Вітаю, сябры! І мы нарэшце дабраліся да апошняга, заключнага ўрока Check Point Getting Started. Сёння мы пагаворым пра вельмі важную тэму Ліцэнзаванне. Спяшаюся папярэдзіць, што гэты ўрок не з'яўляецца вычарпальным кіраўніцтвам па выбары абсталявання або ліцэнзій. Гэта толькі кароткі выклад ключавых момантаў, якія павінен шляхта любы адміністратар Check Point. Калі вы сапраўды збянтэжаныя выбарам ліцэнзіі ці прылады, то лепш звярнуцца да прафесіяналаў, г.зн. да нас :). Вельмі шмат падводных камянёў, пра якія вельмі цяжка расказаць у рамках курса, ды і запомніць гэта таксама адразу не атрымаецца.
Урок у нас будзе цалкам тэарэтычным, так што можаце выключаць свае макетныя сервера і расслабіцца. У канцы артыкула вы знойдзеце відэа ўрок, дзе я расказваю ўсё больш падрабязна
Ліцэнзаванне шлюза
Пачнём з апісання ліцэнзійных асаблівасцяў у шлюзаў бяспекі. Прычым гэта датычыцца як жалезных аплайнсаў, так і віртуалак. Дапусцім вы вырашылі купіць шлюз. Купіць проста жалязяку або віртуалку без «падпісак» - немагчыма! Пры гэтым існуе тры варыянты падпісак:
А зараз першая цікавая асаблівасць! Купіць прыладу або віртуалку вы можаце толькі з падпіскамі NGTP ці NGTX. А вось калі будзеце падаўжаць сваю падпіску, то ўжо можна будзе абраць пакет NGFW, у выпадку калі вам не патрэбныя блейды AV, AB, URL, AS, TE і TX. Вось такі момант. Самі падпіскі можна купляць тэрмінам на год, два ці тры гады.
Магу прадбачыць ваша першае пытанне! УШто будзе, калі падпіску не падоўжыць?”. Я спецыяльна вылучыў зялёным колерам тыя блейды, якія будуць працаваць ЗАЎСЁДЫ, і БЕЗ падаўжэнняў. Так званыя perpetual бледы. Астатнія ж блейды, якія патрабуюць пастаяннага абнаўлення проста перастануць працаваць. Ну няўжо што ў IPS застануцца працаваць ключавыя сігнатуры (але іх вельмі мала). Гэта справядліва як для жалязяк, так і для віртуалак, г.зн. vSec.
Асобным пунктам я вылучыў тры блейды, якія не ўваходзяць ні ў адзін камплект, гэта: DLP, MAB і Capsule.
Таксама памятаеце, што калі вы купляеце кластарнае рашэнне, то ў якасці другой прылады выбірайце мадэль з суфіксам HA (г.зн. High Availability). На малюнку ёсць прыклад для шлюза 5400. Гэта што датычылася шлюзаў. Цяпер менеджмент сервер.
Ліцэнзаванне сервера кіравання
Як мы ўжо казалі яшчэ ў першых уроках, ёсць два сцэнара ўкаранення Check Point: Standalone (калі і шлюз і менеджмент на адной прыладзе) і Distributed (калі менеджмент сервер выносіцца на асобную прыладу). Аднак варыянты на гэтым не заканчваюцца. Давайце разгледзім тры тыпавых сцэнара разгортвання менеджмент сервера:
- Купля выдзеленага NGSM. Самы папулярны варыянт. Выбіраеце альбо жалязяку Smart-1, альбо вирталку. Выбіраеце вядома ж зыходзячы з таго, колькі шлюзаў вы будзеце адміністраваць, 5, 10, 25 і г.д. Разгарнуўшы гэтую прыладу вы можаце карыстацца чатырма ключавымі блейдамі сервера кіравання: NPM (г.зн. кіраванне палітыкамі), Logging and Status (г.зн. лагіраванне), Smart Event (SIEM ад Check Point, які дае нам усю справаздачнасць) і Compliance (гэта ацэнка якасці налад, альбо на адпаведнасць якім-небудзь рэгулятарным патрабаванням, той жа PCI DSS, альбо проста Best Practice). Тут жа відаць, што блейды NPM і LS гэта пастаянныя блейды, г.зн. будуць працаваць і без падаўжэння падпісак, а вось блейды Smart Event і Compliance ідуць у камплекце толькі на першы год! Далей іх трэба працягваць за асобныя грошы. Гэта важны момант, не забывайце. І калі без Compliance блейду яшчэ можна жыць, то Smart Event ужо сапраўды патрэбен абсалютна ўсім.
- Купля выдзеленага Event Management сервера У ДАДАТКУ да ўжо наяўнага сервера кіравання NGSM. Навошта гэта патрэбна? Справа ў тым, што функцыянал лагавання і асабліва Smart Event ад'ядае вельмі прыстойныя сістэмныя рэсурсы. І калі логаў даволі шмат, тое гэта можа прыводзіць да "тормазаў" на серверы кіравання. Таму часта практыкуюць вынас гэтага функцыяналу на асобную прыладу, жалязяку Smart-1 ці ізноў жа віртуалку. Вялікія інтэграцыі з вялікай колькасцю логаў практычна заўсёды патрабуюць вылучанага сервера пад Smart Event. Ён жа можа прымаць логі. Такім чынам, ваш сервер кіравання будзе выконваць толькі функцыі кіравання. Гэта значна павялічвае стабільнасць і водгук сістэмы. Як можна заўважыць, пры куплі выдзеленага Smart Event сервера вы атрымліваеце гэтыя два блейды ў пастаяннае выкарыстанне, нават без падаўжэння. У гарызонце 3-4 гадоў гэта будзе нават эканамічна больш выгадна, чым купляць падаўжэння Smart Event для звычайнага NGSM сервера кожны год.
- Выдзелены Log management сервер, Які ідзе ў дадатак да NGSM і Smart Event серверам. Змыў думаю зразумелы. Пры ВЕЛЬМІ вялікім кол-ве логаў мы можам вынесці функцыю лагавання на асобны сервер. Выдзелены Log сервер таксама мае сталую ліцэнзію і не патрабуе падаўжэнні.
Відэа ўрок
Тут вы знойдзеце дадатковую інфармацыю аб кіраванні ліцэнзіямі і аб тэхнічнай падтрымцы Check Point:
Крыніца: habr.com