6. NGFW voor kleine bedrijven. Smart-1-wolk

Groeten aan iedereen die de serie over de nieuwe generatie NGFW Check Point van de SMB-familie (1500-serie) blijft lezen. IN 5-onderdelen we hebben gekeken naar de SMP-oplossing (beheerportaal voor SMB-gateways). Vandaag zou ik het willen hebben over het Smart-1 Cloud-portaal, het positioneert zichzelf als een oplossing gebaseerd op SaaS Check Point, fungeert als een managementserver in de cloud, dus het zal relevant zijn voor elk NGFW Check Point. Voor degenen die net bij ons zijn gekomen, wil ik u herinneren aan de eerder besproken onderwerpen: initialisatie en configuratie , organisatie van draadloze verkeersoverdracht (WiFi en LTE) , VPN.

Laten we de belangrijkste kenmerken van Smart-1 Cloud benadrukken:

1. Eén centrale oplossing voor het beheer van uw gehele Check Point-infrastructuur (virtuele en fysieke gateways op verschillende niveaus).
2. Met een gemeenschappelijke set beleidsregels voor alle Blades kunt u beheerprocessen vereenvoudigen (regels maken/bewerken voor verschillende taken).
3. Ondersteuning voor een profielbenadering bij het werken met gateway-instellingen. Verantwoordelijk voor de scheiding van toegangsrechten bij het werken in het portaal, waarbij netwerkbeheerders, auditspecialisten etc. tegelijkertijd verschillende taken kunnen uitvoeren.
4. Bedreigingsmonitoring, waarmee logboeken en gebeurtenissen op één plek kunnen worden bekeken.
5. Ondersteuning voor interactie via API. De gebruiker kan automatiseringsprocessen implementeren, waardoor routinematige dagelijkse taken worden vereenvoudigd.
6. Toegang tot het web. Verwijdert beperkingen met betrekking tot ondersteuning voor individuele besturingssystemen en is intuïtief.

Voor degenen die al bekend zijn met Check Point-oplossingen: de gepresenteerde kernmogelijkheden zijn niet anders dan het hebben van een speciale Management Server on-premises in uw infrastructuur. Deels zullen ze gelijk hebben, maar in het geval van Smart-1 Cloud wordt het onderhoud van de beheerserver verzorgd door specialisten van Check Point. Het omvat: het maken van back-ups, het bewaken van de vrije ruimte op media, het corrigeren van fouten, het installeren van de nieuwste softwareversies. Het proces van het migreren (overbrengen) van instellingen is ook vereenvoudigd.

licentie

Laten we, voordat we kennis maken met de functionaliteit van de cloudbeheeroplossing, de licentieproblemen van de ambtenaar bestuderen Data papier.

Eén gateway beheren:

Het abonnement is afhankelijk van de gekozen stuurbladen; er zijn in totaal 3 richtingen:

1. Beheer. 50 GB opslagruimte, 1 GB per dag voor logboeken.
2. Beheer + SmartEvent. 100 GB opslag, 3 GB dagelijkse logboeken, genereren van rapporten.
3. Beheer + Compliance + SmartEvent. 100 GB opslag, 3 GB dagelijkse logboeken, genereren van rapporten, aanbevelingen voor instellingen op basis van algemene informatiebeveiligingspraktijken.

*De keuze is afhankelijk van vele factoren: type logs, aantal gebruikers, verkeersvolumes.

Er is ook een abonnement om 5 gateways te beheren. We zullen hier niet in detail op ingaan - u kunt altijd informatie krijgen van Data papier.

Lancering van Smart-1 Cloud

Iedereen kan de oplossing proberen; hiervoor moet u zich registreren in de Infinity Portal - een cloudservice van Check Point, waar u proeftoegang kunt krijgen tot de volgende gebieden:

• Cloudbescherming (CloudGuard SaaS, CloudGuard Native);
• Netwerkbescherming (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
• Eindpuntbescherming (Beheerplatform voor zandstraalagenten, SandBlast Agent Cloud Management, Sandblast Mobile).

Wij loggen samen met u in op het systeem (registratie is vereist voor nieuwe gebruikers) en gaan naar de Smart-1 Cloud oplossing:

U krijgt kort uitleg over de voordelen van deze oplossing (Infrastructuurbeheer, geen installatie nodig, automatische updates).

Nadat u de velden heeft ingevuld, moet u wachten tot uw account gereed is om in te loggen op de portal:

Als de operatie succesvol is, ontvangt u registratie-informatie per e-mail (opgegeven bij het inloggen op de Infinity Portal) en wordt u ook doorgestuurd naar de Smart-1 Cloud-startpagina.

Beschikbare portaltabbladen:

1. Start SmartConsole. Gebruik de geïnstalleerde applicatie op uw pc of gebruik de webinterface.
2. Synchronisatie met het gateway-object.
3. Werken met logboeken.
4. Instellingen

Synchronisatie met de gateway

Laten we beginnen met het synchroniseren van de Security Gateway; hiervoor moet u deze als object toevoegen. Ga naar het tabblad "Verbind gateway"

U moet een unieke gatewaynaam invoeren; u kunt een opmerking aan het object toevoegen. Druk vervolgens op "Registreren".

Er verschijnt een gateway-object dat moet worden gesynchroniseerd met de Management Server door de CLI-opdrachten voor de gateway uit te voeren:

1. Zorg ervoor dat de nieuwste JHF (Jumbo Hotfix) op de gateway is geïnstalleerd.
2. Verbindingstoken instellen: stel security-gateway maas in op auth-token
3. Controleer de status van de synchronisatietunnel:
   MaaS-status: ingeschakeld
   MaaS-tunnelstatus: omhoog
   MaaS domeinnaam:
   Service-Identifier.maas.checkpoint.com
   Gateway IP voor MaaS-communicatie: 100.64.0.1

Zodra de services voor de Mass Tunnel zijn geactiveerd, moet u doorgaan met het tot stand brengen van een SIC-verbinding tussen de gateway en Smart-1 Cloud in Smartconsole. Als de bewerking succesvol is, wordt de gatewaytopologie verkregen. Laten we een voorbeeld bijvoegen:

Bij gebruik van Smart-1 Cloud is de gateway dus verbonden met het “grijze” netwerk 10.64.0.1.

Ik wil hieraan toevoegen dat in onze lay-out de gateway zelf toegang heeft tot internet via NAT. Daarom staat er geen openbaar IP-adres op de interface, maar we kunnen het van buitenaf beheren. Dit is een ander interessant kenmerk van Smart-1 Cloud, waardoor een afzonderlijk beheersubnet wordt gecreëerd met een eigen pool van IP-adressen.

Conclusie

Nadat u succesvol een gateway voor beheer via Smart-1 Cloud heeft toegevoegd, heeft u volledige toegang, net als in de Smart Console. Op onze lay-out hebben we de webversie gelanceerd; in feite is het een verhoogde virtuele machine met een actieve beheerclient.

U kunt altijd meer te weten komen over de mogelijkheden van de Smart Console en de Check Point-architectuur in onze auteursboeken cursus.

Dat is alles voor vandaag, we wachten op het laatste artikel van de serie, waarin we de prestatieafstemmingsmogelijkheden van de SMB 1500-serie zullen bespreken met Gaia 80.20 Embedded geïnstalleerd.

Grote keuze aan materialen op Check Point van TS Solution. Blijf kijken (Telegram, Facebook, VK, TS Solution-blog, Yandex Zen)

Bron: www.habr.com