blades - Westcon

Arquitetura de Soluções
Check Point
Junior, A. C. Aguiar
Security Product Manager
[email protected]
Agenda
Software Blade – O que é?
Blades de Gateway
Blades de Gerência
Blades de Endpoint
Compondo as soluções
Software Blade
O que é?
O que é software blade?
Software blade é
construir a segurança
em blocos
Independente
Modular
Gerenciamento
Centralizado
Como trabalha?
Selecione o container
Selecione os blades
Configure o sistema
Uma biblioteca de Software Blades
Event Correlation
Reporting
Messaging Security
Management Extensions
Multi Domain Mgnt
Anti-Malware
Provisioning
Anti Virus
Monitoring
VPN
Data Security
URL Filtering
Log Management
Policy Management
Segurança
Endpoint
Network Firewall
Application Firewall
Gerenciamento
Endpoint Security Mngt
IPS Basic
Segurança de
Rede
Blades de Gateway
Blades de Gateway
Blade comum
– sem data de expiração
– necessita de suporte para renovar apenas a versão
Blade de serviço
– inativa após expiração (normalmente 1 ano)
– necessidade de renovação para funcionar
Blades de Gateway (Comum)
Firewall (FW)
VPN IPSEC (VPN)
Mobile Access (MOB)
Identity Awareness (IA)
Advanced Networking (ADN)
Acceleration & Clustering (ACCL)
Web Security (WS)*
* Dependente da blade de IPS
Blades de Gateway (Serviços*)
IPS e IPS for Small Business (IPS-S / IPS / IPS-L)
Application Control (APCL)
URL Filtering (URLF)
Anti-Virus & Anti-Malware (AV)
Anti-Spam & Email Security (ASPM)
Total Security e TS for Small Business (TS-M / TS-L)
Data Loss Prevention (DLP-x)**
* Devem ser renovadas anualmente !!!
** Disponibilidade a partir da versão R75
Blades de Gateway (Comum)
Mobile Access (MOB)
–
–
–
–
Acesso Remoto com Tecnologia SSL VPN Criptografada
Check Point Mobile Client
SSL VPN Portal
SSL Network Extender (On-demand client - SNX)
Mobile Access Software Blade
Easy Access to Email and Applications
Mobile Access Software Blade
Simple for end-user
Tap “Check
Point Mobile”
Enter your
password
Gain secure
access to
your data!
Blades de Gateway (Comum)
Identity Awareness (IA)
– Regras de Acessos Configuráveis
– Métodos de Identificação para Múltiplos Usuários:
– Clientless
– Captive Portal
– Identity Agent
– Deployment Wizard
– Identity Sharing
Blades de Gateway (Serviços)
IPS e IPS for Small Business (IPS-S / IPS /
IPS-L)*
– IPS completo
– NÃO é o antigo SmartDefense (veio para
substituí-lo)
– Código completamente novo
– Até 15 Gbps de throughput (Power-1 11085)
– #1 em proteções para Adobe / MS em 2008/2009
– Premiado pela NSS Labs
* IPS-S – licença mais barata para algumas
soluções (veja http://pricelist.checkpoint.com)
Blades de Gateway (Serviços)
Application Control (APCL)*
–
–
–
–
Controle de Detecção e Uso de Aplicações
Biblioteca de Aplicações Classificadas pela AppWiki
UserCheck
User and machine awareness
* Disponibilidade a partir da versão R75
Application Detection and
Usage Controls
Application Detection
and Usage Controls
Enable access for
support team
Identify, allow, block or limit usage of
applications at user or group level
Blades de Gateway (Serviços)
Total Security e TS for Small Business (TS-M / TS-S)
– TS = IPS + APCL + URLF + AV + ASPM
– $ TS < $ IPS + APCL + URLF + AV + ASPM
* TS-S – licença mais barata para algumas soluções
(veja http://pricelist.checkpoint.com)
Blades de Gerência
