Tervitused, sõbrad! Ja lõpuks jõudsime viimaseni, Check Pointi alustamise viimane õppetund. Täna räägime väga olulisel teemal - Litsentsimine. Kiirustan teid hoiatama, et see õppetund ei ole ammendav juhend seadmete või litsentside valimisel. See on vaid kokkuvõte põhipunktidest, mida iga Check Pointi administraator peaks teadma. Kui litsentsi või seadme valik on tõesti hämmingus, siis on parem pöörduda professionaalide poole, s.t. meile :). Kursusel on palju lõkse, millest on väga raske rääkida ja mida ei tule ka kohe meelde.
Meie õppetund on täiesti teoreetiline, nii et saate oma makettide serverid välja lülitada ja lõõgastuda. Artikli lõpust leiate videotunni, kus selgitan kõike üksikasjalikumalt.
Gateway litsentsimine
Alustame turvalüüside litsentsimisfunktsioonide kirjeldusega. Lisaks kehtib see nii riistvara ülemiste liinide kui ka virtuaalsete masinate kohta. Oletame, et otsustate osta lüüsi. Riistvara või virtuaalmasina ostmine ilma "tellimusteta" on võimatu! Tellimisvõimalusi on kolm:
Ja nüüd esimene huvitav funktsioon! Saate osta seadme või virtuaalmasina ainult NGTP või NGTX tellimustega. Kuid tellimust uuendades saate juba valida NGFW paketi, kui te ei vaja AV, AB, URL, AS, TE ja TX blade. See on see hetk. Tellimusi saab osta üheks, kaheks või kolmeks aastaks.
Ma võin teie esimest küsimust ennustada! “Mis juhtub, kui tellimust ei pikendata?" Tõstsin konkreetselt rohelisega esile need labad, mis töötavad ALATI ja ILMA pikendusteta. Nn igavene kahvatus. Ülejäänud terad, mis vajavad pidevat värskendamist, lakkavad lihtsalt töötamast. Noh, võib-olla on IPS-is võtmeallkirjad endiselt töökorras (kuid neid on väga vähe). See kehtib nii riistvara kui ka virtuaalmasinate kohta, s.t. vSec.
Eraldi elemendina tõstsin esile kolm tera, mida üheski komplektis ei ole: DLP, MAB ja kapsel.
Samuti pidage meeles, et kui ostate kobarlahenduse, siis valige teiseks seadmeks mudel, mille järelliide on HA (st High Availability). Pildil on näide lüüsi 5400 kohta. See puudutab lüüsi. Nüüd haldusserver.
Haldusserveri litsentsimine
Nagu esimestes õppetundides juba ütlesime, on Check Pointi juurutamiseks kaks stsenaariumi: eraldiseisev (kui nii lüüs kui ka haldus on ühes seadmes) ja hajutatud (kui haldusserver on paigutatud eraldi seadmesse). Kuid valikuvõimalused ei lõpe sellega. Vaatame kolme tüüpilist haldusserveri juurutamise stsenaariumi:
- Spetsiaalse NGSM-i ostmine. Kõige populaarsem variant. Valige kas Smart-1 riistvara või virtuaalne riistvara. Valite loomulikult selle järgi, kui palju lüüsi te haldate, 5, 10, 25 jne. Selle seadme juurutamisel saate kasutada nelja haldusserveri võtmeriba: NPM (st poliitikahaldus), logimine ja olek (st logimine), nutikas sündmus (SIEM alates Check Point, mis annab meile kogu aruandluse) ja vastavus (see on seadete kvaliteedi hindamine, kas vastavuse osas mõnele regulatiivsele nõudele, samale PCI DSS-ile või lihtsalt parimale praktikale). Kohe on näha, et NPM ja LS terad on püsiterad, st. töötab ilma tellimusi uuendamata, kuid Smart Event ja Compliance labad on kaasas ainult esimest aastat! Siis tuleb need eraldi raha eest uuendada. See on oluline punkt, ärge unustage. Ja kui sa ikka suudad elada ilma Compliance bladeta, siis on Smart Eventi vaja absoluutselt kõigil.
- Spetsiaalse sündmustehaldusserveri ostmine LISAKS olemasolevale NGSM haldusserverile. Miks see vajalik on? Fakt on see, et logimise funktsionaalsus ja eriti Smart Event "sööb ära" üsna korralikud süsteemiressursid. Ja kui logisid on üsna palju, võib see juhtserveris "pidurdada". Seetõttu harjutatakse sageli selle funktsionaalsuse teisaldamist eraldi seadmesse, Smart-1 riistvarasse või jällegi virtuaalmasinasse. Suured integratsioonid suure hulga logidega nõuavad peaaegu alati Smart Eventi jaoks spetsiaalset serverit. See võib vastu võtta ka logisid. Nii täidab teie haldusserver ainult haldusfunktsioone. See parandab oluliselt süsteemi stabiilsust ja reageerimisvõimet. Nagu näete, saate spetsiaalse Smart Event serveri ostmisel need kaks tera püsivaks kasutamiseks isegi ilma uuendamiseta. 3–4 aasta perspektiivis on see veelgi kulutõhusam kui tavalise NGSM-serveri jaoks igal aastal Smart Eventi laienduste ostmine.
- Spetsiaalne logihaldusserver, mis tuleb lisaks NGSM-i ja Smart Event serveritele. Ma arvan, et tähendus on selge. Kui logisid on VÄGA palju, saame logimisfunktsiooni viia eraldi serverisse. Spetsiaalsel logiserveril on ka püsilitsents ja see ei vaja uuendamist.
Videotund
Lisateavet litsentside haldamise ja Check Pointi tehnilise toe kohta leiate siit:
Allikas: www.habr.com