Zdravím vás priatelia! A konečne sme sa dostali k poslednému, záverečná lekcia Check Point Getting Started. Dnes budeme hovoriť o veľmi dôležitej téme - licencií. Ponáhľam sa vás upozorniť, že táto lekcia nie je vyčerpávajúci návod na výber vybavenia alebo licencií. Toto je len súhrn kľúčových bodov, ktoré by mal poznať každý správca Check Point. Ak si naozaj lámete hlavu nad výberom licencie alebo zariadenia, potom je lepšie obrátiť sa na profesionálov, t.j. nám :). Je veľa nástrah, o ktorých sa v kurze hovorí len veľmi ťažko a ani si ich hneď nezapamätáte.
Naša lekcia bude čisto teoretická, takže si môžete vypnúť svoje mock-up servery a relaxovať. Na konci článku nájdete video lekciu, kde všetko podrobnejšie vysvetľujem.
Licencovanie brány
Začnime popisom licenčných vlastností bezpečnostných brán. Okrem toho to platí pre hardvérové nadradené aj virtuálne stroje. Povedzme, že ste sa rozhodli kúpiť bránu. Nie je možné jednoducho kúpiť hardvér alebo virtuálny stroj bez „predplatného“! Existujú tri možnosti predplatného:
A teraz prvá zaujímavá funkcia! Zariadenie alebo virtuálny počítač si môžete kúpiť iba s predplatným NGTP alebo NGTX. Keď si však obnovíte predplatné, už si môžete vybrať balík NGFW, ak nepotrebujete čepele AV, AB, URL, AS, TE a TX. Toto je moment. Samotné predplatné je možné zakúpiť na obdobie jedného, dvoch alebo troch rokov.
Dokážem predvídať vašu prvú otázku! “Čo sa stane, ak sa predplatné neobnoví?" Špeciálne som zvýraznil zelenou farbou tie čepele, ktoré budú fungovať VŽDY a BEZ predĺženia. Takzvané večné blednú. Zostávajúce čepele, ktoré vyžadujú neustálu aktualizáciu, jednoducho prestanú fungovať. Možno, že IPS bude mať stále funkčné kľúčové podpisy (ale je ich veľmi málo). To platí pre hardvér aj virtuálne stroje, t.j. vSec.
Ako samostatnú položku som zdôraznil tri čepele, ktoré nie sú súčasťou žiadnej súpravy: DLP, MAB a Capsule.
Pamätajte tiež, že ak si kúpite klastrové riešenie, vyberte si ako druhé zariadenie model s príponou HA (t.j. Vysoká dostupnosť). Na obrázku je príklad pre bránu 5400. Ide o brány. Teraz riadiaci server.
Licencovanie servera na správu
Ako sme už povedali v prvých lekciách, existujú dva scenáre implementácie Check Point: Samostatný (keď je brána aj správa na jednom zariadení) a Distribuovaný (keď je server pre správu umiestnený na samostatnom zariadení). Tým sa však možnosti nekončia. Pozrime sa na tri typické scenáre nasadenia servera na správu:
- Nákup špecializovaného NGSM. Najobľúbenejšia možnosť. Vyberte hardvér Smart-1 alebo virtuálny hardvér. Vyberáte si, samozrejme, podľa toho, koľko brán budete spravovať, 5, 10, 25 atď. Nasadením tohto zariadenia môžete použiť 4 kľúčové blade servery správy: NPM (t.j. správa politík), Logging and Status (t.j. protokolovanie), Smart Event (SIEM od Check Point, ktorý nám poskytuje všetky správy) a Compliance (toto je posúdenie kvality nastavení, či už z hľadiska súladu s niektorými regulačnými požiadavkami, rovnakého PCI DSS alebo jednoducho Best Practice). Hneď vidíte, že čepele NPM a LS sú trvalé čepele, t.j. bude fungovať bez obnovenia predplatného, ale čepele Smart Event a Compliance sú zahrnuté iba počas prvého roka! Potom ich treba obnoviť za samostatné peniaze. Toto je dôležitý bod, nezabudnite. A ak stále môžete žiť bez čepele Compliance, potom úplne každý potrebuje Smart Event.
- Nákup vyhradeného servera na správu udalostí OKREM existujúceho servera pre správu NGSM. Prečo je to potrebné? Faktom je, že funkcionalita protokolovania a najmä Smart Event „požierajú“ celkom slušné systémové zdroje. A ak existuje pomerne veľa protokolov, môže to viesť k „brzdám“ na riadiacom serveri. Preto sa často praktizuje presunúť túto funkcionalitu na samostatné zariadenie, hardvér Smart-1 alebo opäť virtuálny stroj. Veľké integrácie s veľkým počtom protokolov takmer vždy vyžadujú vyhradený server pre Smart Event. Môže tiež prijímať protokoly. Týmto spôsobom bude váš server správy vykonávať iba funkcie správy. To výrazne zlepšuje stabilitu a odozvu systému. Ako môžete vidieť, keď si zakúpite vyhradený server Smart Event, získate tieto dva blade servery na trvalé používanie, a to aj bez obnovy. V horizonte 3-4 rokov to bude ešte nákladovo efektívnejšie ako každoročné kupovanie rozšírení Smart Event pre bežný server NGSM.
- Vyhradený server na správu protokolov, ktorý sa dodáva ako doplnok k serverom NGSM a Smart Event. Myslím, že význam je jasný. Ak existuje VEĽMI veľký počet protokolov, môžeme presunúť funkciu protokolovania na samostatný server. Vyhradený Log server má tiež trvalú licenciu a nevyžaduje obnovu.
Video tutoriál
Viac informácií o správe licencií a technickej podpore Check Point nájdete tu:
Zdroj: hab.com