CloudGuard IaaS for Yandex.Cloud

Amir_Aliev — Thu, 17 Dec 2020 08:32:18 GMT

Эта страница содержит полезную информацию по продукту Check Point for Yandex.Cloud

Основная страница в базе знаний Check Point - sk165481.

FAQ

Что такое CloudGuard IaaS?

Check Point CloudGuard IaaS – это виртуальный шлюз безопасности, обеспечивающий гибкую автоматизированную защиту ресурсов и данных в облаке. CloudGuard IaaS, разработанный с учетом динамичного характера облачных инфраструктур, обеспечивает высокий уровень защиты сети как в частных облаках (VMware ESXi, NSX, KVM), так и в публичных (AWS, Azure, Google Cloud Platform, Yandex.Cloud).

Что умеет делать CloudGuard IaaS в Яндекс Облаке?

CloudGuard IaaS можно задействовать для широкого круга задач:

VPN между офисом и облаком;
удаленный доступ с любого устройства;
защита облачных ресурсов от проникновения извне;
контроль доступа в Интернет;
сегментация и контроль соединений внутри облака.

CloudGuard IaaS включает в себя функции межсетевого экрана, VPN, IDS/IPS, антивируса, контроля приложений, URL-фильтрации, «песочницы» и др.

Какие варианты CloudGuard IaaS доступны в Yandex.Cloud?

На текущий момент в маркетплейсе Yandex.Cloud представлено четыре продукта Check Point:

Check Point CloudGuard IaaS - Firewall & Threat Prevention BYOL
Check Point CloudGuard IaaS - Security Management BYOL
Check Point CloudGuard IaaS - Firewall & Threat Prevention with SandBlast PAYG
Check Point CloudGuard IaaS - Firewall & Threat Prevention PAYG

В чем разница между PAYG и BYOL?

Pay as you go (PAYG) означает, что тарифицируется фактическое потребление ресурсов. То есть, если виртуальная машина проработала 5 часов, а затем была удалена – с вашего счета в облаке спишется сумма только за эти 5 часов по тарифу (лицензия ПО, vCPU, RAM и т.д.). Лицензия ПО включена в стоимость тарифа, дополнительных лицензий приобретать не требуется.

Bring your own license (BYOL) позволяет запускать ПО на инфраструктуре облака с использованием лицензий, приобретенных у сторонних поставщиков. Тарифицируется только использование ресурсов самого облака (vCPU, RAM и т.д.), а лицензию ПО вам необходимо приобрести самостоятельно.

Какие лицензии ПО требуются для работы CloudGuard IaaS?

Шлюз CloudGuard IaaS лицензируется по количеству виртуальных ядер. Лицензии CloudGuard IaaS существуют в двух вариантах: Threat Prevention & SandBlast (NGTX) и Threat Prevention (NGTP).

В PAYG-варианте продукта эти лицензии автоматически активированы. Лицензия ПО тарифицируется пакетами по 4 vCPU. Это значит, что в Yandex.Cloud можно создать виртуальную машину минимум с 4 vCPU, при добавлении большего количества vCPU стоимость лицензии ПО будет прибавляться с соответствующим шагом (4 vCPU – 1 лицензия ПО, 6 и 8 vCPU – 2 лицензии ПО, 10 и 12 vCPU – 3 лицензии ПО и т.д.)

Для BYOL-варианта вам необходимо приобрести годовую лицензию CloudGuard Network Security virtual core (NGTX или NGTP) у авторизованного партнера компании Check Point. В этом случае вы можете приобрести только то количество виртуальных ядер CloudGuard IaaS, которое вам необходимо (например, 2 ядра или 6 ядер). Приобретая пакет из нескольких виртуальных ядер, вы можете по своему усмотрению распределить их по шлюзам. Для примера: у вас есть пакет из 10 лицензий CloudGuard Network Security virtual core. С ним вы можете создать одну виртуальную машину с 10 ядрами или пять по 2 ядра, три по 2 ядра плюс одну по 4 и т.д.

В чем разница между NGTP и NGTX?

Лицензии отличаются в возможности работы с песочницей SandBlast (Threat Emulation) и технологии безопасной доставки контента с удалением потенциально опасного содержимого (Threat Extraction).

Пакет NGTX обеспечивает полную защиту от угроз нулевого дня и включает в себя следующее: все модули NGTP плюс модули Threat Emulation и Threat Extraction.
Пакет NGTP обеспечивает стандартную защиту от киберугроз и включает в себя следующие модули: Firewall, IPSec VPN, Identity Awareness, IPS, Anti-Spam, Anti-virus, Anti-bot, Application Control и URL-фильтрацию.

Если у меня уже есть лицензии CloudGuard IaaS для другого облака, могу ли я их задействовать для использования в Yandex.Cloud?

Модель лицензирования CloudGuard по количеству виртуальных ядер идентична для большинства облачных платформ (ESXi, NSX, AWS, Azure и т.д.). Вы можете конвертировать имеющуюся у вас лицензию CloudGuard IaaS для использования в Yandex.Cloud, для этого следует обратиться в отдел Account Services службы технической поддержки.

Какие варианты управления конфигурацией CloudGuard IaaS доступны?

Для настройки политик безопасности шлюз CloudGuard IaaS должен быть подключен к серверу управления Check Point Security Management. Это может быть:

Аппаратный сервер Check Point Smart-1.
Программное обеспечение Open Server, которое может быть установлено на аппаратные серверы сторонних производителей (Dell, IBM, HP и т.д.) и виртуальную машину (поддерживаются платформы ESXi, Hyper-V, AWS, Azure и др.).
Также данную лицензию можно задействовать и в Yandex.Cloud, для этого необходимо установить продукт Check Point CloudGuard IaaS - Security Management BYOL и при инициализации выбрать роль Security Management.
Open Server Security Management лицензируется по количеству управляемых шлюзов (варианты 5, 10, 25, 50 и 150+).
Облачный сервис Check Point Smart-1 Cloud. Предоставляется по подписке, лицензируется по количеству управляемых шлюзов.

Можно ли настраивать политики безопасности на шлюзе CloudGuard IaaS, не подключая его к внешнему серверу управления?

Да, такой вариант называется Standalone. В этом случае на одной виртуальной машине будут одновременно активированы роли шлюза и сервера управления.

В Yandex.Cloud такой вариант доступен с продуктом Check Point CloudGuard IaaS - Security Management BYOL. При инициализации необходимо выбрать роль Security Management и Security Gateway.

Для Standalone-варианта достаточно приобрести лицензии CloudGuard Network Security virtual core (NGTX или NGTP), по аналогии с вариантом BYOL-шлюза (см. описание схемы лицензирования выше).

Поддерживаются ли механизмы отказоустойчивости и балансировки нагрузки?

CloudGuard IaaS в Yandex.Cloud можно использовать в связке с сервисом Yandex Load Balancer.

Механизм Check Point ClusterXL на текущий момент не поддерживается ввиду ограничений платформы. Поддержка ClusterXL планируется в будущем.

Есть ли механизмы автоматизации создания и настройки CloudGuard IaaS?

Да, в образах CloudGuard IaaS для Yandex.Cloud поддерживается механизмы cloud-init: CloudGuard IaaS Automation for KVM Based Platforms.

В модуль управления Check Point Security Management встроены широкие возможности по автоматизации политик безопасности, см. документацию на Check Point Management API.

Есть ли данные по производительности CloudGuard IaaS в Yandex.Cloud? Какое количество ядер выбрать для виртуальной машины?

Официальные тесты производительности CloudGuard IaaS на платформе Yandex.Cloud пока не проводились.

Для определения необходимого количества виртуальных ядер рекомендуется провести тестирование продукта в соответствии с вашими задачами.

Можно ожидать, что результаты будут примерно схожи с результатами тестирования на других платформах (см. разделы Technical Specifications на страницах https://www.checkpoint.com/products/iaas-public-cloud-security/ и https://www.checkpoint.com/products/iaas-private-cloud-security/).

Как можно протестировать продукты? Есть ли trial-период?

При запуске BYOL-версий продуктов автоматически активируется trial-период в 15 дней. Этот период можно продлить на 30 дней, обратившись в офис Check Point в вашей стране или к авторизованному партнеру Check Point.

В продуктах типа PAYG trial-период отсутствует, стоимость лицензии ПО начнется списываться с вашего счета или гранта при запуске виртуальной машины.

Техническая поддержка

Информация о планах технической поддержки Check Point представлена на странице https://www.checkpoint.com/support-services/support-plans/

Для BYOL-продуктов техническую поддержку необходимо приобрести вместе с покупкой лицензии у поставщика.

PAYG-продукты поставляются с включенной поддержкой плана Direct Premium. Чтобы открыть заявку в службу поддержки вам потребуется учетная запись в Check Point User Center. Если у вас нет учетной записи в User Center, вы можете зарегистрироваться здесь: https://accounts.checkpoint.com/. После регистрации учетной записи вам необходимо обратиться в отдел Account Services и сообщить, что вы являетесь пользователем PAYG-продукта для активации сервиса технической поддержки в вашем аккаунте.

Re: CloudGuard IaaS for Yandex.Cloud

Amir_Aliev — Mon, 21 Dec 2020 05:58:12 GMT

Видеоинструкции по работе с Yandex.Cloud.

Обзор и установка образа Check Point Security Management

Обзор и установка образа Check Point CloudGuard IaaS Gateway

topic CloudGuard IaaS for Yandex.Cloud in Russian

CloudGuard IaaS for Yandex.Cloud

Re: CloudGuard IaaS for Yandex.Cloud