Check Point Endpoint Security (CPES)
- Patryk Królikowski,
- 14.12.2009
Szyfrowanie danych
Na szyfrowanie danych składają się dwa moduły: Full Disk Encryption (szyfrowanie dysków twardych) oraz Media Encryption (szyfrowanie nośników wymiennych). FDE dawniej znany był jako Pointsec PC, a ME jako Pointsec Protector. FDE ma to, czego możemy oczekiwać od nowoczesnego rozwiązania szyfrującego - wykorzystanie bezpiecznych algorytmów (m.in. AES 256, certyfikacja FIPS-140-2), środowisko graficzne preboot z obsługą tokenów czy awaryjną deszyfrację - szerzej o tym module pisaliśmy przy okazji omawiania produktów przeznaczonych do szyfrowania dysków twardych.
(Nie)jeden serwer
Strona serwerowa (zarządcza) CPES wygląda dość dziwnie. Pierwsze wątpliwości i objawy lekkiej schizofrenii zaczynają się już na etapie wyboru sposobu instalacji. Mamy do wyboru dwie ścieżki. Pierwsza pozwala na instalację znanego wszystkim użytkownikom produktów Check Point systemu operacyjnego Secure Platform, pieszczotliwie zwanego SPLAT-em. W ostatniej fazie jego instalacji możemy wskazać, aby Secure Platform pełniło rolę serwera zarządzania dla rozwiązania Endpoint Security i dodatkowo doinstalować dodatek SmartPortal - graficzne środowisko zarządzania samym serwerem, jego parametrami i konfiguracją. Podczas instalacji należy pamiętać o zmianie domyślnego portu zarządzania - TCP 443 na inny. Jeżeli tego nie zrobimy, będziemy musieli przekonfigurować serwer, aby umożliwić dołożenie składnika Endpoint Security. W tym miejscu należy poczynić pewną uwagę. Upraszczając, Endpoint Security z punktu widzenia serwera zarządzania to produkt wcześniej znany pod nazwą Integrity - obecnie ta część pakietu nazywa się Secure Access. Za jego pomocą możemy sterować zaporą ogniową, kontrolować porty czy aplikacje, konfigurować parametry pracy antywirusa czy lokalnego NAC-a. Ale na tym kończą się obecne możliwości serwera postawionego na platformie Secure Platform. Żeby cieszyć się innymi elementami pakietu (Full Disk Encryption, Media Encryption, WebRH), musimy podeprzeć się systemem Windows. Ale nawet instalując produkt na Windowsie, szybko odkrywamy, że choć możemy całość "upchnąć" na jednej maszynie fizycznej, to w rzeczywistości instalujemy kilka różnych serwerów. Mamy więc właściwy serwer Endpoint Security, serwer zarządzania rozwiązaniem do szyfrowania dysków twardych - Full Disk Encryption, serwer administrowania szyfrowaniem nośników wymiennych - Media Encryption, serwer zarządzania licencjami dla FDE czy wreszcie moduł wsparcia użytkowników Web Remote Help (WebRH). Niestety, nie tylko liczba serwerów rozczarowuje - także konsoli zarządzania. Na próżno szukać integracji wszystkich elementów zarządzania w świetnej konsoli SmartConsole - musimy korzystać z przynajmniej trzech różnych interfejsów. Co prawda jest światełko w tunelu i prace nad integracją trwają, ale kiedy to nastąpi, dokładnie nie wiadomo. Wiele konsoli to również konieczność wielokrotnego powtarzania szeregu czynności konfiguracyjnych, np. definiowanie integracji z AD (osobno w Media Encryption, osobno w serwerze Endpoint Security/Secure Access). To chyba największa bolączka pakietu - brak centralnego zarządzania w pełnym rozumieniu tego słowa. Dotychczasowi użytkownicy flagowych produktów Check Pointa mogą być więc trochę rozczarowani. Wierni fani firmy twierdzą, że tak jest nawet lepiej, bo nie zawsze wszystkimi elementami zarządza jeden zespół i w ten sposób każdy może mieć pod kontrolą własny kawałek tortu. Nas ta argumentacja raczej nie przekonuje.