Provider-1
Dernière mise à jour
7 avril 2008
Table des matières
Introduction 3
Administration multi-domaines 3
Consultation Web des politiques 4
Administration globale des politiques 4
Administration des communautés VPN globales 5
Architecture Provider-1 6
Customer Management Add-on (CMA) 6
Serveur multi-domaines (MDS) 6
Interface graphique multi-domaines (MDG) 7
SmartDashboard 8
Customer Log Management et serveur de logs multi-domaines (MLM) 8
Disponibilité continue de l’administration 8
Mises à jour globales et continues des protections de sécurité 9
Reporting global et corrélation d’évènements 10
Administration des plug-ins 11
Introduction
La solution d’administration Check Point Provider-1 a été conçue pour répondre aux exigences liées à l'évolutivité des entreprises ayant des besoins de politiques de sécurité complexes. Grâce à la prise en charge simultanée d'une gestion centralisée de plusieurs domaines d'administration distincts, Provider-1 améliore considérablement l'efficacité opérationnelle de l’administration sécurité de sites complexes. Provider-1 consolide l’administration de tous les produits Check Point, offrant ainsi un mécanisme fiable pour la création de politiques de sécurités et leurs distributions automatiques vers de multiples points d’applications.
Administration multi-domaines
Provider-1 fournit une solution d’administration de la sécurité de plusieurs domaines, avec pour chacun d’entres eux, la possibilité de supporter plusieurs politiques de sécurités, d’avoir sa propre base de données et de conserver ses propres logs.
En segmentant les réseaux des entreprises ou du fournisseur de services, en plusieurs domaines d'administration, Provider-1 permet aux entreprises d'optimiser la politique de sécurité et d'obtenir un meilleur contrôle des changements apportés aux politiques de sécurités, les modifications apportées à chaque domaine d'administration pouvant être appliquées indépendamment. Les modifications de la politique de sécurité et les logs de différents domaines peuvent être vérifiés séparément, si nécessaire, afin de répondre aux exigences contractuelles (SLA) ou à des problématiques de réglementations.
Dans l'environnement Provider-1, le modèle d'administration a été conçu pour permettre aux responsables sécurité d'administrer de manière centralisée plusieurs systèmes distribués. Ce modèle permet aux entreprises de désigner des administrateurs de confiance dotés de droits d'accès différents, avec la possibilité d'administrer l'intégralité du système Provider-1 ou d'administrer uniquement certains aspects d’un domaine client. De plus, un même administrateur peut bénéficier de différents profils d'autorisation pour des domaines d’administrations clients différents. Les entreprises conservent la possibilité d’autoriser leurs administrateurs locaux à intervenir en dehors du système Provider-1, et ainsi, d'accéder et d'administrer leurs propres politiques de sécurité.
Parce que Provider-1 supporte la prise en charge de plusieurs accès administrateurs en parallèle, les administrateurs de différents sites ont la possibilité de travailler, de façon indépendante, depuis la même infrastructure d’administration. C'est pourquoi les entreprises et les centres d'opérations réseau peuvent contrôler de façon plus efficace en 24/7, l’administration sécurité de leurs réseaux. C'est un avantage pour les fournisseurs de services qui pourront ainsi valoriser auprès de leurs clients des prestations de changements et de modifications personnalisées, tout en leur permettant d’administrer seuls leurs domaines.
Mécanismes granulaires d’autorisation de l’administration
Consultation Web des politiques
Pour les clients et partenaires qui veulent consulter leurs politiques à des fins d'évaluation ou de dépannage, SmartPortal offre un accès de type Web, en lecture seule, aux politiques, aux logs, et aux indicateurs systèmes.
Administration globale des politiques
En plus des politiques de sécurité applicables à des groupes spécifiques de passerelles, les administrateurs ont parfois besoin d’instaurer des politiques s'appliquant à l'intégralité de l'environnement Provider-1, ou à un groupe de clients. La séparation entre les différents niveaux et types de politiques, signifie que les règles de sécurité au niveau client n’ont pas besoin d’être dupliquées dans l’ensemble de l'environnement Provider-1.