Blades de Gerência
Network Policy Management (NPM)
Endpoint Policy Management (EPM)
Logging & Status (LOGS)
Monitoring (MNTR)
SmartProvisioning (PRVS)
Management Portal (MPTL)
User Directory (UDIR)
SmartEvent Intro (EVNT-INT)
SmartEvent & SmartReporter (EVS-Cxxx)
SmartWorkflow (WKFL-x)
Blades de Gerência
Network Policy Management (NPM)
– SmartDashboard
– Interface única de configuração
– Interface gráfica intuitiva
Blades de Gerência
Blades de Gerência
Endpoint Policy Management (EPM)
– NÃO é licença de cliente
– Habilita algumas funcionalidades de
gerência da solução Endpoint Security
* Atualmente a gerência completa da solução
Endpoint Security é realizada através de uma
console própria
Blades de Gerência
Logging & Status (LOGS)
–
–
–
–
Logs de eventos
Auditoria
Conexões ativas
Status dos Dispositivos
Blades de Gerência
Blades de Gerência
Blades de Gerência
SmartWorkflow (WKFL-x)
–
–
–
–
Gerência de mudanças da política de segurança
Fácil visualização das mudanças propostas
Aprovação é necessária para implementação
Licenciado pelo número de gateways
Blades de Gerência
Blades de Gerência
Blades de Gerência
Blades de Endpoint
Blades de Endpoint
Blade perpétua
– sem data de expiração
– necessita de suporte para renovar apenas a versão
Blade anual
– inativa após expiração (normalmente 1 ano)
– necessidade de renovação para funcionar
* Gerenciamento da solução Endpoint
já incluso em ambas opções.
Blades de Endpoint (Perpétua)
Firewall (FW)
Full Disk Encryption (FDE-P)
Media Encryption (ME-P)
Remote Access VPN (VPN-P)
Web Check (WEBC-P)
Total Security (TS-P)*
* TS Perpétua não inclui a blade de
Anti-Malware.
Blades de Endpoint (Anual*)
Firewall (FW)
Full Disk Encryption (FDE)
Media Encryption (ME)
Remote Access VPN (VPN)
Anti-Malware and Program Control (AM)
Web Check (WEBC)
Total Security (TS)**
* Devem ser renovadas anualmente !!!
** TS Annual inclui todas as blades,
inclusive Anti-Malware.
ATENÇÃO!!!
Notas importantes:
– Blades de UTM (URLF, AV, ASPM, TS) não rodam em IP
appliance.
– Power-1 e IP appliance não tem gerência inclusa. Devemos
cotar à parte.
– Power-1 e IP appliance não possui part number de HA.
– Blades de HA só podem ser utilizadas em containers de HA.
– Bundles ou Packages não podem ter suas blades movidas. As
únicas blades que podem ser movidas para outros containers
são aquelas adquiridas separadamente.
FERRAMENTAS ÚTEIS
Lista de preços na web:
– Detalhes sobre a composição dos part numbers e informações
sobre licenciamento, tais como restrições, licenças adicionais
inclusas ou necessárias.
– http://pricelist.checkpoint.com
Informações sobre os appliances:
– Detalhes sobre os appliances, tais como número de interfaces,
tipo, throughput (FW, VPN e IPS), conexões simultâneas, etc.
– http://www.checkpoint.com/products/downloads/appliances/ope
nchoice_brochure.pdf
– http://www.checkpoint.com/products/downloads/appliances/appl
iance-comparison-chart.pdf
Compondo as soluções
Formato do Part Number / SKU
A primeira seção representa a família do produto:
–
–
–
–
CPSG = Check Point Security Gateway
CPSM = Check Point Security Management
CPAP= Check Point Appliance
CPSB = Check Point Security Blade
A segunda seção representa a sub-família do produto:
–
–
–
–
–
–
C101 = Container for 1 core hardware, includes 1 blade.
