Saluti, amichi ! È avemu finalmente ghjuntu à l'ultimu, lezione finale di Check Point Getting Started. Oghje parlemu di un tema assai impurtante - Licenze. Aghju prestu à avvistà chì sta lezzione ùn hè micca una guida exhaustiva per sceglie l'equipaggiu o licenze. Questu hè solu un riassuntu di i punti chjave chì ogni amministratore di Check Point deve sapè. Sè vo site veramente perplessu da l'scelta di a licenza o di u dispusitivu, allora hè megliu vultà à i prufessiunali, i.e. à noi :). Ci sò assai pisculi chì sò assai difficiuli di parlà in u corsu, è ùn puderà micca ricurdà subitu ancu.
A nostra lezione serà cumpletamente teorica, cusì pudete spegne i vostri servitori di simulazione è rilassate. À a fine di l'articulu truverete una lezione video induve spiegheraghju tuttu in più detail.
Licenza di Gateway
Cuminciamu cù una descrizzione di e funziunalità di licenze di e porte di sicurezza. Inoltre, questu hè applicatu sia à l'uplines hardware sia à e macchine virtuali. Diciamu chì decide di cumprà una porta. Hè impussibile di cumprà solu un pezzu di hardware o una macchina virtuale senza "abbonamenti"! Ci sò trè opzioni di abbonamentu:
È avà a prima funzione interessante! Pudete cumprà solu un dispositivu o una macchina virtuale cù abbonamenti NGTP o NGTX. Ma quandu rinnuvà u vostru abbonamentu, pudete digià sceglie u pacchettu NGFW se ùn avete micca bisognu di lame AV, AB, URL, AS, TE è TX. Questu hè u mumentu. L'abbonamenti stessi ponu esse acquistati per un periudu di unu, dui o trè anni.
Puderaghju predichendu a vostra prima dumanda! "Chì succede se l'abbonamentu ùn hè micca rinnuvatu?" Aghju evidenziatu specificamente in verde quelli lame chì travaglianu SEMPRE, è SENZA estensioni. I cosiddetti pallidi perpetu. E lame restanti chì necessitanu un aghjurnamentu custanti smetteranu di travaglià. Ebbè, forsi l'IPS averà ancu firmati chjave chì travaglianu (ma ci sò assai pochi). Questu hè veru per l'hardware è e macchine virtuali, i.e. vSec.
Cum'è un articulu separatu, aghju evidenziatu trè pale chì ùn sò micca incluse in alcun kit: DLP, MAB è Capsule.
Ricurdativi ancu chì si cumprà una suluzione di cluster, allora sceglite un mudellu cù u suffissu HA (vale à dì High Availability) cum'è u sicondu dispositivu. A stampa mostra un esempiu per gateway 5400. Questu cuncerna gateways. Avà u servitore di gestione.
Licenza di u servitore di gestione
Cumu avemu digià dettu in e prime lezioni, ci sò dui scenarii per implementà u Check Point: Standalone (quandu u gateway è a gestione sò nantu à un dispositivu) è Distributed (quandu u servitore di gestione hè situatu in un dispositivu separatu). Tuttavia, l'opzioni ùn finiscinu micca quì. Fighjemu trè scenarii tipici per implementà un servitore di gestione:
- Acquistu di NGSM dedicatu. L'opzione più populari. Sceglite l'hardware Smart-1 o l'hardware virtuale. Sceglite, sicuru, basatu annantu à quanti gateway vi amministrarà, 5, 10, 25, etc. Implantendu stu dispusitivu, pudete aduprà 4 lame di u servitore di gestione chjave: NPM (vale à dì gestione di pulitica), Logging and Status (vale à dì logging), Smart Event (SIEM da Check Point, chì ci dà tutti i rapporti) è Compliance (questu hè un valutazione di a qualità di i paràmetri, sia per u rispettu di certi requisiti regulatori, u listessu PCI DSS, o solu Best Practice). Pudete immediatamente vede chì e lame NPM è LS sò lame permanenti, i.e. funzionerà senza rinnuvà l'abbonamenti, ma e lame di Smart Event è Compliance sò incluse solu per u primu annu! Allora anu da esse rinnuvati per soldi separati. Questu hè un puntu impurtante, ùn vi scurdate. È se pudete sempre campà senza una lama di Conformità, allora assolutamente tutti anu bisognu di Smart Event.
- Acquistu di un servitore di Gestione di Eventi dedicatu IN OLTRE à u servitore di gestione NGSM esistente. Perchè hè questu necessariu? U fattu hè chì a funziunalità di logging è soprattuttu Smart Event "manghja" risorse di sistema abbastanza decentu. E s'ellu ci hè assai di logs, allora questu pò purtà à "freni" in u servore di cuntrollu. Per quessa, hè spessu praticatu per trasfurmà sta funziunalità à un dispositivu separatu, hardware Smart-1 o, di novu, una macchina virtuale. Grandi integrazioni cù un gran numaru di logs quasi sempre necessitanu un servitore dedicatu per Smart Event. Si pò dinù riceve logs. In questu modu, u vostru servitore di gestione farà solu funzioni di gestione. Questu migliurà assai a stabilità di u sistema è a reattività. Comu pudete vede, quandu cumprate un servitore Smart Event dedicatu, uttene sti dui lame per un usu permanente, ancu senza rinnuvamentu. Nantu à un orizzonte di 3-4 anni, questu serà ancu più costu-efficace cà l'acquistu di estensioni Smart Event per un servitore NGSM regulare ogni annu.
- Servitore di gestione di log dedicatu, chì vene in più di i servitori NGSM è Smart Event. Pensu chì u significatu hè chjaru. Se ci hè un gran numaru di logs, pudemu spustà a funzione di logging à un servitore separatu. U servitore Log dedicatu hà ancu una licenza permanente è ùn hà micca bisognu di rinnuvamentu.
Video lezioni
Truvate più infurmazione nantu à a gestione di licenze è u supportu tecnicu di Check Point quì:
Source: www.habr.com