D'autre part, les politiques globales peuvent être utilisées dans le cadre de la conformité organisationnelle et servir comme des modèles de sécurité dont les règles s'appliquent à tous les clients ou à des groupes spécifiques de clients. Par exemple, un fournisseur de services peut utiliser les règles d'une politique globale pour fournir aux clients l'accès aux services MSP fréquemment utilisés. Une entreprise peut souhaiter l'utilisation des règles d'une politique globale pour implémenter rapidement des protections contre les cyber-attaques et les virus. Cette aptitude à créer et à déployer des politiques multi-niveaux, de manière centralisée, offre une flexibilité inégalée, en supprimant le besoin de modifier de façon répétée les politiques sur des milliers de d’équipements sécurité individuels.
Les règles de sécurité globales peuvent également être appliquées à des passerelles ou des groupes spécifiques de passerelles, permettant à ces dernières, lorsqu’elles remplissent des fonctions différentes, de recevoir des règles de sécurité globales adaptées. Par exemple, lorsque Provider-1 est déployé dans une entreprise, où le découpage des zones d’administration de la sécurité est calqué sur celui des implantations géographiques de ses sites, un administrateur a la possibilité de configurer la politique globale pour que certaines règles de sécurité globales soient applicables à des passerelles DMZ de plusieurs subdivisions et d'autres règles soient applicables à des passerelles assurant une protection périmétrique.
Gestion des politiques globales
Administration des communautés VPN globales
Parfois, les clients doivent établir des connexions VPN sécurisées entre des domaines d'administration distincts. Les exemples incluent les grandes entreprises, qui ont créées des domaines d'administration différents pour gérer leurs implantations réseaux distantes, ou le MSP devant fournir des communications sécurisées entre les partenaires de différents clients. Avec Provider-1, les communications VPN entre clients des communautés VPN inter-clients sont facilement opérées grâce aux communautés VPN globales.
Architecture Provider-1
Provider-1 comprend plusieurs composants logiciels :
Le Customer Management Add-on (CMA) : SmartCenter virtuel
Le Multi Domain Server (MDS) : Serveur multi-domaines ou rack logiciel hébergeant les CMA
Le Multi Domain GUI (MDG) : Interface graphique multi-domaines pour Provider-1
Le SmartDashboard : Editeurs de politiques globales ou locales
Le Multi-domain Log Management (MLM) : Serveur de logs multi-domaines
Le Customer Log Management (CLM) : Serveur de Logs virtuel hébergé sur un MLM
Customer Management Add-on (CMA)
Chaque domaine d'administration dans Provider-1 est appelé CMA et représente l’équivalent fonctionnel de Check Point SmartCenter. Par le biais d'un CMA, les administrateurs définissent, modifient et établissent des politiques de sécurité applicables à un réseau, une passerelle ou à un client spécifique. Chaque administrateur du système peut bénéficier de privilèges d'accès aux différents CMA. L'administration des autorisations d'accès est centralisée.
Serveur multi-domaines (MDS)
Les MDS hébergent les CMA, ainsi que les informations du système Provider-1. Même si plusieurs CMA peuvent être stockés sur un seul serveur MDS, chaque CMA est complètement isolé, assurant la confidentialité absolue des données. La liaison de plusieurs MDS dans le système Provider-1 est possible, permettant d’administrer des milliers de politiques au sein d'un seul environnement et d’offrir des principes de haute disponibilité. Le MDS héberge également la base de données des politiques globales.
Infrastructure Provider-1 avec les différents modules logiciels
Interface graphique multi-domaines (MDG)
Le MDG est conçu pour simplifier l'administration de plusieurs politiques de sécurité. Par l'intermédiaire du MDG, les administrateurs exploitent l'intégralité de l'environnement Provider-1, intégrant aisément les nouveaux réseaux dans le système Provider-1. Grâce au MDG, les administrateurs peuvent fournir et superviser les politiques, les logs et les états de milliers d'utilisateurs, par l'intermédiaire d'une console unique, et contrôler leur sécurité. Le MDG permet également de présenter une vue de synthèse de tous les points d'application du système en y incluant leurs indicateurs d’états.
