Saudações, amigos! E finalmente chegamos ao último, lição final de Introdução ao Check Point. Hoje falaremos sobre um tema muito importante - Licenciamento. Apresso-me em avisar que esta lição não é um guia exaustivo para a escolha de equipamentos ou licenças. Este é apenas um resumo dos pontos principais que qualquer administrador do Check Point deve saber. Se você está realmente confuso com a escolha da licença ou dispositivo, então é melhor recorrer a profissionais, ou seja, para nós :). Existem muitas armadilhas sobre as quais é muito difícil falar no curso e você também não conseguirá se lembrar delas imediatamente.
Nossa aula será totalmente teórica, então você pode desligar seus servidores mock-up e relaxar. No final do artigo você encontrará uma videoaula onde explico tudo com mais detalhes.
Licenciamento de gateway
Vamos começar com uma descrição dos recursos de licenciamento dos gateways de segurança. Além disso, isso se aplica tanto a uplines de hardware quanto a máquinas virtuais. Digamos que você decida comprar um gateway. É impossível simplesmente comprar um hardware ou uma máquina virtual sem “assinaturas”! Existem três opções de assinatura:
E agora o primeiro recurso interessante! Você só pode comprar um dispositivo ou máquina virtual com assinaturas NGTP ou NGTX. Mas ao renovar sua assinatura, você já pode escolher o pacote NGFW caso não precise de blades AV, AB, URL, AS, TE e TX. Esse é o momento. As próprias assinaturas podem ser adquiridas por um período de um, dois ou três anos.
Posso prever sua primeira pergunta! “O que acontece se a assinatura não for renovada?" Destaquei especificamente em verde aquelas lâminas que SEMPRE funcionarão e SEM extensões. O chamado perpétuo empalidece. Os blades restantes que requerem atualização constante simplesmente pararão de funcionar. Bem, talvez o IPS ainda tenha assinaturas de clave funcionando (mas há muito poucas delas). Isso é verdade tanto para hardware quanto para máquinas virtuais, ou seja, vSeg.
Como item à parte, destaquei três lâminas que não acompanham nenhum kit: DLP, MAB e Capsule.
Lembre-se também de que se você comprar uma solução de cluster, escolha um modelo com o sufixo HA (ou seja, Alta Disponibilidade) como segundo dispositivo. A imagem mostra um exemplo para o gateway 5400. Isto diz respeito aos gateways. Agora o servidor de gerenciamento.
Licenciamento de servidor de gerenciamento
Como já dissemos nas primeiras lições, existem dois cenários para implementação do Check Point: Standalone (quando o gateway e o gerenciamento estão em um dispositivo) e Distribuído (quando o servidor de gerenciamento está colocado em um dispositivo separado). No entanto, as opções não param por aí. Vejamos três cenários típicos para implantação de um servidor de gerenciamento:
- Compra de NGSM dedicado. A opção mais popular. Escolha hardware Smart-1 ou hardware virtual. Você escolhe, é claro, com base em quantos gateways irá administrar, 5, 10, 25, etc. Ao implantar este dispositivo, você pode usar 4 blades principais do servidor de gerenciamento: NPM (ou seja, gerenciamento de políticas), Logging and Status (ou seja, registro), Smart Event (SIEM da Check Point, que nos fornece todos os relatórios) e Compliance (este é uma avaliação da qualidade das configurações, seja para conformidade com alguns requisitos regulatórios, o mesmo PCI DSS, ou simplesmente Melhores Práticas). Você pode ver imediatamente que as lâminas NPM e LS são lâminas permanentes, ou seja, funcionará sem renovação de assinaturas, mas os blades Smart Event e Compliance estão incluídos apenas no primeiro ano! Então eles precisam ser renovados por dinheiro separado. Este é um ponto importante, não se esqueça. E se você ainda consegue viver sem um blade de conformidade, então absolutamente todo mundo precisa do Smart Event.
- Adquirindo um servidor dedicado de gerenciamento de eventos ALÉM DO servidor de gerenciamento NGSM existente. Por que isso é necessário? O fato é que a funcionalidade de registro e especialmente o Smart Event “consomem” recursos bastante decentes do sistema. E se houver muitos logs, isso pode levar a “freios” no servidor de controle. Portanto, muitas vezes é praticado mover essa funcionalidade para um dispositivo separado, hardware Smart-1 ou, novamente, uma máquina virtual. Grandes integrações com um grande número de logs quase sempre exigem um servidor dedicado para Smart Event. Ele também pode receber logs. Desta forma, o seu servidor de gerenciamento executará apenas funções de gerenciamento. Isso melhora muito a estabilidade e a capacidade de resposta do sistema. Como você pode ver, ao adquirir um servidor Smart Event dedicado, você obtém esses dois blades para uso permanente, mesmo sem renovação. Em um horizonte de 3 a 4 anos, isso será ainda mais econômico do que comprar extensões de eventos inteligentes para um servidor NGSM regular todos os anos.
- Servidor de gerenciamento de log dedicado, que vem em adição aos servidores NGSM e Smart Event. Acho que o significado é claro. Se houver um número MUITO grande de logs, podemos mover a função de log para um servidor separado. O servidor Log dedicado também possui licença permanente e não requer renovação.
Vídeo tutorial
Encontre mais informações sobre gerenciamento de licenças e suporte técnico da Check Point aqui:
Fonte: habr.com