チェックポイント。 それは何ですか、何と一緒に食べますか、または主なものについて簡単に説明します

habrの親愛なる読者の皆さん、こんにちは！ 同社のコーポレートブログはこちら T.Sソリューション。 当社はITインフラセキュリティソリューションを主力とするシステムインテグレーターです（チェックポイント, フォーティネット) およびマシンデータ分析システム (Splunk）。 ブログは、Check Point テクノロジーについて簡単に紹介することから始めます。

この記事を書くかどうか、長い間考えました。 インターネットで見つけられない新しいものは何もありません。 しかし、これほど情報が豊富であるにもかかわらず、クライアントやパートナーと仕事をしていると、同じ質問をよく耳にします。 したがって、Check Point テクノロジーの世界への何らかの入門書を作成し、そのソリューションのアーキテクチャの本質を明らかにすることにしました。 そして、これらすべては XNUMX つの「小さな」投稿の枠組みの中にあり、いわば簡単な余談です。 そして、私たちはマーケティング戦争に巻き込まれないように努めます。 私たちはベンダーではなく、単なるシステム インテグレーターです (チェック ポイントが大好きですが)。他のメーカー (パロ アルト、シスコ、フォーティネットなど) と比較することなく、要点だけを説明します。 この記事は非常にボリュームのあるものになりましたが、Check Point に慣れる段階での質問のほとんどが省略されています。 ご興味がございましたら、ようこそ猫の下へ…

UTM/NGFW

Check Point について会話を始めるときは、まず UTM と NGFW とは何か、そしてそれらがどのように異なるのかについての説明から始めます。 投稿が大きくなりすぎないように、これは非常に簡潔に行います (おそらく将来、この問題についてもう少し詳しく検討する予定です)

UTM - 統合脅威管理

つまり、UTM の本質は、複数のセキュリティ ツールを XNUMX つのソリューションに統合することです。 それらの。 すべてを XNUMX つのボックスにまとめたり、すべてを含めたものもあります。 「複数の救済策」とは何を意味しますか？ 最も一般的なオプションは、ファイアウォール、IPS、プロキシ (URL フィルタリング)、ストリーミング ウイルス対策、スパム対策、VPN などです。 これらすべてが XNUMX つの UTM ソリューション内で組み合わされるため、統合、構成、管理、監視の点で容易になり、これがネットワーク全体のセキュリティにプラスの効果をもたらします。 UTM ソリューションが最初に登場したとき、UTM ソリューションは中小企業専用と考えられていました。 UTM は大量のトラフィックを処理できませんでした。 これには次の XNUMX つの理由がありました。

1. パケット処理。 UTM ソリューションの最初のバージョンでは、各「モジュール」によってパケットが順番に処理されました。 例: 最初にパケットはファイアウォールによって処理され、次に IPS によって処理され、次にウイルス対策によってチェックされます。 当然のことながら、このようなメカニズムでは深刻なトラフィック遅延が発生し、システム リソース (プロセッサ、メモリ) が大量に消費されます。
2. ハードウェアが弱い。 前述したように、逐次パケット処理はリソースを消費し、当時 (1995 ～ 2005 年) のハードウェアは高トラフィックに対処できませんでした。

しかし進歩は止まらない。 それ以来、ハードウェアの容量が大幅に増加し、パケット処理が変更され (すべてのベンダーがそれを備えているわけではないことを認めなければなりません)、一度に複数のモジュール (ME、IPS、AntiVirus など) でほぼ同時に分析できるようになりました。 最新の UTM ソリューションは、深層分析モードで数十ギガビット、さらには数百ギガビットを「ダイジェスト」できるため、大企業のセグメントやデータセンターでさえも使用できるようになります。

以下は、Gartner の 2016 年 XNUMX 月の UTM ソリューションに関する有名なマジック クアドラントです。

この写真については強くコメントしません。右上隅にリーダーがいるとだけ言っておきます。

NGFW - 次世代ファイアウォール

名前自体が次世代ファイアウォールであることを物語っています。 この概念は UTM よりもずっと後に登場しました。 NGFW の主なアイデアは、組み込み IPS を使用したディープ パケット インスペクション (DPI) とアプリケーション レベルでのアクセス制御 (アプリケーション コントロール) です。 この場合、IPS はパケット ストリーム内の特定のアプリケーションを識別するために必要なものであり、これによりアプリケーションを許可または拒否できます。 例: Skype の動作を許可しても、ファイル転送は禁止できます。 Torrent や RDP の使用を禁止することができます。 Web アプリケーションもサポートされています。VK.com へのアクセスは許可しますが、ゲーム、メッセージ、ビデオの視聴は禁止できます。 基本的に、NGFW の品質は、NGFW で定義できるアプリケーションの数に依存します。 NGFW の概念の出現は、パロアルトが急速な成長を開始した一般的なマーケティング戦略だったと多くの人が信じています。

