Новые разработки от Check Point

Система Multi-Domain Management выросла из решения Provider-1, которое было реализовано еще в 1998 году и постепенно на протяжении 12 лет эволюционировало в Multi-Domain Management. Это решение позволяет управлять большим количеством smart-центров, то есть строить иерархические системы управления многодоменными системами.

Теперь на крупных предприятиях со сложной ИТ-инфраструктурой появляется возможность упростить управление политикой безопасности путем ее деления по уровням и типам (на основании географических, функциональных и других параметров). Программные блейды Multi-Domain Management базируются на технологии Provider-1 и поддерживают несколько доменов. Multi-Domain Management позволяют ИТ-администраторам консолидировать управление безопасностью при одновременном сохранении независимости каждого домена. Администратор может централизованно настраивать и управлять межсетевым экраном, VPN, IPS и другими системами безопасности во всех доменах, в то время как другие функции будут настраиваться для каждого домена индивидуально в зависимости от прав пользователя. Кроме того, с помощью программного блейда Global Policy можно легко регулировать уровень безопасности сразу в нескольких доменах. При этом многодоменные программные блейды Multi-Domain Management легко встраиваются в действующую инфраструктуру безопасности, что значительно упрощает работу системных администраторов. При необходимости добавления нового домена они могут расширить систему, подключив дополнительный программный блейд стоимостью $1500. Многодоменные программные блейды Check Point можно также приобретать в составе устройств Smart-1. 

Ключевыми характеристиками программных блейдов Multi-Domain Management являются: централизованное управление всеми компонентами многодоменной системы с помощью единой консоли, а также еще большая гибкость за счет тонких настроек безопасности каждого домена и прав пользователя. В то же время, благодаря единой глобальной политике безопасности для всех доменов, обеспечивается максимальная эффективность всей системы при уменьшении расходов на аппаратное обеспечение и снижение общей стоимости ее владения. 

«Его имеет смысл реализовывать в том случае, если компания использует географически разветвленную структуру управления, когда в каждом из филиалов используется свой smart-центр для управления своими межсетевыми экранами, – рассказал консультант по безопасности Check Point Software Technologies Алексей Андрияшин. – Система также необходима в случае объединения компаний и организации централизованного управления. На практике происходит следующее: выделяется один суперадминистратор, создающий какие-либо глобальные политики безопасности, которым должны подчиняться все smart-центры и все локальные администраторы на местах. А последние уже в рамках своих полномочий могут создавать собственные политики безопасности, но лишь в рамках глобальной политики». 

По словам Алексея Андрияшина, существует два программно-аппаратных комплекса Smart 1-50 и Smart 1-150, которые, исходя из названия, рассчитаны на 50 и 150 доменов соответственно. Изначально это решение было рассчитано на крупных enterprise-заказчиков и management service-провайдеров. Но теперь можно начинать с простых решений, управляющих всего одним-двумя доменами, а затем постепенно наращивать мощность системы путем приобретения соответствующих блейдов. «Ранее система Provider-1 была довольно дорогостоящей, и ее приобретение требовало достаточно крупных административных и технологических усилий. Теперь организации, уже имеющие обычный Smart-центр, могут установить соответствующий блейд (от $1500), который позволит реализовать схему мультидоменного менеджмента», – подчеркнул г-н Андрияшин. 

Что касается нового шлюза безопасности – устройства Series 80 Appliance, то оно специально было разработано для филиалов и удаленных офисов организаций, а его стоимость не превышает $2,5 тыс. Оно базируется на архитектуре программных блейдов Check Point и обеспечивает высокую пропускную способность (1,5 Гбит/с). Check Point Series 80 Appliance позволяет развертывать различные программные блейды: межсетевой экран, систему предотвращения вторжений (IPS), VPN, средства антивирусной защиты, URL-фильтрацию, защиту электронной почты от спама и вирусов. При этом новое устройство обеспечивает наилучшее в своем классе сочетание «цена/производительность»: менее чем $1,6/Мбит/с для межсетевого экрана и $5,6/Мбит/с для IPS (Intrusion Prevention System). Собранное в компактном настольном корпусе и имея 10 портов GbE, оно особенно удобно для небольших удаленных офисов, а также обеспечивает управление безопасностью компьютерных сетей во всех филиалах организации. Таким образом, с помощью нового устройства удаленные филиалы могут поддерживать у себя тот же уровень безопасности и гибкости системы, что и в крупных головных офисах предприятий.

Устройство Series 80 Appliance не ограничено по количеству защищаемых пользователей (зависит от сетевой нагрузки) и предназначено, прежде всего, для филиалов. Так как оно не управляется самостоятельно, управление им осуществляется либо со smart-центра, либо с иерархической системы управления Provider-1, которые, как правило, устанавливаются в штаб-квартирах крупных компаний. Check Point Series 80 Appliance сначала активируется специалистом головного офиса, а в дальнейшем работает в филиале без необходимости какой-либо технической поддержки со стороны ИТ-персонала. Политики безопасности для филиалов настраиваются системным администратором централизованно с единой консоли Check Point Security Management, после чего все настройки безопасности автоматически передаются на шлюзы удаленных офисов. При этом существенно упрощается администрирование, снижаются расходы на ИТ и обеспечивается единый высокий уровень безопасности всей корпоративной сети.

Устройство очень легко настраивать – для этого администратору или продвинутому пользователю в филиале достаточно ввести на месте IP-адрес и ключ для синхронизации со smart-центром. Оно автоматически подключается к нему и закачивает на себя корпоративную политику безопасности. При этом устройство может поддерживать сценарий работы в кластере (active/passive), когда одно устройство работает, другое находится в пассивном режиме. Если одно устройство выходит из строя, то благодаря тому, что все сетевые сессии между ними синхронизируются, пассивное поднимается сразу же. 

«В первую очередь, это небольшое устройство, которое восполняет ценовой пробел в линейке наших устройств стоимостью от $1500 до $3500. В этом сегменте у нас не было устройства, соответственно, стоимость Series 80 Appliance начинается от $2500. В комплектацию его входит IPSec VPN и межсетевое экранирование Firewall. Плюс к этому можно добавить IPS-модуль, Antivirus & Anti-Malware, Anti-Spam & Email Security и URL Filtering – в результате цена его увеличивается в пределах $3,5 тыс.», – резюмировал консультант по безопасности Check Point Software Technologies Алексей Андрияшин.