Saúdos, amigos! E por fin chegamos ao último, lección final de Check Point Getting Started. Hoxe falaremos dun tema moi importante: Licenzas. Apúrome a avisarvos de que esta lección non é unha guía exhaustiva para escoller equipos ou licenzas. Este é só un resumo dos puntos clave que calquera administrador de Check Point debería coñecer. Se estás realmente desconcertado coa elección da licenza ou do dispositivo, é mellor acudir a profesionais, é dicir. para nós :). Hai moitas trampas das que é moi difícil falar no curso, e tampouco o poderás lembrar de inmediato.
A nosa lección será completamente teórica, polo que podes apagar os teus servidores de maquetas e relaxarte. Ao final do artigo atoparás unha lección en vídeo onde explico todo con máis detalle.
Licenzas de pasarela
Comecemos cunha descrición das funcións de licenza das pasarelas de seguranza. Ademais, isto aplícase tanto ás liñas ascendentes de hardware como ás máquinas virtuais. Digamos que decides mercar unha pasarela. É imposible mercar simplemente unha peza de hardware ou unha máquina virtual sen "subscricións"! Hai tres opcións de subscrición:
E agora a primeira característica interesante! Só podes mercar un dispositivo ou máquina virtual con subscricións NGTP ou NGTX. Pero cando renoves a túa subscrición, xa podes escoller o paquete NGFW se non necesitas as láminas AV, AB, URL, AS, TE e TX. Este é o momento. As propias subscricións pódense adquirir por un período de un, dous ou tres anos.
Podo prever a túa primeira pregunta! "Que pasa se non se renova a subscrición?" Destaquei especificamente en verde aquelas láminas que SEMPRE funcionarán, e SEN extensións. Os chamados perpetuos palidecen. As láminas restantes que requiren unha actualización constante simplemente deixarán de funcionar. Ben, quizais o IPS aínda teña firmas clave funcionando (pero hai moi poucas). Isto é certo tanto para o hardware como para as máquinas virtuais, é dicir. vSec.
Como elemento separado, destaquei tres láminas que non están incluídas en ningún kit: DLP, MAB e Capsule.
Lembra tamén que se compras unha solución de clúster, elixe un modelo co sufixo HA (é dicir, Alta dispoñibilidade) como segundo dispositivo. A imaxe mostra un exemplo para a pasarela 5400. Trátase de pasarelas. Agora o servidor de xestión.
Licenzas do servidor de xestión
Como xa dixemos nas primeiras leccións, hai dous escenarios para implementar Check Point: Autónomo (cando tanto a pasarela como a xestión están nun dispositivo) e Distribuído (cando o servidor de xestión está situado nun dispositivo separado). Non obstante, as opcións non rematan aí. Vexamos tres escenarios típicos para a implantación dun servidor de xestión:
- Compra de NGSM dedicado. A opción máis popular. Escolla hardware Smart-1 ou hardware virtual. Elixes, por suposto, en función de cantas pasarelas administrarás, 5, 10, 25, etc. Ao implementar este dispositivo, pode usar 4 láminas clave do servidor de xestión: NPM (é dicir, xestión de políticas), Logging and Status (é dicir, rexistro), Smart Event (SIEM de Check Point, que nos proporciona todos os informes) e Compliance (isto é unha avaliación da calidade da configuración, xa sexa polo cumprimento dalgúns requisitos regulamentarios, o mesmo PCI DSS ou simplemente as mellores prácticas). Podes ver inmediatamente que as láminas NPM e LS son láminas permanentes, é dicir. funcionará sen renovar as subscricións, pero as láminas de eventos intelixentes e de conformidade inclúense só durante o primeiro ano. Despois hai que renovalos por diñeiro separado. Este é un punto importante, non o esquezas. E se aínda podes vivir sen unha lámina de conformidade, todos necesitan Smart Event.
- Adquisición dun servidor de xestión de eventos dedicado ADEMÁS do servidor de xestión NGSM existente. Por que isto é necesario? O feito é que a funcionalidade de rexistro e, especialmente, Smart Event "come" recursos do sistema bastante decentes. E se hai moitos rexistros, isto pode provocar "freos" no servidor de control. Polo tanto, adóitase practicar mover esta funcionalidade a un dispositivo separado, hardware Smart-1 ou, de novo, a unha máquina virtual. As grandes integracións cunha gran cantidade de rexistros case sempre requiren un servidor dedicado para Smart Event. Tamén pode recibir rexistros. Deste xeito, o teu servidor de xestión só realizará funcións de xestión. Isto mellora moito a estabilidade e a capacidade de resposta do sistema. Como podes ver, cando compras un servidor Smart Event dedicado, obtén estas dúas láminas para o seu uso permanente, mesmo sen renovación. Nun horizonte de 3-4 anos, isto será aínda máis rendible que comprar extensións de eventos intelixentes para un servidor NGSM normal cada ano.
- Servidor de xestión de rexistros dedicado, que vén ademais dos servidores NGSM e Smart Event. Creo que o significado está claro. Se hai un número MOI grande de rexistros, podemos mover a función de rexistro a un servidor separado. O servidor de rexistro dedicado tamén ten unha licenza permanente e non precisa renovación.
Video lección
Atopa máis información sobre a xestión de licenzas e o soporte técnico de Check Point aquí:
Fonte: www.habr.com