Zorionak, lagunak! Eta azkenean azkenera iritsi ginen, Check Point Hasteko azken ikasgaia. Gaur oso gai garrantzitsu bati buruz hitz egingo dugu - lizentzien. Abisatzen zaitut ikasgai hau ez dela ekipamenduak edo lizentziak aukeratzeko gida zehatza. Hau Check Point-eko edozein administratzailek ezagutu behar dituen funtsezko puntuen laburpena besterik ez da. Lizentzia edo gailua aukeratzeak benetan harrituta bazaude, hobe da profesionalengana jotzea, hau da. guri :). Ikastaroan hitz egitea oso zaila den zulo asko daude, eta ezin izango duzu berehala gogoratu ere.
Gure ikasgaia guztiz teorikoa izango da, zure maketa zerbitzariak itzali eta lasaitu zaitezke. Artikuluaren amaieran bideo ikasgai bat aurkituko duzu non dena zehatzago azaltzen dudan.
Gateway Lizentzia
Has gaitezen segurtasun atebideen lizentzia-ezaugarrien deskribapenarekin. Gainera, hau hardware-lerroei zein makina birtualei aplikatzen zaie. Demagun atebide bat erostea erabakitzen duzula. Ezinezkoa da hardware pieza bat edo makina birtual bat erostea "harpidetza"rik gabe! Hiru harpidetza aukera daude:
Eta orain lehen ezaugarri interesgarria! NGTP edo NGTX harpidetzak dituzten gailu edo makina birtual bat bakarrik erosi dezakezu. Baina harpidetza berritzen duzunean, dagoeneko aukeratu dezakezu NGFW paketea AV, AB, URL, AS, TE eta TX bladerik behar ez baduzu. Hau da momentua. Harpidetzak berez eros daitezke urtebete, bi edo hiru urterako.
Zure lehen galdera iragar dezaket! βZer gertatzen da harpidetza berritzen ez bada?" Berdez nabarmendu ditut BETI funtzionatuko duten pala horiek, eta luzapenik GABE. Betiko zurbilak deiturikoak. Etengabe eguneratu behar duten gainerako bladek funtzionatzeari utziko diote. Tira, beharbada IPS-k giltza-sinadurak funtzionatzen jarraituko du (baina oso gutxi daude). Hau da hardware zein makina birtualetarako, hau da. vSec.
Aparteko elementu gisa, inongo kitetan sartzen ez diren hiru pala nabarmendu ditut: DLP, MAB eta Capsule.
Gogoan izan, gainera, cluster irtenbide bat erosten baduzu, aukeratu bigarren gailu gisa HA atzizkia (hau da, High Availability) atzizkia duen modelo bat. Irudiak 5400 atebidearen adibide bat erakusten du. Hau atebideei dagokie. Orain kudeaketa zerbitzaria.
Kudeaketa zerbitzariaren lizentziak
Lehen ikasgaietan esan dugun bezala, Check Point ezartzeko bi eszenatoki daude: Standalone (atebidea eta kudeaketa gailu batean daudenean) eta Banatua (kudeaketa zerbitzaria beste gailu batean jartzen denean). Hala ere, aukerak ez dira hor amaitzen. Ikus ditzagun kudeaketa zerbitzari bat zabaltzeko hiru eszenatoki tipiko:
- NGSM dedikatua erostea. Aukera ezagunena. Aukeratu Smart-1 hardwarea edo hardware birtuala. Zuk aukeratzen duzu, noski, zenbat atebide administratuko dituzun, 5, 10, 25, etab. Gailu hau zabalduz gero, kudeaketa zerbitzariaren 4 gako-blade erabil ditzakezu: NPM (hau da, politika-kudeaketa), Logging and Status (hau da, erregistroa), Smart Event (SIEM Check Point-ekoa, txosten guztiak ematen dizkiguna) eta Compliance (hau da. ezarpenen kalitatearen ebaluazioa da, bai arauzko eskakizun batzuk, PCI DSS bera edo, besterik gabe, Praktika Egokiena betetzeko). Berehala ikus dezakezu NPM eta LS palak xafla iraunkorrak direla, hau da. harpidetzak berritu gabe funtzionatuko du, baina Smart Event eta Compliance bladeak lehenengo urtean bakarrik sartzen dira! Orduan berritu behar dira aparteko diruagatik. Hau puntu garrantzitsua da, ez ahaztu. Eta betetze-bladerik gabe bizi bazara, denek behar dute Smart Event.
- Gertaerak Kudeatzeko zerbitzari dedikatu bat erostea Lehendik dagoen NGSM kudeaketa zerbitzariaz GAIN. Zergatik da beharrezkoa? Kontua da erregistro-funtzionalitateak eta batez ere Smart Event-ek sistemaren baliabide nahiko duinak "jaten" dituela. Eta erregistro asko badaude, horrek kontrol zerbitzarian "balaztak" eragin ditzake. Hori dela eta, sarritan praktikatzen da funtzionalitate hori gailu bereizi batera mugitzea, Smart-1 hardwarera edo, berriro ere, makina birtual batera. Erregistro kopuru handia duten integrazio handiek ia beti zerbitzari dedikatu bat behar dute Smart Event-erako. Erregistroak ere jaso ditzake. Horrela zure kudeaketa zerbitzariak kudeaketa funtzioak bakarrik egingo ditu. Horrek asko hobetzen ditu sistemaren egonkortasuna eta erantzuna. Ikus dezakezunez, Smart Event zerbitzari dedikatu bat erosten duzunean, bi blade hauek betirako erabil ditzakezu, berritu gabe ere. 3-4 urteko horizontean, hau are errentagarriagoa izango da urtero NGSM zerbitzari arrunt baterako Smart Event luzapenak erostea baino.
- Log kudeaketa zerbitzari dedikatua, NGSM eta Smart Event zerbitzariez gain datorrena. Esanahia argia dela uste dut. Erregistro-kopuru OSO handia badago, erregistro-funtzioa zerbitzari bereizi batera eraman dezakegu. Log zerbitzari dedikatuak ere lizentzia iraunkor bat du eta ez du berritu behar.
Bideo ikasgaia
Aurkitu lizentzia kudeaketari eta Check Point-en laguntza teknikoari buruzko informazio gehiago hemen:
Iturria: www.habr.com