6. NGFW väikeettevõtetele. Smart-1 pilv

Tervitused kõigile, kes jätkavad SMB perekonna uue põlvkonna NGFW Check Pointi (1500 seeria) sarja lugemist. IN 5 osad vaatasime SMP lahendust (SMB lüüside haldusportaal). Täna tahaksin rääkida Smart-1 pilveportaalist, see positsioneerib end SaaS Check Pointil põhineva lahendusena, toimib pilves haldusserverina, nii et see on asjakohane iga NGFW kontrollpunkti jaoks. Äsja meiega liitunutele tuletan meelde eelnevalt käsitletud teemasid: initsialiseerimine ja konfigureerimine , juhtmevaba liikluse edastamise korraldamine (WiFi ja LTE) , VPN.

Toome välja Smart-1 Cloudi peamised funktsioonid:

1. Üks tsentraliseeritud lahendus kogu teie Check Pointi infrastruktuuri haldamiseks (eri tasanditel virtuaalsed ja füüsilised lüüsid).
2. Kõigi Blade'ide ühine poliitikate komplekt võimaldab teil haldusprotsesse lihtsustada (erinevate ülesannete jaoks reeglite loomine/redigeerimine).
3. Profiilipõhise lähenemisviisi tugi lüüsi sätetega töötamisel. Vastutab juurdepääsuõiguste eraldamise eest portaalis töötades, kus võrguadministraatorid, auditispetsialistid jne saavad üheaegselt täita erinevaid ülesandeid.
4. Ohtude jälgimine, mis pakub logide ja sündmuste vaatamist ühes kohas.
5. API kaudu suhtlemise tugi. Kasutaja saab rakendada automatiseerimisprotsesse, lihtsustades igapäevaseid rutiinseid toiminguid.
6. Juurdepääs veebile. Eemaldab üksikute OS-ide toega seotud piirangud ja on intuitiivne.

Neile, kes on Check Pointi lahendustega juba tuttavad, ei erine esitatud põhivõimalused sellest, kui teie infrastruktuuris on spetsiaalne kohapealne haldusserver. Osaliselt saavad nad õigust, kuid Smart-1 Cloudi puhul tagavad haldusserveri hoolduse Check Pointi spetsialistid. See sisaldab: varukoopiate tegemist, vaba ruumi jälgimist kandjal, vigade parandamist, uusimate tarkvaraversioonide installimist. Lihtsustatud on ka sätete migreerimise (ülekandmise) protsess.

Litsentsimine

Enne pilvehalduslahenduse funktsionaalsusega tutvumist uurime ametnikult litsentsimise küsimusi Andmeleht.

Ühe lüüsi haldamine:

Tellimus sõltub valitud juhtlabadest, kokku on 3 suunda:

1. Juhtimine. 50 GB salvestusruumi, 1 GB iga päev logide jaoks.
2. Juhtimine + SmartEvent. 100 GB salvestusruumi, 3 GB igapäevaseid logisid, aruannete genereerimine.
3. Juhtimine + vastavus + SmartEvent. 100 GB salvestusruumi, 3 GB igapäevaseid logisid, aruannete genereerimine, soovitused seadistusteks, mis põhinevad üldistel infoturbe praktikatel.

*Valik sõltub paljudest teguritest: logide tüüp, kasutajate arv, liiklusmaht.

Samuti on tellimus 5 lüüsi haldamiseks. Täpsemalt me ​​sellel ei peatu – infot saad alati aadressilt Andmeleht.

Smart-1 Cloud käivitamine

Lahendust võivad proovida kõik soovijad, selleks tuleb registreeruda Infinity Portaalis – Check Pointi pilveteenuses, kust saad proovijuurdepääsu järgmistele aladele:

• pilvekaitse (CloudGuard SaaS, CloudGuard Native);
• Võrgukaitse (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
• Lõpp-punkti kaitse (Liivapritsi agentide haldusplatvorm, SandBlast Agent Cloud Management, Sandblast Mobile).

Logime teiega koos süsteemi sisse (uutele kasutajatele on vajalik registreerimine) ja läheme Smart-1 Cloud lahendusse:

Teile räägitakse lühidalt selle lahenduse eelistest (infrastruktuurihaldus, installimist pole vaja, uuendused automaatselt).

Pärast väljade täitmist peate ootama, kuni teie konto on portaali sisse logimiseks valmis:

Kui toiming õnnestub, saate registreerimisinfo e-posti teel (täpsustatakse Infinity Portaali sisselogimisel), samuti suunatakse teid Smart-1 Cloud avalehele.

Saadaolevad portaali vahekaardid:

1. Käivitage SmartConsole. Kasutage arvutisse installitud rakendust või kasutage veebiliidest.
2. Sünkroonimine lüüsiobjektiga.
3. Töö palkidega.
4. Seaded.

Sünkroonimine lüüsiga

Alustame turvavärava sünkroonimisega, selleks tuleb see lisada objektina. Minge vahekaardile "Ühenda värav"

Peate sisestama unikaalse lüüsi nime, saate lisada objektile kommentaari. Seejärel vajutage „Registreeri”.

Ilmub lüüsiobjekt, mis tuleb haldusserveriga sünkroonida, täites lüüsi CLI-käsud:

1. Veenduge, et lüüsile on installitud uusim JHF (Jumbo Hotfix).
2. Ühenduse tunnus: sea ​​security-gateway maas auth-tokenile
3. Kontrollige sünkroonimistunneli olekut:
   MaaS-i olek: lubatud
   MaaS-i tunneli olek: üles
   MaaS domeeninimi:
   Service-Identifier.maas.checkpoint.com
   MaaS-i side lüüsi IP: 100.64.0.1

Kui masstunneli teenused on tõstetud, peate jätkama SIC-ühenduse loomist lüüsi ja Smart-1 Cloudi vahel Smartconsole'is. Kui toiming õnnestub, saadakse lüüsi topoloogia, lisame näite:

Seega on Smart-1 Cloudi kasutamisel lüüs ühendatud “halli” võrguga 10.64.0.1.

Lubage mul lisada, et meie paigutuses pääseb lüüs ise Internetti NAT-i abil, seetõttu pole selle liidesel avalikku IP-aadressi, kuid me saame seda hallata väljastpoolt. See on veel üks huvitav Smart-1 Cloud funktsioon, tänu millele luuakse eraldi haldusalamvõrk oma IP-aadresside kogumiga.

Järeldus

Kui olete Smart-1 Cloudi kaudu haldamiseks lüüsi edukalt lisanud, on teil täielik juurdepääs, nagu Smart-Console'is. Meie küljenduses käivitasime veebiversiooni; tegelikult on see kõrgendatud virtuaalne masin koos töötava halduskliendiga.

Smart Console'i ​​ja Check Pointi arhitektuuri võimaluste kohta saate alati lisateavet meie autorite lehelt muidugi.

See on tänaseks kõik, ootame sarja viimast artiklit, milles käsitleme SMB 1500 seeria perekonna jõudluse häälestamise võimalusi, millele on installitud Gaia 80.20 Embedded.

Suur valik materjale Check Pointis TS Solutionilt. Jääge lainel (Telegramm, Facebook, VK, TS lahenduste ajaveeb, Yandex Zen)

Allikas: www.habr.com