6. NGFW für kleine Unternehmen. Smart-1 Cloud

Grüße an alle, die die Serie über die neue Generation des NGFW Check Point der SMB-Familie (Serie 1500) weiterlesen. IN 5 Teile Wir haben uns die SMP-Lösung (Managementportal für SMB-Gateways) angesehen. Heute möchte ich über das Smart-1 Cloud-Portal sprechen. Es positioniert sich als Lösung auf Basis von SaaS Check Point, fungiert als Verwaltungsserver in der Cloud und ist daher für jeden NGFW Check Point relevant. Für diejenigen, die gerade erst bei uns eingestiegen sind, möchte ich Sie an die zuvor besprochenen Themen erinnern: Initialisierung und Konfiguration , Organisation der drahtlosen Verkehrsübertragung (WiFi und LTE) , VPN.

Lassen Sie uns die Hauptfunktionen von Smart-1 Cloud hervorheben:

1. Eine einzige zentrale Lösung für die Verwaltung Ihrer gesamten Check Point-Infrastruktur (virtuelle und physische Gateways auf verschiedenen Ebenen).
2. Ein gemeinsamer Richtliniensatz für alle Blades ermöglicht Ihnen die Vereinfachung von Verwaltungsprozessen (Erstellen/Bearbeiten von Regeln für verschiedene Aufgaben).
3. Unterstützung eines Profilansatzes beim Arbeiten mit Gateway-Einstellungen. Verantwortlich für die Trennung der Zugriffsrechte bei der Arbeit im Portal, wo Netzwerkadministratoren, Audit-Spezialisten usw. gleichzeitig verschiedene Aufgaben ausführen können.
4. Bedrohungsüberwachung, die Protokolle und Ereignisanzeige an einem Ort bereitstellt.
5. Unterstützung für Interaktion über API. Der Benutzer kann Automatisierungsprozesse implementieren und so alltägliche Routineaufgaben vereinfachen.
6. Web-Zugang. Entfernt Einschränkungen hinsichtlich der Unterstützung einzelner Betriebssysteme und ist intuitiv.

Für diejenigen, die bereits mit Check Point-Lösungen vertraut sind: Die vorgestellten Kernfunktionen unterscheiden sich nicht von einem dedizierten Managementserver vor Ort in Ihrer Infrastruktur. Sie werden teilweise Recht haben, aber im Fall von Smart-1 Cloud wird die Wartung des Verwaltungsservers von Check Point-Spezialisten übernommen. Dazu gehören: Backups erstellen, freien Speicherplatz auf Medien überwachen, Fehler beheben, die neuesten Softwareversionen installieren. Der Prozess der Migration (Übertragung) von Einstellungen wird ebenfalls vereinfacht.

Zulassung

Bevor wir uns mit der Funktionalität der Cloud-Management-Lösung vertraut machen, werfen wir einen Blick auf die Lizenzierungsfragen des Beamten Datenblatt.

Ein Gateway verwalten:

Das Abonnement hängt von den ausgewählten Control Blades ab; insgesamt gibt es 3 Richtungen:

1. Management. 50 GB Speicher, 1 GB täglich für Protokolle.
2. Management + SmartEvent. 100 GB Speicher, 3 GB tägliche Protokolle, Berichterstellung.
3. Management + Compliance + SmartEvent. 100 GB Speicher, 3 GB tägliche Protokolle, Berichtserstellung, Empfehlungen für Einstellungen basierend auf allgemeinen Informationssicherheitspraktiken.

*Die Wahl hängt von vielen Faktoren ab: Art der Protokolle, Anzahl der Benutzer, Verkehrsaufkommen.

Es gibt auch ein Abonnement zur Verwaltung von 5 Gateways. Darauf wollen wir nicht näher eingehen – Informationen erhalten Sie jederzeit bei Datenblatt.

Einführung der Smart-1 Cloud

Jeder kann die Lösung ausprobieren; dazu müssen Sie sich im Infinity Portal registrieren – einem Cloud-Dienst von Check Point, bei dem Sie Testzugang zu folgenden Bereichen erhalten:

• Cloud-Schutz (CloudGuard SaaS, CloudGuard Native);
• Netzwerkschutz (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
• Endpunktschutz (Sandblast Agent Management-Plattform, SandBlast Agent Cloud Management, Sandblast Mobile).

