Zdravím všechny, kteří pokračují ve čtení série o nové generaci NGFW Check Point z rodiny SMB (série 1500). V Části 5 podívali jsme se na řešení SMP (portál pro správu pro brány SMB). Dnes bych chtěl mluvit o cloudovém portálu Smart-1, který se staví jako řešení založené na SaaS Check Point, funguje jako Management Server v cloudu, takže bude relevantní pro jakýkoli NGFW Check Point. Pro ty, kteří se k nám právě přidali, mi dovolte připomenout dříve diskutovaná témata: inicializace a konfigurace , organizace bezdrátového přenosu provozu (WiFi a LTE) , VPN.
Pojďme zdůraznit hlavní funkce Smart-1 Cloud:
Jediné centralizované řešení pro správu celé vaší infrastruktury Check Point (virtuální a fyzické brány na různých úrovních).
Společná sada politik pro všechny Blade vám umožňuje zjednodušit administrativní procesy (vytváření/úprava pravidel pro různé úlohy).
Podpora profilového přístupu při práci s nastavením brány. Zodpovědnost za oddělení přístupových práv při práci na portálu, kde mohou správci sítě, auditní specialisté atd. současně vykonávat různé úkoly.
Monitoring hrozeb, který poskytuje protokoly a prohlížení událostí na jednom místě.
Podpora interakce přes API. Uživatel může implementovat automatizační procesy a zjednodušit rutinní každodenní úkoly.
Webový přístup. Odstraňuje omezení týkající se podpory jednotlivých OS a je intuitivní.
Pro ty, kteří již znají řešení Check Point, se prezentované základní funkce neliší od toho, že máte ve vaší infrastruktuře vyhrazený místní server pro správu. Částečně budou mít pravdu, ale v případě Smart-1 Cloud je údržba serveru pro správu zajišťována specialisty Check Point. Zahrnuje: vytváření záloh, sledování volného místa na médiu, opravu chyb, instalaci nejnovějších verzí softwaru. Proces migrace (přenosu) nastavení je také zjednodušen.
Licencování
Než se seznámíme s funkčností řešení pro správu cloudu, prostudujeme si licenční problémy od úředníka DataSheet.
Správa jedné brány:
Předplatné závisí na zvolených ovládacích lopatkách, celkem jsou 3 směry:
Management + Compliance + SmartEvent. 100 GB úložiště, 3 GB denních protokolů, generování zpráv, doporučení pro nastavení na základě obecných postupů zabezpečení informací.
*Výběr závisí na mnoha faktorech: typ protokolů, počet uživatelů, objemy provozu.
K dispozici je také předplatné pro správu 5 bran. Nebudeme se tím podrobně zabývat - vždy můžete získat informace od DataSheet.
Spuštění Smart-1 Cloud
Řešení může vyzkoušet každý, k tomu se musíte zaregistrovat na Infinity Portal – cloudové službě od Check Point, kde můžete získat zkušební přístup do následujících oblastí:
Přihlásíme se s vámi do systému (pro nové uživatele je nutná registrace) a přejdeme do řešení Smart-1 Cloud:
Stručně vás seznámíme s výhodami tohoto řešení (správa infrastruktury, není nutná instalace, aktualizace automaticky).
Po vyplnění polí budete muset počkat, až bude váš účet připraven k přihlášení do portálu:
Pokud bude operace úspěšná, obdržíte registrační údaje e-mailem (uvedené při přihlášení na Infinity Portal) a budete také přesměrováni na domovskou stránku Smart-1 Cloud.
Dostupné karty portálu:
Spusťte SmartConsole. Pomocí nainstalované aplikace na vašem PC nebo pomocí webového rozhraní.
Synchronizace s objektem brány.
Práce s logy.
Nastavení.
Synchronizace s bránou
Začněme synchronizací Security Gateway; k tomu je třeba ji přidat jako objekt. Přejděte na kartu "Připojit bránu"
Musíte zadat jedinečný název brány, k objektu můžete přidat komentář. Poté stiskněte "Registrovat".
Objeví se objekt brány, který bude nutné synchronizovat se serverem pro správu provedením příkazů CLI pro bránu:
Ujistěte se, že je na bráně nainstalován nejnovější JHF (Jumbo Hotfix).
Nastavit token připojení: nastavte maas bezpečnostní brány na auth-token
Zkontrolujte stav synchronizačního tunelu: Stav MaaS: Povoleno
Stav tunelu MaaS: nahoru
Název domény MaaS:
Service-Identifier.maas.checkpoint.com
IP brány pro komunikaci MaaS: 100.64.0.1
Jakmile budou aktivovány služby pro Mass Tunnel, musíte pokračovat v navázání SIC spojení mezi bránou a Smart-1 Cloud v Smartconsole. Pokud je operace úspěšná, získá se topologie brány, přiložme příklad:
Při použití Smart-1 Cloud je tedy brána připojena k „šedé“ síti 10.64.0.1.
Doplním, že v našem rozložení brána sama přistupuje k internetu pomocí NAT, tudíž na jejím rozhraní není veřejná IP adresa, ale můžeme ji spravovat zvenčí. To je další zajímavá funkce Smart-1 Cloud, díky které je vytvořena samostatná podsíť pro správu s vlastním fondem IP adres.
Závěr
Jakmile úspěšně přidáte bránu pro správu přes Smart-1 Cloud, máte plný přístup, stejně jako v Smart Console. Na našem layoutu jsme spustili webovou verzi, ve skutečnosti je to vyvýšený virtuální stroj s běžícím klientem pro správu.
Více o možnostech Smart Console a architektuře Check Point se vždy dozvíte v našem autorském článku samozřejmě.
To je pro dnešek vše, čekáme na poslední článek série, ve kterém se dotkneme možností ladění výkonu řady SMB 1500 s nainstalovaným Gaia 80.20 Embedded.