ProHoster > Blog > podávání > Check Point Gaia R80.40. Co je nového?

Check Point Gaia R80.40. Co je nového?

Check Point Gaia R80.40. Co je nového?

Další vydání operačního systému se blíží Gaia R80.40. Před pár týdny Program předběžného přístupu byl spuštěn, kde máte přístup k testování distribuce. Jako obvykle zveřejňujeme informace o tom, co je nového, a také upozorňujeme na body, které jsou z našeho pohledu nejzajímavější. Při pohledu do budoucna mohu říci, že inovace jsou skutečně významné. Proto se vyplatí připravit se na postup včasné aktualizace. Dříve jsme již měli publikoval článek jak to udělat (další informace naleznete na adrese kontakt zde). Pojďme k tématu...

Co je nového?

Podívejme se zde na oficiálně oznámené novinky. Informace převzaty z webu Zkontrolujte Matese (oficiální komunita Check Point). S vaším svolením tento text překládat nebudu, naštěstí to habrovské publikum umožňuje. Místo toho nechám své komentáře k další kapitole.

1. Zabezpečení IoT. Nové funkce související s internetem věcí

  • Sbírejte zařízení IoT a atributy provozu z certifikovaných vyhledávačů IoT (v současnosti podporuje Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM a Armis).
  • Nakonfigurujte novou vrstvu zásad vyhrazenou pro IoT ve správě zásad.
  • Konfigurujte a spravujte pravidla zabezpečení, která jsou založena na atributech zařízení IoT.

2. Inspekce TLSHTTP / 2:

  • HTTP/2 je aktualizace protokolu HTTP. Aktualizace přináší vylepšení rychlosti, efektivity a zabezpečení a přináší lepší uživatelský zážitek.
  • Bezpečnostní brána Check Point nyní podporuje HTTP/2 a přináší vyšší rychlost a efektivitu při plném zabezpečení se všemi blade servery Threat Prevention a Access Control a také novými ochranami pro protokol HTTP/2.
  • Podpora je jak pro čistý, tak pro SSL šifrovaný provoz a je plně integrována s HTTPS/TLS
  • Inspekční schopnosti.

Inspekční vrstva TLS. Inovace týkající se kontroly HTTPS:

  • Nová vrstva zásad ve SmartConsole věnovaná kontrole TLS.
  • V různých balíčcích zásad lze použít různé vrstvy inspekce TLS.
  • Sdílení vrstvy inspekce TLS mezi více balíčky zásad.
  • API pro operace TLS.

3. Prevence hrozeb

  • Celkové zvýšení efektivity procesů a aktualizací Threat Prevention.
  • Automatické aktualizace Threat Extraction Engine.
  • Dynamické, doménové a aktualizovatelné objekty lze nyní používat v zásadách prevence hrozeb a inspekce TLS. Aktualizovatelné objekty jsou síťové objekty, které představují externí službu nebo známý dynamický seznam IP adres, například - Office365 / Google / Azure / AWS IP adresy a Geo objekty.
  • Anti-Virus nyní používá indikace hrozeb SHA-1 a SHA-256 k blokování souborů na základě jejich hash. Importujte nové indikátory ze zobrazení Indikátory hrozeb SmartConsole nebo z CLI vlastního informačního kanálu.
  • Anti-Virus a SandBlast Threat Emulation nyní podporují kontrolu e-mailového provozu přes protokol POP3 a také vylepšenou kontrolu e-mailového provozu přes protokol IMAP.
  • Anti-Virus a SandBlast Threat Emulation nyní využívají nově zavedenou funkci kontroly SSH ke kontrole souborů přenášených přes protokoly SCP a SFTP.
  • Anti-Virus a SandBlast Threat Emulation nyní poskytují vylepšenou podporu pro kontrolu SMBv3 (3.0, 3.0.2, 3.1.1), která zahrnuje kontrolu vícekanálových připojení. Check Point je nyní jediným dodavatelem, který podporuje kontrolu přenosu souborů prostřednictvím více kanálů (funkce, která je standardně zapnutá ve všech prostředích Windows). To umožňuje zákazníkům zůstat v bezpečí při práci s touto funkcí zvyšující výkon.

