13. Check Point Guida iniziale R80.20. Licenze

13. Check Point Guida iniziale R80.20. Licenze

Ciao, amici! E finalmente siamo arrivati all'ultimo, lezione conclusiva di Check Point Getting Started.Oggi parleremo di un tema molto importante — Licenze. Ci tengo a sottolineare che questa lezione non è una guida esaustiva per la scelta dell'hardware o delle licenze. È solo un riepilogo dei punti chiave che ogni amministratore Check Point dovrebbe conoscere. Se siete davvero indecisi su quale licenza o dispositivo scegliere, è meglio contattare dei professionisti, ossia noi :). Ci sono molte insidie di cui è difficile parlare all'interno di un corso, e non è anche facile ricordarle tutte immediatamente.
Questa lezione sarà completamente teorica, quindi potete spegnere i vostri server di prova e rilassarvi. Alla fine dell'articolo troverete un video lezione in cui parlo in modo più dettagliato.

Licenze del gateway

Iniziamo con una descrizione delle particolarità delle licenze per i gateway di sicurezza. Questo vale sia per gli appliance hardware che per le macchine virtuali. Supponiamo che abbiate deciso di acquistare un gateway. Non è possibile acquistare semplicemente un hardware o una macchina virtuale senza "abbonamenti"! Ci sono infatti tre opzioni di abbonamento:

13. Check Point Guida iniziale R80.20. Licenze

E ora la prima funzionalità interessante! Puoi acquistare un dispositivo o una virtual machine solo con gli abbonamenti NGTP o NGTX. Tuttavia, quando rinnoverai il tuo abbonamento, potrai scegliere il pacchetto NGFW, nel caso in cui non ti servano i blade AV, AB, URL, AS, TE e TX. Questo è un punto da considerare. Gli abbonamenti possono essere acquistati per un anno, due o tre anni.

Posso anticipare la tua prima domanda! “Cosa succede se non rinnovo l'abbonamento?”. Ho evidenziato in verde quei blade che funzioneranno SEMPRE e SENZA rinnovi. I cosiddetti blade perpetui. Gli altri blade, che richiedono un aggiornamento costante, smetteranno semplicemente di funzionare. A meno che per l'IPS non rimangano attive le chiavi di firma (ma sono molto poche). Questo vale sia per le apparecchiature fisiche che per le virtual machine, ovvero vSec.

Ho evidenziato separatamente tre blade che non fanno parte di nessun pacchetto, questi sono: DLP, MAB e Capsule.

Ricorda anche che se acquisti una soluzione cluster, per il secondo dispositivo scegli un modello con suffisso HA (High Availability). Nell'immagine c'è un esempio per il gateway 5400. Questo per quanto riguarda i gateway. Ora passiamo al server di gestione.

Licenza del server di gestione

Come abbiamo già detto nelle prime lezioni, ci sono due scenari di implementazione di Check Point: Standalone (quando sia il gateway che la gestione sono su un unico dispositivo) e Distributed (quando il server di gestione è su un dispositivo separato). Tuttavia, le opzioni non finiscono qui. Esaminiamo tre scenari tipici per il dispiegamento del server di gestione:

13. Check Point Guida iniziale R80.20. Licenze

  1. Acquisto di NGSM dedicato. La soluzione più popolare. Scegli tra l'hardware Smart-1 o una virtual machine. Naturalmente, la scelta dipende da quanti gateway intendi gestire, 5, 10, 25, e così via. Una volta implementato questo dispositivo, puoi utilizzare 4 blade chiave del server di gestione: NPM (cioè gestione delle politiche), Logging and Status (cioè registrazione), Smart Event (SIEM di Check Point, che fornisce tutta la reportistica) e Compliance (che valuta la qualità delle configurazioni, sia in base ai requisiti normativi come il PCI DSS, sia semplicemente sulle Best Practice). È evidente che i blade NPM e LS sono blade permanenti, cioè funzioneranno anche senza rinnovare gli abbonamenti, mentre i blade Smart Event e Compliance sono inclusi solo per il primo anno! Dopo di che, devono essere rinnovati a pagamento separato. Questo è un punto importante, non dimenticarlo. E se senza il blade Compliance si può ancora sopravvivere, il blade Smart Event è assolutamente necessario per tutti.
  2. Acquisto di un server dedicato per la gestione degli eventi IN AGGIUNTA a quello già esistente server gestione NGSM. Perché è necessario? Il fatto è che la funzionalità di registrazione e, in particolare, Smart Event consuma risorse di sistema considerevoli. E se ci sono molti log, questo può portare a rallentamenti nel server gestione. Pertanto, è comune separare questa funzionalità su un dispositivo dedicato, un apparecchio Smart-1 o, nuovamente, una macchina virtuale. Grandi integrazioni con un grande numero di log richiedono quasi sempre un server dedicato per Smart Event. Esso può anche ricevere i log. In questo modo, il vostro server di gestione svolgerà solo funzioni di controllo. Ciò aumenta notevolmente la stabilità e la reattività del sistema. Come si può notare, acquistando un server dedicato per Smart Event, si ottengono questi due blade per un utilizzo permanente, anche senza rinnovo. Nel corso di 3-4 anni, risulterà anche economicamente più vantaggioso rispetto all'acquisto annuale del rinnovo di Smart Event per un normale server NGSM.
  3. Server dedicato per la gestione dei log, che si aggiunge ai server NGSM e Smart Event. Il concetto penso sia chiaro. Con un numero MOLTO elevato di log, possiamo separare la funzione di logging su un server dedicato. Anche il server dedicato per i log ha una licenza permanente e non richiede rinnovo.

Video tutorial

Qui troverete ulteriori informazioni sulla gestione delle licenze e sul supporto tecnico di Check Point:

Riproduci video


Fonte: habr.com
Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster