Приветствую всех, кто продолжает читать цикл о новом поколении NGFW Check Point семейства SMB (1500 cерия). В 5 части мы рассмотрели решение SMP (портал управления для SMB шлюзов). Сегодня же хотелось бы рассказать о портале Smart-1 Cloud, он позиционирует себя как решение на базе SaaS Check Point, выполняет роль Management Server в облаке, поэтому будет актуален для любых NGFW Сheck Point. Для тех, кто только присоединился к нам, напомню ранее рассмотренные темы: инициализация и настройка , организация беспроводной передачи трафика ( WiFi и LTE) , VPN.

Выделим основные возможности Smart-1 Cloud:


  1. Единое централизованное решение управления всей вашей инфраструктурой Check Point (виртуальные и физические шлюзы различного уровня).
  2. Общий набор политик для всех Блейдов позволяет упростить процессы администрирования ( создание/редактирование правил для различных задач).
  3. Поддержка профильного подхода при работе с настройками шлюзов. Отвечает за разделение прав доступа при работе в портале, где одновременно могут выполнять различные задачи администраторы сети, специалисты аудита и т.д.
  4. Мониторинг угроз, который обеспечивает получение логов, просмотр событий в одном месте.
  5. Поддержка взаимодействия через API. Пользователь может внедрять процессы автоматизации, упрощая рутинные ежедневные задачи.
  6. Доступ по Web. Снимает ограничения, касающиеся поддержки отдельных ОС, интуитивно понятен.

Те, кто уже знаком с решениями от Check Point, могут заметить, что представленные основные возможности не отличаются от локального выделенного Management Server в вашей инфраструктуре. Отчасти они будут правы, но в случае с Smart-1 Cloud обслуживание сервера управления обеспечивается силами специалистов Check Point. Оно включает в себя: снятие бекапов, мониторинг свободного места на носителях, исправление ошибок, установка последних версий ПО. Также упрощается процесс миграции (переноса) настроек.


Лицензирование


Прежде чем знакомиться с функционалом облачного решения управления, изучим вопросы лицензирования из официального DataSheet.

Управление одним шлюзом:




Подписка зависит от выбранных блейдов управления, всего предусмотрено 3 направления:


  1. Management. Хранилище в 50 ГБ, ежедневно под логи 1 ГБ.
  2. Management + SmartEvent. Хранилище в 100 ГБ, ежедневно под логи 3 ГБ, генерация отчетов.
  3. Management + Compliance + SmartEvent. Хранилище в 100 ГБ, ежедневно под логи 3 ГБ, генерация отчетов, рекомендации по настройкам из общих практик информационной безопасности.

*Выбор зависит от многих факторов: вид логов, количество пользователей, объемы трафика.


Также имеется подписка для управления 5 шлюзами. Подробно останавливаться на этом не будем — вы всегда сможете получить информацию из DataSheet.


Запуск Smart-1 Cloud


Опробовать решение может каждый желающий, для этого нужно зарегистрироваться в Infinity Portal — облачный сервис от Check Point, в котором можно получить триальный доступ к следующим направлениям:


  • Cloud Protection (CloudGuard SaaS, CloudGuard Native);
  • Network Protection (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
  • Endpoint Protection (Sandblast Agent Management Platform, SandBlast Agent Cloud Management, Sandblast Mobile).

Мы же авторизуемся c вами в системе (для новых пользователей требуется регистрация) и перейдем в решение Smart-1 Cloud:




Вам кратко расскажут о плюсах этого решения (Управление инфраструктурой, не требуется установки, обновляется автоматически).




После заполнения полей нужно будет дождаться подготовки формирования учетной записи для входа в портал:




В случае успешной операции вы получите на почту (указанную при входе в Infinity Portal) информацию о регистрации, также вы будете переадресованы на главную страницу Smart-1 Cloud.




В качестве доступных вкладок портала:


  1. Запуск SmartConsole. С помощью установленного приложения на ваш ПК, либо использовать веб-интерфейс.
  2. Синхронизация с объектом шлюза.
  3. Работа с логами.
  4. Настройки.


Cинхронизация со шлюзом


Начнем с синхронизации Security Gateway, для этого его нужно добавить как объект. Перейдите во вкладку “Connect Gateway”




Необходимо ввести уникальное имя шлюза, можно добавить комментарий к объекту. После чего нажать “Register”.




Появится объект шлюза, который необходимо будет синхронизировать с Management Server, выполняя CLI-команды для шлюза:


  1. Убедиться, что на шлюзе установлен последний JHF (Jumbo Hotfix).
  2. Установить токен подключения: set security-gateway maas on auth-token
  3. Проверить состояние тоннеля синхронизации:
    MaaS Status: Enabled
    MaaS Tunnel State: Up
    MaaS domain-name:
    Service-Identifier.maas.checkpoint.com
    Gateway IP for MaaS Communication: 100.64.0.1

После того, как были подняты службы для Mass Tunnel, вы должны перейти к установке SIC-соединения между шлюзом и Smart-1 Cloud в Smartconsole. В случае успешной операции будет получена топология шлюза, приложим пример:




Таким образом, при использовании Smart-1 Cloud, шлюз подключается в “серую” сеть 10.64.0.1.


Дополню, что на нашем макете сам шлюз выходит в Интернет с помощью NAT, соответственно, публичного IP-адреса на его интерфейсе нет, тем не менее, мы можем им управлять извне. Это еще одна интересная особенность Smart-1 Cloud, благодаря которой создается отдельная подсеть управления со своим пулом IP-адресов.


Заключение


После того, как вы успешно добавили шлюз для управления через Smart-1 Cloud, вы получаете полноценный доступ, как и в Smart Console. На нашем макете мы запустили веб-версию, фактически, это поднятая виртуальная машина с запущенным клиентом управления.




О возможностях Smart Console и архитектуре Check Point вы всегда можете узнать более подробно в нашем авторском курсе.

На сегодня все, нас ждет завершающая статья цикла, в которой мы коснемся возможностей по тюнингу производительности семейства SMB 1500 серии с установленной Gaia 80.20 Embedded.


Большая подборка материалов по Check Point от TS Solution. Следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен)