ProHoster > блог > адміністраванне > Check Point Gaia R80.40. Што будзе новага?

Check Point Gaia R80.40. Што будзе новага?

Check Point Gaia R80.40. Што будзе новага?

Набліжаецца чарговы рэліз аперацыйнай сістэмы Gaia R80.40. Некалькі тыдняў таму стартавала праграма Early Access, па якой можна атрымаць доступ для тэсціравання дыстрыбутыва. Мы, як звычайна, публікуем інфармацыю аб тым, што будзе новага, а таксама вылучым моманты, якія найбольш цікавыя з нашага пункту гледжання. Забягаючы наперад, магу сказаць, што новаўвядзенні сапраўды значныя. Таму трэба рыхтавацца да хуткай працэдуры абнаўлення. Раней мы ўжо публікавалі артыкул пра тое, як гэта рабіць (за дадатковай інфармацыяй можна звярнуцца сюды). Пяройдзем да тэмы…

Што новага

Разгледзім тут афіцыйна заяўленыя новаўвядзенні. Інфармацыя ўзята з сайта Check Mates (афіцыйная супольнасць Check Point). З вашага дазволу, я не буду перакладаць гэты тэкст, балазе аўдыторыя хабра гэта дазваляе. Замест гэтага я пакіну свае каментары ў наступным раздзеле.

1. IoT Security. Новыя функцыі, якія датычацца інтэрнэту рэчаў

  • Вырабляе IoT прылады і трэніроўкі атрыбутаў з certified IoT discovery engines (currently supports Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM and Armis).
  • Стварыць новы IoT арганізаваны палітыкаў дзяржавы ў сістэме кіравання.
  • Налады і кіраванне фізічнымі правіламі, якія грунтуюцца на IoT прыладах' atributes.

2. TLS InspectionHTTP/2:

  • HTTP/2 is update to the HTTP protocol. Удасканаленне ажыццяўлення ажыццяўлення хуткасць, эфектыўнасць і здароўе і эфектыўныя з дапамогай карыстача.
  • Check Point's Security Gateway now support HTTP/2 and benefits better speed and efficiency while get full security, with all Threat Prevention and Access Control blades, as well as new protections for the HTTP/2 protocol.
  • Support is for both clear and SSL encrypted traffic and fully integred with HTTPS/TLS
  • Inspection capabilities.

TLS Inspection Layer. Новаўвядзенні адносна HTTPS інспекцыі:

  • Новыя Policy Layer у SmartConsole, dedicated to TLS Inspection.
  • Different TLS Inspection layers можа быць выкарыстана ў розных палітыкавых пакетах.
  • Sharing of a TLS Inspection layer па multiple policy packages.
  • API для TLS аперацый.

3. Threat Prevention

  • Надзвычайная эфектыўнасць развіцця для трох пастаянных працэсаў і updates.
  • Automatic updates to Threat Extraction Engine.
  • Dynamic, Domain and Updatable Objects могуць быць прынятыя ў Трыятай Prevention and TLS Inspection policies. Adaptable objects are network objects that represent a external service or a common dynamic list of address of IP, for example - Office365 / Google / Azure / AWS IP addresses and Geo objects.
  • Anti-Virus сёння выкарыстоўваюць SHA-1 і SHA-256 тры лічбы для блокаў файлаў, заснаваных на сваіх пакутах. Імпарт новых indicadors з SmartConsole Threat Indicators view або Custom Intelligence Feed CLI.
  • Анты-Virus і SandBlast Threat Emulation now support inspection e-mail traffic over POP3 protocol, як well as improved inspection of e-mail traffic over IMAP protocol.
  • Anti-Virus і SandBlast Трэція эмуляцыі цяпер выкарыстоўваюць новае ўтрыманне SSH inspection feature to inspect files transferred over SCP and SFTP protocols.
  • Anti-Virus і SandBlast Threat Emulation цяпер забяспечваюць неадназначную падтрымку для SMBv3 inspection (3.0, 3.0.2, 3.1.1), у якіх уключаны анатоміі multi-channel connections. Check Point з'яўляецца сёння толькі вэндэрам для падтрымкі інфармацыйнага файла трансфармацыі праз некалькі каналаў (па сутнасці, што гэта не толькі ў сістэме Windows). Гэтыя здольныя карыстачы здольныя бяспечна пры працы з гэтай паляпшэннем развіцця.

4. Identity Awareness

  • Сістэма для прывабнай Portal integration з SAML 2.0 і трэцяй часткай Identity Providers.
  • Support for Identity Broker для разнастайных і granular цэлебрацыі Identity Information паміж PDPs, як добра, як кросс-дома Sharing.
  • Адкрыцці для тэхнічных сервераў Agent для павелічэння скалявання і бяспечнасці.