4. Povědomí o identitě

  • Podpora integrace Captive Portal s SAML 2.0 a poskytovateli identity třetích stran.
  • Podpora pro Identity Broker pro škálovatelné a granulární sdílení informací o identitě mezi PDP a také sdílení mezi doménami.
  • Vylepšení aplikace Terminal Servers Agent pro lepší škálování a kompatibilitu.

5. IPsec VPN

  • Nakonfigurujte různé šifrovací domény VPN na Security Gateway, která je členem více komunit VPN. To poskytuje:
  • Vylepšené soukromí — Interní sítě nejsou při vyjednávání protokolu IKE zveřejněny.
  • Vylepšené zabezpečení a granularita — Určete, které sítě jsou dostupné v konkrétní komunitě VPN.
  • Vylepšená interoperabilita — Zjednodušené definice VPN založené na směrování (doporučeno, když pracujete s prázdnou doménou šifrování VPN).
  • Vytvořte a bezproblémově pracujte s prostředím LSV (Large Scale VPN) pomocí profilů LSV.

6. Filtrování URL

  • Vylepšená škálovatelnost a odolnost.
  • Rozšířené možnosti odstraňování problémů.

7.NAT

  • Vylepšený mechanismus přidělování portů NAT – na Security Gateways s 6 nebo více instancemi CoreXL Firewallu všechny instance používají stejný fond portů NAT, což optimalizuje využití a opětovné použití portů.
  • Monitorování využití portu NAT v CPView a pomocí SNMP.

8. Voice over IP (VoIP)Více instancí CoreXL Firewallu zpracovává protokol SIP pro zvýšení výkonu.

9. Vzdálený přístup VPNPoužijte strojový certifikát k rozlišení mezi podnikovými a nepodnikovými aktivy a k nastavení politiky vynucující použití pouze podnikových aktiv. Vynucení může být před přihlášením (pouze ověření zařízení) nebo po přihlášení (ověření zařízení a uživatele).

10. Mobile Access Portal AgentVylepšené zabezpečení koncových bodů na vyžádání v rámci Mobile Access Portal Agent pro podporu všech hlavních webových prohlížečů. Další informace naleznete na sk113410.

11.CoreXL a Multi-Queue

  • Podpora pro automatickou alokaci CoreXL SND a instancí Firewallu, která nevyžaduje restartování Security Gateway.
  • Vylepšené hned po vybalení — Security Gateway automaticky mění počet CoreXL SND a instancí Firewallu a konfiguraci Multi-Queue na základě aktuálního zatížení.

12. Shlukování

  • Podpora protokolu Cluster Control Protocol v režimu Unicast, který eliminuje potřebu CCP

Režimy vysílání nebo multicast:

  • Šifrování protokolu Cluster Control Protocol je nyní ve výchozím nastavení povoleno.
  • Nový režim ClusterXL – Aktivní/Aktivní, který podporuje Členy klastru v různých geografických lokalitách, kteří se nacházejí v různých podsítích a mají různé IP adresy.
  • Podpora pro členy ClusterXL Cluster Members, kteří používají různé verze softwaru.
  • Eliminovala potřebu konfigurace MAC Magic, když je několik clusterů připojeno ke stejné podsíti.

13. VSX

  • Podpora upgradu VSX s CPUSE na portálu Gaia.
  • Podpora režimu Active Up ve VSLS.
  • Podpora pro statistické zprávy CPView pro každý virtuální systém

14. Zero TouchJednoduchý proces instalace zařízení Plug & Play – eliminuje potřebu technických znalostí a nutnost připojení k zařízení pro počáteční konfiguraci.

15. Gaia REST APIGaia REST API poskytuje nový způsob, jak číst a odesílat informace na servery s operačním systémem Gaia. Viz sk143612.

16. Pokročilé směrování

  • Vylepšení OSPF a BGP umožňují resetovat a restartovat OSPF sousedící pro každou instanci CoreXL Firewallu bez nutnosti restartovat směrovaného démona.
  • Vylepšení obnovování trasy pro lepší řešení nekonzistencí směrování BGP.

17. