6. NGFW pro malé podniky. Smart-1 Cloud

Zdravím všechny, kteří pokračují ve čtení série o nové generaci NGFW Check Point z rodiny SMB (série 1500). V Části 5 podívali jsme se na řešení SMP (portál pro správu pro brány SMB). Dnes bych chtěl mluvit o cloudovém portálu Smart-1, který se staví jako řešení založené na SaaS Check Point, funguje jako Management Server v cloudu, takže bude relevantní pro jakýkoli NGFW Check Point. Pro ty, kteří se k nám právě přidali, mi dovolte připomenout dříve diskutovaná témata: inicializace a konfigurace , organizace bezdrátového přenosu provozu (WiFi a LTE) , VPN.

Pojďme zdůraznit hlavní funkce Smart-1 Cloud:

1. Jediné centralizované řešení pro správu celé vaší infrastruktury Check Point (virtuální a fyzické brány na různých úrovních).
2. Společná sada politik pro všechny Blade vám umožňuje zjednodušit administrativní procesy (vytváření/úprava pravidel pro různé úlohy).
3. Podpora profilového přístupu při práci s nastavením brány. Zodpovědnost za oddělení přístupových práv při práci na portálu, kde mohou správci sítě, auditní specialisté atd. současně vykonávat různé úkoly.
4. Monitoring hrozeb, který poskytuje protokoly a prohlížení událostí na jednom místě.
5. Podpora interakce přes API. Uživatel může implementovat automatizační procesy a zjednodušit rutinní každodenní úkoly.
6. Webový přístup. Odstraňuje omezení týkající se podpory jednotlivých OS a je intuitivní.

Pro ty, kteří již znají řešení Check Point, se prezentované základní funkce neliší od toho, že máte ve vaší infrastruktuře vyhrazený místní server pro správu. Částečně budou mít pravdu, ale v případě Smart-1 Cloud je údržba serveru pro správu zajišťována specialisty Check Point. Zahrnuje: vytváření záloh, sledování volného místa na médiu, opravu chyb, instalaci nejnovějších verzí softwaru. Proces migrace (přenosu) nastavení je také zjednodušen.

Licencování

Než se seznámíme s funkčností řešení pro správu cloudu, prostudujeme si licenční problémy od úředníka DataSheet.

Správa jedné brány:

Předplatné závisí na zvolených ovládacích lopatkách, celkem jsou 3 směry:

1. Řízení. 50 GB úložiště, 1 GB denně pro protokoly.
2. Správa + SmartEvent. 100 GB úložiště, 3 GB denních protokolů, generování zpráv.
3. Management + Compliance + SmartEvent. 100 GB úložiště, 3 GB denních protokolů, generování zpráv, doporučení pro nastavení na základě obecných postupů zabezpečení informací.

*Výběr závisí na mnoha faktorech: typ protokolů, počet uživatelů, objemy provozu.

K dispozici je také předplatné pro správu 5 bran. Nebudeme se tím podrobně zabývat - vždy můžete získat informace od DataSheet.

Spuštění Smart-1 Cloud

Řešení může vyzkoušet každý, k tomu se musíte zaregistrovat na Infinity Portal – cloudové službě od Check Point, kde můžete získat zkušební přístup do následujících oblastí:

• Cloudová ochrana (CloudGuard SaaS, CloudGuard Native);
• Ochrana sítě (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
• Endpoint Protection (Sandblast Agent Management Platform, SandBlast Agent Cloud Management, Sandblast Mobile).

Přihlásíme se s vámi do systému (pro nové uživatele je nutná registrace) a přejdeme do řešení Smart-1 Cloud:

Stručně vás seznámíme s výhodami tohoto řešení (správa infrastruktury, není nutná instalace, aktualizace automaticky).

Po vyplnění polí budete muset počkat, až bude váš účet připraven k přihlášení do portálu:

Pokud bude operace úspěšná, obdržíte registrační údaje e-mailem (uvedené při přihlášení na Infinity Portal) a budete také přesměrováni na domovskou stránku Smart-1 Cloud.

Dostupné karty portálu:

1. Spusťte SmartConsole. Pomocí nainstalované aplikace na vašem PC nebo pomocí webového rozhraní.
2. Synchronizace s objektem brány.
3. Práce s logy.
4. Nastavení.

Synchronizace s bránou

Začněme synchronizací Security Gateway; k tomu je třeba ji přidat jako objekt. Přejděte na kartu "Připojit bránu"

Musíte zadat jedinečný název brány, k objektu můžete přidat komentář. Poté stiskněte "Registrovat".

Objeví se objekt brány, který bude nutné synchronizovat se serverem pro správu provedením příkazů CLI pro bránu:

1. Ujistěte se, že je na bráně nainstalován nejnovější JHF (Jumbo Hotfix).
2. Nastavit token připojení: nastavte maas bezpečnostní brány na auth-token
3. Zkontrolujte stav synchronizačního tunelu:
   Stav MaaS: Povoleno
   Stav tunelu MaaS: nahoru
   Název domény MaaS:
   Service-Identifier.maas.checkpoint.com
   IP brány pro komunikaci MaaS: 100.64.0.1

Jakmile budou aktivovány služby pro Mass Tunnel, musíte pokračovat v navázání SIC spojení mezi bránou a Smart-1 Cloud v Smartconsole. Pokud je operace úspěšná, získá se topologie brány, přiložme příklad:

Při použití Smart-1 Cloud je tedy brána připojena k „šedé“ síti 10.64.0.1.

Doplním, že v našem rozložení brána sama přistupuje k internetu pomocí NAT, tudíž na jejím rozhraní není veřejná IP adresa, ale můžeme ji spravovat zvenčí. To je další zajímavá funkce Smart-1 Cloud, díky které je vytvořena samostatná podsíť pro správu s vlastním fondem IP adres.

Závěr

Jakmile úspěšně přidáte bránu pro správu přes Smart-1 Cloud, máte plný přístup, stejně jako v Smart Console. Na našem layoutu jsme spustili webovou verzi, ve skutečnosti je to vyvýšený virtuální stroj s běžícím klientem pro správu.

Více o možnostech Smart Console a architektuře Check Point se vždy dozvíte v našem autorském článku samozřejmě.

To je pro dnešek vše, čekáme na poslední článek série, ve kterém se dotkneme možností ladění výkonu řady SMB 1500 s nainstalovaným Gaia 80.20 Embedded.

Velký výběr materiálů na Check Point od TS Solution. Zůstaňte naladěni (Telegram, facebook, VK, Blog řešení TS, Yandex Zen)

Zdroj: www.habr.com