Zdravím vás, přátelé! A konečně jsme se dostali k tomu poslednímu, závěrečná lekce Check Point Getting Started. Dnes budeme mluvit o velmi důležitém tématu - Licencování. Urychleně vás varuji, že tato lekce není vyčerpávajícím průvodcem pro výběr vybavení nebo licencí. Toto je pouze shrnutí klíčových bodů, které by měl znát každý správce Check Point. Pokud si opravdu lámete hlavu s výběrem licence nebo zařízení, pak je lepší se obrátit na profesionály, tzn. nám :). Je spousta nástrah, o kterých se v kurzu mluví jen velmi těžko a ani si je hned tak nevybavíte.
Naše lekce bude zcela teoretická, takže si můžete vypnout své mock-up servery a odpočívat. Na konci článku najdete video lekci, kde vše vysvětluji podrobněji.
Licencování brány
Začněme popisem licenčních vlastností bezpečnostních bran. Navíc to platí jak pro hardwarové upline, tak pro virtuální stroje. Řekněme, že se rozhodnete koupit bránu. Není možné jednoduše koupit hardware nebo virtuální stroj bez „předplatného“! Existují tři možnosti předplatného:
A teď první zajímavá funkce! Můžete si koupit pouze zařízení nebo virtuální počítač s předplatným NGTP nebo NGTX. Když si však obnovíte předplatné, můžete si již vybrat balíček NGFW, pokud nepotřebujete blade servery AV, AB, URL, AS, TE a TX. Tohle je ten moment. Samotné předplatné lze zakoupit na dobu jednoho, dvou nebo tří let.
Dokážu předvídat vaši první otázku! “Co se stane, pokud předplatné nebude obnoveno?" Konkrétně jsem zeleně zvýraznil ty čepele, které budou fungovat VŽDY a BEZ nástavců. Takzvané perpetum bledne. Zbývající čepele, které vyžadují neustálou aktualizaci, jednoduše přestanou fungovat. Možná, že IPS bude mít stále funkční klíčové podpisy (ale je jich velmi málo). To platí jak pro hardware, tak pro virtuální stroje, tzn. vSec.
Jako samostatnou položku jsem vyzdvihl tři čepele, které nejsou součástí žádné sady: DLP, MAB a Capsule.
Pamatujte také, že pokud si koupíte clusterové řešení, pak jako druhé zařízení zvolte model s příponou HA (tj. High Availability). Na obrázku je příklad pro bránu 5400. Jedná se o brány. Nyní server pro správu.
Licencování serveru pro správu
Jak jsme již řekli v prvních lekcích, existují dva scénáře implementace Check Point: Samostatný (když jsou brána i správa na jednom zařízení) a Distribuovaný (když je server pro správu umístěn na samostatném zařízení). Tím však možnosti nekončí. Podívejme se na tři typické scénáře nasazení serveru pro správu:
- Nákup vyhrazeného NGSM. Nejoblíbenější možnost. Vyberte hardware Smart-1 nebo virtuální hardware. Vybíráte si samozřejmě podle toho, kolik bran budete spravovat, 5, 10, 25 atd. Nasazením tohoto zařízení můžete použít 4 klíčové blade servery pro správu: NPM (tj. správa zásad), Logging and Status (tj. protokolování), Smart Event (SIEM od Check Point, který nám poskytuje veškeré hlášení) a Compliance (toto je posouzení kvality nastavení, ať už z hlediska souladu s některými regulačními požadavky, stejným PCI DSS, nebo jednoduše Best Practice). Okamžitě vidíte, že lopatky NPM a LS jsou trvalé lopatky, tzn. bude fungovat bez obnovení předplatného, ale čepele Smart Event a Compliance jsou zahrnuty pouze pro první rok! Pak je třeba je obnovit za samostatné peníze. Toto je důležitý bod, nezapomeňte. A pokud stále můžete žít bez čepele Compliance, pak naprosto každý potřebuje Smart Event.
- Nákup vyhrazeného serveru Event Management NAVÍC ke stávajícímu serveru pro správu NGSM. Proč je to nutné? Faktem je, že logovací funkce a zejména Smart Event „užírá“ docela slušné systémové prostředky. A pokud existuje poměrně hodně protokolů, může to vést k „brzdám“ na řídicím serveru. Proto se často praktikuje přesunout tuto funkci na samostatné zařízení, hardware Smart-1 nebo opět na virtuální stroj. Velké integrace s velkým počtem protokolů téměř vždy vyžadují vyhrazený server pro Smart Event. Může také přijímat protokoly. Tímto způsobem bude váš server pro správu provádět pouze funkce správy. To výrazně zlepšuje stabilitu a odezvu systému. Jak můžete vidět, když si koupíte vyhrazený server Smart Event, získáte tyto dva blade servery pro trvalé použití, a to i bez obnovy. V horizontu 3–4 let to bude ještě výhodnější než každoroční nákup rozšíření Smart Event pro běžný server NGSM.
- Dedikovaný server pro správu protokolů, který je součástí serverů NGSM a Smart Event. Myslím, že význam je jasný. Pokud existuje VELMI velký počet protokolů, můžeme přesunout funkci protokolování na samostatný server. Vyhrazený Log server má také trvalou licenci a nevyžaduje obnovení.
Výukový program pro video
Více informací o správě licencí a technické podpoře Check Point naleznete zde:
Zdroj: www.habr.com