ProHoster > Blog > Amministrazione > Check Point Gaia R80.40. Chì ci hè di novu ?

Check Point Gaia R80.40. Chì ci hè di novu ?

Check Point Gaia R80.40. Chì ci hè di novu ?

A prossima versione di u sistema operatore si avvicina Gaia R80.40. Uni pochi settimane fà U prugramma di Accessu Early hà iniziatu, induve pudete accede à pruvà a distribuzione. Comu solitu, publichemu infurmazioni nantu à ciò chì hè novu, è ancu mette in risaltu i punti chì sò più interessanti da u nostru puntu di vista. In u futuru, possu dì chì l'innuvazioni sò veramente significativu. Dunque, vale a pena preparà per una prucedura di aghjurnamentu anticipata. Prima avemu digià publicatu un articulu nantu à cumu fà questu (per più infurmazione, visitate cuntattate quì). Andemu à u tema...

Cosa hè nova

Fighjemu quì l'innuvazioni annunciate ufficialmente. Informazioni pigliate da u situ Verificate i Compagni (comunità ufficiale di Check Point). Cù u vostru permessu, ùn traduceraghju micca stu testu, per furtuna l'audienza di Habr permette. Invece, lasciaraghju i mo cumenti per u prossimu capitulu.

1. Sicurezza IoT. Nove funzioni ligati à l'Internet di e Cose

  • Raccoglie dispositivi IoT è attributi di trafficu da i motori di scuperta IoT certificati (attualmente supporta Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM è Armis).
  • Configurate una nova Strada di Politica dedicata à l'IoT in a gestione di pulitica.
  • Configurate è gestisce e regule di sicurezza chì sò basate nantu à l'attributi di i dispositi IoT.

2.TLS InspectionHTTP / 2:

  • HTTP/2 hè un aghjurnamentu di u protocolu HTTP. L'aghjurnamentu furnisce migliurà a rapidità, l'efficienza è a sicurità è i risultati cù una sperienza d'utilizatore megliu.
  • A Gateway di Sicurezza di Check Point supporta avà HTTP/2 è beneficia di una megliu velocità è efficienza mentre uttene una sicurità cumpleta, cù tutte e lame di Prevenzione di Minacce è Controlu di Accessu, è ancu novi prutezioni per u protocolu HTTP/2.
  • U supportu hè per u trafficu criptatu chjaru è SSL è hè cumplettamente integratu cù HTTPS / TLS
  • Capacità d'ispezione.

Layer d'inspection TLS. Innuvazioni in quantu à l'ispezione HTTPS:

  • Un novu Stratu di Politica in SmartConsole dedicatu à l'Inspeczione TLS.
  • Diversi strati di Inspeczione TLS ponu esse aduprati in diversi pacchetti di pulitica.
  • Sparte di una strata di Inspeczione TLS in parechji pacchetti di pulitica.
  • API per operazioni TLS.

3. Prevenzione di Minaccia

  • Aumento di l'efficienza generale per i prucessi è l'aghjurnamenti di Prevenzione di Minacce.
  • L'aghjurnamenti automatichi à u Engine Extraction Minaccia.
  • Oggetti Dinamici, Domini è Aggiornabili ponu avà esse aduprati in Politiche di Prevenzione di Minacce è Inspeczione TLS. L'oggetti aghjurnabili sò oggetti di rete chì rapprisentanu un serviziu esternu o una lista dinamica cunnisciuta di indirizzi IP, per esempiu - indirizzi IP Office365 / Google / Azure / AWS è oggetti Geo.
  • Anti-Virus usa avà l'indicazioni di minaccia SHA-1 è SHA-256 per bluccà i fugliali basati nantu à i so hash. Importate i novi indicatori da a vista SmartConsole Threat Indicators o da Custom Intelligence Feed CLI.
  • L'Emulazione Anti-Virus è SandBlast Threat supportanu avà l'ispezione di u trafficu di e-mail nantu à u protokollu POP3, è dinò l'ispezione mejorata di u trafficu di e-mail nantu à u protocolu IMAP.
  • L'Emulazione di Minaccia Anti-Virus è SandBlast usa avà a funzione di ispezione SSH di novu introduttu per inspeccionà i fugliali trasferiti nantu à i protokolli SCP è SFTP.
  • L'Emulazione di Minaccia Anti-Virus è SandBlast furnisce avà un supportu migliuratu per l'ispezione SMBv3 (3.0, 3.0.2, 3.1.1), chì include l'ispezione di cunnessione multicanale. Check Point hè avà l'unicu venditore chì supporta l'ispezione di un trasferimentu di fugliale attraversu più canali (una funzione chì hè attivata per difettu in tutti l'ambienti Windows). Questu permette à i clienti di stà sicuru mentre travaglianu cù sta funzione di rinfurzà u rendiment.

4. Cuscenza d'identità

  • Supportu per l'integrazione di u Portal Captive cù SAML 2.0 è Fornitori d'identità di terzu.
  • Supportu per l'Identity Broker per a spartera scalabile è granulare di l'infurmazioni d'identità trà PDP, è ancu di spartera cross-domain.
  • Migliuramenti à l'agente di i Servitori di Terminal per una megliu scala è cumpatibilità.

5. VPN IPsec

  • Configurate diversi domini di criptografia VPN in un Gateway di Sicurezza chì hè un membru di parechje cumunità VPN. Questu furnisce:
  • Privicità mejorata - E rete interne ùn sò micca divulgate in e negoziazioni di u protokollu IKE.
  • Securità è granularità mejorata - Specificate quali rete sò accessibili in una cumunità VPN specifica.
  • Interoperabilità mejorata - Definizioni VPN basate in rotte simplificate (cunsigliate quandu travagliate cù un duminiu di criptografia VPN vacu).
  • Crea è travaglià senza saldatura cù un ambiente VPN à grande scala (LSV) cù l'aiutu di i profili LSV.

6. Filtru URL

  • Scalabilità è resilienza mejorata.
  • Capacità di risoluzione di prublemi estese.

7.NAT

  • Meccanismo di allocazione di portu NAT rinfurzatu - nantu à i Gateway di Sicurezza cù 6 o più istanze CoreXL Firewall, tutte l'istanze utilizanu u listessu pool di porti NAT, chì ottimizeghja l'utilizazione è u reutilizazione di u portu.
  • Monitoraghju di l'utilizazione di u portu NAT in CPView è cù SNMP.

8. Voice over IP (VoIP)Multiple istanze CoreXL Firewall gestiscenu u protocolu SIP per rinfurzà u rendiment.

9.Remote Access VPNAduprate u certificatu di a macchina per distingue trà l'assi corporativi è non corporativi è per stabilisce una pulitica chì impone solu l'usu di l'assi corporativi. L'applicazione pò esse pre-logon (autentificazione di u dispositivu solu) o post-logon (autentificazione di u dispositivu è di l'utilizatori).

10. Mobile Access Portal AgentEnhanced Endpoint Security on Demand in l'Agente Mobile Access Portal per supportà tutti i principali navigatori web. Per più infurmazione, vede sk113410.

11.CoreXL è Multi-Queue

  • Supportu per l'attribuzione automatica di CoreXL SND è istanze di Firewall chì ùn necessitanu micca un reboot di Security Gateway.
  • Migliuratu fora di l'esperienza di scatula - Security Gateway cambia automaticamente u numeru di CoreXL SND è istanze Firewall è a cunfigurazione Multi-Queue basatu annantu à a carica di trafficu attuale.

12. Clustering

  • Supportu per u Cluster Control Protocol in modalità Unicast chì elimina a necessità di CCP

Modi di trasmissione o multicast:

  • A criptografia di u protocolu di cuntrollu di cluster hè issa attivata per automaticamente.
  • New ClusterXL mode -Active/Active, chì sustene i membri di u Cluster in diverse locu geografiche chì si trovanu in diverse subnets è anu indirizzi IP differenti.
  • Supportu per i Membri di ClusterXL Cluster chì eseguenu diverse versioni di software.
  • Eliminatu a necessità di cunfigurazione MAC Magic quandu parechji clusters sò cunnessi à a stessa subnet.

