Pozdrawiam wszystkich, którzy kontynuują lekturę serii o nowej generacji NGFW Check Point z rodziny SMB (seria 1500). W przyjrzeliśmy się rozwiązaniu SMP (portal zarządzający dla bram SMB). Dzisiaj chciałbym porozmawiać o portalu Smart-1 Cloud, pozycjonuje się on jako rozwiązanie oparte na SaaS Check Point, działa jako serwer zarządzający w chmurze, więc będzie odpowiedni dla każdego punktu kontrolnego NGFW. Tym, którzy dopiero do nas dołączyli, przypomnę poruszane wcześniej tematy: , , .
Podkreślmy główne cechy Smart-1 Cloud:
- Jedno scentralizowane rozwiązanie do zarządzania całą infrastrukturą Check Point (bramy wirtualne i fizyczne na różnych poziomach).
- Wspólny zestaw polityk dla wszystkich Blade'ów pozwala na uproszczenie procesów administracyjnych (tworzenie/edytowanie reguł dla różnych zadań).
- Obsługa podejścia profilowego podczas pracy z ustawieniami bramy. Odpowiedzialny za separację praw dostępu podczas pracy w portalu, gdzie administratorzy sieci, specjaliści ds. audytu itp. mogą jednocześnie wykonywać różne zadania.
- Monitoring zagrożeń, który zapewnia logi i podgląd zdarzeń w jednym miejscu.
- Wsparcie interakcji poprzez API. Użytkownik może wdrożyć procesy automatyzacji, upraszczając rutynowe, codzienne zadania.
- Dostęp do sieci. Usuwa ograniczenia dotyczące wsparcia dla poszczególnych systemów operacyjnych i jest intuicyjny.
Dla tych, którzy są już zaznajomieni z rozwiązaniami firmy Check Point, przedstawione podstawowe możliwości nie różnią się od posiadania dedykowanego serwera zarządzającego zlokalizowanego lokalnie w Twojej infrastrukturze. Częściowo będą mieli rację, ale w przypadku Smart-1 Cloud utrzymaniem serwera zarządzającego zajmują się specjaliści Check Point. Obejmuje to: tworzenie kopii zapasowych, monitorowanie wolnego miejsca na nośnikach, naprawianie błędów, instalowanie najnowszych wersji oprogramowania. Uproszczony został także proces migracji (przenoszenia) ustawień.
Licencjonowanie
Zanim zapoznamy się z funkcjonalnością rozwiązania do zarządzania chmurą, przestudiujmy kwestie licencyjne od oficjalnego .
Zarządzanie jedną bramą:
Subskrypcja zależy od wybranych ostrzy kontrolnych, w sumie są 3 kierunki:
- Kierownictwo. 50 GB pamięci, 1 GB dziennie na logi.
- Zarządzanie + SmartEvent. 100 GB pamięci, 3 GB dzienników dziennych, generowanie raportów.
- Zarządzanie + Zgodność + SmartEvent. 100 GB przestrzeni dyskowej, 3 GB dzienników dziennych, generowanie raportów, zalecenia dotyczące ustawień w oparciu o ogólne praktyki bezpieczeństwa informacji.
*Wybór zależy od wielu czynników: rodzaju logów, liczby użytkowników, natężenia ruchu.
Istnieje również abonament na zarządzanie 5 bramkami. Nie będziemy się nad tym szczegółowo rozwodzić - zawsze możesz uzyskać informacje .
Uruchomienie chmury Smart-1
Rozwiązanie może wypróbować każdy, w tym celu należy zarejestrować się w Portalu Infinity – usłudze chmurowej firmy Check Point, gdzie można uzyskać próbny dostęp do następujących obszarów:
- Ochrona w chmurze (CloudGuard SaaS, CloudGuard Native);
- Ochrona sieci (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
- Ochrona punktów końcowych (, Zarządzanie chmurą agenta SandBlast, Sandblast Mobile).
Razem z Tobą zalogujemy się do systemu (w przypadku nowych użytkowników wymagana jest rejestracja) i przejdziemy do rozwiązania Smart-1 Cloud:
Zostaniesz krótko poinformowany o zaletach tego rozwiązania (zarządzanie infrastrukturą, nie wymaga instalacji, aktualizacje automatyczne).
Po wypełnieniu pól należy poczekać, aż Twoje konto będzie przygotowane do zalogowania się do portalu:
Jeżeli operacja się powiedzie, otrzymasz na adres e-mail (podany podczas logowania do Portalu Infinity) informacje rejestracyjne, a także zostaniesz przekierowany na stronę główną Smart-1 Cloud.
Dostępne zakładki portalu:
- Uruchom SmartConsole. Korzystając z aplikacji zainstalowanej na komputerze lub korzystając z interfejsu internetowego.
- Synchronizacja z obiektem bramy.
- Praca z logami.
- Ustawienia.
Synchronizacja z bramką
Zacznijmy od synchronizacji Security Gateway, w tym celu należy dodać ją jako obiekt. Przejdź do zakładki „Połącz bramę”
Należy podać unikalną nazwę bramki, można dodać komentarz do obiektu. Następnie naciśnij "Zarejestrować".
Pojawi się obiekt bramy, który będzie musiał zostać zsynchronizowany z serwerem zarządzającym poprzez wykonanie poleceń CLI dla bramy:
- Upewnij się, że na bramce zainstalowana jest najnowsza wersja JHF (Jumbo Hotfix).
- Ustaw token połączenia: ustaw bramkę bezpieczeństwa na tokenie uwierzytelniania
- Sprawdź stan tunelu synchronizacji:
Stan MaaS: Włączony
Stan tunelu MaaS: w górę
Nazwa domeny MaaS:
Service-Identifier.maas.checkpoint.com
Adres IP bramy dla komunikacji MaaS: 100.64.0.1
Po uruchomieniu usług dla tunelu zbiorczego należy przystąpić do ustanowienia połączenia SIC pomiędzy bramką a chmurą Smart-1 w Smartconsole. Jeżeli operacja się powiedzie to uzyskana zostanie topologia bramki, załączmy przykład:
Tym samym podczas korzystania z Smart-1 Cloud bramka jest podłączona do „szarej” sieci 10.64.0.1.
Dodam, że w naszym układzie bramka sama uzyskuje dostęp do Internetu za pomocą NAT, zatem na jej interfejsie nie ma publicznego adresu IP, natomiast możemy nim zarządzać z zewnątrz. To kolejna ciekawa funkcja Smart-1 Cloud, dzięki której tworzona jest osobna podsieć zarządzająca z własną pulą adresów IP.
wniosek
Po pomyślnym dodaniu bramy do zarządzania za pośrednictwem Smart-1 Cloud będziesz mieć pełny dostęp, tak jak w Smart Console. W naszym układzie uruchomiliśmy wersję internetową; w rzeczywistości jest to podniesiona maszyna wirtualna z działającym klientem do zarządzania.
Więcej o możliwościach Smart Console i architekturze Check Point zawsze możesz dowiedzieć się w naszym autorskim artykule .
To tyle na dziś, czekamy na ostatni artykuł z serii, w którym poruszymy możliwości dostrajania wydajności rodziny serii SMB 1500 z zainstalowanym Gaia 80.20 Embedded.
. Czekać na dalsze informacje (, , , , )
Źródło: www.habr.com