Módulo I - Arquitetura de Soluções.pdf
-
Upload
cristovao-junior -
Category
Documents
-
view
226 -
download
3
Transcript of Módulo I - Arquitetura de Soluções.pdf
-
Arquitetura de Solues
Check Point
Junior, A. C. Aguiar Security Product Manager
-
Agenda
Software Blade O que ?
Blades de Gateway
Blades de Gerncia
Blades de Endpoint
Compondo as solues
-
Software Blade
O que ?
-
O que software blade?
Software blade
construir a segurana
em blocos
Independente
Modular
Gerenciamento
Centralizado
-
Como trabalha?
Selecione o container Selecione os blades Configure o sistema
-
Uma biblioteca de Software Blades
Netw
ork Firew
all
Application F
irewall
Policy M
anagement
VP
N
Anti-M
alware
Data S
ecurity
Endpoint S
ecurity Mngt
Log Managem
ent
Monitoring
Managem
ent Extensions
Multi D
omain M
gnt
Provisioning
Reporting
Event C
orrelation
IPS
Basic
UR
L Filtering
Anti V
irus
Messaging S
ecurity
Segurana de
Rede
Segurana
Endpoint
Gerenciamento
-
Blades de Gateway
-
Blade comum
sem data de expirao
necessita de suporte para renovar apenas a verso
Blade de servio
inativa aps expirao (normalmente 1 ano)
necessidade de renovao para funcionar
Blades de Gateway
-
Firewall (FW)
VPN IPSEC (VPN)
Mobile Access (MOB)
Identity Awareness (IA)
Advanced Networking (ADN)
Acceleration & Clustering (ACCL)
Web Security (WS)*
* Dependente da blade de IPS
Blades de Gateway (Comum)
-
IPS e IPS for Small Business (IPS-S / IPS / IPS-L)
Application Control (APCL)
URL Filtering (URLF)
Anti-Virus & Anti-Malware (AV)
Anti-Spam & Email Security (ASPM)
Total Security e TS for Small Business (TS-M / TS-L)
Data Loss Prevention (DLP-x)**
* Devem ser renovadas anualmente !!!
** Disponibilidade a partir da verso R75
Blades de Gateway (Servios*)
-
Mobile Access (MOB)
Acesso Remoto com Tecnologia SSL VPN Criptografada
Check Point Mobile Client
SSL VPN Portal
SSL Network Extender (On-demand client - SNX)
Blades de Gateway (Comum)
-
Mobile Access Software Blade
Easy Access to Email and Applications
-
Simple for end-user
Tap Check Point Mobile
Enter your password
Gain secure access to your data!
Mobile Access Software Blade
-
Identity Awareness (IA)
Regras de Acessos Configurveis
Mtodos de Identificao para Mltiplos Usurios:
Clientless
Captive Portal
Identity Agent
Deployment Wizard
Identity Sharing
Blades de Gateway (Comum)
-
IPS e IPS for Small Business (IPS-S / IPS /
IPS-L)*
IPS completo
NO o antigo SmartDefense (veio para substitu-lo)
Cdigo completamente novo
At 15 Gbps de throughput (Power-1 11085)
#1 em protees para Adobe / MS em 2008/2009
Premiado pela NSS Labs
* IPS-S licena mais barata para algumas
solues (veja http://pricelist.checkpoint.com)
Blades de Gateway (Servios)
-
Blades de Gateway (Servios)
Application Control (APCL)*
Controle de Deteco e Uso de Aplicaes
Biblioteca de Aplicaes Classificadas pela AppWiki
UserCheck
User and machine awareness
* Disponibilidade a partir da verso R75
-
Application Detection and
Usage Controls
Identify, allow, block or limit usage of applications at user or group level
Enable access for
support team
Application Detection
and Usage Controls
-
Total Security e TS for Small Business (TS-M / TS-S)
TS = IPS + APCL + URLF + AV + ASPM
$ TS < $ IPS + APCL + URLF + AV + ASPM
* TS-S licena mais barata para algumas solues
(veja http://pricelist.checkpoint.com)
Blades de Gateway (Servios)
-
Blades de Gerncia
-
Network Policy Management (NPM)
Endpoint Policy Management (EPM)
Logging & Status (LOGS)
Monitoring (MNTR)
SmartProvisioning (PRVS)
Management Portal (MPTL)
User Directory (UDIR)
SmartEvent Intro (EVNT-INT)
SmartEvent & SmartReporter (EVS-Cxxx)
SmartWorkflow (WKFL-x)
Blades de Gerncia
-
Network Policy Management (NPM)
SmartDashboard
Interface nica de configurao
Interface grfica intuitiva
Blades de Gerncia
-
Blades de Gerncia
-
Endpoint Policy Management (EPM)
NO licena de cliente
Habilita algumas funcionalidades de gerncia da soluo Endpoint Security
* Atualmente a gerncia completa da soluo
Endpoint Security realizada atravs de uma
console prpria
Blades de Gerncia
-
Logging & Status (LOGS)
Logs de eventos
Auditoria
Conexes ativas
Status dos Dispositivos
Blades de Gerncia
-
Blades de Gerncia
-
Blades de Gerncia
-
SmartWorkflow (WKFL-x)
Gerncia de mudanas da poltica de segurana
Fcil visualizao das mudanas propostas
Aprovao necessria para implementao
Licenciado pelo nmero de gateways
Blades de Gerncia
-
Blades de Gerncia
-
Blades de Gerncia
-
Blades de Gerncia
-
Blades de Endpoint
-
Blade perptua
sem data de expirao
necessita de suporte para renovar apenas a verso
Blade anual
inativa aps expirao (normalmente 1 ano)
necessidade de renovao para funcionar
* Gerenciamento da soluo Endpoint
j incluso em ambas opes.
Blades de Endpoint
-
Firewall (FW)
Full Disk Encryption (FDE-P)
Media Encryption (ME-P)
Remote Access VPN (VPN-P)
Web Check (WEBC-P)
Total Security (TS-P)*
* TS Perptua no inclui a blade de
Anti-Malware.
Blades de Endpoint (Perptua)
-
Blades de Endpoint (Anual*)
Firewall (FW)
Full Disk Encryption (FDE)
Media Encryption (ME)
Remote Access VPN (VPN)
Anti-Malware and Program Control (AM)
Web Check (WEBC)
Total Security (TS)**
* Devem ser renovadas anualmente !!!
** TS Annual inclui todas as blades,
inclusive Anti-Malware.
-
ATENO!!!
Notas importantes:
Blades de UTM (URLF, AV, ASPM, TS) no rodam em IP appliance.
Power-1 e IP appliance no tem gerncia inclusa. Devemos cotar parte.
Power-1 e IP appliance no possui part number de HA.
Blades de HA s podem ser utilizadas em containers de HA.
Bundles ou Packages no podem ter suas blades movidas. As nicas blades que podem ser movidas para outros containers
so aquelas adquiridas separadamente.
-
FERRAMENTAS TEIS
Lista de preos na web: Detalhes sobre a composio dos part numbers e informaes
sobre licenciamento, tais como restries, licenas adicionais
inclusas ou necessrias.
http://pricelist.checkpoint.com
Informaes sobre os appliances: Detalhes sobre os appliances, tais como nmero de interfaces,
tipo, throughput (FW, VPN e IPS), conexes simultneas, etc.
http://www.checkpoint.com/products/downloads/appliances/openchoice_brochure.pdf
http://www.checkpoint.com/products/downloads/appliances/appliance-comparison-chart.pdf
-
Compondo as solues
-
A primeira seo representa a famlia do produto: CPSG = Check Point Security Gateway
CPSM = Check Point Security Management
CPAP= Check Point Appliance
CPSB = Check Point Security Blade
A segunda seo representa a sub-famlia do produto: C101 = Container for 1 core hardware, includes 1 blade.