Interface graphique multi-domaines (MDG)
SmartDashboard
Le SmartDashboard sert à la création du jeu de règles composant les politiques de sécurité globales ou locales. Les règles et objets réseau globaux sont créés au niveau du système Provider-1 et s'appliquent à un ou plusieurs domaines d'administration. Ces règles globales peuvent avoir la priorité sur les règles locales définies au niveau client.
Customer Log Management et serveur de logs multi-domaines (MLM)
Le CLM est un serveur de logs client hébergé par un MLM. Plusieurs CLM peuvent être instanciés sur un même serveur MLM et gérés avec les droits d'accès administrateurs définis dans l'infrastructure de Provider-1. Il est possible de créer un environnement redondant d’administration des logs en désignant un MLM comme serveur de logs principal et un MDS comme serveur de secours.
Disponibilité continue de l’administration
Provider-1 offre une architecture d'administration redondante s’intégrant très simplement dans les Plans de Reprise d’Activité (PRA) des entreprises. La haute disponibilité est prise en charge à plusieurs niveaux, du niveau CMA au niveau global MDS. Un administrateur peut obtenir une administration redondante de ses passerelles en déployant deux CMAs en mode haute disponibilité. La synchronisation des données entre les deux CMA garantie la résilience et permet à l'administrateur d'activer, si nécessaire, le CMA se secours en toute transparence. L'administrateur peut également déployer un serveur SmartCenter physique en secours d’un CMA. Le serveur SmartCenter est généralement sur le site géographique du client ou de la passerelle et permet la gestion et la diffusion de la sécurité de l’ensemble des passerelles d’un CMA, même en l'absence de communication entre le site distant et le centre d'opérations Provider-1. Plusieurs MDS peuvent être également déployés afin d'apporter des possibilités de basculement redondantes, et configurés pour la synchronisation automatique des données contenues dans les politiques globales. Par exemple, une entreprise peut centraliser le réseau d'administration de Provider-1 sur une succursale tout en conservant un ou plusieurs MDS de secours sur d'autres sites.
Mises à jour globales et continues des protections de sécurité
De manière centralisée, les administrateurs peuvent procéder à la mise à jour des configurations et des protections de sécurité SmartDefense et Web Intelligence, garantissant ainsi l'actualisation constante des systèmes de sécurité en matière de protection contre les menaces nouvelles et émergentes. Les entreprises auront la souplesse de définir les paramètres au niveau global ainsi que les paramètres spécifiques à leurs sous-réseaux.
Gestion des politiques globales SmartDefense
Reporting global et corrélation d’évènements
Dans un environnement Provider-1, Eventia Suite fournit des rapports d’activités et une analyse en temps réel des Logs de sécurité. La corrélation et le reporting peuvent être effectués de façon globale ou être axés sur une passerelle ou un client spécifique. Les administrateurs d'entreprise ou de fournisseurs de services peuvent générer automatiquement les rapports et les envoyer automatiquement aux divers partenaires.
 
Génération de rapport par client ou par passerelle
Administration des plug-ins
L'architecture d’administration “plug-in” de Provider-1 permet aux administrateurs de recevoir progressivement des mises à jour de fonctionnalités. Lorsque de nouvelles fonctions de passerelles VPN-1 sont présentées ou lorsque de nouveaux produits sont mis à disposition, les administrateurs peuvent les prendre en compte très simplement en activant le ou les plug-ins correspondants sur les CMAs concernés. Il n’est plus nécessaire de procéder à une mise à jour complète du système Provider-1. Les nouvelles caractéristiques peuvent être installées pour tous les clients ou pour des clients spécifiques. Tout en maintenant une administration cohérente de la sécurité, cette fonction permet d'optimiser le processus de mise à jour tout en permettant aux administrateurs de planifier sereinement la mise à jour vers une version majeure en fonction de leurs propres calendriers de maintenance.
Gestion des Plug-ins
©  2003–2008 Check Point Software Technologies Ltd. All rights reserved. Classification:  [Confidential]—For Check Point users and approved third parties |
