13. Check Point Getting Started R80.20. Լիցենզավորում

Ողջույններ, ընկերներ: Եվ վերջապես հասանք վերջինին, Check Point Getting Started-ի վերջին դասը. Այսօր մենք կխոսենք շատ կարևոր թեմայի մասին. Լիցենզավորում. Ես շտապում եմ զգուշացնել, որ այս դասը սպառիչ ուղեցույց չէ սարքավորումների կամ լիցենզիաների ընտրության համար: Սա ընդամենը հիմնական կետերի ամփոփումն է, որոնք պետք է իմանա Check Point-ի ցանկացած ադմինիստրատոր: Եթե ​​դուք իսկապես տարակուսած եք լիցենզիայի կամ սարքի ընտրությամբ, ապա ավելի լավ է դիմել մասնագետներին, այսինքն. մեզ :). Կան բազմաթիվ թակարդներ, որոնց մասին շատ դժվար է խոսել դասընթացի ընթացքում, և դուք նույնպես չեք կարողանա անմիջապես հիշել դրանք:
Մեր դասը լինելու է ամբողջովին տեսական, այնպես որ կարող եք անջատել ձեր մակետ սերվերները և հանգստանալ: Հոդվածի վերջում դուք կգտնեք վիդեո դաս, որտեղ ես ամեն ինչ ավելի մանրամասն բացատրում եմ:

Gateway լիցենզավորում

Սկսենք անվտանգության դարպասների լիցենզավորման առանձնահատկությունների նկարագրությունից: Ավելին, սա վերաբերում է և՛ ապարատային վերին գծերին, և՛ վիրտուալ մեքենաներին: Ենթադրենք, դուք որոշել եք դարպաս գնել: Անհնար է պարզապես ապարատային կամ վիրտուալ մեքենա գնել առանց «բաժանորդագրությունների»: Բաժանորդագրության երեք տարբերակ կա.

Եվ հիմա առաջին հետաքրքիր առանձնահատկությունը: Դուք կարող եք գնել սարք կամ վիրտուալ մեքենա միայն NGTP կամ NGTX բաժանորդագրություններով: Բայց երբ դուք թարմացնում եք ձեր բաժանորդագրությունը, արդեն կարող եք ընտրել NGFW փաթեթը, եթե ձեզ պետք չեն AV, AB, URL, AS, TE և TX շեղբեր: Սա է պահը։ Բաժանորդագրություններն ինքնին կարելի է ձեռք բերել մեկ, երկու կամ երեք տարի ժամկետով:

Ես կարող եմ կանխատեսել ձեր առաջին հարցը: «Ի՞նչ կլինի, եթե բաժանորդագրությունը չերկարաձգվի:« Ես հատուկ կանաչով ընդգծեցի այն շեղբերները, որոնք ՄԻՇՏ կաշխատեն, և ԱՌԱՆՑ ընդլայնումների: Այսպես կոչված հավերժ գունատները: Մնացած շեղբերները, որոնք պահանջում են մշտական ​​թարմացում, պարզապես կդադարեն աշխատել: Դե, միգուցե IPS-ը դեռևս կաշխատի հիմնական ստորագրությունները (բայց դրանք շատ քիչ են): Սա ճիշտ է ինչպես ապարատային, այնպես էլ վիրտուալ մեքենաների համար, այսինքն. vSec.

Որպես առանձին կետ, ես առանձնացրեցի երեք շեղբեր, որոնք ներառված չեն որևէ փաթեթում՝ DLP, MAB և Capsule:

Նաև հիշեք, որ եթե դուք գնում եք կլաստերի լուծում, ապա որպես երկրորդ սարք ընտրեք մոդել HA վերջածանցով (այսինքն՝ High Availability): Նկարում ներկայացված է gateway 5400-ի օրինակ: Սա վերաբերում է gateway-ներին: Այժմ կառավարման սերվերը:

Կառավարման սերվերի լիցենզավորում

Ինչպես արդեն ասացինք առաջին դասերում, Check Point-ի ներդրման երկու սցենար կա՝ Standalone (երբ և՛ դարպասը, և՛ կառավարումը մեկ սարքի վրա են) և Distributed (երբ կառավարման սերվերը տեղադրված է առանձին սարքի վրա): Այնուամենայնիվ, տարբերակները դրանով չեն ավարտվում: Եկեք դիտարկենք կառավարման սերվերի տեղակայման երեք բնորոշ սցենար.

1. Նվիրված NGSM-ի գնում. Ամենատարածված տարբերակը. Ընտրեք Smart-1 ապարատային կամ վիրտուալ սարքավորում: Դուք ընտրում եք, իհարկե, ելնելով այն բանից, թե քանի դարպաս եք կառավարելու՝ 5, 10, 25 և այլն: Տեղադրելով այս սարքը՝ դուք կարող եք օգտագործել կառավարման սերվերի 4 առանցքային շեղբեր՝ NPM (այսինքն՝ քաղաքականության կառավարում), գրանցում և կարգավիճակ (այսինքն՝ գրանցում), Smart Event (SIEM-ը Check Point-ից, որը տալիս է մեզ բոլոր հաշվետվությունները) և Համապատասխանություն (սա կարգավորումների որակի գնահատում է՝ կա՛մ կարգավորող որոշ պահանջների, նույն PCI DSS-ի, կա՛մ պարզապես լավագույն պրակտիկայի հետ համապատասխանության համար: Դուք կարող եք անմիջապես տեսնել, որ NPM և LS շեղբերները մշտական ​​շեղբեր են, այսինքն. կաշխատի առանց բաժանորդագրությունների նորացման, սակայն Smart Event և Compliance blades-ը ներառված են միայն առաջին տարվա համար: Հետո դրանք պետք է թարմացվեն առանձին գումարով։ Սա կարևոր կետ է, մի մոռացեք: Եվ եթե դուք դեռ կարող եք ապրել առանց Համապատասխանության սայրի, ապա բացարձակապես բոլորին պետք է Smart Event:
2. Իրադարձությունների կառավարման հատուկ սերվերի գնում Ի լրումն առկա NGSM կառավարման սերվերի: Ինչու է դա անհրաժեշտ: Փաստն այն է, որ լոգերի ֆունկցիոնալությունը և հատկապես Smart Event-ը «խժռում են» բավականին պատշաճ համակարգի ռեսուրսները: Եվ եթե կան բավականին շատ տեղեկամատյաններ, ապա դա կարող է հանգեցնել «արգելակների» կառավարման սերվերի վրա: Հետևաբար, հաճախ կիրառվում է այս ֆունկցիոնալությունը տեղափոխել առանձին սարք, Smart-1 սարքավորում կամ, կրկին, վիրտուալ մեքենա: Մեծ թվով տեղեկամատյաններով մեծ ինտեգրումները գրեթե միշտ պահանջում են հատուկ սերվեր Smart Event-ի համար: Այն կարող է նաև տեղեկամատյաններ ստանալ: Այս կերպ ձեր կառավարման սերվերը կկատարի միայն կառավարման գործառույթներ: Սա մեծապես բարելավում է համակարգի կայունությունը և արձագանքողությունը: Ինչպես տեսնում եք, երբ գնում եք հատուկ Smart Event սերվեր, դուք ստանում եք այս երկու շեղբեր մշտական ​​օգտագործման համար, նույնիսկ առանց նորացման: 3-4 տարվա հորիզոնում սա նույնիսկ ավելի ծախսարդյունավետ կլինի, քան ամեն տարի սովորական NGSM սերվերի համար Smart Event ընդլայնումներ գնելը:
3. Մատյանների կառավարման հատուկ սերվեր, որը գալիս է ի լրումն NGSM և Smart Event սերվերների: Կարծում եմ՝ իմաստը պարզ է. Եթե ​​կան ՇԱՏ մեծ թվով տեղեկամատյաններ, մենք կարող ենք տեղափոխել գրանցման գործառույթը առանձին սերվեր: Նվիրված Log սերվերն ունի նաև մշտական ​​լիցենզիա և չի պահանջում նորացում:

Տեսանյութի ձեռնարկ

Լիցենզիայի կառավարման և Check Point տեխնիկական աջակցության մասին ավելի շատ տեղեկություններ գտեք այստեղ՝

Source: www.habr.com