​​#learn

У Check Point есть интересный портальчик о лучших практиках и архитектурах сервисов ИБ. Причем, на портале публикуются документы по разным тематикам технической и полу-технической тематики:
- Защита публичных и частных облаков
- Защита IoT устройств в мед. учреждениях (там, кстати, много актуальных угроз)
- Защита NSX-T/V и как построить оптимальную проверку трафика в SDN среде

Кроме того, сейчас все больше и больше используются cloud native приложения и сервисы, Kubernetes кластера с сотнями POD'ов, лямбды и микросервисы.

Вот почему, сразу же возникает вопрос - как правильно обеспечить безопасность в такой среде ?
На что обратить внимание ?
Все постоянно меняется и мигрирует из кластера в кластер, как обуздать такую динамику ?
Что там с защитой API и ингресс контроллеров ?

Много вопросов и много ответов в новом документе о cloud native безопасности! ❤️
В нем описано, как устроена модель разделяемой ответственности в публичных облаках, описание защиты CI/CD, kubernetes кластеров и референсная архитектура.

В общем, очень интересный документ:
https://www.checkpoint.com/downloads/products/checkpoint-cloud-native-security.pdf

коллеги, поделитесь мудростью. Есть 1450 аплайнс. Хочу использовать для аутентификации на него radius сервер, который внутри vpn сети. Но настройки сорс интерфейса для радиуса не могу найти. По умолчанию шлет с интерейса WAN с его же адресом, что нежелательно. Есть техническая возможность заменить сорс инт?

Эти запросы точно по маршруту через туннель идут?

ну т.к. адрес радиус сервера указан из сети за тунелем, то пытаются в туннель. Однако, т.к. адрес WAN интерфейса, который ставится сорсом, в впн домене нет, пакет дропится.

Запросы к радиусу инициирует сам шлюз. Маршрутизация к радиусу формально в Интернет, поэтому шлюз как радиус-клиент и подставляет свой WAN ip

Явный NAT делать для исходящего трафика.

Source NAT

Если конечно у cp нет хитрых настроек для работы в качестве radius-клиента

Добрый день.
на SMB устройстве  в  Advanced Settings есть параметр Use internal IP address for encrypt,  описание в sk119415
можно попробовать поправить его.
либо использовать Source NAT

Добрый день. При установке политики повышает нагрузка на ресурсы устройства. Посмотрите загруз RAM, CPU. Используйте утилиту cpview.
Попробуйте отключить по очереди разные блейды и посмотрите с их выключением, исчезает ли проблема

Почему никто не покажет дропнутые сетевой картой пакеты ? Даже если кто-то надрубит провод, то ошибки tx/rx можно увидеть через ethtool

Добрый день, снижения скорости нет. Много глюков исправлено было. Почитайте на support сайте про r77.30 и что было исправлено

Zdrastvuite. Takoi vopros: mojno li na NGFW dlea zashiti web-servera, propisati kancretnie ACL gre mojno zaiti a gde net na baze IP, ex: deny to access https://web.co/admin

zdravstvuite. Politika v SmartConsole pozvolyaet nastroit' pravila dostupa k vashemu web-serveru na osnove IP-adresov

Mojete skinuti link na documentatiu pojalusta?

Section "Creating an Access Control Policy", but if you're not familiar with it, I'd recommend to start from the first chapter

Привет!
А IaaS поддерживает VSX?
Не могу найти документальное подтверждение

наскоком почитав понял что это только для стендэлонов. у нас центральный менеджмент. в принципе решение с СНАТом удовлетворяет, спасибо большое!Ё

👆🏻