• Сб. Янв 28th, 2023

Check Point повышает безопасность AWS за счет поддержки кластеров в разных зонах доступности

Большинство организаций хотят предоставлять лучший сервис для клиентов и пользователей. 

Это дает предприятиям конкурентное преимущество и часто является отличительной чертой при выборе поставщика. 

В нашем постоянно подключенном цифровом мире обслуживание зависит от доступности организации, времени отклика, отказоустойчивости и других характеристик, которые поддерживают или препятствуют потребностям клиентов.

Облако теперь является синонимом того, чтобы сделать ваш бизнес всегда доступным и обслуживаемым. Однако многие организации, размещающие приложения и рабочие нагрузки в облаке, обнаруживают, что их защита и поддержание их «всегда включенными» — это сложно и требует много времени.

Ниже приведены некоторые рекомендации по обеспечению доступности и безопасности в облаке.

Важность зон доступности

Доступность является основой для любого критически важного приложения и краеугольным камнем для обслуживания клиентов. Вот почему AWS рекомендует клиентам развертывать приложения как минимум в двух зонах доступности (AZ), когда это возможно.

AWS Well-Architected Framework объясняет, что организации могут достичь 99,99% времени безотказной работы , используя эти кросс-зоны доступности как минимум с двумя зонами доступности.

Это означает менее 53 минут простоя в год и представляет собой уровень обслуживания, который приносит пользу клиентам, пользователям и вашему бизнесу.

Однако обеспечить безопасность в этих зонах доступности в AWS непросто, поскольку AWS ограничивает подсети одной зоной доступности, кластеры сетевой безопасности высокой доступности нельзя использовать в развертываниях в нескольких зонах доступности.

Это ограничение означает, что многие облачные шлюзы безопасности могут защищать только пользователей в одной и той же подсети.

Для каждой подсети требуются отдельные экземпляры облачной безопасности, что потребует покупки, настройки, управления и обслуживания нескольких образов облачной безопасности для вашей организации.

Результат?

Одна из возможностей — это сложный, ресурсоемкий и сложный подход к защите облачных активов.

Другой возможностью является реализация нескольких служб, которые не поддерживают друг друга в случае сбоя.

Ни один из вариантов не идеален.

Безопасность, поддерживающая архитектуру в разных зонах доступности

Чтобы устранить это ограничение и предложить надежную и согласованную безопасность AWS, Check Point с гордостью сообщает, что CloudGuard Network Security теперь поддерживает кластеры в разных зонах доступности. В результате организациям стало намного проще развертывать средства безопасности в зонах доступности в средах AWS, предоставляя высокодоступные функции брандмауэра и шлюза безопасности с меньшим количеством ручной настройки и меньшей сложностью. Это новая эталонная архитектура для клиентов Check Point на AWS, обеспечивающая повышенную устойчивость безопасности для облачных развертываний в регионах AWS с использованием ведущего в отрасли расширенного предотвращения угроз CloudGuard.

Эта возможность поддерживает перемещение трафика AWS:

  • Север/Юг: вход и выход из Интернета, облачные ресурсы, локальные центры обработки данных, корпоративная интрасеть и т. д.
  • Восток/Запад: боковое движение внутри AWS
  • Через межсайтовые VPN

Поддержка кластеров в разных зонах доступности включена в недавно выпущенную версию программного обеспечения CloudGuard R81.20 . Теперь клиенты могут с комфортом развертывать передовые разработки приложений без необходимости ставить под угрозу безопасность или создавать сложные архитектуры безопасности для сценариев аварийного переключения. Эта функциональность упрощает настройку и помогает решить текущую задачу управления облачной безопасностью, сохраняя все как можно проще, чтобы добавление дополнительных ресурсов, пользователей, зон, маршрутов и приложений не перегружало ваши ценные операционные ресурсы.

