Es ist wieder so weit, Check Point zelebriert die Neuigkeiten und zeigt diese an den CPX360 Events, die auf fast jedem Kontinent nacheinander stattfinden. Ich plane ja die CPX360 in Wien zu besuchen, aber die CPX360 in Bangkok (CPX Asia 2019) liefert jetzt schon recht interessante Neuigkeiten. Nebst den neuen Firewall Appliances (23900, 6800 und 6500), die ein bisschen schneller und preiswerter sein werden, fällt mir sofort das neue Produkt «Maestro» ins Auge.

Funktionsweise

So wie’s aussieht, werden mehrere Firewalls von einem intelligenten Load Balancer, genannt Maestro Orchestrator, gesteuert. Das aktuelle Schlagwort ist «Hyperscale», was schon in der Public Cloud funktioniert, sollte doch auch im lokalen Datacenter möglich sein. Mehr Bandbreite kann erreicht werden indem man den Verkehr mittels Load Balancer auf verschiedene Appliances aufteilt und somit einen linearen Performancegewinn erreichen soll. Also eine 6500er Appliance liefert 3.4 Gbps Threat Prevention Throughput (=NGTP). Zwei Appliances sollten den doppelten und drei Appliances sollten den dreifachen Durchsatz liefern. Der Ausbau ist, gemäss Datasheet, bis zu 52(!) Appliances möglich. Sehr eindrücklich!

Der Trick besteht darin, dass der Maestro Orchestrator sozusagen das Gehirn ist und die Appliances einzeln ansteuern kann. Gemäss meinem Verständnis wird es eine neue GUI geben, in welcher man die Appliances zu einzelnen «Security Groups» zuweisen kann. Im übertragenen Sinne ist eine Security Group eine virtuelle Firewall, die jeweils aus mehreren physischen Gateways besteht. Eine Appliance kann von einer Security Group «on-the-fly», d.h. ohne Unterbruch, in die andere verschoben werden, um den Durchsatz dieser Security Group zu erhöhen. Auch Upgrades sollen während des laufenden Betriebs, d.h. ohne Unterbruch der Services, möglich sein. Maestro übernimmt die Provisionierung von neuen Gateways – Software Version, Konfiguration und Firewallpolicy werden automatisch aktualisiert und installiert. Also ein echtes «Plug&Play» System. Redundanz über mehrere Datacenter ist auch möglich mittels zwei Maestro Orchestrators, die sich synchronisieren.

Maestro Bundles

Aktuell gibt’s sechs verschiedene Maestro Bundles:

Maestro Bundle mit Threat Prevention Performance (Gbps)
zwei 6500 Appliances 6.8
drei 6500 Appliances 10.2
zwei 6800 Appliances 17.8
drei 6800 Appliances 26.7
zwei 23800 Appliances 21
drei 23800 Appliances 31.5

Ich bin gespannt, ob die versprochenen Durchsatzzahlen auch wirklich eingehalten werden können. An der CPX360 in Wien werde ich mich genauer damit befassen und eine Live Demo verlangen.

Einsatzmöglichkeiten

Nach der anfänglichen Begeisterung («endlich wieder mal etwas Neues in der Firewallszene») frage ich mich selber, wo man so ein Setup sinnvoll nutzen könnte. Von den Check Point Videos entnehme ich, dass man z.B. den Peak am «Black Friday» einfach abdecken könnte. Jedoch frage ich mich, was man anschliessend mit den zusätzlichen Appliances machen soll?

Eine andere Idee ist es eine bestehende Check Point Umgebung mittels weiteren Gateways auszubauen, um so die bestehende Investition zu schützen. Jedoch macht dies nur Sinn, wenn schon von Anfang an das Setup mit Maestro konzipiert wurde.

Wie gesagt, an der CPX360 in Wien werde ich weitere Infos erhalten und darüber berichten.

Links: