Hilsen, venner! Og vi kom endelig til den siste, siste leksjon av Check Point Komme i gang. I dag skal vi snakke om et veldig viktig emne - lisensiering. Jeg skynder meg å advare deg om at denne leksjonen ikke er en uttømmende veiledning for valg av utstyr eller lisenser. Dette er bare et sammendrag av de viktigste punktene som enhver Check Point-administrator bør vite. Hvis du virkelig er forvirret over valget av lisens eller enhet, er det bedre å henvende seg til fagfolk, dvs. til oss :). Det er mange fallgruver det er veldig vanskelig å snakke om i kurset, og du vil heller ikke kunne huske det med en gang.
Leksjonen vår vil være helt teoretisk, slik at du kan slå av mock-up-serverne og slappe av. På slutten av artikkelen finner du en videoleksjon hvor jeg forklarer alt mer detaljert.
Gateway-lisensiering
La oss starte med en beskrivelse av lisensieringsfunksjonene til sikkerhetsporter. Dessuten gjelder dette både hardware uplines og virtuelle maskiner. La oss si at du bestemmer deg for å kjøpe en gateway. Det er umulig å bare kjøpe en maskinvare eller en virtuell maskin uten "abonnement"! Det er tre abonnementsalternativer:
Og nå den første interessante funksjonen! Du kan bare kjøpe en enhet eller virtuell maskin med NGTP- eller NGTX-abonnement. Men når du fornyer abonnementet ditt kan du allerede velge NGFW-pakken hvis du ikke trenger AV, AB, URL, AS, TE og TX blader. Dette er øyeblikket. Selve abonnementene kan kjøpes for en periode på ett, to eller tre år.
Jeg kan forutsi ditt første spørsmål! "Hva skjer hvis abonnementet ikke fornyes?" Jeg fremhevet spesifikt i grønt de bladene som ALLTID vil fungere, og UTEN forlengelser. Den såkalte evigvarende blekner. De gjenværende bladene som krever konstant oppdatering vil ganske enkelt slutte å fungere. Vel, kanskje IPS fortsatt vil ha nøkkelsignaturer som fungerer (men det er svært få av dem). Dette gjelder både maskinvare og virtuelle maskiner, dvs. vSec.
Som et eget element fremhevet jeg tre blader som ikke er inkludert i noe sett: DLP, MAB og Capsule.
Husk også at hvis du kjøper en klyngeløsning, så velg en modell med suffikset HA (dvs. High Availability) som den andre enheten. Bildet viser et eksempel for gateway 5400. Dette gjelder gatewayer. Nå er administrasjonsserveren.
Administrasjonsserverlisensiering
Som vi allerede sa i de første leksjonene, er det to scenarier for implementering av Check Point: Frittstående (når både gatewayen og administrasjonen er på én enhet) og Distribuert (når administrasjonsserveren er plassert på en separat enhet). Alternativene slutter imidlertid ikke der. La oss se på tre typiske scenarier for distribusjon av en administrasjonsserver:
- Kjøper dedikert NGSM. Det mest populære alternativet. Velg enten Smart-1 maskinvare eller virtuell maskinvare. Du velger selvfølgelig basert på hvor mange gatewayer du skal administrere, 5, 10, 25 osv. Ved å distribuere denne enheten kan du bruke 4 nøkkelblader til administrasjonsserveren: NPM (dvs. policyadministrasjon), logging og status (dvs. logging), Smart Event (SIEM fra Check Point, som gir oss all rapportering) og compliance (dette er en vurdering av kvaliteten på innstillingene, enten for overholdelse av noen regulatoriske krav, samme PCI DSS, eller ganske enkelt Best Practice). Du kan umiddelbart se at NPM- og LS-bladene er permanente blader, dvs. vil fungere uten å fornye abonnementer, men Smart Event- og Compliance-bladene er kun inkludert det første året! Da må de fornyes for separate penger. Dette er et viktig poeng, ikke glem. Og hvis du fortsatt kan leve uten et Compliance-blad, trenger absolutt alle Smart Event.
- Kjøpe en dedikert Event Management-server I TILLEGG til eksisterende NGSM-administrasjonsserver. Hvorfor er dette nødvendig? Faktum er at loggingsfunksjonaliteten og spesielt Smart Event "spiser bort" ganske anstendige systemressurser. Og hvis det er ganske mange logger, kan dette føre til "bremser" på kontrollserveren. Derfor øves det ofte på å flytte denne funksjonaliteten til en egen enhet, Smart-1 maskinvare eller, igjen, en virtuell maskin. Store integrasjoner med et stort antall logger krever nesten alltid en dedikert server for Smart Event. Den kan også motta logger. På denne måten vil administrasjonsserveren din kun utføre administrasjonsfunksjoner. Dette forbedrer systemets stabilitet og reaksjonsevne betraktelig. Som du kan se, når du kjøper en dedikert Smart Event-server, får du disse to bladene for permanent bruk, selv uten fornyelse. Over en 3-4 års horisont vil dette være enda mer kostnadseffektivt enn å kjøpe Smart Event-utvidelser til en vanlig NGSM-server hvert år.
- Dedikert loggadministrasjonsserver, som kommer i tillegg til NGSM- og Smart Event-servere. Jeg tror meningen er klar. Dersom det er VELDIG mange logger kan vi flytte loggingsfunksjonen til en egen server. Den dedikerte loggserveren har også en permanent lisens og krever ikke fornyelse.
Videoopplæring
Finn mer informasjon om lisensadministrasjon og Check Point teknisk støtte her:
Kilde: www.habr.com