Salutări, prieteni! Și am ajuns în sfârșit la ultimul, lecția finală a Check Point Noțiuni de bază. Astăzi vom vorbi despre un subiect foarte important - licențiere. Mă grăbesc să vă avertizez că această lecție nu este un ghid exhaustiv pentru alegerea echipamentelor sau a licențelor. Acesta este doar un rezumat al punctelor cheie pe care orice administrator Check Point ar trebui să le cunoască. Dacă sunteți cu adevărat nedumerit de alegerea licenței sau a dispozitivului, atunci este mai bine să apelați la profesioniști, adică. pentru noi :). Există o mulțime de capcane despre care este foarte greu să vorbiți în curs și nici nu vă veți putea aminti imediat.
Lecția noastră va fi complet teoretică, astfel încât să vă puteți opri serverele de machetă și să vă relaxați. La finalul articolului veți găsi o lecție video în care vă explic totul mai detaliat.
Licențiere Gateway
Să începem cu o descriere a caracteristicilor de licențiere ale gateway-urilor de securitate. Mai mult, acest lucru se aplică atât liniilor ascendente hardware, cât și mașinilor virtuale. Să presupunem că vă decideți să cumpărați o poartă. Este imposibil să cumpărați pur și simplu o bucată de hardware sau o mașină virtuală fără „abonamente”! Există trei opțiuni de abonament:
Și acum prima caracteristică interesantă! Puteți cumpăra doar un dispozitiv sau o mașină virtuală cu abonamente NGTP sau NGTX. Dar atunci când vă reînnoiți abonamentul, puteți alege deja pachetul NGFW dacă nu aveți nevoie de blade AV, AB, URL, AS, TE și TX. Acesta este momentul. Abonamentele în sine pot fi achiziționate pentru o perioadă de unul, doi sau trei ani.
Pot să prezic prima ta întrebare! „Ce se întâmplă dacă abonamentul nu este reînnoit?" Am evidențiat în mod special în verde acele lame care vor funcționa ÎNTOTDEAUNA, și FĂRĂ extensii. Așa-zisul perpetuu palidează. Lamele rămase care necesită o actualizare constantă vor înceta pur și simplu să funcționeze. Ei bine, poate că IPS-ul va avea în continuare semnături cheie funcționale (dar sunt foarte puține). Acest lucru este valabil atât pentru hardware, cât și pentru mașinile virtuale, de exemplu. vSec.
Ca element separat, am evidențiat trei lame care nu sunt incluse în niciun kit: DLP, MAB și Capsule.
De asemenea, amintiți-vă că, dacă cumpărați o soluție de cluster, alegeți un model cu sufixul HA (adică High Availability) ca al doilea dispozitiv. Imaginea prezintă un exemplu pentru gateway 5400. Acesta se referă la gateway-uri. Acum serverul de management.
Licențiere server de management
După cum am spus deja în primele lecții, există două scenarii pentru implementarea Check Point: Standalone (când atât gateway-ul, cât și managementul sunt pe un singur dispozitiv) și Distribuit (când serverul de management este plasat pe un dispozitiv separat). Cu toate acestea, opțiunile nu se termină aici. Să ne uităm la trei scenarii tipice pentru implementarea unui server de management:
- Achiziționarea NGSM dedicată. Cea mai populară opțiune. Alegeți fie hardware Smart-1, fie hardware virtual. Alegeți, desigur, în funcție de câte gateway-uri veți administra, 5, 10, 25 etc. Prin implementarea acestui dispozitiv, puteți utiliza 4 blade de server de gestionare a cheilor: NPM (adică managementul politicilor), Logging and Status (adică înregistrarea în jurnal), Smart Event (SIEM de la Check Point, care ne oferă toate raportările) și Compliance (acesta este un evaluarea calității setărilor, fie pentru conformitatea cu unele cerințe de reglementare, același PCI DSS, fie pur și simplu Best Practice). Puteți vedea imediat că lamele NPM și LS sunt lame permanente, adică. va funcționa fără reînnoirea abonamentelor, dar bladele Smart Event și Compliance sunt incluse doar pentru primul an! Apoi trebuie reînnoite pentru bani separati. Acesta este un punct important, nu uitați. Și dacă încă poți trăi fără un blade de conformitate, atunci absolut toată lumea are nevoie de Smart Event.
- Achiziționarea unui server dedicat pentru managementul evenimentelor ÎN PÂNȚĂ față de serverul de management NGSM existent. De ce este necesar acest lucru? Cert este că funcționalitatea de înregistrare și în special Smart Event „mâncă” resurse de sistem destul de decente. Și dacă există destul de multe jurnale, atunci acest lucru poate duce la „frâne” pe serverul de control. Prin urmare, se practică adesea mutarea acestei funcționalități pe un dispozitiv separat, hardware Smart-1 sau, din nou, o mașină virtuală. Integrarile mari cu un număr mare de jurnaluri necesită aproape întotdeauna un server dedicat pentru Smart Event. De asemenea, poate primi jurnalele. În acest fel, serverul dvs. de management va îndeplini doar funcții de gestionare. Acest lucru îmbunătățește foarte mult stabilitatea și capacitatea de răspuns a sistemului. După cum puteți vedea, atunci când achiziționați un server dedicat Smart Event, obțineți aceste două lame pentru utilizare permanentă, chiar și fără reînnoire. Pe un orizont de 3-4 ani, acest lucru va fi chiar mai rentabil decât cumpărarea de extensii Smart Event pentru un server obișnuit NGSM în fiecare an.
- Server dedicat de gestionare a jurnalelor, care vine în plus față de serverele NGSM și Smart Event. Cred că sensul este clar. Dacă există un număr FOARTE mare de loguri, putem muta funcția de logare pe un server separat. Serverul dedicat Log are, de asemenea, o licență permanentă și nu necesită reînnoire.
Lecție video
Găsiți mai multe informații despre gestionarea licențelor și asistența tehnică Check Point aici:
Sursa: www.habr.com