ProHoster > Blog > administrasie > Check Point Gaia R80.40. Wat sal nuut wees?

Check Point Gaia R80.40. Wat sal nuut wees?

Check Point Gaia R80.40. Wat sal nuut wees?

Die volgende weergawe van die bedryfstelsel kom nader Gaia R80.40. N paar weke gelede Early Access-program van stapel gestuur, waar jy toegang het om die verspreiding te toets. Ons publiseer soos gewoonlik inligting oor wat nuut gaan wees, asook lig die oomblikke uit wat uit ons oogpunt die interessantste is. As ek vorentoe kyk, kan ek sê dat die innovasies werklik betekenisvol is. Daarom is dit die moeite werd om voor te berei vir 'n vroeë opdateringsprosedure. Voorheen het ons 'n artikel gepubliseer hoe om dit te doen (sien vir meer inligting hier aansoek doen). Kom ons kom by die onderwerp...

Wat's nuut

Kyk hier na die amptelik aangekondigde innovasies. Inligting geneem vanaf die webwerf Kontroleer maats (amptelike Check Point-gemeenskap). Met jou toestemming sal ek nie hierdie teks vertaal nie, aangesien die Habr-gehoor dit toelaat. In plaas daarvan sal ek my kommentaar in die volgende hoofstuk los.

1. IoT Sekuriteit. Nuwe kenmerke wat verband hou met die internet van dinge

  • Versamel IoT-toestelle en verkeerseienskappe van gesertifiseerde IoT-ontdekkingsenjins (ondersteun tans Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM en Armis).
  • Stel 'n nuwe IoT-toegewyde beleidslaag in beleidbestuur op.
  • Konfigureer en bestuur sekuriteitsreëls wat gebaseer is op die IoT-toestelle se eienskappe.

2. TLS InspeksieHTTP / 2:

  • HTTP/2 is 'n opdatering van die HTTP-protokol. Die opdatering bied verbeterings aan spoed, doeltreffendheid en sekuriteit en resultate met 'n beter gebruikerservaring.
  • Check Point se Security Gateway ondersteun nou HTTP/2 en bevoordeel beter spoed en doeltreffendheid terwyl dit volle sekuriteit kry, met alle bedreigingsvoorkoming en toegangsbeheer-lemme, sowel as nuwe beskermings vir die HTTP/2-protokol.
  • Ondersteuning is vir beide duidelike en SSL-geënkripteerde verkeer en is ten volle geïntegreer met HTTPS/TLS
  • inspeksie vermoëns.

TLS-inspeksielaag. Nuut vir HTTPS-inspeksie:

  • 'n Nuwe beleidslaag in SmartConsole toegewy aan TLS-inspeksie.
  • Verskillende TLS-inspeksielae kan in verskillende polispakkette gebruik word.
  • Deel van 'n TLS-inspeksielaag oor verskeie beleidspakkette.
  • API vir TLS-bedrywighede.

3. Bedreigingsvoorkoming

  • Algehele doeltreffendheidverbetering vir bedreigingsvoorkomingsprosesse en -opdaterings.
  • Outomatiese opdaterings aan Threat Extraction Engine.
  • Dinamiese, domein en opdateerbare voorwerpe kan nou in Bedreigingsvoorkoming en TLS-inspeksiebeleide gebruik word. Opdateerbare voorwerpe is netwerkobjekte wat 'n eksterne diens of 'n bekende dinamiese lys van IP-adresse verteenwoordig, byvoorbeeld - Office365 / Google / Azure / AWS IP-adresse en Geo-objekte.
  • Anti-Virus gebruik nou SHA-1- en SHA-256-bedreigingsindikasies om lêers op grond van hul hashes te blokkeer. Voer die nuwe aanwysers in vanaf die SmartConsole Threat Indicators-aansig of die Custom Intelligence Feed CLI.
  • Anti-Virus en SandBlast Threat Emulation ondersteun nou inspeksie van e-posverkeer oor die POP3-protokol, sowel as verbeterde inspeksie van e-posverkeer oor die IMAP-protokol.
  • Anti-Virus en SandBlast Threat Emulation gebruik nou die nuut ingevoerde SSH-inspeksiefunksie om lêers wat oor die SCP- en SFTP-protokolle oorgedra is, te inspekteer.
  • Anti-Virus en SandBlast Threat Emulation bied nou 'n verbeterde ondersteuning vir SMBv3-inspeksie (3.0, 3.0.2, 3.1.1), wat inspeksie van multi-kanaalverbindings insluit. Check Point is nou die enigste verskaffer wat inspeksie van 'n lêeroordrag deur verskeie kanale ondersteun ('n kenmerk wat by verstek in alle Windows-omgewings aan is). Dit stel kliënte in staat om veilig te bly terwyl hulle met hierdie werkverrigtingverbeterende kenmerk werk.

