Die CPX360 in Wien ist vorüber. Über 4000 Security-Speziallisten aus ganz EMEA konnten sich über die neusten Entwicklungen im Security Umfeld und im speziellen über die neuesten Trends und Produkte von Check Point informieren. Auch ich war dabei und konnte erstmalig die neue Maestro Technologie live bestaunen.
Kurz zusammengefasst handelt es sich bei Maestro Orchestrator um einen Switch, der mehrere normale Firewall Gateways ansteuern kann und so die gesamte Last auf diese verteilt. Durch das Hinzufügen von weiteren Gateways erhält man eine fast lineare Durchsatzsteigerung.
Ein völlig neuartiger Ansatz
Diese Technologie ist ein völlig neuartiger Ansatz, der von den bekannten Firewall-Herstellern bisher nur Check Point im Portfolio hat. Klar gibt es die Scalable Plattforms, d.h. die Check Point Chassis Systeme mit der Hardwareblade-Architektur schon länger, aber bei Maestro kann man ganz gewöhnliche Gateways hinzufügen. Selbst für ganz kleine Unternehmen wird nun eine skalierbare Firewallumgebung, z.B. für die interne Netzwerksegmentierung, realisierbar. Übrigens die Scalable Plattforms werden auch zukünftig weiterentwickelt; Maestro ist somit keine Ablösung dieser Systeme, sondern eine Ergänzung der bisherigen Produktpalette.
Für Check Point ist diese neue Technologie sehr wichtig. Mehrere R&D Engineers waren vor Ort, um den Besuchern jegliche Fragen zu beantworten. Abseits der bisher veröffentlichen Marketing-Folien konnte ich so auch ein paar neue Erkenntnisse gewinnen, welche auch im öffentlichen Check Point Webcast nachzuhören sind.
News, die Begeisterung auslösen
Begeistert bin ich vom Ansatz immer noch. Analog wie Google mit dem Vernetzen von kostengünstigen Servern startete, macht dies Check Point nun genauso. Dazu ist nur die richtige Software nötig und Check Point ist gewissermassen immer noch eine Software Company. Aber gut, jetzt zu den neuen Informationen:
Der Maestro Orchestrator ist ein Mellanox Switch, auf welchem neben dem Switch OS auch GAIA läuft. D.h. es existiert eine GAIA WebGUI zur Administration vom Orchestrator. Der Switch unterhält eine physische Verbindung zu den Gateways mittels redundanter Kupfer-DAC (Direct Attached Cable) und verteilt den Netzwerkverkehr auf diese. Erste Erkenntnis meinerseits: Eine einzelne Verbindung ist maximal nur so schnell wie die Bandbreite eines einzelnen DAC, d.h. 10Gbps oder 40Gbps. Schlussendlich verarbeitet ja auch nur ein Gateway diese Verbindung und der ist auch nur maximal so schnell wie die Performance-Werte auf dem Datasheet.
Security Groups
Security Groups umfassen gleichartige Gateways und definieren so jeweils ein Gateway, d.h. für das Management ist eine Security Group ein Gateway (= 1 Gateway-Lizenz auf dem Management und ein konsolidiertes Log). Es ist auch möglich VSX (bis zu 250 VS) innerhalb von einer Security Group zu verwenden. Durch die Verwendung von Security Groups ist es zum Beispiel möglich, unterschiedliche Anforderungen abzudecken. Z.B. eine Security Group für NGTP und eine weitere für Low Latency-Anwendungen wie zum Beispiel VoIP. Der Maestro Orchestrator kann via RESTful API angesprochen werden und so ist es möglich, völlig automatisch einzelne Gateways von der einen in die andere Security Group zu verschieben, je nach Lastaufkommen. Das Hinzufügen eines neuen Gateways in eine Security Group benötigt manuell nur ein paar Klicks und dann dauert es maximal 6 Minuten, bis der neue Gateway sich den aktuellen Hotfix Accumulator von der Security Group geholt hat, installiert und rebootet. Sobald das Gateway bereit ist, erhält er vom Orchestrator Netzwerktraffic. Analog verhält es sich mit Upgrades oder Ausfällen von einzelnen Gateways. Der Orchestrator erkennt dies und verwendet diese Gateways nicht mehr. Das Ziel ist höchste Verfügbarkeit, Redundanz und Skalierbarkeit.
Vereinzelte Wermutstropfen
Natürlich gibt’s auch hier ein paar Wermutstropfen. Geo-redundante Maestro Umgebungen sowie das Mischen von unterschiedlichen Gateway-Modellen innerhalb einer Security Group wird’s erst im Laufe dieses Jahres geben. Openserver sowie VMware sind nicht supportet und die eingesetzte Check Point Version ist R80.20 SP (Scalable Platforms), welche ein paar Einschränkungen (z.B: beim QoS, Policy Based Routing usw.) aufweist.
Aber aus meiner Sicht überwiegen die Vorteile, gerade in einer dynamischen Umgebung, die jährlich immer mehr Performancebedarf aufweist (z.B.: Private Cloud, SSL-Interception oder Segmentierung), hat man endlich eine passende Antwort parat.
Weitere Informationen zu Check Point findet man auf der AVANTEC Website.
Links
- Mellanox und Check Point: https://www.mellanox.com/page/press_release_item?id=1734
- Webcast: https://pages.checkpoint.com/webinar-maestro.html
- Check Point auf der AVANTEC-Website: https://www.avantec.ch/checkpoint
Lavar
Lavar ist Security-Spezialist und langjähriger Mitarbeiter bei AVANTEC. Am liebsten beschäftigt er sich mit Firewalls, E-Mail Gateways, Proxy-, Cloud-Lösungen und Linux. Lavar interessiert sich vor allem für technische Details.