Saudações amigos! E finalmente chegamos à última
lição final de Check Point . Hoje falaremos sobre um tópico muito importante -
Licenciamento . Corro para avisar que esta lição não é um guia exaustivo para a seleção de equipamentos ou licenças. Este é apenas um resumo dos pontos principais que qualquer administrador do Check Point deve conhecer. Se você está realmente intrigado com a escolha de uma licença ou dispositivo, é melhor recorrer a profissionais, ou seja, para nós :). Existem muitas armadilhas sobre as quais é muito difícil falar como parte do curso, e lembrar que isso também não funcionará imediatamente.
A lição será completamente teórica, para que você possa desligar os servidores da tábua de pão e relaxar. No final do artigo, você encontrará uma vídeo aula em que falo com mais detalhes
Licenciamento de gateway
Vamos começar descrevendo os recursos de licenciamento dos gateways de segurança. E isso se aplica tanto aos monitores de ferro quanto aos virtuais. Suponha que você decida comprar um gateway. É impossível comprar apenas um pedaço de ferro ou uma máquina virtual sem "assinaturas"! Existem três opções de assinatura:
E agora o primeiro recurso interessante! Você pode comprar um dispositivo ou máquina virtual apenas com assinaturas NGTP ou NGTX. Mas quando você renova sua assinatura, já pode escolher o pacote NGFW, caso não precise dos blades AV, AB, URL, AS, TE e TX. Aqui está um momento. As assinaturas podem ser adquiridas por um período de um, dois ou três anos.
Eu posso prever sua primeira pergunta! “
O que acontece se a assinatura não for renovada? " Eu destaquei especificamente em verde as lâminas que SEMPRE funcionarão, e SEM renovações. O chamado sangramento perpétuo. As lâminas restantes, que exigem atualização constante, simplesmente param de funcionar. Bem, exceto que o IPS ainda funcionará com assinaturas principais (mas existem muito poucas). Isso é verdade para glândulas e máquinas virtuais, ou seja, vSec.
Como item separado, destaquei três lâminas que não estão incluídas em nenhum conjunto: DLP, MAB e Capsule.
Lembre-se também de que, se você estiver comprando uma solução de cluster, selecione o modelo com o sufixo HA (ou seja, alta disponibilidade) como o segundo dispositivo. Há um exemplo para o gateway 5400 na figura.É para gateways. Agora o servidor de gerenciamento.
Licenciamento do servidor de gerenciamento
Como já dissemos nas primeiras lições, existem dois cenários para implementar o Check Point: Independente (quando o gateway e o gerenciamento estão no mesmo dispositivo) e Distribuído (quando o servidor de gerenciamento é movido para um dispositivo separado). No entanto, as opções não param por aí. Vejamos três cenários típicos de implantação do servidor de gerenciamento:
- Compre NGSM dedicado . A opção mais popular. Escolha um hardware Smart-1 ou um Virtalka. Obviamente, você escolhe com base em quantos gateways administrará, 5, 10, 25 etc. Ao implantar este dispositivo, você pode usar os quatro blades principais do servidor de gerenciamento: NPM (ou seja, gerenciamento de políticas), Log e Status (ou seja, log), Evento Inteligente (SIEM da Check Point, que fornece todos os relatórios) e Conformidade (é uma avaliação da qualidade das configurações, seja para conformidade com quaisquer requisitos regulamentares, o mesmo PCI DSS ou simplesmente as Melhores Práticas). É imediatamente evidente que as lâminas NPM e LS são lâminas permanentes, isto é, funcionará sem renovação de assinaturas, mas os blades Smart Event e Compliance estão incluídos apenas no primeiro ano! Então eles precisam ser renovados por algum dinheiro. Este é um ponto importante, não se esqueça. E se você ainda pode viver sem a folha de Conformidade, o Smart Event é definitivamente necessário para absolutamente todos.
- Adquirindo um servidor dedicado de gerenciamento de eventos, além de um servidor de gerenciamento NGSM existente. Por que isso é necessário? O fato é que a funcionalidade de log e, especialmente, o Smart Event "consomem" recursos de sistema muito decentes. E se houver muitos logs, isso pode levar a "freios" no servidor de gerenciamento. Portanto, eles costumam praticar a remoção dessa funcionalidade em um dispositivo separado, em um hardware Smart-1 ou, novamente, em uma máquina virtual. Grandes integrações com um grande número de logs quase sempre requerem um servidor dedicado para o Smart Event. Ele pode pegar toras. Portanto, seu servidor de gerenciamento executará apenas funções de gerenciamento. Isso melhora muito a estabilidade e a resposta do sistema. Como você pode ver, ao adquirir um servidor Smart Event dedicado, você obtém esses dois blades para uso contínuo, mesmo sem uma extensão. No horizonte de 3 a 4 anos, será ainda mais econômico do que comprar extensões Smart Event para um servidor NGSM regular a cada ano.
- Servidor de gerenciamento de log dedicado , que vem além dos servidores NGSM e Smart Event. Eu acho que entendi. Com um número MUITO grande de logs, podemos levar a função de log para um servidor separado. O servidor de log dedicado também possui uma licença permanente e não requer renovação.
Vídeo aula
Aqui você encontrará informações adicionais sobre gerenciamento de licenças e suporte técnico da Check Point: