ProHoster > Bloc > Administració > Check Point Gaia R80.40. Que hi ha de nou?

Check Point Gaia R80.40. Que hi ha de nou?

Check Point Gaia R80.40. Que hi ha de nou?

S'acosta la propera versió del sistema operatiu Gaia R80.40. Fa unes setmanes Va començar el programa d'accés anticipat, on podeu accedir per provar la distribució. Com és habitual, publiquem informació sobre les novetats, i també destaquem els punts que són més interessants des del nostre punt de vista. De cara al futur, puc dir que les innovacions són realment importants. Per tant, val la pena preparar-se per a un procediment d'actualització anticipada. Abans ja ho tenim va publicar un article sobre com fer-ho (per obtenir més informació, visiteu contacteu aquí). Anem al tema...

Que hi ha de nou

Vegem aquí les innovacions anunciades oficialment. Informació extreta del lloc Comprova els companys (comunitat oficial de Check Point). Amb el teu permís, no traduiré aquest text, afortunadament el públic Habr ho permet. En canvi, deixaré els meus comentaris per al proper capítol.

1. Seguretat IoT. Noves funcions relacionades amb l'Internet de les coses

  • Recull dispositius IoT i atributs de trànsit de motors de descoberta IoT certificats (actualment és compatible amb Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM i Armis).
  • Configureu una nova capa de polítiques dedicada a IoT a la gestió de polítiques.
  • Configureu i gestioneu regles de seguretat que es basen en els atributs dels dispositius IoT.

2. Inspecció TLSHTTP/2:

  • HTTP/2 és una actualització del protocol HTTP. L'actualització proporciona millores en la velocitat, l'eficiència i la seguretat i els resultats amb una millor experiència d'usuari.
  • La passarel·la de seguretat de Check Point ara admet HTTP/2 i beneficia una millor velocitat i eficiència alhora que aconsegueix una seguretat total, amb totes les fulles de prevenció d'amenaces i control d'accés, així com noves proteccions per al protocol HTTP/2.
  • El suport és tant per al trànsit encriptat clar com SSL i està totalment integrat amb HTTPS/TLS
  • Capacitats d'inspecció.

Capa d'inspecció TLS. Innovacions pel que fa a la inspecció HTTPS:

  • Una nova capa de política a SmartConsole dedicada a la inspecció TLS.
  • Es poden utilitzar diferents capes d'inspecció TLS en diferents paquets de polítiques.
  • Compartició d'una capa d'inspecció TLS entre diversos paquets de polítiques.
  • API per a operacions TLS.

3. Prevenció d'amenaces

  • Millora general de l'eficiència dels processos i actualitzacions de prevenció d'amenaces.
  • Actualitzacions automàtiques a Threat Extraction Engine.
  • Els objectes dinàmics, de domini i actualitzables ara es poden utilitzar a les polítiques de prevenció d'amenaces i d'inspecció TLS. Els objectes actualitzables són objectes de xarxa que representen un servei extern o una llista dinàmica coneguda d'adreces IP, per exemple: adreces IP Office365/Google/Azure/AWS i objectes Geo.
  • L'antivirus ara utilitza indicacions d'amenaça SHA-1 i SHA-256 per bloquejar fitxers basats en els seus hash. Importeu els indicadors nous des de la vista d'indicadors d'amenaça de l'SmartConsole o de la CLI del canal d'intel·ligència personalitzat.
  • L'emulació antivirus i SandBlast Threat ara admet la inspecció del trànsit de correu electrònic mitjançant el protocol POP3, així com la inspecció millorada del trànsit de correu electrònic mitjançant el protocol IMAP.
  • L'emulació antivirus i SandBlast Threat ara utilitzen la funció d'inspecció SSH recentment introduïda per inspeccionar els fitxers transferits mitjançant els protocols SCP i SFTP.
  • L'emulació antivirus i SandBlast Threat ara ofereixen un suport millorat per a la inspecció SMBv3 (3.0, 3.0.2, 3.1.1), que inclou la inspecció de connexions multicanal. Check Point és ara l'únic proveïdor que admet la inspecció d'una transferència de fitxers a través de diversos canals (una característica que està activada per defecte en tots els entorns Windows). Això permet als clients mantenir-se segurs mentre treballen amb aquesta funció de millora del rendiment.

4. Consciència de la identitat

  • Suport per a la integració del portal captiu amb SAML 2.0 i proveïdors d'identitat de tercers.
  • Suport per a Identity Broker per compartir informació d'identitat escalable i granular entre PDP, així com per compartir entre dominis.
  • Millores a Terminal Servers Agent per a una millor escalada i compatibilitat.

5. VPN IPsec

  • Configureu diferents dominis de xifratge VPN en una passarel·la de seguretat que sigui membre de diverses comunitats VPN. Això proporciona:
  • Privadesa millorada: les xarxes internes no es revelen a les negociacions del protocol IKE.
  • Seguretat i granularitat millorades: especifiqueu quines xarxes són accessibles en una comunitat VPN especificada.
  • Interoperabilitat millorada: definicions VPN simplificades basades en rutes (recomanat quan treballeu amb un domini de xifratge VPN buit).
  • Creeu i treballeu sense problemes amb un entorn VPN a gran escala (LSV) amb l'ajuda dels perfils LSV.

6. Filtret d'URL

  • Escalabilitat i resiliència millorades.
  • Capacitats de resolució de problemes ampliades.

7.NAT

  • Mecanisme d'assignació de ports NAT millorat: a les passarel·les de seguretat amb 6 o més instàncies del tallafoc CoreXL, totes les instàncies utilitzen el mateix conjunt de ports NAT, la qual cosa optimitza la utilització i la reutilització del port.
  • Supervisió de l'ús del port NAT a CPView i amb SNMP.

8. Veu sobre IP (VoIP)Diverses instàncies de CoreXL Firewall gestionen el protocol SIP per millorar el rendiment.

9. VPN d'accés remotUtilitzeu el certificat de màquina per distingir entre actius corporatius i no corporatius i per establir una política que obligui només l'ús d'actius corporatius. L'aplicació pot ser abans de l'inici de sessió (només autenticació del dispositiu) o posterior a l'inici de sessió (autenticació del dispositiu i de l'usuari).

10. Agent del portal d'accés mòbilSeguretat de punt final millorada a demanda dins de l'agent del portal d'accés mòbil per admetre tots els navegadors web principals. Per obtenir més informació, vegeu sk113410.

11.CoreXL i Multi-Queue

  • Suport per a l'assignació automàtica de CoreXL SND i instàncies de tallafocs que no requereixen un reinici de Security Gateway.
  • Experiència immediatament millorada: Security Gateway canvia automàticament el nombre de CoreXL SND i instàncies de tallafocs i la configuració de Multi-Queue en funció de la càrrega de trànsit actual.

12. Agrupació

  • Suport per al protocol de control de clúster en mode Unicast que elimina la necessitat de CCP

Modes de difusió o multidifusió:

  • El xifratge del protocol de control de clúster ara està activat de manera predeterminada.
  • Nou mode ClusterXL -Active/Active, que admet els membres del clúster en diferents ubicacions geogràfiques que es troben en diferents subxarxes i tenen diferents adreces IP.
  • Suport per als membres del clúster ClusterXL que executen diferents versions de programari.
  • S'ha eliminat la necessitat de configurar MAC Magic quan diversos clústers estan connectats a la mateixa subxarxa.

13. VSX

  • Suport per a l'actualització de VSX amb CPUSE al Gaia Portal.
  • Suport per al mode Active Up a VSLS.
  • Suport per als informes estadístics CPView per a cada sistema virtual

14. Zero TouchUn procés senzill de configuració Plug & Play per instal·lar un aparell, eliminant la necessitat d'expertesa tècnica i haver de connectar-se a l'aparell per a la configuració inicial.

15. Gaia REST APIL'API REST de Gaia ofereix una nova manera de llegir i enviar informació als servidors que executen el sistema operatiu Gaia. Vegeu sk143612.

16. Enrutament avançat

  • Les millores a OSPF i BGP permeten restablir i reiniciar OSPF veïna per a cada instància de CoreXL Firewall sense necessitat de reiniciar el dimoni encaminat.
  • Millora de l'actualització de la ruta per millorar la gestió de les incoherències d'encaminament BGP.

17. Noves capacitats del nucli

  • Nucli de Linux actualitzat
  • Nou sistema de particions (gpt):
  • Admet més de 2 TB d'unitats físiques/lògiques
  • Sistema de fitxers més ràpid (xfs)
  • Admet emmagatzematge del sistema més gran (fins a 48 TB provat)
  • Millores de rendiment relacionades amb E/S
  • Multi-cua:
  • Compatibilitat total amb Gaia Clish per a ordres multi-cua
  • Configuració automàtica "activada per defecte".
  • Suport de muntatge SMB v2/3 al blade Mobile Access
  • S'ha afegit suport NFSv4 (client) (NFS v4.2 és la versió NFS predeterminada que s'utilitza)
  • Suport de noves eines del sistema per a la depuració, el seguiment i la configuració del sistema

18. Controlador CloudGuard

  • Millores de rendiment per a les connexions a centres de dades externs.
  • Integració amb VMware NSX-T.
  • Suport per a ordres de l'API addicionals per crear i editar objectes del servidor del centre de dades.

19. Servidor multidomini

  • Feu una còpia de seguretat i restaureu un servidor de gestió de dominis individual en un servidor multidomini.
  • Migreu un servidor de gestió de dominis d'un servidor multidomini a una gestió de seguretat multidomini diferent.
  • Migreu un servidor de gestió de seguretat per convertir-lo en un servidor de gestió de dominis en un servidor multidomini.
  • Migreu un servidor de gestió de dominis per convertir-lo en un servidor de gestió de seguretat.
  • Revertiu un domini en un servidor multidomini o un servidor de gestió de seguretat a una revisió anterior per editar-lo més.

20. SmartTasks i API

  • Nou mètode d'autenticació de l'API de gestió que utilitza una clau d'API generada automàticament.
  • Noves ordres de l'API de gestió per crear objectes de clúster.
  • El desplegament central de Jumbo Hotfix Accumulator i Hotfixes des de SmartConsole o amb una API permet instal·lar o actualitzar múltiples Gateways i Clústers de seguretat en paral·lel.
  • SmartTasks: configureu scripts automàtics o sol·licituds HTTPS activades per tasques de l'administrador, com ara publicar una sessió o instal·lar una política.

21. DesplegamentEl desplegament central de Jumbo Hotfix Accumulator i Hotfixes des de SmartConsole o amb una API permet instal·lar o actualitzar múltiples Gateways i Clústers de seguretat en paral·lel.

22. SmartEventCompartiu visualitzacions i informes de SmartView amb altres administradors.

23.Exportador de registresExporta registres filtrats segons els valors dels camps.

24. Seguretat del punt final

  • Compatibilitat amb el xifratge BitLocker per al xifratge complet del disc.
  • Suport per a certificats d'autoritat de certificació externa per al client Endpoint Security
  • autenticació i comunicació amb l'Endpoint Security Management Server.
  • Suport per a la mida dinàmica dels paquets d'Endpoint Security Client en funció dels seleccionats
  • característiques per al desplegament.
  • La política ara pot controlar el nivell de notificacions als usuaris finals.
  • Suport per a l'entorn VDI persistent a la gestió de polítiques de punt final.

El que més ens ha agradat (segons les tasques del client)

Com podeu veure, hi ha moltes innovacions. Però per a nosaltres, com per integrador de sistemes, hi ha diversos punts molt interessants (que també són interessants per als nostres clients). Els nostres 10 millors:

  1. Finalment, ha aparegut el suport total per a dispositius IoT. Ja és bastant difícil trobar una empresa que no tingui aquest tipus de dispositius.
  2. La inspecció TLS ara es col·loca en una capa separada (Capa). És molt més còmode que ara (a les 80.30). No més executar l'antic tauler de control de Legasy. A més, ara podeu utilitzar objectes actualitzables a la política d'inspecció HTTPS, com ara serveis d'Office365, Google, Azure, AWS, etc. Això és molt convenient quan necessiteu configurar excepcions. Tanmateix, encara no hi ha suport per a tls 1.3. Pel que sembla, es posaran al dia amb la propera correcció.
  3. Canvis significatius per a Anti-Virus i SandBlast. Ara podeu comprovar protocols com SCP, SFTP i SMBv3 (per cert, ja ningú pot comprovar aquest protocol multicanal).
  4. Hi ha moltes millores pel que fa a la VPN de lloc a lloc. Ara podeu configurar diversos dominis VPN en una passarel·la que forma part de diverses comunitats VPN. És molt còmode i molt més segur. A més, Check Point finalment va recordar Route Based VPN i va millorar lleugerament la seva estabilitat/compatibilitat.
  5. Ha aparegut una característica molt popular per als usuaris remots. Ara podeu autenticar no només l'usuari, sinó també el dispositiu des del qual es connecta. Per exemple, volem permetre connexions VPN només des de dispositius corporatius. Això es fa, per descomptat, amb l'ajuda de certificats. També és possible muntar automàticament fitxers compartits (SMB v2/3) per a usuaris remots amb un client VPN.
  6. Hi ha molts canvis en el funcionament del clúster. Però potser una de les més interessants és la possibilitat d'operar un clúster on les passarel·les tinguin diferents versions de Gaia. Això és convenient quan planifiqueu una actualització.
  7. Capacitats Zero Touch millorades. Una cosa útil per a aquells que sovint instal·len passarel·les "petites" (per exemple, per als caixers automàtics).
  8. Per als registres, ara s'admet emmagatzematge de fins a 48 TB.
  9. Podeu compartir els vostres taulers de control SmartEvent amb altres administradors.
  10. L'Exportador de registres ara us permet filtrar prèviament els missatges enviats mitjançant els camps obligatoris. Aquells. Només es transmetran els registres i esdeveniments necessaris als vostres sistemes SIEM

Actualitzar

Potser molts ja estan pensant en actualitzar. No cal apressar-se. Per començar, la versió 80.40 ha de passar a la disponibilitat general. Però fins i tot després d'això, no hauríeu d'actualitzar immediatament. És millor esperar almenys al primer hotfix.
Potser molts estan "asseguts" en versions anteriors. Puc dir que com a mínim ja és possible (i fins i tot necessari) actualitzar a 80.30. Aquest ja és un sistema estable i provat!

També us podeu subscriure a les nostres pàgines públiques (telegram, Facebook, VK, Bloc de solucions TS), on podreu seguir l'aparició de nous materials a Check Point i altres productes de seguretat.

Només els usuaris registrats poden participar en l'enquesta. Inicia sessiósi us plau.

Quina versió de Gaia fas servir?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • un altre

Han votat 13 usuaris. 6 usuaris es van abstenir.

Font: www.habr.com

Afegeix comentari