, то каждый шлюз подключается к каждому оркестратору. Для подключения может использоваться “оптика” (sfp+ / qsfp+ / qsfp28+) либо DAC кабель (Direct Attach Copper). При этом между оркестраторами естественно должен быть линк синхронизации:



На картинке ниже можно увидеть, как распределяются порты этих оркестраторов:



Security Groups


Для того, чтобы нагрузка могла распределяться между шлюзами, эти шлюзы должны быть в одной Security Group. Security Group это логическая группа устройств, которая функционирует как кластер active/active. Эта группа функционирует независимо от других Security Group. С точки зрения сервера управления Security Group выглядит как одно устройство с одним ip-адресом.
При необходимости мы можем вывести один или несколько шлюзов в отдельную Security Group и использовать эту группу для других целей, как отдельный фаервол с точки зрения менеджмента. Пример использования приведен на картинке ниже:



Важное ограничение, в одной Security Group могут использоваться исключительно одинаковые шлюзы (модель). Т.е. если вы хотите линейно растить мощность вашего шлюз�� безопасности (который является кластером из нескольких устройств), то вы должны добавлять точно такие же шлюзы. В ближайших релизах софта это ограничение должно исчезнуть.

На видео ниже можно увидеть процесс создания Security Group. Процедура интуитивно понятна.



Опять же, если сравнить компоненты Maestro с шассийной платформой, то получится примерно следующая картинка “было-стало”:



В чем выгода новой платформы?


Плюсов на самом деле много, как с технической точки зрения, так и с экономической. Распишу вкратце самые главные:

  1. Мы практически не ограничены в масштабировании. До 31 шлюза в рамках одной Security Group.
  2. Можем добавлять шлюзы по мере необходимости. Минимальный набор при покупке — один оркестратор + два шлюза. Не надо закладывать модели “на рост”.
  3. Из предыдущего пункта вытекает еще один плюс. Нам больше не надо менять шлюзы, которые перестали справляться с нагрузкой. Раньше эта проблема решалась с помощью процедуры trade-in — сдавали старое “железо” и получали новое со скидкой. При такой схеме неизбежны финансовые “потери”. Новая процедура с масштабированием устраняет этот фактор. Ничего сдавать не надо, можно просто продолжать увеличивать производительность с помощью дополнительного “железа”.
  4. Возможность объединения уже существующих ресурсов для распределения нагрузки. К примеру, можно “перетащить” все свои кластеры на платформу Maestro и собрать несколько Security Group, уже в зависимости от ��агрузки.

Бандлы Maestro Hyperscale Network Security


На текущий момент есть несколько вариантов приобретения так называемых бандлов с платформой Maestro. Решение на базе шлюзов 23800, 6800 и 6500:



При этом можно выбрать из двух стандартных типов комплектации:

  1. Один оркестратор и два шлюза;
  2. Один оркестратор и три шлюза.

Здесь можно посмотреть ориентировочные цены. Естественно дополнительно можно заложить еще один оркестратор и сколько угодно шлюзов. Дополнительную информацию по спецификациям можно запросить здесь.
Устройства 6500 и 6800 это новейшие модели, которые были также представлены в начале этого года. Но о них мы поговорим более подробно уже в следующей статье.

Когда можно купить?


Здесь нет однозначного ответа. На данный момент отсутствует нотификация на ввоз этих решений к нам в страну. Как только появится информация по срокам мы сразу сделаем анонс в наших пабликах (vk, telegram, facebook). Кроме того, в ближайшее время планируется вебинар, посвященный решению Check Point Maestro, где будут рассмотрены все технические особенности. И конечно же можно будет задать интересующие вопросы. Следите за обновлениями!

Заключение


Безусловно, новая платформа Maestro Hyperscale Network Security является отличным пополнением в аппаратных решениях Check Point. По сути, данный продукт открывает новый сегмент, для которого далеко не у каждого ИБ вендора есть похожее решение. Более того, на сегодняшний день у Check Point Maestro практически нет альтернатив, если речь идет об обеспечении такой беспрецедентной «security мощности». Однако Maestro Hyperscale Network Security будет интересен не только для владельцев датацентров, но и для обычных компаний. «Присматриваться» к Maestro уже можно тем, кто владеет или собирается приобретать устройства, начиная с модели 5600. В некоторых случаях использование Maestro Hyperscale Network Security может оказаться весьма выгодным решением, как с экономической, так и технической точки зрения.

P.S. Статья подготовлена при участии Анатолия Масовера — Эксперта по масштабируемым платформам, Check Point Software Technologies.