módulo i - arquitetura de soluções.pdf

Arquitetura de Solues

Check Point

Junior, A. C. Aguiar Security Product Manager

[email protected]

Agenda

Software Blade O que ?

Blades de Gateway

Blades de Gerncia

Blades de Endpoint

Compondo as solues

Software Blade

O que ?

O que software blade?

Software blade

construir a segurana

em blocos

Independente

Modular

Gerenciamento

Centralizado

Como trabalha?

Selecione o container Selecione os blades Configure o sistema

Uma biblioteca de Software Blades

Netw

ork Firew

all

Application F

irewall

Policy M

anagement

VP

N

Anti-M

alware

Data S

ecurity

Endpoint S

ecurity Mngt

Log Managem

ent

Monitoring

Managem

ent Extensions

Multi D

omain M

gnt

Provisioning

Reporting

Event C

orrelation

IPS

Basic

UR

L Filtering

Anti V

irus

Messaging S

ecurity

Segurana de

Rede

Segurana

Endpoint

Gerenciamento

Blades de Gateway

Blade comum

sem data de expirao

necessita de suporte para renovar apenas a verso

Blade de servio

inativa aps expirao (normalmente 1 ano)

necessidade de renovao para funcionar

Blades de Gateway

Firewall (FW)

VPN IPSEC (VPN)

Mobile Access (MOB)

Identity Awareness (IA)

Advanced Networking (ADN)

Acceleration & Clustering (ACCL)

Web Security (WS)*

* Dependente da blade de IPS

Blades de Gateway (Comum)

IPS e IPS for Small Business (IPS-S / IPS / IPS-L)

Application Control (APCL)

URL Filtering (URLF)

Anti-Virus & Anti-Malware (AV)

Anti-Spam & Email Security (ASPM)

Total Security e TS for Small Business (TS-M / TS-L)

Data Loss Prevention (DLP-x)**

* Devem ser renovadas anualmente !!!

** Disponibilidade a partir da verso R75

Blades de Gateway (Servios*)

Mobile Access (MOB)

Acesso Remoto com Tecnologia SSL VPN Criptografada

Check Point Mobile Client

SSL VPN Portal

SSL Network Extender (On-demand client - SNX)


Mobile Access Software Blade

Easy Access to Email and Applications

Simple for end-user

Tap Check Point Mobile

Enter your password

Gain secure access to your data!

Mobile Access Software Blade

Identity Awareness (IA)

Regras de Acessos Configurveis

Mtodos de Identificao para Mltiplos Usurios:

Clientless

Captive Portal

Identity Agent

Deployment Wizard

Identity Sharing


IPS e IPS for Small Business (IPS-S / IPS /

IPS-L)*

IPS completo

NO o antigo SmartDefense (veio para substitu-lo)

Cdigo completamente novo

At 15 Gbps de throughput (Power-1 11085)

#1 em protees para Adobe / MS em 2008/2009

Premiado pela NSS Labs

* IPS-S licena mais barata para algumas

solues (veja http://pricelist.checkpoint.com)

Blades de Gateway (Servios)


Application Control (APCL)*

Controle de Deteco e Uso de Aplicaes

Biblioteca de Aplicaes Classificadas pela AppWiki

UserCheck

User and machine awareness

* Disponibilidade a partir da verso R75

Application Detection and

Usage Controls

Identify, allow, block or limit usage of applications at user or group level

Enable access for

support team

Application Detection

and Usage Controls

Total Security e TS for Small Business (TS-M / TS-S)

TS = IPS + APCL + URLF + AV + ASPM

$ TS < $ IPS + APCL + URLF + AV + ASPM

* TS-S licena mais barata para algumas solues

(veja http://pricelist.checkpoint.com)


Blades de Gerncia

Network Policy Management (NPM)

Endpoint Policy Management (EPM)

Logging & Status (LOGS)

Monitoring (MNTR)

SmartProvisioning (PRVS)

Management Portal (MPTL)

User Directory (UDIR)

SmartEvent Intro (EVNT-INT)

SmartEvent & SmartReporter (EVS-Cxxx)

SmartWorkflow (WKFL-x)

Blades de Gerncia

Network Policy Management (NPM)

SmartDashboard

Interface nica de configurao

Interface grfica intuitiva

Blades de Gerncia

Blades de Gerncia

Endpoint Policy Management (EPM)

NO licena de cliente

Habilita algumas funcionalidades de gerncia da soluo Endpoint Security

* Atualmente a gerncia completa da soluo

Endpoint Security realizada atravs de uma

console prpria

Blades de Gerncia

Logging & Status (LOGS)

Logs de eventos

Auditoria

Conexes ativas

Status dos Dispositivos

Blades de Gerncia

Blades de Gerncia

SmartWorkflow (WKFL-x)

Gerncia de mudanas da poltica de segurana

Fcil visualizao das mudanas propostas

Aprovao necessria para implementao

Licenciado pelo nmero de gateways

Blades de Gerncia

Blades de Gerncia

Blades de Endpoint

Blade perptua

sem data de expirao

necessita de suporte para renovar apenas a verso

Blade anual

inativa aps expirao (normalmente 1 ano)

necessidade de renovao para funcionar

* Gerenciamento da soluo Endpoint

j incluso em ambas opes.

