Salutations à tous ceux qui continuent de lire la série sur la nouvelle génération de NGFW Check Point de la famille SMB (série 1500). DANS nous avons regardé la solution SMP (portail de gestion des passerelles PME). Aujourd'hui, je voudrais parler du portail Smart-1 Cloud, il se positionne comme une solution basée sur SaaS Check Point, agit comme un serveur de gestion dans le cloud, il sera donc pertinent pour tout NGFW Check Point. Pour ceux qui viennent de nous rejoindre, je rappelle les sujets abordés précédemment : , , .
Soulignons les principales fonctionnalités de Smart-1 Cloud :
- Une solution centralisée unique pour gérer l'ensemble de votre infrastructure Check Point (passerelles virtuelles et physiques à différents niveaux).
- Un ensemble commun de politiques pour toutes les lames vous permet de simplifier les processus d'administration (création/modification de règles pour diverses tâches).
- Prise en charge d'une approche de profil lorsque vous travaillez avec les paramètres de passerelle. Responsable de la séparation des droits d'accès lorsque vous travaillez sur le portail, où les administrateurs réseau, les spécialistes de l'audit, etc. peuvent effectuer simultanément diverses tâches.
- Surveillance des menaces, qui fournit des journaux et une visualisation des événements en un seul endroit.
- Prise en charge de l'interaction via API. L'utilisateur peut mettre en œuvre des processus d'automatisation, simplifiant ainsi les tâches quotidiennes de routine.
- L'accès à Internet. Supprime les restrictions concernant la prise en charge des systèmes d'exploitation individuels et est intuitif.
Pour ceux qui connaissent déjà les solutions Check Point, les fonctionnalités de base présentées ne sont pas différentes de la présence d'un serveur de gestion dédié sur site dans votre infrastructure. Ils auront en partie raison, mais dans le cas de Smart-1 Cloud, la maintenance du serveur de gestion est assurée par les spécialistes de Check Point. Cela comprend : la réalisation de sauvegardes, la surveillance de l'espace libre sur les supports, la correction des erreurs, l'installation des dernières versions des logiciels. Le processus de migration (transfert) des paramètres est également simplifié.
licence
Avant de nous familiariser avec les fonctionnalités de la solution de gestion cloud, étudions les problèmes de licence du site officiel. .
Gestion d'une passerelle :
L'abonnement dépend des pales de contrôle sélectionnées, il y a 3 directions au total :
- Gestion. 50 Go de stockage, 1 Go par jour pour les journaux.
- Gestion + SmartEvent. 100 Go de stockage, 3 Go de journaux quotidiens, génération de rapports.
- Gestion + Conformité + SmartEvent. 100 Go de stockage, 3 Go de journaux quotidiens, génération de rapports, recommandations de paramètres basées sur les pratiques générales de sécurité des informations.
*Le choix dépend de nombreux facteurs : type de logs, nombre d'utilisateurs, volumes de trafic.
Il existe également un abonnement pour gérer 5 passerelles. Nous ne nous attarderons pas là-dessus en détail - vous pouvez toujours obtenir des informations auprès de .
Lancement de Smart-1 Cloud
Tout le monde peut essayer la solution ; pour ce faire, vous devez vous inscrire sur le portail Infinity - un service cloud de Check Point, où vous pouvez obtenir un accès d'essai aux domaines suivants :
- Protection du cloud (CloudGuard SaaS, CloudGuard Native) ;
- Protection du réseau (CloudGuard Connect, Smart-1 Cloud, Infinity SOC) ;
- Protection des points de terminaison (, Gestion Cloud de l'agent SandBlast, Sandblast Mobile).
Nous nous connecterons au système avec vous (l'inscription est requise pour les nouveaux utilisateurs) et accéderons à la solution Smart-1 Cloud :
Les avantages de cette solution vous seront brièvement expliqués (Gestion de l'infrastructure, aucune installation requise, mises à jour automatiques).
Après avoir rempli les champs, vous devrez attendre que votre compte soit prêt pour vous connecter au portail :
Si l'opération réussit, vous recevrez par email les informations d'inscription (précisées lors de la connexion au portail Infinity), et vous serez également redirigé vers la page d'accueil de Smart-1 Cloud.
Onglets de portail disponibles :
- Lancez SmartConsole. En utilisant l'application installée sur votre PC, ou utilisez l'interface Web.
- Synchronisation avec l'objet passerelle.
- Travailler avec des journaux.
- Paramètres
Synchronisation avec la passerelle
Commençons par synchroniser Security Gateway ; pour ce faire, vous devez l'ajouter en tant qu'objet. Allez dans l'onglet "Connecter la passerelle"
Vous devez saisir un nom de passerelle unique ; vous pouvez ajouter un commentaire à l'objet. Puis appuyez "Registre".
Un objet passerelle apparaîtra et devra être synchronisé avec le serveur de gestion en exécutant les commandes CLI pour la passerelle :
- Assurez-vous que le dernier JHF (Jumbo Hotfix) est installé sur la passerelle.
- Définir le jeton de connexion : définir le maas de la passerelle de sécurité sur le jeton d'authentification
- Vérifiez l'état du tunnel de synchronisation :
Statut MaaS : activé
État du tunnel MaaS : en hausse
Nom de domaine MaaS :
Service-Identifier.maas.checkpoint.com
IP de passerelle pour la communication MaaS : 100.64.0.1
Une fois les services pour le Mass Tunnel activés, vous devez procéder à l'établissement d'une connexion SIC entre la passerelle et Smart-1 Cloud dans Smartconsole. Si l'opération réussit, la topologie de la passerelle sera obtenue, joignons un exemple :
Ainsi, lors de l'utilisation de Smart-1 Cloud, la passerelle est connectée au réseau « gris » 10.64.0.1.
Permettez-moi d'ajouter que dans notre configuration, la passerelle elle-même accède à Internet via NAT, il n'y a donc pas d'adresse IP publique sur son interface, cependant, nous pouvons la gérer de l'extérieur. Il s'agit d'une autre fonctionnalité intéressante de Smart-1 Cloud, grâce à laquelle un sous-réseau de gestion distinct est créé avec son propre pool d'adresses IP.
Conclusion
Une fois que vous avez ajouté avec succès une passerelle pour la gestion via Smart-1 Cloud, vous disposez d'un accès complet, tout comme dans la Smart Console. Sur notre layout, nous avons lancé la version web ; en fait, il s'agit d'une machine virtuelle surélevée avec un client de gestion en cours d'exécution.
Vous pouvez toujours en savoir plus sur les capacités de la Smart Console et de l'architecture Check Point dans le livret de notre auteur. .
C'est tout pour aujourd'hui, nous attendons le dernier article de la série, dans lequel nous aborderons les capacités de réglage des performances de la famille SMB 1500 avec Gaia 80.20 Embedded installé.
. Restez à l'écoute (, , , , )
Source: habr.com