6. NGFW for små bedrifter. Smart-1 Cloud

Hilsen alle som fortsetter å lese serien om den nye generasjonen NGFW Check Point fra SMB-familien (1500-serien). I 5 deler vi så på SMP-løsningen (administrasjonsportal for SMB-gateways). I dag vil jeg gjerne snakke om Smart-1 Cloud-portalen, den posisjonerer seg som en løsning basert på SaaS Check Point, fungerer som en Management Server i skyen, så den vil være relevant for ethvert NGFW Check Point. For de som nettopp har sluttet seg til oss, la meg minne deg om de tidligere diskuterte emnene: initialisering og konfigurasjon , organisering av trådløs trafikkoverføring (WiFi og LTE) , VPN.

La oss fremheve hovedfunksjonene til Smart-1 Cloud:

1. En enkelt sentralisert løsning for å administrere hele Check Point-infrastrukturen din (virtuelle og fysiske gatewayer på ulike nivåer).
2. Et felles sett med policyer for alle Blades lar deg forenkle administrasjonsprosesser (opprette/redigere regler for ulike oppgaver).
3. Støtte for en profiltilnærming når du arbeider med gatewayinnstillinger. Ansvarlig for separasjon av tilgangsrettigheter ved arbeid i portalen, hvor nettverksadministratorer, revisjonsspesialister etc. samtidig kan utføre ulike oppgaver.
4. Trusselovervåking, som gir logger og hendelsesvisning på ett sted.
5. Støtte for interaksjon via API. Brukeren kan implementere automatiseringsprosesser, forenkle daglige rutineoppgaver.
6. Netttilgang. Fjerner restriksjoner angående støtte for individuelle operativsystemer og er intuitiv.

For de som allerede er kjent med Check Point-løsninger, er kjernefunksjonene som presenteres ikke annerledes enn å ha en dedikert Management Server på stedet i infrastrukturen din. De vil ha delvis rett, men for Smart-1 Cloud er vedlikehold av administrasjonsserveren levert av Check Point-spesialister. Det inkluderer: å lage sikkerhetskopier, overvåke ledig plass på media, korrigere feil, installere de nyeste programvareversjonene. Prosessen med å migrere (overføre) innstillinger er også forenklet.

lisensiering

Før vi blir kjent med funksjonaliteten til skyhåndteringsløsningen, la oss studere lisensieringsproblemer fra tjenestemannen Dataark.

Administrere én gateway:

Abonnementet avhenger av de valgte kontrollbladene; det er totalt 3 retninger:

1. Ledelse. 50 GB lagringsplass, 1 GB daglig for logger.
2. Management + SmartEvent. 100 GB lagring, 3 GB daglige logger, rapportgenerering.
3. Management + Compliance + SmartEvent. 100 GB lagring, 3 GB daglige logger, rapportgenerering, anbefalinger for innstillinger basert på generell informasjonssikkerhetspraksis.

*Valget avhenger av mange faktorer: type logger, antall brukere, trafikkmengder.

Det er også et abonnement for å administrere 5 gatewayer. Vi vil ikke dvele nærmere ved dette – du kan alltid få informasjon fra Dataark.

Lansering av Smart-1 Cloud

Alle kan prøve løsningen; for å gjøre dette må du registrere deg i Infinity Portal - en skytjeneste fra Check Point, hvor du kan få prøvetilgang til følgende områder:

• Skybeskyttelse (CloudGuard SaaS, CloudGuard Native);
• Nettverksbeskyttelse (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
• Endpoint Protection (Sandblast Agent Management Platform, SandBlast Agent Cloud Management, Sandblast Mobile).

Vi logger inn på systemet med deg (registrering kreves for nye brukere) og går til Smart-1 Cloud-løsningen:

Du vil kort bli fortalt om fordelene med denne løsningen (Infrastrukturadministrasjon, ingen installasjon nødvendig, oppdateringer automatisk).

Etter å ha fylt ut feltene, må du vente til kontoen din er klar for å logge på portalen:

Hvis operasjonen er vellykket, vil du motta registreringsinformasjon på e-post (spesifisert når du logger inn på Infinity Portal), og du vil også bli omdirigert til Smart-1 Cloud-hjemmesiden.

Tilgjengelige portalfaner:

1. Start SmartConsole. Bruke den installerte applikasjonen på din PC, eller bruk webgrensesnittet.
2. Synkronisering med gateway-objektet.
3. Arbeid med logger.
4. Innstillinger.

Synkronisering med gatewayen

La oss starte med å synkronisere Security Gateway; for å gjøre dette må du legge den til som et objekt. Gå til fanen "Koble til gateway"

Du må angi et unikt gatewaynavn; du kan legge til en kommentar til objektet. Trykk deretter "Registrere".

Et gateway-objekt vil vises som må synkroniseres med Management Server ved å utføre CLI-kommandoene for gatewayen:

1. Sørg for at siste JHF (Jumbo Hotfix) er installert på gatewayen.
2. Angi tilkoblingstoken: sett sikkerhetsgateway-maas på auth-token
3. Sjekk statusen til synkroniseringstunnelen:
   MaaS-status: Aktivert
   MaaS Tunnel State: Opp
   MaaS domenenavn:
   Service-Identifier.maas.checkpoint.com
   Gateway IP for MaaS-kommunikasjon: 100.64.0.1

Når tjenester for massetunnelen er hevet, må du fortsette å etablere en SIC-forbindelse mellom gatewayen og Smart-1 Cloud i Smartconsole. Hvis operasjonen er vellykket, vil gateway-topologien bli oppnådd, la oss legge ved et eksempel:

Når du bruker Smart-1 Cloud, kobles gatewayen til det "grå" nettverket 10.64.0.1.

La meg legge til at i oppsettet vårt får selve gatewayen tilgang til Internett ved hjelp av NAT, derfor er det ingen offentlig IP-adresse på grensesnittet, men vi kan administrere den fra utsiden. Dette er en annen interessant funksjon i Smart-1 Cloud, takket være hvilken et eget administrasjonsundernett opprettes med sin egen pool av IP-adresser.

Konklusjon

Når du har lagt til en gateway for administrasjon via Smart-1 Cloud, har du full tilgang, akkurat som i Smart Console. På layouten vår lanserte vi webversjonen; faktisk er det en hevet virtuell maskin med en kjørende administrasjonsklient.

Du kan alltid lære mer om funksjonene til Smart Console og Check Point-arkitekturen i forfatterens kurs.

Det er alt for i dag, vi venter på den siste artikkelen i serien, der vi vil berøre ytelsesjusteringsmulighetene til SMB 1500-serien med Gaia 80.20 Embedded installert.

Stort utvalg av materialer på Check Point fra TS Solution. Følg med (Telegram, Facebook , VK, TS Løsningsblogg, Yandex Zen)

Kilde: www.habr.com