Blades de Endpoint

Firewall (FW)

Full Disk Encryption (FDE-P)

Media Encryption (ME-P)

Remote Access VPN (VPN-P)

Web Check (WEBC-P)

Total Security (TS-P)*

* TS Perptua no inclui a blade de

Anti-Malware.

Blades de Endpoint (Perptua)

Blades de Endpoint (Anual*)

Firewall (FW)

Full Disk Encryption (FDE)

Media Encryption (ME)

Remote Access VPN (VPN)

Anti-Malware and Program Control (AM)

Web Check (WEBC)

Total Security (TS)**

* Devem ser renovadas anualmente !!!

** TS Annual inclui todas as blades,

inclusive Anti-Malware.

ATENO!!!

Notas importantes:

Blades de UTM (URLF, AV, ASPM, TS) no rodam em IP appliance.

Power-1 e IP appliance no tem gerncia inclusa. Devemos cotar parte.

Power-1 e IP appliance no possui part number de HA.

Blades de HA s podem ser utilizadas em containers de HA.

Bundles ou Packages no podem ter suas blades movidas. As nicas blades que podem ser movidas para outros containers

so aquelas adquiridas separadamente.

FERRAMENTAS TEIS

Lista de preos na web: Detalhes sobre a composio dos part numbers e informaes

sobre licenciamento, tais como restries, licenas adicionais

inclusas ou necessrias.

http://pricelist.checkpoint.com

Informaes sobre os appliances: Detalhes sobre os appliances, tais como nmero de interfaces,

tipo, throughput (FW, VPN e IPS), conexes simultneas, etc.

http://www.checkpoint.com/products/downloads/appliances/openchoice_brochure.pdf

http://www.checkpoint.com/products/downloads/appliances/appliance-comparison-chart.pdf

Compondo as solues

A primeira seo representa a famlia do produto: CPSG = Check Point Security Gateway

CPSM = Check Point Security Management

CPAP= Check Point Appliance

CPSB = Check Point Security Blade

A segunda seo representa a sub-famlia do produto: C101 = Container for 1 core hardware, includes 1 blade.

C401 = Container for 4 cores, includes 1 blade

P205 = Package (bundle) for 2 cores, includes 5 blades.

SG276 = Security Gateway appliance model 270, includes 6 blades.

SG9075 = Security Gateway appliance model 9070, includes 5 blades

PU007 = Package for Unlimited managed gateway, includes 7 blades.

Formato do Part Number / SKU

Formato do Part Number / SKU

Duas opes

Opo 1:

A La Carte

Opo 2:

Pre-Defined Systems*

SG103

1 core

3 blades

SG407

4 cores

7 blades

SG805

8 cores

5 blades

*Examples

Passo 1 Selecione o container

# ncleos

# usurios

Passo 2 Selecione as blades

Passo 3 Configure seu firewall

Compondo um gateway

Container*

CPSG-C801

CPSG-C401

CPSG-C201

CPSG-C101

Gateway

CPSB-VPN

CPSB-WS

CPSB-ADN

CPSB-ACCL

CPSB-VOIP

* O container j inclui a blade FW ( o significado do 1 no final do P/N)

* 8, 4, 2 e 1 a quantidade de ncleos em uso no hardware.

* SG100 limitado a 50 usurios. SG200 limitado a 500 usurios.

SG400 e SG800 so para ilimitados usurios.

Sufixo HA - Part numbers com desconto para membros adicionais de um cluster

(ex: CPSB-WS-HA)

Compondo um gateway

Gateway Servios CPSB-TS-M

CPSB-TS-S*

CPSB-IPS

CPSB-IPS-S*

CPSB-URLF

CPSB-AV

CPSB-ASPM

* Blades para Small Business

** Mais de 1.500 usurios, at 250.000 e-mails por hora e mximo de 2,5 Gbps de throughput

*** De 500 a 1.500 usurios, at 50.000 e-mails por hora e mximo de 1,5 Gbps de throughput

**** At 500 usurios, at 15.000 e-mails por hora e mximo de 700 Mbps

Sufixo HA - Part numbers com desconto para membros adicionais de um cluster

(ex: CPSB-IPS-HA)

