Вітаю ўсіх, хто працягвае чытаць цыкл аб новым пакаленні NGFW Check Point сямейства SMB (1500 серыя). У мы разгледзелі рашэнне SMP (партал кіравання для SMB шлюзаў). Сёння ж хацелася б расказаць аб партале Smart-1 Cloud, ён пазіцыянуе сябе як рашэнне на базе SaaS Check Point, выконвае ролю Management Server у воблаку, таму будзе актуальны для любых NGFW Сheck Point. Для тых, хто толькі далучыўся да нас, нагадаю раней разгледжаныя тэмы: , , .
Вылучым асноўныя магчымасці Smart-1 Cloud:
- Адзінае цэнтралізаванае рашэнне кіравання ўсёй вашай інфраструктурай Check Point (віртуальныя і фізічныя шлюзы рознага ўзроўню).
- Агульны набор палітык для ўсіх Блейдаў дазваляе спрасціць працэсы адміністравання (стварэнне/рэдагаванне правіл для розных задач).
- Падтрымка профільнага падыходу пры працы з наладамі шлюзаў. Адказвае за падзел правоў доступу пры рабоце ў партале, дзе адначасова могуць выконваць розныя задачы адміністратары сеткі, спецыялісты аўдыту і г.д.
- Маніторынг пагроз, які забяспечвае атрыманне логаў, прагляд падзей у адным месцы.
- Падтрымка ўзаемадзеяння праз API. Карыстальнік можа ўкараняць працэсы аўтаматызацыі, спрашчаючы руцінныя штодзённыя задачы.
- Доступ па Web. Здымае абмежаванні, якія тычацца падтрымкі асобных АС, інтуітыўна зразумелы.
Тыя, хто ўжо знаёмы з рашэннямі ад Check Point, могуць заўважыць, што прадстаўленыя асноўныя магчымасці не адрозніваюцца ад лакальнага выдзеленага Management Server у вашай інфраструктуры. Збольшага яны маюць рацыю, але ў выпадку з Smart-1 Cloud абслугоўванне сервера кіравання забяспечваецца сіламі адмыслоўцаў Check Point. Яно ўключае ў сябе: зняцце бекапаў, маніторынг вольнага месца на носьбітах, выпраўленне памылак, усталёўка апошніх версій ПА. Таксама спрашчаецца працэс міграцыі (пераносу) налад.
Ліцэнзаванне
Перш чым знаёміцца з функцыяналам хмарнага рашэння кіравання, вывучым пытанні ліцэнзавання з афіцыйнага .
Упраўленне адным шлюзам:
Падпіска залежыць ад абраных блейдаў кіравання, усяго прадугледжана 3 напрамкі:
- Management. Сховішча ў 50 ГБ, штодня пад логі 1 ГБ.
- Management + SmartEvent. Сховішча ў 100 ГБ, штодня пад логі 3 ГБ, генерацыя справаздач.
- Management + Compliance + SmartEvent. Сховішча ў 100 ГБ, штодня пад логі 3 ГБ, генерацыя справаздач, рэкамендацыі па наладах з агульных практык інфармацыйнай бяспекі.
*Выбар залежыць ад шматлікіх фактараў: выгляд логаў, колькасць карыстачоў, аб'ёмы трафіку.
Таксама ёсць падпіска для кіравання 5 шлюзамі. Падрабязна спыняцца на гэтым не будзем - вы заўсёды зможаце атрымаць інфармацыю з .
Запуск Smart-1 Cloud
Апрабаваць рашэнне можа кожны жадаючы, для гэтага трэба зарэгістравацца ў Infinity Portal - хмарны сэрвіс ад Check Point, у якім можна атрымаць трыяльны доступ да наступных напрамкаў:
- Cloud Protection (CloudGuard SaaS, CloudGuard Native);
- Network Protection (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
- Endpoint Protection (, SandBlast Agent Cloud Management, Sandblast Mobile).
Мы ж аўтарызуемся з вамі ў сістэме (для новых карыстальнікаў патрабуецца рэгістрацыя) і пяройдзем у рашэнне Smart-1 Cloud:
Вам коратка раскажуць пра плюсы гэтага рашэння (Кіраванне інфраструктурай, не патрабуецца ўстаноўкі, абнаўляецца аўтаматычна).
Пасля запаўнення палёў трэба будзе дачакацца падрыхтоўкі фармавання ўліковага запісу для ўваходу ў партал:
У выпадку паспяховай аперацыі вы атрымаеце на пошту (названую пры ўваходзе ў Infinity Portal) інфармацыю аб рэгістрацыі, таксама вы будзеце пераадрасаваны на галоўную старонку Smart-1 Cloud.
У якасці даступных укладак партала:
- Запуск SmartConsole. З дапамогай усталяванага прыкладання на ваш ПК, альбо выкарыстоўваць вэб-інтэрфейс.
- Сінхранізацыя з аб'ектам шлюза.
- Праца з логамі.
- Налады.
Cінхранізацыя са шлюзам
Пачнём з сінхранізацыі Security Gateway, для гэтага яго трэба дадаць як аб'ект. Перайдзіце ва ўкладку "Connect Gateway"
Неабходна ўвесці ўнікальнае імя шлюза, можна дадаць каментар да аб'екта. Пасля чаго націснуць "Рэгістрацыя".
З'явіцца аб'ект шлюза, які неабходна будзе сінхранізаваць з Management Server, выконваючы CLI-каманды для шлюза:
- Упэўніцца, што на шлюзе ўсталяваны апошні JHF (Jumbo Hotfix).
- Устанавіць токен падключэння: set security-gateway maas on auth-token
- Праверыць стан тунэля сінхранізацыі:
MaaS Status: Enabled
MaaS Tunnel State: Up
MaaS domain-name:
Service-Identifier.maas.checkpoint.com
Gateway IP для MaaS Communication: 100.64.0.1
Пасля таго, як былі падняты службы для Mass Tunnel, вы павінны перайсці да ўсталёўкі SIC-злучэнні паміж шлюзам і Smart-1 Cloud у Smartconsole. У выпадку паспяховай аперацыі будзе атрымана тапалогія шлюза, прыкладзём прыклад:
Такім чынам, пры выкарыстанні Smart-1 Cloud, шлюз падключаецца ў "шэрую" сетку 10.64.0.1.
Дапоўню, што на нашым макеце сам шлюз выходзіць у Інтэрнэт з дапамогай NAT, адпаведна, публічнага IP-адрасу на яго інтэрфейсе няма, тым не менш, мы можам ім кіраваць звонку. Гэта яшчэ адна цікавая асаблівасць Smart-1 Cloud, дзякуючы якой ствараецца асобная падсетка кіравання са сваім пулам IP-адрасоў.
Заключэнне
Пасля таго, як вы паспяхова дадалі шлюз для кіравання праз Smart-1 Cloud, вы атрымліваеце паўнавартасны доступ, як і ў Smart Console. На нашым макеце мы запусцілі вэб-версію, фактычна, гэта паднятая віртуальная машына з запушчаным кліентам кіравання.
Пра магчымасці Smart Console і архітэктуры Check Point вы заўсёды можаце даведацца больш падрабязна ў нашым аўтарскім .
На сёння ўсё, нас чакае завяршальная артыкул цыклу, у якой мы кранем магчымасцяў па цюнінгу прадукцыйнасці сямейства SMB 1500 серыі з усталяванай Gaia 80.20 Embedded.
. Сачыце за абнаўленнямі (, , , , )
Крыніца: habr.com