13. VSX

  • Supportu per l'aghjurnamentu di VSX cù CPUSE in Gaia Portal.
  • Supportu per u modu Active Up in VSLS.
  • Supportu per i rapporti statistici CPView per ogni Sistema Virtuale

14. Zero TouchUn prucessu simplice di cunfigurazione Plug & Play per installà un appliance - eliminendu a necessità di sapè tecnicu è avè da cunnette à l'apparechju per a cunfigurazione iniziale.

15. Gaia REST APIGaia REST API furnisce un novu modu per leghje è mandà infurmazioni à i servitori chì eseguinu u Sistema Operativu Gaia. Vede sk143612.

16. Routing Advanced

  • I miglioramenti à OSPF è BGP permettenu di resettà è riavvia OSPF vicini per ogni istanza di CoreXL Firewall senza a necessità di riavvia u daemon routed.
  • Migliurà l'aghjurnamentu di a ruta per una gestione megliu di l'incoerenti di routing BGP.

17. Novi capacità di u kernel

  • U kernel Linux aghjurnatu
  • Novu sistema di partizionamentu (gpt):
  • Supporta più di 2TB di unità fisiche / logiche
  • Sistema di fugliale più veloce (xfs)
  • Supportu un almacenamentu di sistema più grande (finu à 48 TB testatu)
  • Migliuramenti di u rendiment in relazione à l'I/O
  • Multi-Coda:
  • Supportu tutale Gaia Clish per i cumandamenti Multi-Queue
  • Cunfigurazione automatica "on per difettu".
  • Supportu per a muntagna SMB v2/3 in u blade Mobile Access
  • Supportu NFSv4 (cliente) aghjuntu (NFS v4.2 hè a versione NFS predeterminata utilizata)
  • Supportu di novi strumenti di sistema per debugging, monitorizazione è cunfigurazione di u sistema

18. CloudGuard Controller

  • Migliuramenti di u rendiment per e cunnessione à i Data Center esterni.
  • Integrazione cù VMware NSX-T.
  • Supportu per cumandamenti API supplementari per creà è edità l'oggetti di u Servitore di Data Center.

19. Servitore Multi-Domain

  • Eseguite una copia di salvezza è restaurà un Servitore di Gestione di Dominiu individuale in un Servitore Multi-Domain.
  • Migrate un Servitore di Gestione di Dominiu in un Servitore Multi-Dominiu à una diversa Gestione di Sicurezza Multi-Dominiu.
  • Migrate un Servitore di Gestione di Sicurezza per diventà un Servitore di Gestione di Dominiu in un Servitore Multi-Domain.
  • Migrate un Servitore di Gestione di Dominiu per diventà un Servitore di Gestione di Sicurezza.
  • Ritorna un Dominiu in un Servitore Multi-Domain, o un Servitore di Gestione di Sicurezza à una rivisione precedente per più edizione.

20. SmartTasks è API

  • Novu metudu di autenticazione di l'API di gestione chì usa una chjave API generata automaticamente.
  • Novi cumandamenti di l'API di gestione per creà oggetti di cluster.
  • Implementazione Centrale di Jumbo Hotfix Accumulator è Hotfixes da SmartConsole o cù una API permette di installà o aghjurnà parechje Gateways è Clusters di Sicurezza in parallelu.
  • SmartTasks - Configurate scripts automatici o richieste HTTPS attivate da e funzioni di l'amministratore, cum'è a publicazione di una sessione o l'installazione di una pulitica.

21. ImpiegazioneImplementazione Centrale di Jumbo Hotfix Accumulator è Hotfixes da SmartConsole o cù una API permette di installà o aghjurnà parechje Gateways è Clusters di Sicurezza in parallelu.

22. SmartEventCondividi viste è rapporti SmartView cù altri amministratori.

23.Log ExporterEsporta logs filtrati secondu i valori di u campu.

24. Endpoint Security

  • Supportu per a crittografia BitLocker per a criptografia di discu Full.
  • Supportu per i certificati esterni di l'Autorità di Certificazione per u cliente Endpoint Security
  • autentificazione è cumunicazione cù u Endpoint Security Management Server.
  • Supportu per a dimensione dinamica di i pacchetti di Clienti Endpoint Security basatu nantu à i selezziunati
  • caratteristiche per a distribuzione.
  • A pulitica pò avà cuntrullà u livellu di notificazioni à l'utilizatori finali.
  • Supportu per l'ambiente VDI persistente in a Gestione di Politiche Endpoint.

Ciò chì ci hè piaciutu di più (basatu nantu à i travaglii di i clienti)

Comu pudete vede, ci sò assai innovazioni. Ma per noi, cum'è per integratore di sistema, ci sò parechji punti assai interessanti (chì sò ancu interessanti per i nostri clienti). I nostri Top 10:

  1. Infine, u sustegnu tutale per i dispositi IoT hè apparsu. Hè digià abbastanza difficiule di truvà una cumpagnia chì ùn hà micca tali dispusitivi.
  2. L'ispezione TLS hè avà piazzata in una capa separata (Layer). Hè assai più còmuda chè avà (à 80.30). Ùn ci hè più u vechju Legasy Dashboard. In più, avà pudete aduprà l'oggetti Updatable in a pulitica d'ispezione HTTPS, cum'è Office365, Google, Azure, AWS, etc. Questu hè assai convenientu quandu avete bisognu di stabilisce eccezzioni. Tuttavia, ùn ci hè ancu un supportu per tls 1.3. Apparentemente, anu da esse "catturate" cù u prossimu hotfix.
  3. Cambiamenti significativi per Anti-Virus è SandBlast. Avà pudete cuntrollà i protokolli cum'è SCP, SFTP è SMBv3 (per via, nimu ùn pò più verificà stu protokollu multicanale).
  4. Ci hè assai megliurenze in quantu à a VPN Site-to-Site. Avà pudete cunfigurà parechji domini VPN nantu à una porta chì face parte di parechje cumunità VPN. Hè assai còmuda è assai più sicura. Inoltre, Check Point hà ricurdatu infine Route Based VPN è ligeramente hà migliuratu a so stabilità / cumpatibilità.
  5. Una funzione assai populari per l'utilizatori remoti hè apparsa. Avà pudete autentificà micca solu l'utilizatore, ma ancu u dispusitivu da quale si cunnetta. Per esempiu, vulemu permettà e cunnessione VPN solu da i dispositi corporativi. Questu hè fattu, sicuru, cù l'aiutu di certificati. Hè ancu pussibule di muntà automaticamente (SMB v2/3) sparte di file per l'utilizatori remoti cù un cliente VPN.
  6. Ci sò assai cambiamenti in u funziunamentu di u cluster. Ma forsi unu di i più interessanti hè a pussibilità di uperà un cluster induve i gateway anu diverse versioni di Gaia. Questu hè convenientu quandu si pianifica un aghjurnamentu.
  7. Capacità Zero Touch mejorate. Una cosa utile per quelli chì spessu installanu "picculi" gateway (per esempiu, per ATM).
  8. Per i logs, u almacenamentu finu à 48 TB hè avà supportatu.
  9. Pudete sparte i vostri dashboards SmartEvent cù altri amministratori.
  10. Log Exporter avà permette di pre-filtrà i missaghji mandati utilizendu i campi richiesti. Quelli. Solu i logs è l'avvenimenti necessarii seranu trasmessi à i vostri sistemi SIEM

Update

Forse parechji pensanu digià à l'aghjurnamentu. Ùn ci hè bisognu di precipità. Per principià, a versione 80.40 deve passà à a Disponibilità Generale. Ma ancu dopu, ùn deve micca aghjurnà subitu. Hè megliu aspittà per almenu u primu hotfix.
Forsi parechji sò "seduti" nantu à e versioni più vechje. Puderaghju dì chì à u minimu hè digià pussibule (è ancu necessariu) aghjurnà à 80.30. Questu hè digià un sistema stabile è pruvucatu!

Pudete ancu abbonate à e nostre pagine pubbliche (n'ambasciata, Facebook, VK, TS Solution Blog), induve pudete seguità l'emergenza di novi materiali nantu à Check Point è altri prudutti di sicurità.

Solu l'utilizatori registrati ponu participà à l'indagine. Firmà lu, per piacè.

Chì versione di Gaia usate?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Altri

13 utilizatori anu vutatu. 6 utilizatori si sò astenuti.

Source: www.habr.com

Add a comment