6. NGFW pentru întreprinderile mici. Smart-1 Cloud

Salutări tuturor celor care continuă să citească seria despre noua generație de NGFW Check Point din familia SMB (seria 1500). ÎN Piese 5 ne-am uitat la soluția SMP (portal de management pentru gateway-uri SMB). Astăzi aș vrea să vorbesc despre portalul Smart-1 Cloud, acesta se poziționează ca o soluție bazată pe SaaS Check Point, acționează ca un Management Server în cloud, deci va fi relevant pentru orice Check Point NGFW. Pentru cei care tocmai ni s-au alăturat, permiteți-mi să vă reamintesc subiectele discutate anterior: inițializare și configurare , organizarea transmisiei de trafic fără fir (WiFi și LTE) , VPN.

Să evidențiem principalele caracteristici ale Smart-1 Cloud:

1. O singură soluție centralizată pentru gestionarea întregii infrastructuri Check Point (gateway-uri virtuale și fizice la diferite niveluri).
2. Un set comun de politici pentru toate Blade vă permite să simplificați procesele de administrare (crearea/editarea regulilor pentru diferite sarcini).
3. Suport pentru o abordare de profil atunci când lucrați cu setările gateway-ului. Responsabil cu separarea drepturilor de acces atunci când lucrează în portal, unde administratorii de rețea, specialiștii în audit etc. pot îndeplini simultan diverse sarcini.
4. Monitorizarea amenințărilor, care oferă jurnalele și vizualizarea evenimentelor într-un singur loc.
5. Suport pentru interacțiune prin API. Utilizatorul poate implementa procese de automatizare, simplificând sarcinile zilnice de rutină.
6. Acces web. Elimină restricțiile privind suportul pentru sistemele de operare individuale și este intuitiv.

Pentru cei care sunt deja familiarizați cu soluțiile Check Point, capacitățile de bază prezentate nu sunt diferite de a avea un server de management dedicat la nivel local în infrastructura dumneavoastră. Vor avea parțial dreptate, dar în cazul Smart-1 Cloud, întreținerea serverului de management este asigurată de specialiștii Check Point. Include: realizarea de copii de siguranță, monitorizarea spațiului liber pe suport, corectarea erorilor, instalarea celor mai recente versiuni de software. Procesul de migrare (transfer) a setărilor este, de asemenea, simplificat.

licențiere

Înainte de a ne familiariza cu funcționalitatea soluției de management cloud, să studiem problemele de licențiere de la oficialul Fișa cu date.

Gestionarea unui singur gateway:

Abonamentul depinde de lamele de control selectate, există în total 3 direcții:

1. management. 50 GB stocare, 1 GB zilnic pentru jurnal.
2. Management + SmartEvent. 100 GB stocare, 3 GB jurnale zilnice, generare de rapoarte.
3. Management + Conformitate + SmartEvent. 100 GB stocare, 3 GB jurnale zilnice, generare de rapoarte, recomandări pentru setări bazate pe practicile generale de securitate a informațiilor.

*Alegerea depinde de mulți factori: tip de jurnal, numărul de utilizatori, volumele de trafic.

Există, de asemenea, un abonament pentru gestionarea a 5 gateway-uri. Nu ne vom opri asupra acestui lucru în detaliu - puteți oricând obține informații de la Fișa cu date.

Lansarea Smart-1 Cloud

Oricine poate încerca soluția pentru a face acest lucru, trebuie să vă înregistrați în Infinity Portal - un serviciu cloud de la Check Point, unde puteți obține acces de probă la următoarele zone:

• Cloud Protection (CloudGuard SaaS, CloudGuard Native);
• Protecția rețelei (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
• Protecție endpoint (Platformă de gestionare a agentilor de sablare, SandBlast Agent Cloud Management, Sandblast Mobile).

Ne vom conecta la sistem cu dvs. (înregistrarea este necesară pentru utilizatorii noi) și mergem la soluția Smart-1 Cloud:

Vi se vor spune pe scurt despre avantajele acestei soluții (Gestionarea infrastructurii, nu necesită instalare, actualizări automate).

După completarea câmpurilor, va trebui să așteptați până când contul dvs. este pregătit pentru a vă conecta la portal:

Dacă operațiunea are succes, veți primi informații de înregistrare prin e-mail (specificate la conectarea la Portalul Infinity) și veți fi, de asemenea, redirecționat către pagina de start Smart-1 Cloud.

File de portal disponibile:

1. Lansați SmartConsole. Folosind aplicația instalată pe computer sau folosiți interfața web.
2. Sincronizare cu obiectul gateway.
3. Lucrul cu jurnalele.
4. Setări

Sincronizare cu gateway-ul

Să începem cu sincronizarea Gateway-ului de securitate pentru a face acest lucru, trebuie să îl adăugați ca obiect. Accesați fila „Conectează Gateway”

Trebuie să introduceți un nume unic de gateway, puteți adăuga un comentariu la obiect. Apoi apăsați "Inregistreaza-te".

Va apărea un obiect gateway care va trebui sincronizat cu Management Server prin executarea comenzilor CLI pentru gateway:

1. Asigurați-vă că cel mai recent JHF (Jumbo Hotfix) este instalat pe gateway.
2. Setați jetonul de conexiune: setați security-gateway maas pe auth-token
3. Verificați starea tunelului de sincronizare:
   Stare MaaS: activat
   Stare tunel MaaS: Sus
   Nume de domeniu MaaS:
   Service-Identifier.maas.checkpoint.com
   IP Gateway pentru comunicații MaaS: 100.64.0.1

Odată ce serviciile pentru Mass Tunnel au fost ridicate, trebuie să continuați să stabiliți o conexiune SIC între gateway și Smart-1 Cloud în Smartconsole. Dacă operațiunea are succes, se va obține topologia gateway-ului, să atașăm un exemplu:

Astfel, atunci când utilizați Smart-1 Cloud, gateway-ul este conectat la rețeaua „gri” 10.64.0.1.

Permiteți-mi să adaug că în aspectul nostru gateway-ul însuși accesează Internetul folosind NAT, prin urmare, nu există nicio adresă IP publică pe interfața sa, cu toate acestea, o putem gestiona din exterior. Aceasta este o altă caracteristică interesantă a Smart-1 Cloud, datorită căreia se creează o subrețea de management separată cu propriul pool de adrese IP.

Concluzie

Odată ce ați adăugat cu succes o poartă de administrare prin Smart-1 Cloud, aveți acces complet, la fel ca în Consola inteligentă. Pe aspectul nostru, am lansat versiunea web, de fapt, este o mașină virtuală ridicată, cu un client de management care rulează.

Puteți afla oricând mai multe despre capacitățile Consolei inteligente și ale arhitecturii Check Point în documentul autorului nostru curs.

Asta e tot pentru astăzi, așteptăm articolul final al seriei, în care vom atinge capacitățile de reglare a performanței familiei SMB 1500 cu Gaia 80.20 Embedded instalat.

Selecție mare de materiale pe Check Point de la TS Solution. Rămâneţi aproape (Telegramă, Facebook, VK, TS Solution Blog, Yandex Zen)

Sursa: www.habr.com