4. Identiteitsbewustheid

  • Ondersteuning vir Captive Portal-integrasie met SAML 2.0 en derdeparty-identiteitsverskaffers.
  • Ondersteuning vir Identity Broker vir skaalbare en granulêre deel van identiteitsinligting tussen PDP's, sowel as kruisdomeindeling.
  • Verbeterings aan Terminal Servers Agent vir beter skaal en versoenbaarheid.

5. IPsec VPN

  • Stel verskillende VPN-enkripsiedomeine op op 'n Security Gateway wat 'n lid is van verskeie VPN-gemeenskappe. Dit verskaf:
  • Verbeterde privaatheid - Interne netwerke word nie in IKE-protokolonderhandelinge bekend gemaak nie.
  • Verbeterde sekuriteit en granulariteit - Spesifiseer watter netwerke toeganklik is in 'n gespesifiseerde VPN-gemeenskap.
  • Verbeterde interoperabiliteit - Vereenvoudigde roete-gebaseerde VPN-definisies (aanbeveel wanneer jy met 'n leë VPN-enkripsiedomein werk).
  • Skep en werk naatloos met 'n grootskaalse VPN (LSV)-omgewing met behulp van LSV-profiele.

6. URL-filtrering

  • Verbeterde skaalbaarheid en veerkragtigheid.
  • uitgebreide probleemoplossingsvermoëns.

7.NAT

  • Verbeterde NAT-poorttoewysingsmeganisme - op Security Gateways met 6 of meer CoreXL Firewall-gevalle, gebruik alle gevalle dieselfde poel NAT-poorte, wat die poortbenutting en hergebruik optimaliseer.
  • NAT-poortgebruiksmonitering in CPView en met SNMP.

8. Stem oor IP (VoIP)Veelvuldige CoreXL Firewall-gevalle hanteer die SIP-protokol om werkverrigting te verbeter.

9. Afstandtoegang VPNGebruik masjiensertifikaat om tussen korporatiewe en nie-korporatiewe bates te onderskei en om 'n beleid op te stel wat slegs die gebruik van korporatiewe bates afdwing. Afdwinging kan vooraf-aanmelding (slegs toestelstawing) of na-aanmelding (toestel- en gebruikerstawing) wees.

10. Mobiele toegangsportaalagentVerbeterde eindpuntsekuriteit op aanvraag binne die Mobile Access Portal Agent om alle groot webblaaiers te ondersteun. Vir meer inligting, sien sk113410.

11. CoreXL en Multi-Wou

  • Ondersteuning vir outomatiese toewysing van CoreXL SND'e en Firewall-gevalle wat nie 'n Security Gateway-herlaai vereis nie.
  • Verbeterde out of the box-ervaring - Security Gateway verander outomaties die aantal CoreXL SND's en Firewall-gevalle en die Multi-Weue-konfigurasie gebaseer op die huidige verkeerslading.

12. Groepering

  • Ondersteuning vir Cluster Control Protocol in Unicast-modus wat die behoefte aan CCP uitskakel

Uitsaai- of Multicast-modusse:

  • Cluster Control Protocol enkripsie is nou by verstek geaktiveer.
  • Nuwe ClusterXL-modus -Aktief/Aktief, wat Clusterlede in verskillende geografiese liggings ondersteun wat op verskillende subnette geleë is en verskillende IP-adresse het.
  • Ondersteuning vir ClusterXL Cluster Lede wat verskillende sagteware weergawes gebruik.
  • Het die behoefte aan MAC Magic-konfigurasie uitgeskakel wanneer verskeie trosse aan dieselfde subnet gekoppel is.

