Saluti, amici! E finalmente siamo arrivati all'ultimo, lezione finale di Check Point Getting Started. Oggi parleremo di un argomento molto importante: licenza. Mi affretto ad avvertirti che questa lezione non è una guida esaustiva alla scelta dell'attrezzatura o delle licenze. Questo è solo un riepilogo dei punti chiave che ogni amministratore di Check Point dovrebbe conoscere. Se sei davvero perplesso sulla scelta della licenza o del dispositivo, allora è meglio rivolgersi ai professionisti, ad es. a noi :). Ci sono molte insidie di cui è molto difficile parlare durante il corso e non sarai nemmeno in grado di ricordarle subito.
La nostra lezione sarà completamente teorica, quindi potrai spegnere i server mock-up e rilassarti. Alla fine dell’articolo troverai una video lezione in cui spiego tutto più nel dettaglio.
Licenza gateway
Iniziamo con una descrizione delle funzionalità di licenza dei gateway di sicurezza. Inoltre, questo vale sia per le upline hardware che per le macchine virtuali. Diciamo che decidi di acquistare un gateway. È impossibile acquistare semplicemente un componente hardware o una macchina virtuale senza “abbonamenti”! Sono disponibili tre opzioni di abbonamento:
E ora la prima caratteristica interessante! Puoi acquistare un dispositivo o una macchina virtuale solo con abbonamenti NGTP o NGTX. Ma quando rinnovi l'abbonamento puoi già scegliere il pacchetto NGFW se non hai bisogno dei blade AV, AB, URL, AS, TE e TX. Questo è il momento. Gli abbonamenti stessi possono essere acquistati per un periodo di uno, due o tre anni.
Posso prevedere la tua prima domanda! “Cosa succede se l'abbonamento non viene rinnovato?" Ho specificatamente evidenziato in verde quelle lame che funzioneranno SEMPRE e SENZA prolunghe. I cosiddetti perpetui impallidiscono. Le restanti lame che richiedono un aggiornamento costante semplicemente smetteranno di funzionare. Bene, forse l'IPS avrà ancora le armature in chiave funzionanti (ma ce ne sono pochissime). Questo vale sia per l'hardware che per le macchine virtuali, ad es. vSec.
Come articolo separato, ho evidenziato tre lame che non sono incluse in nessun kit: DLP, MAB e Capsule.
Ricorda inoltre che se acquisti una soluzione cluster, allora scegli un modello con il suffisso HA (ovvero High Availability) come secondo dispositivo. L'immagine mostra un esempio per il gateway 5400. Ciò riguarda i gateway. Ora il server di gestione.
Licenza del server di gestione
Come abbiamo già detto nelle prime lezioni, esistono due scenari per implementare Check Point: Standalone (quando sia il gateway che il gestionale sono su un dispositivo) e Distribuito (quando il server di gestione è posizionato su un dispositivo separato). Tuttavia, le opzioni non finiscono qui. Esaminiamo tre scenari tipici per la distribuzione di un server di gestione:
- Acquistare NGSM dedicato. L'opzione più popolare. Scegli l'hardware Smart-1 o l'hardware virtuale. Scegli, ovviamente, in base a quanti gateway amministrerai, 5, 10, 25, ecc. Distribuendo questo dispositivo, è possibile utilizzare 4 blade chiave del server di gestione: NPM (ovvero la gestione delle policy), Logging and Status (ovvero la registrazione), Smart Event (SIEM di Check Point, che ci fornisce tutti i report) e Compliance (questo è una valutazione della qualità delle impostazioni, sia per quanto riguarda la conformità ad alcuni requisiti normativi, allo stesso PCI DSS, sia semplicemente alle Best Practice). Puoi immediatamente vedere che le lame NPM e LS sono lame permanenti, cioè funzionerà senza rinnovare gli abbonamenti, ma i blade Smart Event e Compliance sono inclusi solo per il primo anno! Quindi devono essere rinnovati con denaro separato. Questo è un punto importante, non dimenticarlo. E se puoi ancora vivere senza un pannello Compliance, allora tutti hanno assolutamente bisogno di Smart Event.
- Acquisto di un server dedicato alla gestione degli eventi IN AGGIUNTA al server di gestione NGSM esistente. Perché è necessario? Il fatto è che la funzionalità di registrazione e in particolare Smart Event "consuma" risorse di sistema abbastanza decenti. E se ci sono molti registri, questo può portare a "freni" sul server di controllo. Pertanto, è spesso praticato spostare questa funzionalità su un dispositivo separato, hardware Smart-1 o, ancora, una macchina virtuale. Integrazioni di grandi dimensioni con un numero elevato di registri richiedono quasi sempre un server dedicato per Smart Event. Può anche ricevere log. In questo modo il tuo server di gestione eseguirà solo funzioni di gestione. Ciò migliora notevolmente la stabilità e la reattività del sistema. Come puoi vedere, acquistando un server Smart Event dedicato, ottieni questi due blade per un uso permanente, anche senza rinnovo. Su un orizzonte di 3-4 anni, questo sarà ancora più conveniente rispetto all'acquisto annuale di estensioni Smart Event per un normale server NGSM.
- Server di gestione dei registri dedicato, che si aggiunge ai server NGSM e Smart Event. Penso che il significato sia chiaro. Se è presente un numero MOLTO elevato di registri, possiamo spostare la funzione di registrazione su un server separato. Anche il Log server dedicato ha una licenza permanente e non necessita di rinnovo.
Video lezione
Puoi trovare ulteriori informazioni sulla gestione delle licenze e sul supporto tecnico di Check Point qui:
Fonte: habr.com