為了因應5G無線寬頻廣域網路的時代即將來臨,必須具備更高的資料傳輸率與超低存取延遲,電信業、大型企業的資料中心環境,勢必將面對比以往更大規模、更無比快速的網路流量,相對而言,也對網路安全防護造成極高的挑戰。
對於各家網路防火牆廠商而言,除了提供處理效能最高階的產品機型之外,另一種方式,則是設法讓多臺設備串連、堆疊起來,形成一個叢集的運作架構,將所有的硬體資源集中起來,便於整體調度,若要調整系統規模的大小,也能根據現行環境需求的變化,而能以一臺臺的方式來進行處理效能的擴充或縮減,毋須初期就採購一臺效能超強、但成本負擔也重的高階機型。
而這種作法是由Check Point率先提出,他們在2019年1月發表了一套名為Maestro Hyperscale Orchestrator的解決方案,可針對超大型的網路連線環境,提供安全防護,而當中的最大賣點,就是能將既有的Check Point資安閘道設備,轉換為資安閘道模組(Security Gateway Module,SGM),再據此進行調度指揮,進而彈性擴充系統的執行規模,支援不同規模的企業網路應用。
以運作規模而言,Check Point Maestro能夠同時串聯多臺網路防火牆設備,可在幾分鐘之內,匯聚多達52臺的Check Point防火牆設備,並且搭配該公司特有的HyperSync技術,將原本單臺各自獨立使用的網路容量和處理效能,整合為一,形成具有N+1備援能力的叢集,達到電信等級的使用需求,若有部分資安設備故障,網路流量可分散到其他仍可正常運作的設備來處理。
所謂的HyperSync技術,是Check Point發展的技術,可確保主動連線可同步連接到安全群組裡面的備援資安應用設備,亦即促使每條連線flow在安全群組中,可以有備用的連線。
這項技術先前Check Point稱為SyncXL,會在不同的資安應用設備之間,透過單播(Unicast)的方式進行連線的同步。
原本的SyncXL是用於大型機箱型態的Check Point資安閘道設備,可確保正在傳輸的連線,只會同步到主要活動機箱(Active Chassis)內的一臺資安閘道模組(SGM),以及待命機箱(Standby Chassis)內的一臺資安閘道模組,若主要活動的SGM或機箱狀態異動,例如SGM故障、進行復原或是機箱發生容錯移轉的狀況,所有SGM會這些更新套用到待命的SGM。
而在Maestro這樣的虛擬整合系統之中,用戶能夠根據所需的資安功能、政策實施方式,以及所要保護的數位資產,來區隔出不同的防護群組;而在整體效能的處理上,Maestro因為能夠堆疊52臺網路防火牆設備的效能,最高能提供Tbps等級的威脅預防吞吐量(Threat Prevention Throughput)──以Check Point 23900這款機型為例,單臺的網路威脅過濾能力約為20 Gbps,而透過Maestro串連52臺之後,總共可提供1,000 Gbps的吞吐量。
也由於Maestro架構支援如此巨大規模的擴展性,使得那些需維運5G網路服務的企業,能運用這套解決方案,來提供處理能力更強的安全防護措施。
而在最初發表Maestro之際,Check Point首先強調的特色,在於能藉此隨需擴充既有網路防火牆設備執行規模,將原始的網路吞吐量提升到50倍以上,且僅需幾分鐘(Check Point聲稱6分鐘),即可支援超大規模的防護需求,又能善用既有資安投資。
其次,則是提供雲端服務等級的系統執行韌性及高可靠度,而這當中運用了Check Point發展的HyperSync技術,提供進階與電信等級的叢集,以及完整的備援。
第三則是提供單一控管,能將企業多臺Check Point網路防火牆,統合為一套資安系統,簡化管理負擔。
此外,企業若要臨時擴增或縮減這套資安系統的運算能力,可透過網頁管理介面、命令列介面(CLI)來操控,也可經由具備RESTful風格的API來進行。
建構虛擬資安系統,提供具備高可用性、負載平衡,以及橫向擴充執行規模的能力
在實際建置的架構上,Maestro包含了4個要件,分別是:(一)硬體設備Maestro Hyperscale Orchestrator(MHO),(二)Check Point資安閘道設備執行的系統軟體Scalable Platform Appliances R80.20SP(2020年推出R80.30SP),(三)多個安全群組(Security Groups),(四)單一管理物件(Single Management Object,SMO)。
