6. 中小企業向けのNGFW。 スマート1クラウド

新世代の NGFW Check Point SMB ファミリー (1500 シリーズ) に関するシリーズを読み続けてくださっている皆様、こんにちは。 5部品 SMPソリューション（SMBゲートウェイ向け管理ポータル）についてレビューしました。本日はSmart-1 Cloudポータルについてご紹介します。SaaSチェックポイントをベースとしたソリューションとして位置付けられ、クラウド上の管理サーバーとして機能するため、あらゆるNGFWチェックポイントに活用できます。初めてご参加いただいた方には、前回レビューしたトピックを改めてご紹介いたします。 初期化と設定 , 無線トラフィック伝送（WiFi および LTE）の組織 , VPN.

Smart-1 Cloud の主な機能を紹介します。

1. Check Point インフラストラクチャ全体 (さまざまなレベルの仮想ゲートウェイと物理ゲートウェイ) を管理するための単一の集中型ソリューションです。
2. すべてのブレードに共通のポリシー セットを使用すると、管理プロセス (さまざまなタスクのルールの作成/編集) を簡素化できます。
3. ゲートウェイ設定の操作時にプロファイルアプローチをサポートします。ポータルでの作業時にアクセス権を分離し、ネットワーク管理者や監査スペシャリストなどが同時に複数のタスクを実行できるようにします。
4. ログを提供し、イベントを 1 か所で表示する脅威監視。
5. API経由のインタラクションをサポートします。ユーザーは自動化プロセスを実装し、日常的なタスクを簡素化できます。
6. Web アクセス。個々の OS のサポートに関する制限がなくなり、直感的に操作できます。

Check Pointソリューションを既にご利用いただいている方は、ここで紹介されている基本的な機能は、お客様のインフラストラクチャ内のローカル専用管理サーバーと何ら変わらないことにお気づきかもしれません。確かにその通りですが、Smart-1 Cloudの場合、管理サーバーはCheck Pointの専門スタッフが保守します。具体的には、バックアップの作成、メディアの空き容量の監視、エラーの修正、最新バージョンのソフトウェアのインストールなどです。設定の移行（転送）プロセスも簡素化されています。

ライセンシング

クラウド管理ソリューションの機能を理解する前に、公式のライセンス問題について調べてみましょう。 データシート.

1 つのゲートウェイの管理:

サブスクリプションは選択したコントロール ブレードによって異なり、合計 3 つの方向があります。

1. 管理。ストレージ 50 GB、ログは毎日 1 GB。
2. 管理 + SmartEvent。100 GB のストレージ、ログとレポート生成用に毎日 3 GB。
3. 管理 + コンプライアンス + SmartEvent。100 GB のストレージ、ログ、レポート生成、一般的な情報セキュリティ プラクティスからの設定の推奨事項用に 3 日あたり XNUMX GB。

*選択は、ログの種類、ユーザー数、トラフィック量など、多くの要因によって異なります。

5つのゲートウェイを管理するためのサブスクリプションもあります。これについてはここでは詳しく説明しません。いつでも情報を得ることができます。 データシート.

Smart-1 Cloudの立ち上げ

Check Point のクラウド サービスである Infinity Portal に登録すれば、誰でもこのソリューションを試すことができます。Infinity Portal では、次の領域への試用アクセスが可能です。

• クラウド保護（CloudGuard SaaS、CloudGuard Native）
• ネットワーク保護（CloudGuard Connect、Smart-1 Cloud、Infinity SOC）
• エンドポイント保護（サンドブラストエージェント管理プラットフォーム、SandBlast Agent クラウド管理、Sandblast モバイル)。

システムにログインし（新規ユーザーは登録が必要です）、Smart-1 Cloud ソリューションに進みます。

このソリューションの利点 (インフラストラクチャ管理、インストール不要、自動更新) について簡単に説明します。

フィールドに入力した後、ポータルに入るにはアカウント作成の準備が完了するまで待つ必要があります。

操作が成功すると、登録情報が電子メール（Infinity Portal へのログイン時に指定）で送信され、Smart-1 Cloud のメイン ページにリダイレクトされます。

利用可能なポータルタブ:

1. SmartConsoleを起動します。PCにインストールされたアプリケーションを使用するか、Webインターフェースを使用します。
2. ゲートウェイ オブジェクトとの同期。
3. ログの操作。
4. 設定。

ゲートウェイとの同期

まず、セキュリティゲートウェイを同期しましょう。そのためには、セキュリティゲートウェイをオブジェクトとして追加する必要があります。タブに移動してください。 「コネクトゲートウェイ」

一意のゲートウェイ名を入力する必要があります。オブジェクトにコメントを追加できます。クリックして "登録".

ゲートウェイ オブジェクトが表示されます。ゲートウェイの CLI コマンドを実行して、これを管理サーバーと同期する必要があります。

1. ゲートウェイに最新の JHF (Jumbo Hotfix) がインストールされていることを確認してください。
2. 接続トークンを設定します: 認証トークンにセキュリティゲートウェイのMAASを設定する
3. 同期トンネルのステータスを確認します。
   MaaS ステータス: 有効
   MaaSトンネルの状態: アップ
   MaaSドメイン名:
   サービス識別子.maas.checkpoint.com
   MaaS通信用ゲートウェイIP: 100.64.0.1

Mass Tunnelのサービスを起動したら、SmartconsoleでゲートウェイとSmart-1 Cloud間のSIC接続を確立してください。接続が成功すると、ゲートウェイのトポロジーが取得されます。例を以下に示します。

したがって、Smart-1 Cloud を使用する場合、ゲートウェイは「グレー」ネットワーク 10.64.0.1 に接続します。

なお、このモデルではゲートウェイ自体はNATを介してインターネットに接続するため、インターフェースにパブリックIPアドレスは割り当てられませんが、外部から管理することができます。これはSmart-1 Cloudのもう一つの興味深い機能で、これにより、専用のIPアドレスプールを持つ独立した管理サブネットが作成されます。

まとめ

Smart-1 Cloud経由で管理用ゲートウェイを追加すると、Smart Consoleと同様にフルアクセスが可能になります。モックアップではWebバージョンを起動しましたが、実際には管理クライアントが稼働している仮想マシンです。

Smart Consoleの機能とCheck Pointアーキテクチャの詳細については、著者の記事をご覧ください。 コース.

今日はこれで終わりです。シリーズの最終記事では、Gaia 1500 Embedded がインストールされた SMB 80.20 シリーズ ファミリのパフォーマンスをチューニングする可能性について触れます。

TS ソリューションの Check Point に関する豊富な資料。 乞うご期待 （Telegram, Facebook, VK, TSソリューションブログ, Yandex.Den)

出所： habr.com