C401 = Container for 4 cores, includes 1 blade
P205 = Package (bundle) for 2 cores, includes 5 blades.
SG276 = Security Gateway appliance model 270, includes 6 blades.
SG9075 = Security Gateway appliance model 9070, includes 5 blades
PU007 = Package for Unlimited managed gateway, includes 7 blades.
Formato do Part Number / SKU
-
Formato do Part Number / SKU
-
Formato do Part Number / SKU
-
Formato do Part Number / SKU
-
Formato do Part Number / SKU
-
Formato do Part Number / SKU
-
Duas opes
Opo 1:
A La Carte
Opo 2:
Pre-Defined Systems*
SG103
1 core
3 blades
SG407
4 cores
7 blades
SG805
8 cores
5 blades
*Examples
-
Passo 1 Selecione o container
# ncleos
# usurios
Passo 2 Selecione as blades
Passo 3 Configure seu firewall
Compondo um gateway
-
Container*
CPSG-C801
CPSG-C401
CPSG-C201
CPSG-C101
Gateway
CPSB-VPN
CPSB-WS
CPSB-ADN
CPSB-ACCL
CPSB-VOIP
* O container j inclui a blade FW ( o significado do 1 no final do P/N)
* 8, 4, 2 e 1 a quantidade de ncleos em uso no hardware.
* SG100 limitado a 50 usurios. SG200 limitado a 500 usurios.
SG400 e SG800 so para ilimitados usurios.
Sufixo HA - Part numbers com desconto para membros adicionais de um cluster
(ex: CPSB-WS-HA)
Compondo um gateway
-
Gateway Servios CPSB-TS-M
CPSB-TS-S*
CPSB-IPS
CPSB-IPS-S*
CPSB-URLF
CPSB-AV
CPSB-ASPM
* Blades para Small Business
** Mais de 1.500 usurios, at 250.000 e-mails por hora e mximo de 2,5 Gbps de throughput
*** De 500 a 1.500 usurios, at 50.000 e-mails por hora e mximo de 1,5 Gbps de throughput
**** At 500 usurios, at 15.000 e-mails por hora e mximo de 700 Mbps
Sufixo HA - Part numbers com desconto para membros adicionais de um cluster
(ex: CPSB-IPS-HA)
Compondo um gateway
CPSB-DLP-U **
CPSB-DLP-1500 ***
CPSP-DLP-500 ****
-
SG1207 - 12 ncleos - ilimitado - FW, IA, VPN, AND, ACCL, IPS e APCL
SG807 - 8 ncleos - ilimitado - FW, IA, VPN, AND, ACCL, IPS e APCL
SG409 - 4 ncleos - ilimitado - FW, IA, VPN, ACC, IPS, ASPM, URLF, AV e
APCL
SG407i - 4 ncleos - ilimitado - FW, IA, VPN, ADN, ACCL, IPS e ACCL
SG405 - 4 ncleos - ilimitado - FW, VPN, IPS, ADN e ACCL
SG203U - 2 ncleos - ilimitado - FW, VPN e IPS
SG209 - 2 ncleos - 500 usurios - FW, IA, VPN, ACCL, IPS, ASPM, URLF, AV e
APCL
SG207i - 2 ncleos - 500 usurios - FW, IA, VPN, ADN, ACCL, IPS e APCL
SG205i - 2 ncleos - 500 usurios - FW, IA, VPN, IPS e APCL
SG205U - 2 ncleos - ilimitado - FW, IA, VPN, IPS e APCL
SG205 - 2 ncleos - 500 usurios - FW, VPN, IPS, ADN e ACCL
SG203 - 2 ncleos - 500 usurios - FW, VPN e IPS
SG108 - 1 ncleo - 50 usurios - FW, IA, VPN, IPS, ASPM, URLF, AV e APCL
SG103 - 1 ncleo - 50 usurios - FW, VPN e IPS
Gateways pr-definidos
Sufixo HA - Part numbers com desconto para membros adicionais de um cluster (ex: CPSB-WS-HA)
-
Passo 1 Selecione o container
# gateways
Passo 2 Selecione as blades
Passo 3 Configure seu
SmartCenter
Unlimited Gateways
25 Gateways
10 Gateways
NPM
EPM
LOGS
MNTR
NP
M
EP
M
LO
GS
MN
TR
Compondo uma gerncia
-
Container*
CPSM-CU000
CPSM-C2500
CPSM-C1000
Blades
CPSB-NPM
CPSB-EPM
CPSB-LOGS
* Part number para ilimitados, 25 e 10 gateways respectivamente
** xxx = U000, 2500 ou 1000 (para container ilimitado, 25 ou 10 gateways)
*** y = U, 250, 100, 50, 25 ou 10 (nmero de gateways)
CPSM-C500 Aumenta o nmero de gateways suportados (5 gateways adicionais)
Para redundncia, duplique os part numbers
Compondo uma gerncia
Blades (cont.)