Новая функция кластеризации в разных зонах доступности поддерживает все функции безопасности Check Point CloudGuard, включая:

  • IPS
  • Управление приложениями
  • Осознание личности
  • URL-фильтрация
  • Антибот
  • Антивирус
  • Осведомленность о содержании
  • Предотвращение нулевого дня пескоструйной обработкой
    • Эмуляция угроз
    • Извлечение угроз
  • Сеть-сеть VPN
  • VPN с удаленным доступом

Применение этой новой функции интуитивно просто. Выбор «Geo Mode» позволяет нашему кластеру распределять синхронизирующий трафик по отдельным подсетям и автоматически настраивает выбор VPN-канала для пересечения зоны доступности. Это означает, что вам не нужно указывать каждый путь к данным и настраивать все доступные маршруты для всех сценариев. Эта возможность обеспечивается «эластичным виртуальным IP-адресом», который назначается и совместно используется вашими кластерами, и этот адрес-псевдоним работает с вашей общедоступной или частной IP-адресацией, поэтому трафик всегда будет направляться на активный интерфейс. В случае аварийного переключения адрес-псевдоним может автоматически переключаться с одного интерфейса кластера на другой, чтобы вы всегда направляли трафик на активный интерфейс и оставались защищенными.

Эталонные архитектуры

(1) Кластер в разных зонах доступности без AWS Transit Gateway

 

 

 

Эта схема эталонной архитектуры включает в себя:

  • Security VPC с элементами CloudGuard Cross-AZ Cluster, развернутыми в разных зонах доступности
  • Синхронизация между членами кластера в разных зонах доступности
  • Общедоступные таблицы маршрутизации, связанные с общедоступными подсетями
  • Частная таблица маршрутизации, связанная с частными подсетями, с маршрутом по умолчанию к частному интерфейсу активного члена (eth1).
  • Интеграция входящей маршрутизации:
    • Таблица маршрутизации IGW, связанная с IGW, с маршрутами из подсетей для защиты открытого интерфейса активного члена (eth0)

(2) Межзональный кластер с AWS Transit Gateway

Эта схема эталонной архитектуры включает в себя:

  • Таблица маршрутизации TGW, относящаяся к подсетям TGW с маршрутом по умолчанию к открытому интерфейсу активного члена (eth0)
  • Вложение VPC для Security VPC в AWS TGW, вложения с подсетями TGW
  • Лучевые (потребительские) VPC, подключенные к AWS TGW

Преимущества для клиентов

Основным преимуществом является снижение сложности, повышение эффективности работы, а также экономия времени и средств. Новая функциональность поддерживает архитектуру «активный/резервный» с повышенной доступностью в разных зонах доступности, была тщательно протестирована Check Point и первыми пользователями и подтвердила соответствие строгим требованиям Check Point к стабильности.

Эту новую функциональность можно использовать для терминации VPN с большей производительностью и без ограничений, присущих облачной инфраструктуре.

Кроме того, это же решение можно использовать для проверки состояния всех потоков трафика.

Что говорят клиенты

«Verisk уже несколько лет внедряет облачные технологии в сложный глобальный бизнес», — сказала Софи Тву, директор по сетевому инжинирингу в Verisk. «Одна из бизнес-стратегий заключается в переходе от локального VPN к облаку. Использование кластеризации в разных зонах доступности R81.20 позволило нам реализовать отказоустойчивое кластерное развертывание в AWS без каких-либо сложностей или необходимости изменять нашу схему общедоступных IP-адресов. Решение является масштабируемым и очень простым в управлении. Это сэкономило нам время и деньги, и мы видим появление других новых решений и будущих приложений, работающих с Check Point».

Клиенты CloudGuard Network Security, использующие предыдущие версии программного обеспечения и желающие воспользоваться преимуществами этой новой возможности, могут обновить свое программное обеспечение до версии R81.20. Ваши инженеры по безопасности Check Point и торговые партнеры могут помочь вам добавить эту новую возможность в вашу облачную среду безопасности и извлечь выгоду из ее упрощения, а также экономии времени и средств.

Что дальше?

Если вы уже являетесь клиентом, ознакомьтесь с Руководством по администрированию кластера CloudGuard for AWS в разных зонах доступности .

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *