Приветствую всех, кто продолжает читать цикл о новом поколении NGFW Check Point семейства SMB (1500 cерия). В 5 части мы рассмотрели решение SMP (портал управления для SMB шлюзов).
Сегодня же хотелось бы рассказать о портале Smart-1 Cloud. Он позиционирует себя как решение на базе SaaS Check Point, выполняет роль Management Server в облаке, поэтому будет актуален для любых NGFW Сheck Point.
Для тех, кто только присоединился к нам, напомню ранее рассмотренные темы: инициализация и настройка , организация беспроводной передачи трафика ( WiFi и LTE) , VPN.
Выделим основные возможности Smart-1 Cloud:
- Единое централизованное решение управления всей вашей инфраструктурой Check Point (виртуальные и физические шлюзы различного уровня)
- Общий набор политик для всех Блейдов позволяет упростить процессы администрирования ( создание/редактирование правил для различных задач)
- Поддержка профильного подхода при работе с настройками шлюзов. Отвечает за разделение прав доступа при работе в портале, где одновременно могут выполнять различные задачи администраторы сети, специалисты аудита и т.д.
- Мониторинг угроз, который обеспечивает получение логов, просмотр событий в одном месте
- Поддержка взаимодействия через API. Пользователь может внедрять процессы автоматизации, упрощая рутинные ежедневные задачи
- Доступ по Web. Снимает ограничения, касающиеся поддержки отдельных ОС, интуитивно понятен
Те, кто уже знаком с решениями от Check Point, могут заметить, что представленные основные возможности не отличаются от локального выделенного Management Server в вашей инфраструктуре.
Отчасти они будут правы, но в случае с Smart-1 Cloud обслуживание сервера управления обеспечивается силами специалистов Check Point. Оно включает в себя: снятие бекапов, мониторинг свободного места на носителях, исправление ошибок, установку последних версий ПО. Также упрощается процесс миграции (переноса) настроек.
Лицензирование
Прежде чем знакомиться с функционалом облачного решения управления, изучим вопросы лицензирования из официального DataSheet.
Управление одним шлюзом:
Подписка зависит от выбранных блейдов управления. Всего предусмотрено 3 направления:
- Management. Хранилище в 50 ГБ, ежедневно под логи 1 ГБ
- Management + SmartEvent. Хранилище в 100 ГБ, ежедневно под логи 3 ГБ, генерация отчетов
- Management + Compliance + SmartEvent. Хранилище в 100 ГБ, ежедневно под логи 3 ГБ, генерация отчетов, рекомендации по настройкам из общих практик информационной безопасности
*Выбор зависит от многих факторов: вид логов, количество пользователей, объемы трафика.
Также имеется подписка для управления 5 шлюзами. Подробно останавливаться на этом не будем — вы всегда сможете получить информацию из DataSheet.
Запуск Smart-1 Cloud
Опробовать решение может каждый желающий. Для этого нужно зарегистрироваться в Infinity Portal — облачный сервис от Check Point, в котором можно получить триальный доступ к следующим направлениям:
- Cloud Protection (CloudGuard SaaS, CloudGuard Native)
- Network Protection (CloudGuard Connect, Smart-1 Cloud, Infinity SOC)
- Endpoint Protection (Sandblast Agent Management Platform, SandBlast Agent Cloud Management, Sandblast Mobile)
Мы же авторизуемся c вами в системе (для новых пользователей требуется регистрация) и перейдем в решение Smart-1 Cloud:
Вам кратко расскажут о плюсах этого решения (управление инфраструктурой, не требуется установки, обновляется автоматически).
После заполнения полей нужно будет дождаться подготовки формирования учетной записи для входа в портал:
В случае успешной операции вы получите на почту (указанную при входе в Infinity Portal) информацию о регистрации. Также вы будете переадресованы на главную страницу Smart-1 Cloud.
В качестве доступных вкладок портала:
- Запуск SmartConsole. С помощью установленного приложения на ваш ПК, либо использовать веб-интерфейс
- Синхронизация с объектом шлюза
- Работа с логами
- Настройки
Cинхронизация со шлюзом
Начнем с синхронизации Security Gateway. Для этого его нужно добавить как объект. Перейдите во вкладку “Connect Gateway”
Необходимо ввести уникальное имя шлюза. Можно добавить комментарий к объекту. После чего нажать “Register”
Появится объект шлюза, который необходимо будет синхронизировать с Management Server, выполняя CLI-команды для шлюза:
- Убедиться, что на шлюзе установлен последний JHF (Jumbo Hotfix)
- Установить токен подключения: set security-gateway maas on auth-token
- Проверить состояние тоннеля синхронизации:
MaaS Status: Enabled
MaaS Tunnel State: Up
MaaS domain-name:
Service-Identifier.maas.checkpoint.com
Gateway IP for MaaS Communication: 100.64.0.1
После того, как были подняты службы для Mass Tunnel, вы должны перейти к установке SIC-соединения между шлюзом и Smart-1 Cloud в Smartconsole. В случае успешной операции будет получена топология шлюза, приложим пример:
Таким образом, при использовании Smart-1 Cloud, шлюз подключается в “серую” сеть 10.64.0.1.
Дополню, что на нашем макете сам шлюз выходит в Интернет с помощью NAT, соответственно, публичного IP-адреса на его интерфейсе нет. Тем не менее, мы можем им управлять извне. Это еще одна интересная особенность Smart-1 Cloud, благодаря которой создается отдельная подсеть управления со своим пулом IP-адресов.
Заключение
После того, как вы успешно добавили шлюз для управления через Smart-1 Cloud, вы получаете полноценный доступ, как и в Smart Console. На нашем макете мы запустили веб-версию. Фактически, это поднятая виртуальная машина с запущенным клиентом управления.
О возможностях Smart Console и архитектуре Check Point вы всегда можете узнать более подробно в нашем авторском курсе.
На сегодня все. Впереди нас ждет завершающая статья цикла, в которой мы коснемся возможностей по тюнингу производительности семейства SMB 1500 серии с установленной Gaia 80.20 Embedded.
Автор : Никита Турков. Инженер информационной безопасности
Большая подборка материалов по Check Point от TS Solution.
Подписывайтесь на наш канал, чтобы не пропустить обновления ✅
#межсетевой экран #сетевые технологии #информационная безопасность #it-инфраструктура #серверное администрирование
