¡Saludos amigos! Y finalmente llegamos al último, Lección final de Introducción a Check Point. Hoy hablaremos de un tema muy importante: la concesión de licencias. Me apresuro a advertirte que esta lección no es una guía exhaustiva para elegir equipos o licencias. Este es sólo un resumen de los puntos clave que cualquier administrador de Check Point debe conocer. Si está realmente desconcertado por la elección de una licencia o un dispositivo, entonces es mejor recurrir a profesionales, es decir, para nosotros :). Hay muchos obstáculos de los que es muy difícil hablar en el curso y tampoco podrás recordarlos de inmediato.
Nuestra lección será completamente teórica, por lo que podrás apagar tus servidores de maqueta y relajarte. Al final del artículo encontrarás una vídeo lección donde te explico todo con más detalle.
Licencia de puerta de enlace
Comencemos con una descripción de las características de licencia de los gateways de seguridad. Además, esto se aplica tanto a las líneas ascendentes de hardware como a las máquinas virtuales. Digamos que decides comprar una puerta de enlace. ¡Es imposible simplemente comprar una pieza de hardware o una máquina virtual sin “suscripciones”! Hay tres opciones de suscripción:
¡Y ahora la primera característica interesante! Sólo puedes comprar un dispositivo o máquina virtual con suscripciones NGTP o NGTX. Pero cuando renuevas tu suscripción, ya puedes elegir el paquete NGFW si no necesitas blades AV, AB, URL, AS, TE y TX. Este es el momento. Las suscripciones mismas se pueden adquirir por un período de uno, dos o tres años.
¡Puedo predecir tu primera pregunta! “¿Qué pasa si no se renueva la suscripción?" Destaqué específicamente en verde aquellas palas que SIEMPRE funcionarán, y SIN extensiones. El llamado perpetuo palidece. Las hojas restantes que requieren una actualización constante simplemente dejarán de funcionar. Bueno, tal vez el IPS todavía tenga firmas clave funcionando (pero hay muy pocas). Esto es cierto tanto para el hardware como para las máquinas virtuales, es decir. vSeg.
Como elemento separado, destaqué tres hojas que no están incluidas en ningún kit: DLP, MAB y Capsule.
Recuerde también que si compra una solución de clúster, elija un modelo con el sufijo HA (es decir, alta disponibilidad) como segundo dispositivo. La imagen muestra un ejemplo para la puerta de enlace 5400. Se trata de puertas de enlace. Ahora el servidor de gestión.
Licencias del servidor de administración
Como ya dijimos en las primeras lecciones, existen dos escenarios para implementar Check Point: Independiente (cuando tanto la puerta de enlace como la administración están en un dispositivo) y Distribuido (cuando el servidor de administración está ubicado en un dispositivo separado). Sin embargo, las opciones no terminan ahí. Veamos tres escenarios típicos para implementar un servidor de administración:
- Compra de NGSM dedicado. La opción más popular. Elija hardware Smart-1 o hardware virtual. Tú eliges, por supuesto, en función de cuántas puertas de enlace administrarás, 5, 10, 25, etc. Al implementar este dispositivo, puede utilizar 4 servidores blade de administración de claves: NPM (es decir, administración de políticas), Registro y estado (es decir, registro), Smart Event (SIEM de Check Point, que nos brinda todos los informes) y Cumplimiento (este es un evaluación de la calidad de la configuración, ya sea para el cumplimiento de algunos requisitos regulatorios, el mismo PCI DSS, o simplemente Mejores Prácticas). Inmediatamente se puede ver que las hojas NPM y LS son hojas permanentes, es decir. funcionará sin renovar las suscripciones, pero los blades Smart Event y Compliance se incluyen solo durante el primer año. Luego hay que renovarlos por dinero aparte. Este es un punto importante, no lo olvides. Y si aún puede vivir sin una hoja de Cumplimiento, entonces absolutamente todo el mundo necesita Smart Event.
- Comprar un servidor de gestión de eventos dedicado ADEMÁS del servidor de gestión NGSM existente. ¿Por qué es esto necesario? El hecho es que la funcionalidad de registro y especialmente Smart Event "devora" recursos del sistema bastante decentes. Y si hay muchos registros, esto puede provocar "frenos" en el servidor de control. Por lo tanto, a menudo se practica trasladar esta funcionalidad a un dispositivo separado, hardware Smart-1 o, nuevamente, a una máquina virtual. Las grandes integraciones con una gran cantidad de registros casi siempre requieren un servidor dedicado para Smart Event. También puede recibir registros. De esta forma su servidor de administración solo realizará funciones de administración. Esto mejora enormemente la estabilidad y la capacidad de respuesta del sistema. Como puedes ver, cuando compras un servidor Smart Event dedicado, obtienes estos dos blades para uso permanente, incluso sin renovación. En un horizonte de 3 a 4 años, esto será incluso más rentable que comprar extensiones de Smart Event para un servidor NGSM normal cada año.
- Servidor de gestión de registros dedicado, que se suma a los servidores NGSM y Smart Event. Creo que el significado es claro. Si hay una cantidad MUY grande de registros, podemos mover la función de registro a un servidor separado. El servidor de registro dedicado también tiene una licencia permanente y no requiere renovación.
Video tutorial
Encuentre más información sobre la gestión de licencias y el soporte técnico de Check Point aquí:
Fuente: habr.com