Salutacions a tothom que segueix llegint la sèrie sobre la nova generació de NGFW Check Point de la família SMB (sèrie 1500). EN vam mirar la solució SMP (portal de gestió per a passarel·les SMB). Avui m'agradaria parlar del portal Smart-1 Cloud, es posiciona com una solució basada en SaaS Check Point, actua com a Servidor de Gestió al núvol, per la qual cosa serà rellevant per a qualsevol Check Point NGFW. Per als que s'acaben d'unir a nosaltres, permeteu-me que us recordi els temes tractats anteriorment: , , .
Destaquem les principals característiques de Smart-1 Cloud:
- Una única solució centralitzada per gestionar tota la vostra infraestructura de Check Point (passareles físiques i virtuals a diversos nivells).
- Un conjunt comú de polítiques per a tots els Blades us permet simplificar els processos d'administració (creació/edició de regles per a diferents tasques).
- Suport per a un enfocament de perfil quan es treballa amb la configuració de la passarel·la. Responsable de la separació dels drets d'accés quan es treballa al portal, on els administradors de xarxa, especialistes en auditoria, etc. poden realitzar simultàniament diferents tasques.
- Supervisió d'amenaces, que proporciona registres i visualització d'esdeveniments en un sol lloc.
- Suport per a la interacció mitjançant API. L'usuari pot implementar processos d'automatització, simplificant les tasques quotidianes rutinàries.
- Accés web. Elimina les restriccions pel que fa al suport per a sistemes operatius individuals i és intuïtiu.
Per a aquells que ja estan familiaritzats amb les solucions Check Point, les capacitats bàsiques que es presenten no són diferents de tenir un servidor de gestió dedicat a la vostra infraestructura. En part tindran raó, però en el cas de l'Smart-1 Cloud, el manteniment del servidor de gestió el realitzen especialistes de Check Point. Inclou: fer còpies de seguretat, controlar l'espai lliure al suport, corregir errors, instal·lar les últimes versions de programari. El procés de migració (transferència) de la configuració també es simplifica.
Llicències
Abans de familiaritzar-nos amb la funcionalitat de la solució de gestió del núvol, estudiem els problemes de llicència de l'oficial .
Gestió d'una passarel·la:
La subscripció depèn de les fulles de control seleccionades; hi ha 3 direccions en total:
- Gestió. 50 GB d'emmagatzematge, 1 GB diari per als registres.
- Gestió + SmartEvent. 100 GB d'emmagatzematge, 3 GB de registres diaris, generació d'informes.
- Gestió + Compliance + SmartEvent. Emmagatzematge de 100 GB, registres diaris de 3 GB, generació d'informes, recomanacions de configuració basades en pràctiques generals de seguretat de la informació.
*L'elecció depèn de molts factors: tipus de registres, nombre d'usuaris, volums de trànsit.
També hi ha una subscripció per gestionar 5 passarel·les. No ens detenem en això en detall: sempre podeu obtenir informació .
Llançament de Smart-1 Cloud
Qualsevol pot provar la solució; per fer-ho, cal que us registreu a l'Infinity Portal, un servei al núvol de Check Point, on podeu obtenir accés de prova a les àrees següents:
- Protecció al núvol (CloudGuard SaaS, CloudGuard Native);
- Protecció de xarxa (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
- Protecció de punt final (, SandBlast Agent Cloud Management, Sandblast Mobile).
Iniciarem sessió al sistema amb vostè (cal registrar-se per a usuaris nous) i anem a la solució Smart-1 Cloud:
S'informarà breument dels avantatges d'aquesta solució (Gestió d'infraestructura, no cal instal·lació, actualitzacions automàticament).
Després d'omplir els camps, haureu d'esperar fins que el vostre compte estigui preparat per iniciar sessió al portal:
Si l'operació té èxit, rebràs la informació de registre per correu electrònic (especificada en iniciar la sessió al Portal Infinity) i també se't redirigirà a la pàgina d'inici de Smart-1 Cloud.
Pestanyes del portal disponibles:
- Inicieu SmartConsole. Utilitzeu l'aplicació instal·lada al vostre PC o utilitzeu la interfície web.
- Sincronització amb l'objecte passarel·la.
- Treballant amb registres.
- Configuració.
Sincronització amb la passarel·la
Comencem per sincronitzar la passarel·la de seguretat; per fer-ho, cal afegir-la com a objecte. Aneu a la pestanya "Connexió de la passarel·la"
Heu d'introduir un nom de passarel·la únic; podeu afegir un comentari a l'objecte. A continuació, premeu "Registre".
Apareixerà un objecte de passarel·la que s'haurà de sincronitzar amb el servidor de gestió executant les ordres CLI per a la passarel·la:
- Assegureu-vos que la darrera JHF (Jumbo Hotfix) estigui instal·lada a la passarel·la.
- Estableix el testimoni de connexió: establiu security-gateway maas a auth-token
- Comproveu l'estat del túnel de sincronització:
Estat MaaS: activat
Estat del túnel MaaS: amunt
Nom de domini MaaS:
Service-Identifier.maas.checkpoint.com
IP de passarel·la per a la comunicació MaaS: 100.64.0.1
Un cop s'hagin elevat els serveis per al túnel de masses, cal procedir a establir una connexió SIC entre la passarel·la i Smart-1 Cloud a Smartconsole. Si l'operació té èxit, s'obtindrà la topologia de la passarel·la, adjuntem un exemple:
Així, quan s'utilitza Smart-1 Cloud, la passarel·la està connectada a la xarxa "grisa" 10.64.0.1.
Permeteu-me afegir que en el nostre disseny la mateixa passarel·la accedeix a Internet mitjançant NAT, per tant, no hi ha cap adreça IP pública a la seva interfície, però la podem gestionar des de l'exterior. Aquesta és una altra característica interessant de Smart-1 Cloud, gràcies a la qual es crea una subxarxa de gestió independent amb el seu propi grup d'adreces IP.
Conclusió
Un cop hàgiu afegit correctament una passarel·la per a la gestió mitjançant Smart-1 Cloud, tindreu accés complet, igual que a la Smart Console. Al nostre disseny, vam llançar la versió web; de fet, és una màquina virtual elevada amb un client de gestió en execució.
Sempre podeu obtenir més informació sobre les capacitats de la consola intel·ligent i l'arquitectura de Check Point a la del nostre autor .
Això és tot per avui, estem esperant l'article final de la sèrie, en què parlarem de les capacitats d'ajust del rendiment de la família de la sèrie SMB 1500 amb Gaia 80.20 Embedded instal·lat.
. Estigueu atents (, , , , )
Font: www.habr.com