Saludos amigos! Y finalmente llegamos a la 煤ltima
lecci贸n final de Check Point Getting Started . Hoy hablaremos de un tema muy importante: las
licencias . Me apresuro a advertir que esta lecci贸n no es una gu铆a exhaustiva para la selecci贸n de equipos o licencias. Esto es solo un resumen de los puntos clave que cualquier administrador de Check Point debe conocer. Si est谩 realmente desconcertado por la elecci贸n de una licencia o dispositivo, entonces es mejor recurrir a profesionales, es decir a nosotros :) Hay muchas trampas de las que es muy dif铆cil hablar en el marco del curso, y tampoco podr谩s recordar esto de inmediato.
La lecci贸n ser谩 completamente te贸rica, por lo que puede apagar los servidores de la placa y relajarse. Al final del art铆culo encontrar谩 una lecci贸n en video donde hablo con m谩s detalle.
Licencia de puerta de enlace
Comencemos describiendo las caracter铆sticas de licencia de las puertas de enlace de seguridad. Y esto se aplica tanto a las superposiciones de hierro como a los virtualoks. Supongamos que decide comprar una puerta de enlace. 隆Es imposible comprar solo una pieza de hierro o una m谩quina virtual sin "suscripciones"! Hay tres opciones de suscripci贸n:
隆Y ahora la primera caracter铆stica interesante! Puede comprar un dispositivo o m谩quina virtual solo con suscripciones NGTP o NGTX. Pero cuando renueve su suscripci贸n, ya puede elegir el paquete NGFW si no necesita blades AV, AB, URL, AS, TE y TX. Aqu铆 hay un momento. Las suscripciones se pueden comprar por un per铆odo de uno, dos o tres a帽os.
隆Puedo predecir tu primera pregunta! "
驴Qu茅 sucede si la suscripci贸n no se renueva? " Destaqu茅 espec铆ficamente en verde aquellas cuchillas que SIEMPRE funcionar谩n, y SIN renovaciones. El llamado sangrado perpetuo. Los blades restantes, que requieren una actualizaci贸n constante, simplemente dejar谩n de funcionar. Bueno, excepto que IPS seguir谩 funcionando con firmas clave (pero hay muy pocas de ellas). Esto es cierto tanto para las gl谩ndulas como para las m谩quinas virtuales, es decir. vSec.
Como elemento separado, destaqu茅 tres blades que no est谩n incluidos en ning煤n conjunto, estos son: DLP, MAB y Capsule.
Recuerde tambi茅n que si est谩 comprando una soluci贸n de cl煤ster, seleccione el modelo con el sufijo HA (es decir, Alta disponibilidad) como segundo dispositivo. En la imagen hay un ejemplo para la puerta de enlace 5400. Esto es para puertas de enlace. Ahora el servidor de gesti贸n.
Licencias de Servidor de Administraci贸n
Como ya dijimos en las primeras lecciones, hay dos escenarios para implementar Check Point: Independiente (cuando tanto la puerta de enlace como la administraci贸n est谩n en el mismo dispositivo) y Distribuido (cuando el servidor de administraci贸n se mueve a un dispositivo separado). Sin embargo, las opciones no terminan ah铆. Veamos tres escenarios t铆picos de implementaci贸n del servidor de administraci贸n:
- Compra dedicada NGSM . La opci贸n m谩s popular. Elija una pieza de hardware Smart-1 o una Virtalka. Por supuesto, usted elige en funci贸n de cu谩ntas puertas de enlace administrar谩, 5, 10, 25, etc. Al implementar este dispositivo, puede usar los 4 blades clave del servidor de administraci贸n: NPM (es decir, administraci贸n de pol铆ticas), Registro y estado (es decir, registro), Evento inteligente (SIEM desde Check Point, que nos brinda todos los informes) y Cumplimiento (esta es una evaluaci贸n de la calidad de la configuraci贸n, ya sea para el cumplimiento de los requisitos reglamentarios, el mismo PCI DSS o simplemente las mejores pr谩cticas). Es inmediatamente evidente que las cuchillas NPM y LS son cuchillas permanentes, es decir funcionar谩 sin renovaci贸n de suscripciones, 隆pero las cuchillas Smart Event y Compliance se incluyen solo durante el primer a帽o! Luego necesitan ser renovados por algo de dinero. Este es un punto importante, no lo olvides. Y si a煤n puede vivir sin la hoja Cumplimiento, entonces el Evento Inteligente es definitivamente necesario para todos.
- Adquirir un servidor de gesti贸n de eventos dedicado ADEM脕S de un servidor de gesti贸n NGSM existente. 驴Por qu茅 se necesita esto? El hecho es que la funcionalidad de registro y especialmente Smart Event "consume" recursos del sistema muy decentes. Y si hay muchos registros, esto puede conducir a "frenos" en el servidor de administraci贸n. Por lo tanto, a menudo practican la eliminaci贸n de esta funcionalidad en un dispositivo separado, una pieza de hardware Smart-1 o, de nuevo, una m谩quina virtual. Las grandes integraciones con una gran cantidad de registros casi siempre requieren un servidor dedicado para Smart Event. 脡l puede tomar troncos. Por lo tanto, su servidor de administraci贸n solo realizar谩 funciones de administraci贸n. Esto mejora enormemente la estabilidad y respuesta del sistema. Como puede ver, cuando compra un servidor Smart Event dedicado, obtiene estos dos blades para uso continuo, incluso sin una extensi贸n. En el horizonte de 3-4 a帽os, ser谩 a煤n m谩s econ贸mico que comprar extensiones de Smart Event para un servidor NGSM cada a帽o.
- Servidor de gesti贸n de registros dedicado , que viene adem谩s de los servidores NGSM y Smart Event. Creo que lo entend铆. Con una gran cantidad de registros, podemos mover la funci贸n de registro a un servidor separado. El servidor de registro dedicado tambi茅n tiene una licencia permanente y no requiere renovaci贸n.
Lecci贸n de video
Aqu铆 encontrar谩 informaci贸n adicional sobre la gesti贸n de licencias y el soporte t茅cnico de Check Point: