检查正在对其安全软件架构进行重大改革,以便客户可以选择他们想要的应用程序,并根据他们想要保证的性能将计算资源分配给每个应用程序。
该公司已经迈出了第一步,推出了最新的R70版本的软件,该软件将防火墙、VPN、网络过滤、入侵检测/防御系统(IDS/IPS)等各种应用程序分离为刀片软件,客户可按单点或预先打包。
Check Point正致力于将多核处理器的部分计算能力奉献给单个应用程序,从它开始IDS / IPS平台。随着时间的推移,这种能力将扩展到该公司的其他安全平台。
Check Point公司周二在巴黎举行的国际客户会议上宣布了这一软件刀片架构,该公司表示,该架构将允许在单、多核机器上加载自定义的应用组合,并将整个核心用于单个应用程序,以保证性能。
Check Point将这一计算能力称为Core XL,并已为此申请了专利。
在早期的软件版本中,Check Point的安全应用程序是相互绑定的,就像它的统一威胁管理(UTM)软件,包括防火墙、IPS、病毒和间谍软件保护、反垃圾邮件、Web应用程序防火墙、VoIP安全、即时消息和对等应用程序拦截和Web过滤。
例如,有了新的体系结构,客户可以购买他们想要创建自己版本的UTM的应用程序,或者将更多的应用程序添加到今天的UTM包中。Check Point将这种自定义UTM功能称为XTM,以表示可以扩展UTM功能来添加特性。(比较统一威胁管理产品。)
该公司网络安全主管查克·赖尔登(Chuck Riordan)表示,这种刀片式架构可以使Visa的安全部署更加高效。他说:“我们正在朝着整合和全球化的方向努力,消除单独的工具。”例如,该公司可能会将其放在一个单一的多功能平台上,而不是像现在这样拥有一个独立的IDS/IPS平台。
通过在单台多核机器上运行多个安全应用程序,该公司可以在保持性能的同时巩固其硬件。Riordan说:“使用硬件芯片本身的核心技术,你可以将计算能力用于Web过滤,而不影响状态检查。”
他说,新的架构比旧的架构更灵活,也可以选择使用来自多个供应商的独立设备。他说:“你可以随时添加或删除某个功能。”
Visa还没有测试新的Check Point软件,但计划进行测试。他说:“我们将对其进行全面测试,看看如何利用核心技术。”
奥格伦集团(Ogren Group)的安全分析师埃里克•奥格伦(Eric Ogren)表示,软件刀片架构为重点安全应用提供了前景,这些应用预设了推荐的策略,随时可以开箱即用。
奥格伦说:“因此,Check point可以把它嵌入其中,而不是让那些可怜的IT人员去弄清楚,在IP语音通信或虚拟桌面的某个节点上应该使用哪种IPS规则。”“他们可能会说,我们将给你一个ip语音安全模块,它将有一个政策,表明这些是我们正在调查的exploit类型。这让她少了一件头疼的事。”
Check Point的软件刀片架构与Crossbeam和Fortinet设备的理念相似,后者支持在一个底盘上独立的硬件上独立的安全应用,Ogren说。他说:“我认为他们借鉴了Crossbeam的理念。”Crossbeam在硬件上支持Check Point软件产品。
R70软件版本的另一个特点是其性能的改进——比之前的软件快22倍——这将使其作为定制UTM的一部分更有吸引力,Ogren说。“这是一个数量级乘以2。通过这些性能的改进,我可以看到IDS减少了一个盒子,减少了一个障碍。”
软件刀片架构也扩展到Check Point的管理平台,将其划分为20多个独立的功能,客户可以单独购买。
Check Point提供其软件刀片服务器的安全网关包,其售价低于单独购买每个应用程序。例如,一个名为SG207的软件包售价1.1万美元,包括防火墙、VPN、IPS、反垃圾邮件、电子邮件安全、URL过滤、反病毒、反恶意软件、加速和集群。该公司表示,同样的套餐单独售价为1.7万美元。
R70将于3月上市,同时还有IPS Core XL刀片和VoIP配置刀片。变更管理刀片将在第二季度发布,数据丢失预防刀片将在今年下半年发布。Check Point表示,浏览器安全等其他问题将在稍后发布。