Pozdrav, prijatelji! I konačno smo došli do zadnjeg, posljednja lekcija Check Pointa Getting Started. Danas ćemo razgovarati o vrlo važnoj temi - licenciranje. Želim vas upozoriti da ova lekcija nije iscrpan vodič za odabir opreme ili licenci. Ovo je samo sažetak ključnih točaka koje bi svaki Check Point administrator trebao znati. Ako ste stvarno zbunjeni izborom licence ili uređaja, bolje je obratiti se profesionalcima, tj. nama :). Postoji mnogo zamki o kojima je jako teško govoriti na tečaju, a nećete se moći ni sjetiti toga odmah.
Naša će lekcija biti potpuno teoretska, tako da možete isključiti svoje mock-up poslužitelje i opustiti se. Na kraju članka pronaći ćete video lekciju u kojoj sve detaljnije objašnjavam.
Licenciranje pristupnika
Počnimo s opisom značajki licenciranja sigurnosnih pristupnika. Štoviše, ovo se odnosi i na nadogradnje hardvera i na virtualna računala. Recimo da ste odlučili kupiti gateway. Nemoguće je jednostavno kupiti komad hardvera ili virtualni stroj bez "pretplate"! Postoje tri opcije pretplate:
A sada prva zanimljivost! Uređaj ili virtualni stroj možete kupiti samo s pretplatama na NGTP ili NGTX. Ali kada obnovite svoju pretplatu, već možete odabrati NGFW paket ako vam ne trebaju AV, AB, URL, AS, TE i TX bladeovi. Ovo je trenutak. Same pretplate moguće je kupiti na razdoblje od jedne, dvije ili tri godine.
Mogu predvidjeti vaše prvo pitanje! “Što se događa ako se pretplata ne obnovi?" Posebno sam zelenom bojom istaknuo one oštrice koje će UVIJEK raditi, i to BEZ nastavaka. Takozvani vječni blijedi. Preostale oštrice koje zahtijevaju stalno ažuriranje jednostavno će prestati raditi. Pa, možda će IPS još imati ključne potpise koji rade (ali njih je jako malo). Ovo vrijedi i za hardver i za virtualne strojeve, tj. vSec.
Kao zasebnu stavku izdvojio sam tri oštrice koje nema ni u jednom kompletu: DLP, MAB i Capsule.
Također upamtite da ako kupujete cluster rješenje, odaberite model sa sufiksom HA (tj. High Availability) kao drugi uređaj. Slika prikazuje primjer za pristupnik 5400. Ovo se odnosi na pristupnike. Sada poslužitelj za upravljanje.
Licenciranje poslužitelja za upravljanje
Kao što smo već rekli u prvim lekcijama, postoje dva scenarija za implementaciju Check Pointa: Samostalni (kada su i gateway i upravljanje na jednom uređaju) i Distribuirani (kada je poslužitelj za upravljanje smješten na zasebnom uređaju). Međutim, mogućnostima tu nije kraj. Pogledajmo tri tipična scenarija za postavljanje poslužitelja za upravljanje:
- Kupnja namjenskog NGSM-a. Najpopularnija opcija. Odaberite Smart-1 hardver ili virtualni hardver. Vi birate, naravno, na temelju toga koliko ćete pristupnika administrirati, 5, 10, 25 itd. Uvođenjem ovog uređaja možete koristiti 4 ključne oštrice poslužitelja za upravljanje: NPM (tj. upravljanje politikama), bilježenje i status (tj. bilježenje), pametni događaj (SIEM iz Check Pointa, koji nam daje sva izvješća) i usklađenost (ovo je procjena kvalitete postavki, bilo za usklađenost s nekim regulatornim zahtjevima, istim PCI DSS-om ili jednostavno najboljom praksom). Odmah možete vidjeti da su NPM i LS oštrice trajne oštrice, tj. radit će bez obnove pretplata, ali oštrice Smart Event i Compliance uključene su samo za prvu godinu! Zatim ih je potrebno obnoviti za poseban novac. Ovo je važna točka, ne zaboravite. A ako još uvijek možete živjeti bez Compliance bladea, tada apsolutno svi trebaju Smart Event.
- Kupnja namjenskog poslužitelja za upravljanje događajima DODATNO uz postojeći NGSM server za upravljanje. Zašto je to potrebno? Činjenica je da funkcija logiranja, a posebno Smart Event, "jede" sasvim pristojne sistemske resurse. A ako ima dosta zapisa, to može dovesti do "kočnica" na kontrolnom poslužitelju. Stoga se često prakticira premještanje ove funkcionalnosti na poseban uređaj, Smart-1 hardver ili, opet, virtualni stroj. Velike integracije s velikim brojem zapisa gotovo uvijek zahtijevaju namjenski poslužitelj za Smart Event. Također može primati zapise. Na ovaj način će vaš poslužitelj za upravljanje obavljati samo funkcije upravljanja. Ovo uvelike poboljšava stabilnost i odziv sustava. Kao što vidite, kada kupite namjenski Smart Event poslužitelj, dobivate ova dva bladea za trajnu upotrebu, čak i bez obnove. Tijekom razdoblja od 3-4 godine, to će biti još isplativije od kupovine proširenja Smart Event za obični NGSM poslužitelj svake godine.
- Namjenski poslužitelj za upravljanje zapisima, koji dolazi uz NGSM i Smart Event poslužitelje. Mislim da je smisao jasan. Ako postoji VRLO velik broj zapisa, možemo premjestiti funkciju zapisivanja na zasebni poslužitelj. Namjenski log poslužitelj također ima trajnu licencu i ne zahtijeva obnavljanje.
Video tutorial
Više informacija o upravljanju licencama i tehničkoj podršci za Check Point potražite ovdje:
Izvor: www.habr.com