MHO
針對MHO的部份,Check Point提供140與170等兩款1U尺寸的機型,前者可用於中階規模的超大型網路環境,提供48個10GbE埠搭配8個100GbE埠,支援的交織網路容量為2到4 Tbps,後者可用於高階規模的超大型網路環境,有32個100GbE埠,可支援3.2到6.4Tbps的交織網路容量。若一臺MHO不夠用,可部署到2臺同款的MHO機型。
MHO的主要工作是負責「分配」,將網路流量分配到安全群組的各個成員或資安閘道模組,配送的方式則取決於MHO下行連接(Downlink)的資安閘道設備數量,來進行動態計算。
值得一提的是,MHO的外觀就像一臺提供很多網路埠的交換器,但Check Point並未透露廠牌,不過,到了2019年6月謎底揭曉,我們看到Mellanox發出新聞稿,當中提到,Check Point Maestro採用了他們的Spectrum系列的10/25/100Gbps乙太網路交換器。
Security Groups
而在Security Group的部署上,MHO能將多臺Check Point資安設備區隔為多個邏輯群組,提供雙主動式的叢集運行功能,以此與其他安全群組區隔開來;每個安全群組有專屬的內部與外部網路介面,也能配置不同的組態與控管政策,企業可在安全群組當中或兩個安全群組之間,進行運算資源的動態配置,以便符合控管需求。
而每個安全群組的成員(個別的Check Point資安應用設備),與MHO之間的網路連接,則會經由直連網路纜線(DAC),接上彼此的10GbE或40GbE的網路埠介面,埠對埠的連網延遲最快為300奈秒,可達到全速連接與無封包漏失的要求。
SMO
至於SMO,是每個安全群組的「外觀」,例如,若企業透過Check Point的資安管理系統前端工具SmartConsole,來檢視個別安全群組時,會看到一臺資安實體閘道設備,或是VSX虛擬資安閘道設備。
基本上,這套整合資安系統會將每個安全群組視為單一資安閘道物件,而每個安全群組也會配置單一IP位址,方便管理作業的溝通與政策安裝,以簡化安全群組的管理。而像是網路介面、IP位址、路由等網路組態設定,會全部同步到安全群組當中的資安閘道。在成為線上成員之前,系統會主動處理安全群組每個新成員的流量,並搭配安全群組的SMO來進行映像、軟體組態、資安政策的同步。
而在這些資安設備連至MHO時,則是利用LLDP協定、結合SMO的相關資訊,來進行自動組態設定的作業。
對於Maestro的架構而言,SMO是Check Point管理多個安全群組的技術,能將每個安全群組視為一臺獨立的大型資安閘道,以及單一管理IP位址。諸如資安應用設備組態、政策安裝、遠端連線、事件記錄等任務,都會交由一臺資安應用設備(SMO Master)來處理,而這臺設備也會主動將所有工作,更新到其他資安應用設備。
而這樣的安全群組/資安閘道,也能讓其他臺管理伺服器來操控,而且可個別設定成不同的資安防護組態,例如,從防火牆改為進階威脅預防方案Next Generation Threat Prevention(NGTP)。
產品資訊
Check Point Maestro
●原廠:Check Point
●建議售價:廠商未提供
●機型:MHO 140、MHO 170
●外型尺寸:1U
●網路埠:MHO 140為48個10GbE埠與8個100 GbE埠,MHO 170為32個100 GbE埠
●網路容量:MHO 140為1.28 Tbps,MHO 170為3.2 Tbps
●可搭配的Check Point網路防火牆機型:
5600、5800、5900、6200、6400、6500、6600、6700、6800、6900、7000、13500、13800、15400、15600、16000、16200、16600HS、23500、23800、23900、26000、28000
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-15
2024-11-15