Sveicieni, draugi! Un mēs beidzot nonācām pie pēdējā, Check Point darba sākšanas pēdējā nodarbība. Šodien mēs runāsim par ļoti svarīgu tēmu - licencēšana. Es steidzos jūs brīdināt, ka šī nodarbība nav izsmeļošs ceļvedis aprīkojuma vai licenču izvēlē. Šis ir tikai galveno punktu kopsavilkums, kas jāzina jebkuram Check Point administratoram. Ja esat patiesi neizpratnē par licences vai ierīces izvēli, tad labāk vērsties pie profesionāļiem, t.i. mums :). Kursā ir daudz nepilnību, par kurām ir ļoti grūti runāt, un arī jūs to nevarēsit atcerēties uzreiz.
Mūsu nodarbība būs pilnībā teorētiska, lai jūs varētu izslēgt savus maketa serverus un atpūsties. Raksta beigās atradīsi video nodarbību, kurā visu paskaidrošu sīkāk.
Vārtejas licencēšana
Sāksim ar drošības vārteju licencēšanas funkciju aprakstu. Turklāt tas attiecas gan uz aparatūras augšējo līniju, gan virtuālajām mašīnām. Pieņemsim, ka jūs nolemjat iegādāties vārteju. Nav iespējams vienkārši iegādāties aparatūru vai virtuālo mašīnu bez “abonementiem”! Ir trīs abonēšanas iespējas:
Un tagad pirmā interesantā funkcija! Ierīci vai virtuālo mašīnu var iegādāties tikai ar NGTP vai NGTX abonementiem. Bet, atjaunojot abonementu, jūs jau varat izvēlēties NGFW paketi, ja jums nav nepieciešami AV, AB, URL, AS, TE un TX asmeņi. Šis ir brīdis. Pašus abonementus var iegādāties uz vienu, diviem vai trim gadiem.
Es varu paredzēt jūsu pirmo jautājumu! "Kas notiek, ja abonements netiek atjaunots?" Es īpaši iezīmēju zaļā krāsā tos asmeņus, kas darbosies VIENMĒR un BEZ pagarinājumiem. Tā sauktie mūžīgie bāli. Atlikušie asmeņi, kuriem nepieciešama pastāvīga atjaunināšana, vienkārši pārstās darboties. Varbūt IPS joprojām darbosies atslēgas paraksti (bet to ir ļoti maz). Tas attiecas gan uz aparatūru, gan uz virtuālajām mašīnām, t.i. vSec.
Kā atsevišķu vienumu es izcēlu trīs asmeņus, kas nav iekļauti nevienā komplektā: DLP, MAB un kapsula.
Atcerieties arī, ka, iegādājoties klastera risinājumu, kā otro ierīci izvēlieties modeli ar sufiksu HA (t.i., High Availability). Attēlā parādīts vārtejas 5400 piemērs. Tas attiecas uz vārtejām. Tagad pārvaldības serveris.
Pārvaldības servera licencēšana
Kā jau teicām pirmajās nodarbībās, Check Point ieviešanai ir divi scenāriji: savrupais (kad vārteja un pārvaldība atrodas vienā ierīcē) un izplatīts (kad pārvaldības serveris ir novietots atsevišķā ierīcē). Tomēr iespējas ar to nebeidzas. Apskatīsim trīs tipiskus pārvaldības servera izvietošanas scenārijus:
- Īpaša NGSM iegāde. Populārākais variants. Izvēlieties Smart-1 aparatūru vai virtuālo aparatūru. Jūs, protams, izvēlaties, pamatojoties uz to, cik vārteju administrēsit — 5, 10, 25 utt. Izvietojot šo ierīci, varat izmantot 4 pārvaldības servera galvenos elementus: NPM (t.i., politikas pārvaldība), reģistrēšana un statuss (t.i., reģistrēšana), viedais notikums (SIEM no Check Point, kas sniedz mums visus pārskatus) un atbilstība (šī). ir iestatījumu kvalitātes novērtējums vai nu atbilstībai dažām normatīvajām prasībām, tam pašam PCI DSS vai vienkārši Labākajai praksei). Uzreiz var redzēt, ka NPM un LS asmeņi ir pastāvīgi asmeņi, t.i. darbosies bez abonementu atjaunošanas, bet Smart Event un Compliance asmeņi ir iekļauti tikai pirmo gadu! Tad tie jāatjauno par atsevišķu naudu. Tas ir svarīgs punkts, neaizmirstiet. Un, ja jūs joprojām varat dzīvot bez Compliance asmens, tad Smart Event ir nepieciešams absolūti ikvienam.
- Īpaša notikumu pārvaldības servera iegāde PAPILDUS esošajam NGSM pārvaldības serverim. Kāpēc tas ir vajadzīgs? Fakts ir tāds, ka reģistrēšanas funkcionalitāte un jo īpaši Smart Event "apēd" diezgan pienācīgus sistēmas resursus. Un, ja žurnālu ir diezgan daudz, tas var izraisīt vadības servera “bremzes”. Tāpēc bieži tiek praktizēta šīs funkcionalitātes pārvietošana uz atsevišķu ierīci, Smart-1 aparatūru vai, atkal, virtuālo mašīnu. Lielai integrācijai ar lielu žurnālu skaitu gandrīz vienmēr ir nepieciešams speciāls serveris viedajam notikumam. Tā var arī saņemt žurnālus. Tādā veidā jūsu pārvaldības serveris veiks tikai pārvaldības funkcijas. Tas ievērojami uzlabo sistēmas stabilitāti un atsaucību. Kā redzat, iegādājoties īpašu Smart Event serveri, jūs saņemat šos divus asmeņus pastāvīgai lietošanai pat bez atjaunošanas. 3–4 gadu periodā tas būs vēl izdevīgāk nekā katru gadu iegādāties Smart Event paplašinājumus parastam NGSM serverim.
- Īpašs žurnālu pārvaldības serveris, kas tiek piedāvāts papildus NGSM un Smart Event serveriem. Es domāju, ka jēga ir skaidra. Ja ir ĻOTI liels žurnālu skaits, mēs varam pārvietot reģistrēšanas funkciju uz atsevišķu serveri. Īpašajam žurnāla serverim ir arī pastāvīga licence, un tas nav jāatjauno.
Video pamācība
Plašāku informāciju par licenču pārvaldību un Check Point tehnisko atbalstu skatiet šeit:
Avots: www.habr.com