2016 年 XNUMX 月の Gartner の NGFW マジック クアドラント:

UTM vs NGFW

非常によくある質問ですが、どちらが良いですか? ここには単一の答えはありませんし、あり得ません。 特に、最新の UTM ソリューションのほぼすべてに NGFW 機能が含まれており、ほとんどの NGFW には UTM 固有の機能 (ウイルス対策、VPN、アンチボットなど) が含まれているという事実を考慮するとなおさらです。 いつものように、「悪魔は細部に宿る」ので、まず具体的に何が必要かを決め、予算を決める必要があります。 これらの決定に基づいて、いくつかのオプションを選択できます。 そして、マーケティング資料を信じるのではなく、すべてを明確にテストする必要があります。

次に、いくつかの記事の枠組みの中で、Check Point について、どのように試せるのか、そして原則として何を試せるのか (ほぼすべての機能) を説明していきます。

XNUMX つのチェック ポイント エンティティ

Check Point を使用する場合、この製品の XNUMX つのコンポーネントに必ず遭遇します。

1. セキュリティゲートウェイ (SG) - セキュリティ ゲートウェイ自体。通常はネットワーク境界に配置され、ファイアウォール、ストリーミング アンチウイルス、アンチボット、IPS などの機能を実行します。
2. セキュリティ管理サーバー (SMS) - ゲートウェイ管理サーバー。 ゲートウェイ (SG) 上のほとんどすべての設定は、このサーバーを使用して実行されます。 SMS はログ サーバーとしても機能し、組み込みのイベント分析および相関システムであるスマート イベント (Check Point の SIEM に似ています) で処理することもできますが、これについては後ほど説明します。 SMS は複数のゲートウェイを集中管理するために使用されます (ゲートウェイの数は SMS モデルまたはライセンスによって異なります)。ただし、ゲートウェイが XNUMX つしかない場合でも、SMS を使用する必要があります。 ここで注目すべきは、Check Point がそのような集中管理システムを最初に使用した企業の XNUMX つであり、Gartner のレポートによると、このシステムは長年連続して「ゴールド スタンダード」として認められてきました。 「もしシスコが通常の管理システムを持っていたら、チェック・ポイントは決して現れなかったでしょう」というジョークさえあります。
3. スマートコンソール — 管理サーバー (SMS) に接続するためのクライアント コンソール。 通常は管理者のコンピュータにインストールされます。 このコンソールを通じて、すべての変更は管理サーバー上で行われ、その後、設定をセキュリティ ゲートウェイに適用できます (ポリシーのインストール)。

   

チェック・ポイントのオペレーティング・システム

Check Point オペレーティング システムについて言えば、IPSO、SPLAT、GAIA の XNUMX つを一度に思い出すことができます。

1. イプソ Nokia が所有していた Ipsilon Networks のオペレーティング システムです。 2009 年にチェック ポイントがこのビジネスを買収しました。 もう開発されていません。
2. スプラット - RedHat カーネルに基づいた Check Point の独自開発。 もう開発されていません。
3. ガイア - IPSO と SPLAT の合併の結果として登場した Check Point の現在のオペレーティング システムで、最高のものをすべて組み込んでいます。 2012年に登場し、精力的に開発を続けています。

Gaia について言えば、現時点で最も一般的なバージョンは R77.30 であると言わなければなりません。 比較的最近、R80 バージョンが登場しましたが、これは (機能と制御の両方の点で) 以前のものとは大きく異なります。 それらの違いについては、別の記事で取り上げる予定です。 もう 77.10 つの重要な点は、現時点ではバージョン R77.30 のみが FSTEC 証明書を持っており、バージョン RXNUMX が認定されているということです。

オプション (Check Point アプライアンス、仮想マシン、OpenServer)

多くの Check Point ベンダーがいくつかの製品オプションを提供しているため、ここで驚くべきことは何もありません。

1. アプライアンス - ハードウェアおよびソフトウェアデバイス、つまり自分だけの「鉄の塊」。 性能、機能、デザインの異なるモデルが多数あります (産業用ネットワーク用のオプションもあります)。

   

2. 仮想マシン - Gaia OS を搭載した Check Point 仮想マシン。 ハイパーバイザー ESXi、Hyper-V、KVM がサポートされています。 プロセッサーコアの数に応じてライセンスが付与されます。
3. オープンサーバー - Gaia をメイン オペレーティング システム (いわゆる「ベア メタル」) としてサーバーに直接インストールします。 特定のハードウェアのみがサポートされています。 このハードウェアには従う必要がある推奨事項があります。従わないと、ドライバーなどに問題が発生する可能性があります。 サポートはお客様へのサービスを拒否する場合があります。

実装オプション (分散またはスタンドアロン)

もう少し詳しく説明すると、ゲートウェイ (SG) と管理サーバー (SMS) が何であるかについてはすでに説明しました。 次に、その実装のオプションについて説明します。 主に次の XNUMX つの方法があります。

1. スタンドアロン (SG+SMS) - ゲートウェイと管理サーバーの両方が同じデバイス (または仮想マシン) 内にインストールされている場合のオプション。

   
   
   このオプションは、ユーザー トラフィックの負荷が軽いゲートウェイが XNUMX つしかない場合に適しています。 このオプションは最も経済的であるためです。 管理サーバー (SMS) を購入する必要はありません。 ただし、ゲートウェイの負荷が高い場合、制御システムが遅くなる可能性があります。 したがって、スタンドアロン ソリューションを選択する前に、このオプションについて相談するか、テストすることをお勧めします。

2. 分散 — 管理サーバーはゲートウェイとは別にインストールされます。

   
   
   利便性とパフォーマンスの点で最良のオプションです。 これは、中央ゲートウェイとブランチゲートウェイなど、複数のゲートウェイを同時に管理する必要がある場合に使用されます。 この場合、管理サーバー (SMS) を購入する必要があります。管理サーバー (SMS) は、アプライアンス (鉄片) または仮想マシンの形式にすることもできます。

上で述べたように、Check Point には独自の SIEM システムである Smart Event があります。 分散インストールの場合にのみ使用できます。

動作モード (ブリッジ、ルーテッド)
Security Gateway (SG) は、次の XNUMX つの基本モードで動作できます。

• ルーティング済み - 最も一般的なオプション。 この場合、ゲートウェイは L3 デバイスとして使用され、ゲートウェイ自体を介してトラフィックをルーティングします。 Check Point は、保護されたネットワークのデフォルト ゲートウェイです。
• ブリッジ - 透明モード。 この場合、ゲートウェイは通常の「ブリッジ」としてインストールされ、第 XNUMX 層 (OSI) でトラフィックを通過させます。 このオプションは通常、既存のインフラストラクチャを変更する可能性がない (または変更したくない) 場合に使用されます。 実際には、ネットワーク トポロジを変更する必要はなく、IP アドレスの変更について考える必要もありません。

ブリッジ モードにはいくつかの機能制限があることに注意してください。そのため、インテグレーターとして、すべてのクライアントに、もちろん可能であればルーテッド モードを使用することをお勧めします。

ソフトウェア ブレード (Check Point ソフトウェア ブレード)

お客様からの質問が最も多いチェック ポイントの最も重要なトピックにほぼ到達しました。 「ソフトウェアブレード」とは何ですか? ブレードは、特定のチェック ポイント機能を指します。

これらの機能は、ニーズに応じてオンまたはオフにすることができます。 同時に、ゲートウェイ (ネットワーク セキュリティ) 上でのみアクティブ化されるブレードと、管理サーバー (管理) 上でのみアクティブ化されるブレードもあります。 以下の図は、両方の場合の例を示しています。

1) ネットワークセキュリティ用 (ゲートウェイ機能)

簡単に説明すると、 それぞれのブレードについては別の記事を書く価値があります。

• ファイアウォール - ファイアウォール機能。
• IPSec VPN - プライベート仮想ネットワークの構築。
• モバイル アクセス - モバイル デバイスからのリモート アクセス。
• IPS - 侵入防止システム。
• アンチボット - ボットネット ネットワークに対する保護。
• AntiVirus - ストリーミング アンチウイルス。
• スパム対策と電子メールのセキュリティ - 企業メールの保護。
• ID 認識 - Active Directory サービスとの統合。
• モニタリング - ほぼすべてのゲートウェイパラメータ (負荷、帯域幅、VPN ステータスなど) をモニタリングします。
• アプリケーション コントロール - アプリケーション レベルのファイアウォール (NGFW 機能)。
• URL フィルタリング - Web セキュリティ (+ プロキシ機能)。
• データ損失防止 - 情報漏洩防止 (DLP)。
• 脅威エミュレーション - サンドボックス テクノロジー (SandBox)。
• 脅威の抽出 - ファイルクリーニングテクノロジー。
• QoS - トラフィックの優先順位付け。

ほんの数回の記事で、脅威エミュレーション ブレードと脅威抽出ブレードについて詳しく説明します。きっと興味深い内容になると思います。

2) 管理者向け (管理サーバー機能)

• ネットワーク ポリシー管理 - 集中ポリシー管理。
• エンドポイント ポリシー管理 - Check Point エージェントの集中管理 (はい、Check Point はネットワーク保護だけでなく、ワークステーション (PC) やスマートフォンを保護するためのソリューションも提供しています)。
• ログとステータス - ログの一元的な収集と処理。
• 管理ポータル - ブラウザからのセキュリティ管理。
• ワークフロー - ポリシー変更の制御、変更の監査など。
• ユーザー ディレクトリ - LDAP との統合。
• プロビジョニング - ゲートウェイ管理の自動化。
• Smart Reporter - レポート システム。
• スマート イベント - イベントの分析と相関付け (SIEM)。
• コンプライアンス - 設定の自動チェックと推奨事項の発行。

記事が誇張されて読者が混乱しないように、ここではライセンスの問題については詳しく検討しません。 おそらく別の投稿で取り上げることになるでしょう。

ブレード アーキテクチャにより、本当に必要な機能のみを使用できるため、ソリューションの予算とデバイスの全体的なパフォーマンスに影響します。 アクティブにするブレードの数が増えるほど、「排除」できるトラフィックが少なくなるのは論理的です。 そのため、次のパフォーマンス表が Check Point の各モデルに添付されています (たとえば、5400 モデルの特性を取り上げています)。

ご覧のとおり、ここには合成トラフィックと実際の混合トラフィックの XNUMX つのカテゴリのテストがあります。 一般的に言えば、チェック・ポイントは単に合成テストの公開を強制されているだけだからです。 一部のベンダーは、実際のトラフィックでのソリューションのパフォーマンスを調査せずに、そのようなテストをベンチマークとして使用しています (または、満足できないため、そのようなデータを意図的に隠しています)。

各タイプのテストで、いくつかのオプションがあることがわかります。

1. ファイアウォールのみをテストします。
2. ファイアウォール + IPS テスト。
3. ファイアウォール+IPS+NGFW（アプリケーション制御）テスト。
4. ファイアウォール+アプリケーション制御+URLフィルタリング+IPS+アンチウイルス+アンチボット+SandBlastテスト（サンドボックス）

ソリューションを選択する場合は、これらのパラメータを注意深く検討するか、問い合わせてください。 相談.

Check Point テクノロジーの紹介記事はこれで終わりだと思います。 次に、Check Point をテストする方法と、最新の情報セキュリティの脅威 (ウイルス、フィッシング、ランサムウェア、ゼロデイ) に対処する方法を見ていきます。

PS 重要な点です。 外国（イスラエル）起源であるにもかかわらず、このソリューションはロシア連邦の監督当局によって認定されており、国家機関での存在が自動的に合法化されます（コメント デニエモール).

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

どのような UTM/NGFW ツールを使用していますか?

• チェックポイント

• シスコファ​​イアパワー

• フォーティネット

• パロアルト

• ソフォス

• デル SonicWALL

• Huawei社

• ウォッチガード

• ジュニパー

• UserGate

• 交通監視員

• ルビコン

• イデコ

• オープンソース ソリューション

• その他

134 人のユーザーが投票しました。 78名のユーザーが棄権した。

出所： habr.com