Як зробити фаєрволи швидшими, потужнішими, дешевшими

Швидкість ваших фаєрволів вже не та? Потужності теж не вистачає? Пора купувати нове «залізо»?

22 січня на конференції CPX у Бангкоку компанія Check Point презентувала нове апаратне рішення, яке практично не має альтернатив на ринку та є вигідним для компаній як економічно, так і технічно.

Раді представити вам Check Point Maestro Hyperscale Network Security!

Maestro – це нова масштабована платформа, яка дозволяє збільшувати потужність шлюзу безпеки в рази практично лінійно. Досягається це за рахунок балансування навантаження між окремими шлюзами, які працюють спільно в кластері.

Подібний підхід вже можна було, звичайно, зустріти й в блейд-платформах 44000/64000. Але якщо це були фіксовані платформи (шасі), обмежені щодо кількості “модулів-лез” (Check Point SGM), які можна підключити, то в Maestro використовуються звичайні шлюзи (appliance). До того ж, можливості підключення звичайних пристроїв, у яких набагато ширший модельний ряд, у першому варіанті просто не було – тільки SGM-леза.

Крім того, в 44000/64000 балансування трафіку між шлюзами здійснював Security Switch Module (SSM). Це відмінна платформа, але тільки якщо заздалегідь відомо, яка продуктивність потрібна зараз і в яких межах вона знадобиться в майбутньому, адже через фіксований форм-фактор (12 або 6 лез) буде обмеження в подальшому масштабуванні. В одному ж обчислювальному ресурсі Maestro може бути до 31 шлюзу.

Складається Check Point Maestro з обчислювальних ресурсів та оркестраторів, у яких і криється вся міць.

Maestro Hyperscale Orchestrator – це комутатор + балансувальник навантаження + система управління ресурсами.

На поточний момент є дві моделі оркестраторів – MHO-140 і MHO-170. Відрізняються вони кількістю портів і пропускною спроможністю. MHO-140 є моделлю середнього рівня, у наявності якої 48 портів на 10G і 8х100G, а також загальна пропускна здатність від 2 до 4 Tb/s. Характеристики MHO-170 складають 32 порти на 100G і пропускну здатність від 3,2 до 6,4 Tb/s. Також кожен порт на 100G можна розбити на 4 по 10G.

До цих оркестраторів підключаються шлюзи. Щоб навантаження могло розподілятися між шлюзами, вони повинні бути в одній Security Group. Security Group – логічна група пристроїв, яка функціонує як кластер active/active незалежно від інших таких самих груп. Із точки зору сервера управління Security Group виглядає як один пристрій із одною IP-адресою. І масштабованість у 31 шлюз знаходиться в рамках однієї Security Group, а їх може бути й декілька.

Окремі Security Group можна використовувати для різних цілей як окремий фаєрвол із точки зору менеджменту.

Тобто, вигода використання Check Point Maestro, як мінімум, у тому, що не потрібно відразу купувати повний комплект обладнання «на перспективу», вкладаючи в це чималий бюджет. Можна розпочати з двох шлюзів та оркестратора й поступово поповнювати набір за потреби. А також перекидувати пристрої з однієї Security Group на іншу без перерви в роботі фаєрволів.

До того ж продуктивність таких бандлів вища за рахунок лінійного розподілу навантаження.

По суті, Maestro Hyperscale Network Security відкриває новий сегмент, для якого далеко не в кожного вендора інформаційної безпеки є схоже рішення. Однак даний продукт буде цікавий не тільки для сервіс-провайдерів, але й для звичайних компаній.

Хочете більш детально ознайомитися з Check Point Maestro? Можете замовити консультацію спеціаліста ТУТ