13.VSX

  • Ondersteuning vir VSX-opgradering met CPUSE in Gaia Portal.
  • Ondersteuning vir Active Up-modus in VSLS.
  • Ondersteuning vir CPView statistiese verslae vir elke virtuele stelsel

14. Zero Touch'n Eenvoudige Plug & Play-opstellingsproses vir die installering van 'n toestel – elimineer die behoefte aan tegniese kundigheid en om aan die toestel te koppel vir aanvanklike konfigurasie.

15. Gaia REST APIGaia REST API bied 'n nuwe manier om inligting te lees en te stuur na bedieners wat Gaia-bedryfstelsel bestuur. Sien sk143612.

16 Gevorderde roetering

  • Verbeterings aan OSPF en BGP laat toe om OSPF naburige terug te stel en te herbegin vir elke CoreXL Firewall-instansie sonder dat dit nodig is om die gerouteerde daemon te herbegin.
  • Verbetering van roeteverversing vir verbeterde hantering van BGP-roeteringteenstrydighede.

17. Nuwe kern vermoëns

  • Opgradeerde Linux-kern
  • Nuwe partisiestelsel (gpt):
  • Ondersteun meer as 2TB fisiese/logiese dryf
  • Vinniger lêerstelsel (xfs)
  • Ondersteun groter stelselberging (tot 48TB getoets)
  • I/O-verwante prestasieverbeterings
  • Veelvuldige tou:
  • Volle Gaia Clish-ondersteuning vir Multi-Wue-opdragte
  • Outomatiese "aan by verstek" konfigurasie
  • SMB v2/3-monteersteun in Mobile Access-lem
  • Bygevoeg NFSv4 (kliënt) ondersteuning (NFS v4.2 is die standaard NFS weergawe wat gebruik word)
  • Ondersteuning van nuwe stelselhulpmiddels vir ontfouting, monitering en konfigurasie van die stelsel

18. CloudGuard-beheerder

  • Werkverrigtingverbeterings vir verbindings met eksterne datasentrums.
  • Integrasie met VMware NSX-T.
  • Ondersteuning vir bykomende API-opdragte om datasentrumbediener-objekte te skep en te wysig.

19. Multi-Domain Server

  • Rugsteun en herstel 'n individuele domeinbestuurbediener op 'n multidomeinbediener.
  • Migreer 'n domeinbestuurbediener op een multi-domeinbediener na 'n ander multi-domein sekuriteitsbestuur.
  • Migreer 'n sekuriteitsbestuurbediener om 'n domeinbestuurbediener op 'n multi-domeinbediener te word.
  • Migreer 'n domeinbestuurbediener om 'n sekuriteitsbestuurbediener te word.
  • Herstel 'n domein op 'n multi-domeinbediener, of 'n sekuriteitsbestuurbediener na 'n vorige hersiening vir verdere redigering.

20. SmartTasks en API

  • Nuwe Management API-stawingmetode wat 'n outo-gegenereerde API-sleutel gebruik.
  • Nuwe Management API-opdragte om groepobjekte te skep.
  • Sentrale ontplooiing van Jumbo Hotfix Accumulator en Hotfixes vanaf SmartConsole of met 'n API laat toe om verskeie sekuriteitspoorte en -klusters parallel te installeer of op te gradeer.
  • SmartTasks - Stel outomatiese skrifte of HTTPS-versoeke op wat deur administrateurtake geaktiveer word, soos om 'n sessie te publiseer of 'n beleid te installeer.

21. OntplooiingSentrale ontplooiing van Jumbo Hotfix Accumulator en Hotfixes vanaf SmartConsole of met 'n API laat toe om verskeie sekuriteitspoorte en -klusters parallel te installeer of op te gradeer.

22 Slim gebeurtenisDeel SmartView-aansigte en verslae met ander administrateurs.

23. Log UitvoerderUitvoerlogboeke gefiltreer volgens veldwaardes.

24 Eindpuntsekuriteit

  • Ondersteuning vir BitLocker-kodering vir volledige skyf-enkripsie.
  • Ondersteuning vir eksterne Sertifikaat-owerheid-sertifikate vir Endpoint Security-kliënt
  • stawing en kommunikasie met die Endpoint Security Management Server.
  • Ondersteuning vir dinamiese grootte van Endpoint Security-kliëntpakkette gebaseer op die geselekteerde
  • kenmerke vir ontplooiing.
  • Beleid kan nou die vlak van kennisgewings aan eindgebruikers beheer.
  • Ondersteuning vir aanhoudende VDI-omgewing in eindpuntbeleidbestuur.