Wir melden uns mit Ihnen am System an (für neue Benutzer ist eine Registrierung erforderlich) und gehen zur Smart-1 Cloud-Lösung:

Sie werden kurz über die Vorteile dieser Lösung informiert (Infrastrukturverwaltung, keine Installation erforderlich, automatische Updates).

Nachdem Sie die Felder ausgefüllt haben, müssen Sie warten, bis Ihr Konto für die Anmeldung beim Portal vorbereitet ist:

Wenn der Vorgang erfolgreich ist, erhalten Sie Registrierungsinformationen per E-Mail (angegeben bei der Anmeldung am Infinity-Portal) und werden außerdem zur Smart-1 Cloud-Homepage weitergeleitet.

Verfügbare Portal-Registerkarten:

1. Starten Sie SmartConsole. Nutzen Sie die auf Ihrem PC installierte Anwendung oder nutzen Sie die Weboberfläche.
2. Synchronisierung mit dem Gateway-Objekt.
3. Arbeiten mit Protokollen.
4. Einstellungen.

Synchronisation mit dem Gateway

Beginnen wir mit der Synchronisierung des Security Gateways; dazu müssen Sie es als Objekt hinzufügen. Gehen Sie zur Registerkarte „Gateway verbinden“

Sie müssen einen eindeutigen Gateway-Namen eingeben; Sie können dem Objekt einen Kommentar hinzufügen. Dann drücken "Registrieren".

Es erscheint ein Gateway-Objekt, das mit dem Verwaltungsserver synchronisiert werden muss, indem die CLI-Befehle für das Gateway ausgeführt werden:

1. Stellen Sie sicher, dass das neueste JHF (Jumbo Hotfix) auf dem Gateway installiert ist.
2. Verbindungstoken festlegen: Setzen Sie Security-Gateway-Maas auf Auth-Token
3. Überprüfen Sie den Status des Synchronisationstunnels:
   MaaS-Status: Aktiviert
   MaaS-Tunnelstatus: Aktiv
   MaaS-Domänenname:
   Service-Identifier.maas.checkpoint.com
   Gateway-IP für MaaS-Kommunikation: 100.64.0.1

Sobald die Dienste für den Massentunnel bereitgestellt wurden, müssen Sie mit dem Herstellen einer SIC-Verbindung zwischen dem Gateway und der Smart-1 Cloud in Smartconsole fortfahren. Wenn der Vorgang erfolgreich ist, wird die Gateway-Topologie erhalten. Fügen wir ein Beispiel bei:

Bei Verwendung von Smart-1 Cloud ist das Gateway daher mit dem „grauen“ Netzwerk 10.64.0.1 verbunden.

Ich möchte hinzufügen, dass in unserem Layout das Gateway selbst über NAT auf das Internet zugreift. Daher gibt es auf seiner Schnittstelle keine öffentliche IP-Adresse, wir können sie jedoch von außen verwalten. Dies ist eine weitere interessante Funktion von Smart-1 Cloud, dank der ein separates Verwaltungssubnetz mit einem eigenen IP-Adresspool erstellt wird.

Abschluss

Sobald Sie erfolgreich ein Gateway für die Verwaltung über die Smart-1 Cloud hinzugefügt haben, haben Sie vollen Zugriff, genau wie in der Smart Console. In unserem Layout haben wir die Webversion gestartet; tatsächlich handelt es sich um eine erweiterte virtuelle Maschine mit einem laufenden Verwaltungsclient.

Weitere Informationen zu den Funktionen der Smart Console und der Check Point-Architektur finden Sie jederzeit in unserem Autorenhandbuch Kurs.

Das ist alles für heute, wir warten auf den letzten Artikel der Serie, in dem wir auf die Leistungsoptimierungsmöglichkeiten der SMB 1500-Serienfamilie mit installiertem Gaia 80.20 Embedded eingehen werden.

Große Auswahl an Materialien für Check Point von TS Solution. Bleiben Sie dran (Telegram, Facebook, VK, TS-Lösungsblog, Yandex.Den)

Source: habr.com