C401 = Container for 4 cores, includes 1 blade
P205 = Package (bundle) for 2 cores, includes 5 blades.
SG276 = Security Gateway appliance model 270, includes 6 blades.
SG9075 = Security Gateway appliance model 9070, includes 5 blades
PU007 = Package for Unlimited managed gateway, includes 7 blades.
Formato do Part Number / SKU
Formato do Part Number / SKU
Formato do Part Number / SKU
Formato do Part Number / SKU
Formato do Part Number / SKU
Duas opções
Opção 1:
A La Carte
Opção 2:
Pre-Defined Systems*
SG103
1 core
3 blades
SG407
4 cores
7 blades
SG805
8 cores
5 blades
*Examples
Compondo um gateway
Passo 1
Passo 2
Passo 3
Selecione o container
# núcleos
# usuários
Selecione as “blades”
Configure seu firewall
Compondo um gateway
Container*
–
–
–
–
CPSG-C801
CPSG-C401
CPSG-C201
CPSG-C101
Gateway
–
–
–
–
–
CPSB-VPN
CPSB-WS
CPSB-ADN
CPSB-ACCL
CPSB-VOIP
* O container já inclui a blade FW (é o significado do “1” no final do P/N)
* 8, 4, 2 e 1 é a quantidade de núcleos “em uso” no hardware.
* SG100 é limitado a 50 usuários. SG200 é limitado a 500 usuários.
SG400 e SG800 são para ilimitados usuários.
Sufixo HA - Part numbers com desconto para membros adicionais de um cluster
(ex: CPSB-WS-HA)
Compondo um gateway
Gateway – Serviços
–
–
–
–
–
–
–
CPSB-TS-M
CPSB-TS-S*
CPSB-IPS
CPSB-IPS-S*
CPSB-URLF
CPSB-AV
CPSB-ASPM
– CPSB-DLP-U **
– CPSB-DLP-1500 ***
– CPSP-DLP-500 ****
* Blades para “Small Business”
** Mais de 1.500 usuários, até 250.000 e-mails por hora e máximo de 2,5 Gbps
de throughput
*** De 500 a 1.500 usuários, até 50.000 e-mails por hora e máximo de 1,5 Gbps
de throughput
**** Até 500 usuários, até 15.000 e-mails por hora e máximo de 700 Mbps
Sufixo HA - Part numbers com desconto para membros adicionais de um cluster
(ex: CPSB-IPS-HA)
Gateways pré-definidos
SG1207 - 12 núcleos - ilimitado - FW, IA, VPN, AND, ACCL, IPS e APCL
SG807 - 8 núcleos - ilimitado - FW, IA, VPN, AND, ACCL, IPS e APCL
SG409 - 4 núcleos - ilimitado - FW, IA, VPN, ACC, IPS, ASPM, URLF, AV e
APCL
SG407i - 4 núcleos - ilimitado - FW, IA, VPN, ADN, ACCL, IPS e ACCL
SG405 - 4 núcleos - ilimitado - FW, VPN, IPS, ADN e ACCL
SG203U - 2 núcleos - ilimitado - FW, VPN e IPS
SG209 - 2 núcleos - 500 usuários - FW, IA, VPN, ACCL, IPS, ASPM, URLF, AV e
APCL
SG207i - 2 núcleos - 500 usuários - FW, IA, VPN, ADN, ACCL, IPS e APCL
SG205i - 2 núcleos - 500 usuários - FW, IA, VPN, IPS e APCL
SG205U - 2 núcleos - ilimitado - FW, IA, VPN, IPS e APCL
SG205 - 2 núcleos - 500 usuários - FW, VPN, IPS, ADN e ACCL
SG203 - 2 núcleos - 500 usuários - FW, VPN e IPS
SG108 - 1 núcleo - 50 usuários - FW, IA, VPN, IPS, ASPM, URLF, AV e APCL
SG103 - 1 núcleo - 50 usuários - FW, VPN e IPS
Sufixo HA - Part numbers com desconto para membros adicionais de um cluster (ex: CPSB-WS-HA)
Compondo uma gerência
Passo 1
Passo 2
Passo 3
Selecione o container
# gateways
Selecione as “blades”
Configure seu
SmartCenter
LOGS
Unlimited Gateways
EPM
NPM
LOGS
MNTR
EPM
NPM
25 Gateways
MNTR
10 Gateways
Compondo uma gerência
Container*
– CPSM-CU000
– CPSM-C2500
– CPSM-C1000
Blades
– CPSB-NPM
– CPSB-EPM
– CPSB-LOGS
Blades (cont.)
–
–
–
–
–
–
–
CPSB-MNTR
CPSB-MPTL
CPSB-UDIR
CPSB-EVNT-INT
CPSB-PRVS
CPSB-EVS-Cxxx **
CPSB-WKFL-y ***
* Part number para ilimitados, 25 e 10 gateways respectivamente
** xxx = U000, 2500 ou 1000 (para container ilimitado, 25 ou 10 gateways)
*** y = U, 250, 100, 50, 25 ou 10 (número de gateways)
CPSM-C500 – Aumenta o número de gateways suportados (5 gateways adicionais)
Para redundância, duplique os part numbers
Gerências pré-definidas
SMU007 - ilimitado - NPM, EPM, LOGS, MNTR, IPSA, PRVS e UDIR
SMU003 - ilimitado - NPM, EPM e LOGS
SM2506 - 25 gateways - NPM, EPM, LOGS, MNTR, IPSA e PRVS
SM1007 - 10 gateways - NPM, EPM, LOGS, MNTR, IPSA, PRVS e UDIR
SM1003 - 10 gateways - NPM, EPM e LOGS
Bundles de gateway + gerência
CPSG-P807-CPSM-PU007
CPSG-P407i-CPSM-PU003
CPSG-P407i-CPSM-P2506
CPSG-P407i-CPSM-P1003
CPSG-P203-CPSM-P1003
CPSG-P203-CPSM-P303
CPSG-P103-CPSM-P303
CPSG-P103-CPSM-P203
Compondo a solução Endpoint
Passo 1
Passo 2
Passo 3
Selecione o container
# endpoints
Selecione as “blades”
Configure seu
Endpoint
1-100 Endpoints
MNTR
LOGS
1001-2500 Endpoints
EPM
+2500 Endpoints
+2500 Endpoints
NPM
MNTR
LOGS
EPM
NPM
101-1000 Endpoints
Compondo a solução Endpoint
Container
–
–
–
–
CPEP-C1-1TO100
CPEP-C1-101TO1000
CPEP-C1-1001TO2500
CPEP-C1-2501TOU
Blades
–
–
–
–
–
–
–
CPSB-EP-FW (ou -P)
CPSB-EP-FDE (ou -P)
CPSB-EP-ME (ou -P)
CPSB-EP-VPN (ou -P)
CPSB-EP-WEBC (ou -P)
CPSB-EP-TS (ou -P)
CPSB-EP-AM
• De uma faixa para a outra o preço cai pela metade
• Gerência do Endpoint já inclusa no licenciamento da solução
• Não existe a opção perpétua para a blade Anti-Malware.
DICAS!!!
Faça simulações entre as várias opções:
Existem várias possibilidades para atender a mesma solicitação.
Avaliar algumas opções pode fazer muita diferença no valor do
projeto. Por exemplo:
– O part number CPSG-P103-CPSM-P203 pode ser uma boa
opção para atender clientes que desejam um appliance que não
tem gerência. Mais em conta do que a SM1003.
– Faixas superiores da solução Endpoint equivalem a metade do
valor das faixas inferiores. Avalie!!!
REDUÇÃO DO VALOR DO PROJETO!!!
Obrigado!!!
Junior, A. C. Aguiar
Security Product Manager
[email protected]
+55 11 5186.4316
+55 11 9655.6250