CPSB-MNTR
CPSB-MPTL
CPSB-UDIR
CPSB-EVNT-INT
CPSB-PRVS
CPSB-EVS-Cxxx **
CPSB-WKFL-y ***
-
SMU007 - ilimitado - NPM, EPM, LOGS, MNTR, IPSA, PRVS e UDIR
SMU003 - ilimitado - NPM, EPM e LOGS
SM2506 - 25 gateways - NPM, EPM, LOGS, MNTR, IPSA e PRVS
SM1007 - 10 gateways - NPM, EPM, LOGS, MNTR, IPSA, PRVS e UDIR
SM1003 - 10 gateways - NPM, EPM e LOGS
Gerncias pr-definidas
-
CPSG-P807-CPSM-PU007
CPSG-P407i-CPSM-PU003
CPSG-P407i-CPSM-P2506
CPSG-P407i-CPSM-P1003
CPSG-P203-CPSM-P1003
CPSG-P203-CPSM-P303
CPSG-P103-CPSM-P303
CPSG-P103-CPSM-P203
Bundles de gateway + gerncia
-
Compondo a soluo Endpoint
Passo 1 Selecione o container
# endpoints
Passo 2 Selecione as blades
Passo 3 Configure seu
Endpoint
NPM
EPM
LOGS
MNTR
1001-2500 Endpoints
101-1000 Endpoints
1-100 Endpoints
+2500 Endpoints
NP
M
EP
M
LO
GS
MN
TR
+2500 Endpoints
-
Container
CPEP-C1-1TO100
CPEP-C1-101TO1000
CPEP-C1-1001TO2500
CPEP-C1-2501TOU
De uma faixa para a outra o preo cai pela metade
Gerncia do Endpoint j inclusa no licenciamento da soluo
No existe a opo perptua para a blade Anti-Malware.
Blades
CPSB-EP-FW (ou -P)
CPSB-EP-FDE (ou -P)
CPSB-EP-ME (ou -P)
CPSB-EP-VPN (ou -P)
CPSB-EP-WEBC (ou -P)
CPSB-EP-TS (ou -P)
CPSB-EP-AM
Compondo a soluo Endpoint
-
DICAS!!!
Faa simulaes entre as vrias opes:
Existem vrias possibilidades para atender a mesma solicitao. Avaliar algumas opes pode fazer muita diferena no valor do
projeto. Por exemplo:
O part number CPSG-P103-CPSM-P203 pode ser uma boa opo para atender clientes que desejam um appliance que no
tem gerncia. Mais em conta do que a SM1003.
Faixas superiores da soluo Endpoint equivalem a metade do valor das faixas inferiores. Avalie!!!
REDUO DO VALOR DO PROJETO!!!
-
Junior, A. C. Aguiar
Security Product Manager
+55 11 5186.4316
+55 11 9655.6250
Obrigado!!!