Compondo um gateway

CPSB-DLP-U **

CPSB-DLP-1500 ***

CPSP-DLP-500 ****

SG1207 - 12 ncleos - ilimitado - FW, IA, VPN, AND, ACCL, IPS e APCL

SG807 - 8 ncleos - ilimitado - FW, IA, VPN, AND, ACCL, IPS e APCL

SG409 - 4 ncleos - ilimitado - FW, IA, VPN, ACC, IPS, ASPM, URLF, AV e

APCL

SG407i - 4 ncleos - ilimitado - FW, IA, VPN, ADN, ACCL, IPS e ACCL

SG405 - 4 ncleos - ilimitado - FW, VPN, IPS, ADN e ACCL

SG203U - 2 ncleos - ilimitado - FW, VPN e IPS

SG209 - 2 ncleos - 500 usurios - FW, IA, VPN, ACCL, IPS, ASPM, URLF, AV e

APCL

SG207i - 2 ncleos - 500 usurios - FW, IA, VPN, ADN, ACCL, IPS e APCL

SG205i - 2 ncleos - 500 usurios - FW, IA, VPN, IPS e APCL

SG205U - 2 ncleos - ilimitado - FW, IA, VPN, IPS e APCL

SG205 - 2 ncleos - 500 usurios - FW, VPN, IPS, ADN e ACCL

SG203 - 2 ncleos - 500 usurios - FW, VPN e IPS

SG108 - 1 ncleo - 50 usurios - FW, IA, VPN, IPS, ASPM, URLF, AV e APCL

SG103 - 1 ncleo - 50 usurios - FW, VPN e IPS

Gateways pr-definidos

Sufixo HA - Part numbers com desconto para membros adicionais de um cluster (ex: CPSB-WS-HA)


# gateways


Passo 3 Configure seu

SmartCenter

Unlimited Gateways

25 Gateways

10 Gateways

NPM

EPM

LOGS

MNTR

NP

M

EP

M

LO

GS

MN

TR

Compondo uma gerncia

Container*

CPSM-CU000

CPSM-C2500

CPSM-C1000

Blades

CPSB-NPM

CPSB-EPM

CPSB-LOGS

* Part number para ilimitados, 25 e 10 gateways respectivamente

** xxx = U000, 2500 ou 1000 (para container ilimitado, 25 ou 10 gateways)

*** y = U, 250, 100, 50, 25 ou 10 (nmero de gateways)

CPSM-C500 Aumenta o nmero de gateways suportados (5 gateways adicionais)

Para redundncia, duplique os part numbers

Compondo uma gerncia

Blades (cont.)

CPSB-MNTR

CPSB-MPTL

CPSB-UDIR

CPSB-EVNT-INT

CPSB-PRVS

CPSB-EVS-Cxxx **

CPSB-WKFL-y ***

SMU007 - ilimitado - NPM, EPM, LOGS, MNTR, IPSA, PRVS e UDIR

SMU003 - ilimitado - NPM, EPM e LOGS

SM2506 - 25 gateways - NPM, EPM, LOGS, MNTR, IPSA e PRVS

SM1007 - 10 gateways - NPM, EPM, LOGS, MNTR, IPSA, PRVS e UDIR

SM1003 - 10 gateways - NPM, EPM e LOGS

Gerncias pr-definidas

CPSG-P807-CPSM-PU007

CPSG-P407i-CPSM-PU003

CPSG-P407i-CPSM-P2506

CPSG-P407i-CPSM-P1003

CPSG-P203-CPSM-P1003

CPSG-P203-CPSM-P303

CPSG-P103-CPSM-P303

CPSG-P103-CPSM-P203

Bundles de gateway + gerncia

Compondo a soluo Endpoint


# endpoints


Passo 3 Configure seu

Endpoint

NPM

EPM

LOGS

MNTR

1001-2500 Endpoints

101-1000 Endpoints

1-100 Endpoints

+2500 Endpoints

NP

M

EP

M

LO

GS

MN

TR

+2500 Endpoints

Container

CPEP-C1-1TO100

CPEP-C1-101TO1000

CPEP-C1-1001TO2500

CPEP-C1-2501TOU

De uma faixa para a outra o preo cai pela metade

Gerncia do Endpoint j inclusa no licenciamento da soluo

No existe a opo perptua para a blade Anti-Malware.

Blades

CPSB-EP-FW (ou -P)

CPSB-EP-FDE (ou -P)

CPSB-EP-ME (ou -P)

CPSB-EP-VPN (ou -P)

CPSB-EP-WEBC (ou -P)

CPSB-EP-TS (ou -P)

CPSB-EP-AM

Compondo a soluo Endpoint

DICAS!!!

Faa simulaes entre as vrias opes:

Existem vrias possibilidades para atender a mesma solicitao. Avaliar algumas opes pode fazer muita diferena no valor do

projeto. Por exemplo:

O part number CPSG-P103-CPSM-P203 pode ser uma boa opo para atender clientes que desejam um appliance que no

tem gerncia. Mais em conta do que a SM1003.

Faixas superiores da soluo Endpoint equivalem a metade do valor das faixas inferiores. Avalie!!!

REDUO DO VALOR DO PROJETO!!!

Junior, A. C. Aguiar

Security Product Manager

[email protected]

+55 11 5186.4316

+55 11 9655.6250

Obrigado!!!

módulo i - arquitetura de soluções.pdf

Documents

gateway comum ips e

small business ipss

ips completo

tss ts

o que software blade

verso blade

ips apcl urlf av aspm

solues software blade