Salutations, amis ! Et nous sommes finalement arrivés au dernier, dernière leçon de Check Point Getting Started. Aujourd'hui, nous allons parler d'un sujet très important - licence. Je m'empresse de vous prévenir que cette leçon n'est pas un guide exhaustif pour le choix du matériel ou des licences. Ceci n'est qu'un résumé des points clés que tout administrateur Check Point devrait connaître. Si vous êtes vraiment intrigué par le choix de la licence ou de l'appareil, alors mieux vaut vous tourner vers des professionnels, c'est-à-dire à nous :). Il y a beaucoup d'écueils dont il est très difficile de parler dans le cours, et vous ne pourrez pas non plus vous en souvenir tout de suite.
Notre cours sera entièrement théorique, vous pourrez donc éteindre vos maquettes de serveurs et vous détendre. A la fin de l'article, vous trouverez une leçon vidéo où j'explique tout plus en détail.
Licence de passerelle
Commençons par une description des fonctionnalités de licence des passerelles de sécurité. De plus, cela s’applique à la fois aux amonts matériels et aux machines virtuelles. Disons que vous décidez d'acheter une passerelle. Il est impossible d’acheter simplement un matériel ou une machine virtuelle sans « abonnements » ! Il existe trois options d'abonnement :
Et maintenant la première fonctionnalité intéressante ! Vous ne pouvez acheter un appareil ou une machine virtuelle qu'avec des abonnements NGTP ou NGTX. Mais lors du renouvellement de votre abonnement, vous pouvez déjà choisir le forfait NGFW si vous n'avez pas besoin de blades AV, AB, URL, AS, TE et TX. C'est le moment. Les abonnements eux-mêmes peuvent être souscrits pour une durée d'un, deux ou trois ans.
Je peux prédire votre première question ! "Que se passe-t-il si l'abonnement n'est pas renouvelé ?" J'ai spécifiquement mis en évidence en vert les lames qui fonctionneront TOUJOURS, et SANS extensions. Le soi-disant perpétuel fait pâle figure. Les lames restantes qui nécessitent une mise à jour constante cesseront tout simplement de fonctionner. Eh bien, peut-être que l'IPS aura toujours des armures fonctionnelles (mais il y en a très peu). Cela est vrai à la fois pour le matériel et les machines virtuelles, c'est-à-dire cSec.
En tant qu'élément distinct, j'ai mis en évidence trois lames qui ne sont incluses dans aucun kit : DLP, MAB et Capsule.
N'oubliez pas non plus que si vous achetez une solution de cluster, choisissez un modèle avec le suffixe HA (c'est-à-dire haute disponibilité) comme deuxième périphérique. L'image montre un exemple pour la passerelle 5400. Cela concerne les passerelles. Maintenant le serveur de gestion.
Licence du serveur de gestion
Comme nous l'avons déjà dit dans les premières leçons, il existe deux scénarios pour implémenter Check Point : autonome (lorsque la passerelle et la gestion sont sur un seul appareil) et distribué (lorsque le serveur de gestion est placé sur un appareil distinct). Cependant, les options ne s'arrêtent pas là. Examinons trois scénarios typiques de déploiement d'un serveur de gestion :
- Achat de NGSM dédié. L'option la plus populaire. Choisissez soit le matériel Smart-1, soit le matériel virtuel. Vous choisissez bien sûr en fonction du nombre de passerelles que vous allez administrer, 5, 10, 25, etc. En déployant cet appareil, vous pouvez utiliser 4 lames clés du serveur de gestion : NPM (c'est-à-dire la gestion des politiques), Logging and Status (c'est-à-dire la journalisation), Smart Event (SIEM de Check Point, qui nous donne tous les rapports) et Compliance (cet est une évaluation de la qualité des paramètres, soit pour la conformité à certaines exigences réglementaires, à la même norme PCI DSS, ou simplement aux meilleures pratiques). Vous pouvez immédiatement voir que les lames NPM et LS sont des lames permanentes, c'est-à-dire fonctionnera sans renouveler les abonnements, mais les lames Smart Event et Compliance ne sont incluses que pour la première année ! Ensuite, ils doivent être renouvelés pour de l'argent séparé. C'est un point important, ne l'oubliez pas. Et si vous pouvez toujours vivre sans lame de conformité, alors absolument tout le monde a besoin de Smart Event.
- Achat d'un serveur dédié à la gestion d'événements EN PLUS du serveur de gestion NGSM existant. Pourquoi est-ce nécessaire ? Le fait est que la fonctionnalité de journalisation et en particulier Smart Event « ronge » des ressources système assez décentes. Et s'il y a beaucoup de journaux, cela peut entraîner des « freins » sur le serveur de contrôle. Par conséquent, il est souvent pratique de déplacer cette fonctionnalité vers un périphérique distinct, du matériel Smart-1 ou, encore une fois, une machine virtuelle. Les grandes intégrations avec un grand nombre de journaux nécessitent presque toujours un serveur dédié pour Smart Event. Il peut également recevoir des journaux. De cette façon, votre serveur de gestion exécutera uniquement des fonctions de gestion. Cela améliore considérablement la stabilité et la réactivité du système. Comme vous pouvez le constater, lorsque vous achetez un serveur dédié Smart Event, vous bénéficiez de ces deux blades pour une utilisation permanente, même sans renouvellement. Sur un horizon de 3 à 4 ans, cela sera encore plus rentable que d'acheter chaque année des extensions Smart Event pour un serveur NGSM classique.
- Serveur de gestion de journaux dédié, qui vient en complément des serveurs NGSM et Smart Event. Je pense que le sens est clair. S'il existe un TRÈS grand nombre de journaux, nous pouvons déplacer la fonction de journalisation vers un serveur distinct. Le serveur Log dédié dispose également d'une licence permanente et ne nécessite pas de renouvellement.
Didacticiel vidéo
Trouvez plus d’informations sur la gestion des licences et l’assistance technique de Check Point ici :
Source: habr.com