5. IPsec VPN

  • Configure different VPN encryption domains on Security Gateway, які з'яўляецца сябрам некалькіх VPN камунікацый. This provides:
  • Improved privacy - Internal networks не disclosed ў IKE protocol negotiations.
  • Improved security and granularity - Specify, якія сеткі могуць быць абсталяваныя ў specified VPN community.
  • Improved interoperability - Simplified route-based VPN definitions (адпаведная, калі вы працуеце з empty VPN encryption domain).
  • Стварайце і няпроста працу з вялікім зыходным VPN (LSV) навакольнага асяроддзя з дапамогай LSV profiles.

6. URL Filtering

  • Improved scalability and resilience.
  • Extended troubleshooting capabilities.

7. НАТ

  • Доступны NAT port аб'ём тэхналогій — на Security Gateways with 6 or more CoreXL Firewall instances, all instances use the same pool of NAT ports, which optimizes the port utilization and reuse.
  • NAT port utilization monitoring in CPView and with SNMP.

8. Voice over IP (VoIP)Многія CoreXL Firewall дазваляюць SIP protocol для павышэння эфектыўнасці.

9. VPN аддаленага доступуУстанавлівайце машыну, якая вызначае паміж арганізацыямі і недзяржаўнымі сістэмамі і прымае тэхніку, каб скарыстаць з дапамогай арганізацыйных сродкаў толькі. Аднаўленне можа быць pre-logon (прылада authentication толькі) або post-logon (прылада і карыстача).

10. Mobile Access Portal AgentДоступныя прынцыпы бяспекі пры падтрымцы мабільнага Access Portal Agent для падтрымкі ўсіх буйных рэсурсаў вэб-браузера. For more information, see sk113410.

11. CoreXL and Multi-Queue

  • Support for automatic allocation of CoreXL SNDs і Firewall instances, што не патрабуецца ў Security Gateway reboot.
  • Захаваны ад box experiments — Security Gateway аўтаматычна змяняюцца нумары CoreXL SNDs і Firewall instances and Multi-Queue configuration based on the current traffic load.

12. Кластарызацыя

  • Support for Cluster Control Protocol у Unicast mode, які знішчае неабходныя для CCP

Broadcast or Multicast modes:

  • Cluster Control Protocol encryption з'яўляецца now enabled by default.
  • Новы ClusterXL рэжым -Active/Active, які supports Cluster Members ў розных geographic locations, якія знаходзяцца на розных subnets і маюць розныя IP-адрасы.
  • Сістэма для ClusterXL Cluster Members that run different software versions.
  • Eliminated need for MAC Magic configuration when several clusters connected to the same subnet.

13. VSX

  • Support for VSX upgrade with CPUSE in Gaia Portal.
  • Support for Active Up mode у VSLS.
  • Support for CPView статыстычныя навіны для кожнага Virtual System

14. Zero TouchА simple plug & play setup process for installing an appliance — знішчэнне неабходнасці для тэхнічнай экспертызы і ажыццяўлення выкарыстоўваецца для ажыццяўлення інтэнсіўнай configuration.

15. Gaia REST APIGaia REST API выконвае новыя спосабы для чытання і атрымання інфармацыі на серверы, якія бяруць Gaia Operating System. See sk143612.

16. Advanced Routing

  • Адносіны да OSPF і BGP дазваляюць завяршыць і запусціць OSPF пабочныя эфекты для ўсіх CoreXL Firewall instance bez nutnosti restartovat routed daemon.
  • Знішчэнне рашучай змены для недапушчальных таргоў BGP routing inconsistencies.

17. New kernel capabilities

  • Upgraded Linux kernel
  • New partitioning system (gpt):
  • Больш за тое 2TB physical/logical drives
  • Faster file system (xfs)
  • Supporting larger system storage
  • I/O related performance improvements
  • Multi-Queue:
  • Full Gaia Clish support for Multi-Queue commands
  • Automatic "on by default" configuration
  • SMB v2/3 mount support in Mobile Access blade
  • Added NFSv4 (client) support (NFS v4.2 is the default NFS version used)
  • Support of new system tools for debugging, monitoring and configuring the system

18. CloudGuard Controller

  • Адукацыйныя характарыстыкі для злучэння да навакольных цэнтраў Data.
  • Integration with VMware NSX-T.
  • Support for additional API Commands для стварэння і edit Data Center Server objects.

19. Multi-Domain Server

  • Выберыце і адправіцеся ў асобны Domain Management Server на Multi-Domain Server.
  • Migrate a Domain Management Server на адным Multi-Domain Server для розных Multi-Domain Security Management.
  • Migrate a Security Management Server на аснове Domain Management Server на Multi-Domain Server.
  • Migrate a Domain Management Server для перапрацоўкі на Security Management Server.
  • Абнавіць Domain на Multi-Domain Server, або Security Management Server на папярэднюю версію для папярэдняга харчавання.

20. SmartTasks and API

  • New Management API authentication method, што пры дапамозе аўтагенераванага API Key.
  • New Management API выкарыстоўваецца для стварэння cluster objects.
  • Цэнтральны фармацэнзія Jumbo fixfix аккумулятора і fixfixs ад SmartConsole або з API здольны наладзіць або палепшыць Multi-Security Gateways and Clusters in parallel.
  • SmartTasks — configury automatic scripts or HTTPS requests triggered by administrator tasks, так, як выкарыстоўвае сесія або абслугоўванне тэхнікаў.

