Вітаю, друзі! І ми нарешті дісталися до останнього, заключного уроку Check Point Getting Started. Сьогодні ми поговоримо про дуже важливу тему. Ліцензування. Поспішаю попередити, що цей урок не є вичерпним посібником з вибору обладнання чи ліцензій. Це лише стислий виклад ключових моментів, які повинен знати будь-який адміністратор Check Point. Якщо ви дійсно спантеличені вибором ліцензії чи пристрою, краще звернутися до професіоналів, тобто. до нас :). Дуже багато підводного каміння, про яке дуже важко розповісти в рамках курсу, та й запам'ятати це теж відразу не вийде.
Урок у нас буде повністю теоретичним, так що можете вимикати свої макетні сервери та розслабитися. Наприкінці статті ви знайдете відео урок, де я розповідаю все докладніше
Ліцензування шлюзу
Почнемо з опису ліцензійних особливостей шлюзів безпеки. Причому це стосується як залізних аплайнсів, так і віртуалок. Допустимо ви вирішили купити шлюз. Купити просто залізницю чи віртуалку без «підписок» – неможливо! При цьому існує три варіанти передплат:
А тепер перша цікава особливість! Придбати пристрій або віртуалку можна тільки з підписками NGTP або NGTX. А ось коли продовжуватимете свою підписку, то вже можна буде вибрати пакет NGFW, якщо вам не потрібні блейди AV, AB, URL, AS, TE і TX. Ось такий момент. Самі передплати можна купувати терміном на рік, два чи три роки.
Можу передбачити ваше перше питання! “Що буде, якщо передплату не продовжити?”. Я спеціально виділив зеленим кольором ті блейди, які працюватимуть ЗАВЖДИ, та БЕЗ продовжень. Так звані perpetual бліди. Інші ж блейди, які вимагають постійного оновлення, просто перестануть працювати. Ну хіба що IPS залишаться працювати ключові сигнатури (але їх дуже мало). Це як для залізок, так віртуалок, тобто. vSec.
Окремим пунктом я виділив три блейди, які не входять до жодного комплекту, це: DLP, MAB і Capsule.
Також пам'ятайте, що якщо ви купуєте кластерне рішення, то як другий пристрій вибирайте модель з суфіксом HA (тобто High Availability). На малюнку є приклад для шлюзу 5400. Це що стосується шлюзів. Тепер управління сервером.
Ліцензування сервера керування
Як ми вже говорили ще в перших уроках, є два сценарії впровадження Check Point: Standalone (коли шлюз і менеджмент на одному пристрої) і Distributed (коли менеджмент сервер виноситься на окремий пристрій). Однак, варіанти на цьому не закінчуються. Давайте розглянемо три типові сценарії розгортання управління сервером:
- Купівля виділеного NGSM. Найпопулярніший варіант. Вибираєте заліза або Smart-1, або вірталку. Вибираєте звичайно виходячи з того, скільки шлюзів ви адмініструватимете, 5, 10, 25 і т.д. Розгорнувши цей пристрій, ви можете користуватися 4-ма ключовими блейдами сервера управління: NPM (тобто управління політиками), Logging and Status (тобто логування), Smart Event (SIEM від Check Point, який дає нам всю звітність) і Compliance (це оцінка якості налаштувань, або на відповідність будь-яким регуляторним вимогам, той же PCI DSS, або просто Best Practice). Відразу видно, що блейди NPM і LS це постійні блейди, тобто. будуть працювати і без продовження підписок, а ось блейди Smart Event та Compliance йдуть у комплекті лише на перший рік! Далі їх треба продовжувати за окремі гроші. Це важливий момент, не забувайте. І якщо без Compliance блейда ще можна жити, то Smart Event вже точно потрібний всім.
- Купівля виділеного Event Management сервера В ДОПОЛНЕННЯ до вже наявного сервера керування NGSM. Навіщо це потрібно? Справа в тому, що функціонал логування і особливо Smart Event «від'їдає» дуже пристойні системні ресурси. І якщо ліг досить багато, то це може призводити до "гальм" на сервері управління. Тому часто практикують винесення цього функціоналу на окремий пристрій, залізку Smart-1 або знову ж таки віртуалку. Великі інтеграції з великою кількістю логів практично завжди вимагають виділеного сервера під Smart Event. Він може приймати логи. Таким чином, ваш сервер управління буде виконувати тільки функції управління. Це значно підвищує стабільність та відгук системи. Як можна помітити, при покупці виділеного Smart Event сервера ви отримуєте ці два блейди на постійне використання, навіть без продовження. У горизонті 3-4 років це буде навіть економічно вигідніше, ніж купувати продовження Smart Event для звичайного сервера NGSM щороку.
- Виділений Log management сервер, який йде на додаток до NGSM та Smart Event серверів. Змил думаю зрозумілий. При дуже великій кількості логів ми можемо винести функцію логування на окремий сервер. Виділений Log сервер теж має постійну ліцензію і не потребує продовження.
Відео урок
Тут ви знайдете додаткову інформацію про керування ліцензіями та технічну підтримку Check Point:
Джерело: habr.com