Lep pozdrav, prijatelji! In končno smo prišli do zadnjega, zadnja lekcija Check Point Getting Started. Danes bomo govorili o zelo pomembni temi - Licenciranje. Najhitreje vas opozorim, da ta lekcija ni izčrpen vodnik za izbiro opreme ali licenc. To je le povzetek ključnih točk, ki bi jih moral poznati vsak skrbnik Check Point. Če ste res zmedeni glede izbire licence ali naprave, potem je bolje, da se obrnete na strokovnjake, tj. nam :). Veliko je pasti, o katerih je na tečaju zelo težko govoriti, pa tudi tega se ne boste mogli takoj spomniti.
Naša lekcija bo popolnoma teoretična, tako da lahko izklopite svoje modelne strežnike in se sprostite. Na koncu članka boste našli video lekcijo, kjer vse podrobneje razložim.
Licenciranje prehoda
Začnimo z opisom licenčnih funkcij varnostnih prehodov. Poleg tega to velja tako za nadgradnjo strojne opreme kot za virtualne stroje. Recimo, da se odločite za nakup prehoda. Nemogoče je preprosto kupiti kos strojne opreme ali virtualni stroj brez "naročnin"! Na voljo so tri možnosti naročnine:
In zdaj prva zanimivost! Napravo ali virtualni stroj lahko kupite samo z naročninami NGTP ali NGTX. Ko pa obnovite naročnino, lahko že izberete paket NGFW, če ne potrebujete rezin AV, AB, URL, AS, TE in TX. To je trenutek. Same naročnine je mogoče kupiti za obdobje enega, dveh ali treh let.
Lahko predvidim vaše prvo vprašanje! “Kaj se zgodi, če se naročnina ne podaljša?" Z zeleno sem posebej izpostavil tista rezila, ki bodo VEDNO delovala in BREZ podaljškov. Tako imenovani večni bledi. Preostala rezila, ki zahtevajo nenehno posodabljanje, bodo preprosto prenehala delovati. No, mogoče bo IPS še imel delujoče ključne podpise (teh pa je zelo malo). To velja tako za strojno opremo kot za virtualne stroje, tj. vSec.
Kot ločen element sem izpostavil tri rezila, ki niso vključena v noben komplet: DLP, MAB in Capsule.
Ne pozabite tudi, da če kupite rešitev v grozdu, potem kot drugo napravo izberite model s pripono HA (t.i. High Availability). Slika prikazuje primer za prehod 5400. To zadeva prehode. Zdaj strežnik za upravljanje.
Licenciranje strežnika za upravljanje
Kot smo že povedali v prvih lekcijah, obstajata dva scenarija za implementacijo Check Pointa: samostojni (ko sta prehod in upravljanje na eni napravi) in porazdeljeni (ko je strežnik za upravljanje nameščen na ločeni napravi). Vendar se možnosti tu ne končajo. Oglejmo si tri tipične scenarije za uvedbo strežnika za upravljanje:
- Nakup namenskega NGSM. Najbolj priljubljena možnost. Izberite strojno opremo Smart-1 ali virtualno strojno opremo. Izberete seveda glede na to, koliko prehodov boste upravljali, 5, 10, 25 itd. Z uvedbo te naprave lahko uporabljate 4 ključne rezine strežnika za upravljanje: NPM (tj. upravljanje politik), beleženje in stanje (tj. beleženje), pametni dogodek (SIEM iz Check Pointa, ki nam daje vsa poročanja) in skladnost (to je ocena kakovosti nastavitev, bodisi glede skladnosti z nekaterimi regulativnimi zahtevami, istim PCI DSS ali preprosto najboljšo prakso). Takoj lahko vidite, da so rezila NPM in LS stalna rezila, tj. bo deloval brez podaljšanja naročnine, vendar sta rezila Smart Event in Compliance vključena samo prvo leto! Potem jih je treba obnoviti za ločen denar. To je pomembna točka, ne pozabite. In če še vedno lahko živite brez rezila Compliance, potem Smart Event potrebuje popolnoma vsak.
- Nakup namenskega strežnika za upravljanje dogodkov POLEG k obstoječemu upravljalnemu strežniku NGSM. Zakaj je to potrebno? Dejstvo je, da funkcija beleženja in še posebej Smart Event "požira" precej spodobne sistemske vire. In če je dnevnikov precej, lahko to povzroči "zavore" na nadzornem strežniku. Zato se pogosto izvaja premik te funkcije v ločeno napravo, strojno opremo Smart-1 ali, spet, virtualni stroj. Velike integracije z velikim številom dnevnikov skoraj vedno zahtevajo namenski strežnik za Smart Event. Lahko tudi sprejema dnevnike. Tako bo vaš strežnik za upravljanje izvajal samo funkcije upravljanja. To močno izboljša stabilnost in odzivnost sistema. Kot lahko vidite, ko kupite namenski strežnik Smart Event, dobite ti dve rezini za trajno uporabo, tudi brez obnove. V obdobju 3-4 let bo to celo bolj stroškovno učinkovito kot nakup razširitev Smart Event za običajni strežnik NGSM vsako leto.
- Namenski strežnik za upravljanje dnevnikov, ki je poleg strežnikov NGSM in Smart Event. Mislim, da je pomen jasen. Če obstaja ZELO veliko število dnevnikov, lahko funkcijo beleženja premaknemo na ločen strežnik. Namenski strežnik Log ima tudi trajno licenco in ga ni treba obnavljati.
Video vadnica
Več informacij o upravljanju licenc in tehnični podpori Check Point najdete tukaj:
Vir: www.habr.com