Waarvan ons die meeste gehou het (gebaseer op kliëntetake)

Soos u kan sien, is daar baie innovasies. Maar vir ons, soos vir stelsel integreerder, is daar verskeie baie interessante punte (wat ook van belang is vir ons kliënte). Ons Top 10:

  1. Ten slotte het volledige ondersteuning vir IoT-toestelle verskyn. Dit is reeds redelik moeilik om 'n maatskappy te ontmoet wat nie sulke toestelle sal hê nie.
  2. TLS-inspeksie is nou in 'n aparte laag (laag). Dit is baie geriefliker as nou (teen 80.30). Jy hoef nie meer die ou Legacy Dashboard te laat loop nie. Boonop kan jy nou Opdateerbare voorwerpe in die HTTPS-inspeksiebeleid gebruik, soos Office365, Google, Azure, AWS, ens.-dienste. Dit is baie handig wanneer jy uitsonderings moet opstel. Daar is egter steeds geen ondersteuning vir tls 1.3 nie. Hulle sal blykbaar die volgende hotfix “inhaal”.
  3. Beduidende veranderinge vir Anti-Virus en SandBlast. Nou kan u protokolle soos SCP, SFTP en SMBv3 nagaan (terloops, niemand anders kan hierdie multikanaal-protokol nagaan nie).
  4. Baie verbeterings met betrekking tot werf-tot-werf VPN. Nou kan u verskeie VPN-domeine opstel op 'n poort wat uit verskeie VPN-gemeenskappe bestaan. Dit is baie gerieflik en baie veiliger. Daarbenewens het Check Point uiteindelik Roete-gebaseerde VPN onthou en sy stabiliteit / verenigbaarheid effens verbeter.
  5. Daar is 'n baie gevraagde funksie vir afgeleë gebruikers. Nou kan jy nie net die gebruiker verifieer nie, maar ook die toestel waaruit hy koppel. Ons wil byvoorbeeld VPN-verbindings slegs vanaf korporatiewe toestelle toelaat. Dit word natuurlik gedoen met behulp van sertifikate. Dit het ook moontlik geword om outomaties (SMB v2/3) lêeraandele vir afgeleë gebruikers met 'n VPN-kliënt te monteer.
  6. Baie veranderinge in die werk van die groep. Maar miskien is een van die interessantste die moontlikheid van groepering, waar poorte verskillende weergawes van Gaia het. Dit is handig wanneer jy beplan om op te gradeer.
  7. Verbeterde Zero Touch-vermoëns. 'n Nuttige ding vir diegene wat dikwels "klein" poorte installeer (byvoorbeeld vir OTM'e).
  8. Logberging word nou tot 48TB ondersteun.
  9. Jy kan jou SmartEvent-kontroleskerms met ander administrateurs deel.
  10. Log Exporter laat jou nou toe om gestuurde boodskappe vooraf te filter deur die vereiste velde. Dié. slegs die nodige logs en gebeure sal na jou SIEM-stelsels gaan

Werk

Miskien dink baie reeds daaraan om op te gradeer. Moenie haastig wees nie. Om mee te begin, moet weergawe 80.40 na Algemene Beskikbaarheid skuif. Maar selfs daarna moet jy nie dadelik opdateer nie. Dit is beter om ten minste te wag vir die eerste hotfix.
Miskien "sit" baie op ouer weergawes. Ek kan sê dat dit ten minste reeds moontlik (en selfs nodig) is om op te gradeer na 80.30. Dit is reeds 'n stabiele en bewese stelsel!

Jy kan ook inteken op ons publieke (telegram, Facebook, VK, TS Oplossing Blog), waar jy die verskyning van nuwe materiaal op Check Point en ander sekuriteitsprodukte kan volg.

Slegs geregistreerde gebruikers kan aan die opname deelneem. Meld aan, asseblief.

Watter weergawe van Gaia gebruik jy?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • ander

13 gebruikers het gestem. 6 gebruikers het buite stemming gebly.

Bron: will.com

Voeg 'n opmerking