21. РазгортваннеЦэнтральны фармацэнзія Jumbo fixfix аккумулятора і fixfixs ад SmartConsole або з API здольны наладзіць або палепшыць Multi-Security Gateways and Clusters in parallel.

22. SmartEventShare SmartView views and reports with other administrators.

23. Log ExporterExport logs filtered according to field values.

24. Бяспека канчатковай кропкі

  • Support for Encryption BitLocker for Full Disk Encryption.
  • Support for external Certificate Authority certificates for Endpoint Security client
  • authentication and communication with Endpoint Security Management Server.
  • Support for dynamic size of Endpoint Security Client packages based on the selected
  • features for deployment.
  • Паліцыя можа мець сапраўдны кантроль узроўню notifications to end users.
  • Support for Persistent Environment VDI in Endpoint Policy Management.

Што больш за ўсё спадабалася нам (на аснове задач кліентаў)

Як бачыце, вельмі шмат навін. Але для нас, як для сістэмнага інтэгратара, Ёсць некалькі вельмі цікавых момантаў (якія таксама цікавыя нашым кліентам). Наш Топ-10:

  1. Нарэшце з'явілася паўнавартасная падтрымка IoT прылад. Ужо даволі цяжка сустрэць кампанію, у якой не было б такіх дэвайсаў.
  2. TLS інспекцыя зараз вынесена ў асобны пласт (Layer). Гэта значна зручней, чым зараз (у 80.30). Больш не трэба запускаць стары Legasy Dashboard. Плюс, зараз у палітыцы HTTPS інспекцыі можна выкарыстоўваць Updatable аб'екты, такія як сэрвісы Office365, Google, Azure, AWS і г.д. Гэта вельмі зручна, калі трэба наладзіць выключэнні. Аднак, усё яшчэ няма падтрымкі tls 1.3. Мабыць «дагоняць» наступным хотфіксам.
  3. Значныя змены для Anti-Virus і SandBlast. Цяпер можна правяраць такія пратаколы як SCP, SFTP і SMBv3 (дарэчы, дадзены мультыканальны пратакол больш ніхто правяраць не ўмее).
  4. Вельмі шмат паляпшэнняў, якія датычацца Site-to-Site VPN. Цяпер можна наладжваць некалькі VPN даменаў на шлюзе, які складаецца ў некалькіх VPN community. Гэта вельмі зручна і нашмат бяспечней. Акрамя таго, Check Point нарэшце ўспомніў пра Route Based VPN і крыху палепшыў яго стабільнасць/сумяшчальнасць.
  5. З'явілася вельмі запатрабаваная функцыя для выдаленых карыстачоў. Зараз можна аўтэнтыфікаваць не толькі карыстача, але і аксэсуар, з якога ён падлучаецца. Напрыклад, мы жадаем дазволіць падлучэнне па VPN толькі з карпаратыўных прылад. Робіцца гэта канешне з дапамогай сертыфікатаў. Таксама стала магчыма аўтаматычна мантаваць (SMB v2/3) файлавыя шары для выдаленых карыстачоў з VPN кліентам.
  6. Вельмі шмат змен у працы кластара. Але мабыць адна з самых цікавых магчымасць працы кластара, дзе шлюзы маюць розныя версіі Gaia. Гэта зручна, пры планаваным абнаўленні.
  7. Палепшаны магчымасці Zero Touch. Карысная штука для тых, хто часта ўсталёўвае "маленькія" шлюзы (напрыклад для банкаматаў).
  8. Для логаў зараз падтрымліваецца сховішча да 48ТB.
  9. Можна "шарыць" свае дашборды SmartEvent з іншымі адміністратарамі.
  10. Log Exporter зараз дазваляе рабіць предфильтрацию якія адпраўляюцца паведамленняў, па патрэбных палях. Г.зн. на вашыя SIEM сістэмы будуць праходзіць толькі патрэбныя логі і падзеі

Абнаўленне

Магчыма многія ўжо падумваюць наконт абнаўлення. Не варта спяшацца. Для пачатку версія 80.40 павінна перайсці ў General Availability. Але і пасля гэтага не трэба адразу абнаўляцца. Лепш пачакаць хаця б першага хотфікса.
Магчыма многія "сядзяць" і на больш старых версіях. Магу сказаць, што прынамсі ўжо можна (і нават трэба) абнаўляцца да 80.30. Гэта ўжо стабільная і правераная сістэма!

Вы таксама можаце падпісацца на нашы паблікі (Тэлеграма, Facebook, VK, TS Solution Blog), дзе можна сачыць за з'яўленнем новых матэрыялаў па Check Point і іншым security прадуктам.

Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. Увайдзіце, Калі ласка.

Якую версію Gaia вы карыстаецеся?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • іншае

Прагаласавалі 13 карыстальнікаў. Устрымаліся 6 карыстальнікаў.

Крыніца: habr.com

Дадаць каментар