Pozdrowienia, przyjaciele! I w końcu dotarliśmy do ostatniego, ostatnia lekcja Check Point Pierwsze kroki. Dzisiaj porozmawiamy o bardzo ważnym temacie - Licencjonowanie. Spieszę ostrzec, że ta lekcja nie jest wyczerpującym przewodnikiem dotyczącym wyboru sprzętu lub licencji. To tylko podsumowanie kluczowych punktów, które powinien znać każdy administrator Check Point. Jeśli naprawdę zastanawia Cię wybór licencji lub urządzenia, lepiej zwrócić się do profesjonalistów, tj. do nas :). Pułapek jest mnóstwo, o których bardzo trudno mówić na kursie i nie da się ich od razu zapamiętać.
Nasza lekcja będzie całkowicie teoretyczna, więc będziecie mogli wyłączyć swoje makiety serwerów i odpocząć. Na końcu artykułu znajdziesz lekcję wideo, w której wszystko wyjaśniam bardziej szczegółowo.
Licencjonowanie bramy
Zacznijmy od opisu funkcji licencjonowania bram bezpieczeństwa. Co więcej, dotyczy to zarówno upline’ów sprzętowych, jak i maszyn wirtualnych. Załóżmy, że decydujesz się na zakup bramy. Nie da się po prostu kupić sprzętu lub maszyny wirtualnej bez „subskrypcji”! Istnieją trzy opcje subskrypcji:
A teraz pierwsza interesująca funkcja! Możesz kupić tylko urządzenie lub maszynę wirtualną z subskrypcją NGTP lub NGTX. Ale kiedy odnowisz subskrypcję, możesz już wybrać pakiet NGFW, jeśli nie potrzebujesz kaset AV, AB, URL, AS, TE i TX. To jest ta chwila. Same subskrypcje można wykupić na okres jednego, dwóch lub trzech lat.
Mogę przewidzieć twoje pierwsze pytanie! „Co się stanie, jeśli subskrypcja nie zostanie odnowiona?" Specjalnie podkreśliłem na zielono te ostrza, które ZAWSZE będą działać i BEZ przedłużek. Tak zwane wieczne blady. Pozostałe kasety wymagające ciągłej aktualizacji po prostu przestaną działać. No cóż, może IPS nadal będzie miał działające kluczowe sygnatury (ale jest ich bardzo mało). Dotyczy to zarówno sprzętu, jak i maszyn wirtualnych, tj. vSek.
Jako osobną pozycję wyróżniłem trzy ostrza, których nie ma w żadnym zestawie: DLP, MAB i Capsule.
Pamiętaj też, że jeśli kupujesz rozwiązanie klastrowe, to jako drugie urządzenie wybierz model z przyrostkiem HA (czyli High Availability). Na zdjęciu przykład bramki 5400. Dotyczy to bramek. Teraz serwer zarządzania.
Licencjonowanie serwera zarządzającego
Jak już powiedzieliśmy na pierwszych lekcjach, istnieją dwa scenariusze wdrożenia Check Point: autonomiczny (kiedy zarówno brama, jak i zarządzanie znajdują się na jednym urządzeniu) i rozproszony (kiedy serwer zarządzania jest umieszczony na oddzielnym urządzeniu). Jednak na tym możliwości się nie kończą. Przyjrzyjmy się trzem typowym scenariuszom wdrażania serwera zarządzania:
- Zakup dedykowanego NGSM. Najpopularniejsza opcja. Wybierz sprzęt Smart-1 lub sprzęt wirtualny. Wybierasz oczywiście w oparciu o liczbę bramek, którymi będziesz administrować, 5, 10, 25 itd. Wdrażając to urządzenie, możesz korzystać z 4 kluczowych modułów serwera zarządzania: NPM (tj. zarządzanie politykami), Logging and Status (tj. logowanie), Smart Event (SIEM z Check Point, który zapewnia nam całe raportowanie) i Compliance (to to ocena jakości ustawień, czy to pod kątem zgodności z niektórymi wymogami regulacyjnymi, tym samym PCI DSS, czy po prostu Najlepszymi Praktykami). Od razu widać, że ostrza NPM i LS to ostrza trwałe, czyli tzw. będzie działać bez odnawiania subskrypcji, ale bloki Smart Event i Compliance są dołączone tylko przez pierwszy rok! Następnie należy je odnowić za osobne pieniądze. To ważny punkt, nie zapominaj. A jeśli nadal możesz żyć bez modułu Compliance, to absolutnie każdy potrzebuje Smart Event.
- Zakup dedykowanego serwera do zarządzania wydarzeniami DODATKOWO do istniejącego serwera zarządzania NGSM. Dlaczego jest to konieczne? Faktem jest, że funkcjonalność rejestrowania, a zwłaszcza Smart Event, „pożera” całkiem przyzwoite zasoby systemowe. A jeśli dzienników jest dość dużo, może to prowadzić do „hamowania” serwera sterującego. Dlatego często praktykuje się przenoszenie tej funkcjonalności na osobne urządzenie, sprzęt Smart-1 lub ponownie maszynę wirtualną. Duże integracje z dużą liczbą logów prawie zawsze wymagają dedykowanego serwera dla Smart Event. Może także odbierać logi. W ten sposób serwer zarządzania będzie wykonywał jedynie funkcje zarządzania. To znacznie poprawia stabilność i responsywność systemu. Jak widać kupując dedykowany serwer Smart Event otrzymujesz te dwa blade do stałego użytku, nawet bez konieczności odnawiania. W horyzoncie 3-4 lat będzie to jeszcze bardziej opłacalne niż kupowanie co roku rozszerzeń Smart Event dla zwykłego serwera NGSM.
- Dedykowany serwer zarządzania logami, który jest dodatkiem do serwerów NGSM i Smart Event. Myślę, że znaczenie jest jasne. W przypadku BARDZO dużej ilości logów możemy przenieść funkcję logowania na osobny serwer. Dedykowany serwer Logów również posiada licencję stałą i nie wymaga odnawiania.
Film instruktażowy
Więcej informacji na temat zarządzania licencjami i pomocy technicznej Check Point znajdziesz tutaj:
Źródło: www.habr.com