6. NGFW pre malé podniky. Smart-1 Cloud

Zdravím všetkých, ktorí pokračujú v čítaní série o novej generácii NGFW Check Point z rodiny SMB (séria 1500). IN Časti 5 sme sa pozreli na riešenie SMP (manažérsky portál pre brány SMB). Dnes by som chcel hovoriť o cloudovom portáli Smart-1, ktorý sa stavia ako riešenie založené na SaaS Check Point, funguje ako Management Server v cloude, takže bude relevantný pre akýkoľvek NGFW Check Point. Pre tých, ktorí sa k nám práve pripojili, dovoľte mi pripomenúť predtým diskutované témy: inicializácia a konfigurácia , organizácia bezdrôtového prenosu prevádzky (WiFi a LTE) , VPN.

Poďme zdôrazniť hlavné funkcie Smart-1 Cloud:

1. Jediné centralizované riešenie pre správu celej vašej infraštruktúry Check Point (virtuálne a fyzické brány na rôznych úrovniach).
2. Spoločná sada politík pre všetky Blade vám umožňuje zjednodušiť administratívne procesy (vytváranie/úprava pravidiel pre rôzne úlohy).
3. Podpora profilového prístupu pri práci s nastaveniami brány. Zodpovedá za oddelenie prístupových práv pri práci na portáli, kde môžu správcovia siete, špecialisti na audit a pod. súčasne vykonávať rôzne úlohy.
4. Monitoring hrozieb, ktorý poskytuje protokoly a prezeranie udalostí na jednom mieste.
5. Podpora interakcie cez API. Používateľ môže implementovať procesy automatizácie, čím zjednodušuje rutinné každodenné úlohy.
6. Webový prístup. Odstraňuje obmedzenia týkajúce sa podpory jednotlivých OS a je intuitívny.

Pre tých, ktorí sú už oboznámení s riešeniami Check Point, prezentované základné funkcie sa nelíšia od toho, že máte vo svojej infraštruktúre vyhradený lokálny Management Server. Čiastočne budú mať pravdu, ale v prípade Smart-1 Cloud údržbu servera pre správu zabezpečujú špecialisti Check Point. Zahŕňa: vytváranie záloh, sledovanie voľného miesta na médiu, opravu chýb, inštaláciu najnovších verzií softvéru. Zjednodušený je aj proces migrácie (prenosu) nastavení.

licencií

Predtým, ako sa zoznámime s funkčnosťou riešenia správy cloudu, preštudujme si licenčné problémy od úradníka Dátový hárok.

Správa jednej brány:

Predplatné závisí od zvolených ovládacích lopatiek; celkovo existujú 3 smery:

1. Zvládanie. 50 GB úložného priestoru, 1 GB denne pre denníky.
2. Správa + SmartEvent. 100 GB úložného priestoru, 3 GB denných denníkov, generovanie prehľadov.
3. Správa + súlad + SmartEvent. 100 GB úložisko, 3 GB denné denníky, generovanie správ, odporúčania pre nastavenia založené na všeobecných postupoch zabezpečenia informácií.

*Výber závisí od mnohých faktorov: typ protokolov, počet používateľov, objemy návštevnosti.

K dispozícii je tiež predplatné na správu 5 brán. Nebudeme sa tým podrobne zaoberať - vždy môžete získať informácie od Dátový hárok.

Spustenie Smart-1 Cloud

Riešenie môže vyskúšať ktokoľvek, na to sa musíte zaregistrovať na Infinity Portal – cloudovej službe od Check Point, kde môžete získať skúšobný prístup do nasledujúcich oblastí:

• Cloudová ochrana (CloudGuard SaaS, CloudGuard Native);
• Ochrana siete (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
• Endpoint Protection (Sandblast Agent Management Platform, SandBlast Agent Cloud Management, Sandblast Mobile).

Prihlásime sa s vami do systému (pre nových používateľov je potrebná registrácia) a prejdeme do riešenia Smart-1 Cloud:

Stručne sa dozviete o výhodách tohto riešenia (správa infraštruktúry, nie je potrebná žiadna inštalácia, automatické aktualizácie).

Po vyplnení polí budete musieť počkať, kým bude váš účet pripravený na prihlásenie do portálu:

Ak je operácia úspešná, dostanete registračné informácie e-mailom (uvedené pri prihlásení do Infinity Portal) a budete tiež presmerovaní na domovskú stránku Smart-1 Cloud.

Dostupné karty portálu:

1. Spustite SmartConsole. Pomocou nainštalovanej aplikácie na vašom PC alebo pomocou webového rozhrania.
2. Synchronizácia s objektom brány.
3. Práca s logami.
4. nastavenie

Synchronizácia s bránou

Začnime synchronizáciou Security Gateway; na to ju musíte pridať ako objekt. Prejdite na kartu "Pripojiť bránu"

Musíte zadať jedinečný názov brány, k objektu môžete pridať komentár. Potom stlačte "Registrovať".

Objaví sa objekt brány, ktorý bude potrebné synchronizovať s riadiacim serverom vykonaním príkazov CLI pre bránu:

1. Uistite sa, že na bráne je nainštalovaný najnovší JHF (Jumbo Hotfix).
2. Nastaviť token pripojenia: nastavte maas bezpečnostnej brány na autorizačný token
3. Skontrolujte stav synchronizačného tunela:
   Stav MaaS: Povolené
   Stav tunela MaaS: hore
   Názov domény MaaS:
   Service-Identifier.maas.checkpoint.com
   IP brány pre komunikáciu MaaS: 100.64.0.1

Po aktivácii služieb pre Mass Tunnel musíte pokračovať v nadviazaní spojenia SIC medzi bránou a Smart-1 Cloud v Smartconsole. Ak je operácia úspešná, získa sa topológia brány, priložme príklad:

Pri použití Smart-1 Cloud je teda brána pripojená k „sivej“ sieti 10.64.0.1.

Doplním, že v našom rozložení brána sama pristupuje na internet pomocou NAT, teda na jej rozhraní nie je verejná IP adresa, vieme ju však spravovať zvonku. Ide o ďalšiu zaujímavú vlastnosť Smart-1 Cloud, vďaka ktorej sa vytvorí samostatná manažérska podsieť s vlastným poolom IP adries.

Záver

Po úspešnom pridaní brány na správu cez Smart-1 Cloud máte plný prístup, rovnako ako v Smart Console. Na našom layoute sme spustili webovú verziu, v skutočnosti je to vyvýšený virtuálny stroj so spusteným klientom na správu.

Viac o možnostiach Smart Console a architektúre Check Point sa vždy dozviete v našom autorovi kurz.

To je pre dnešok všetko, čakáme na posledný článok série, v ktorom sa dotkneme možností ladenia výkonu rodiny SMB 1500 s nainštalovaným Gaia 80.20 Embedded.

Veľký výber materiálov na Check Point od TS Solution. Zostaňte naladení (telegram, facebook, VK, Blog riešení TS, Yandex Zen)

Zdroj: hab.com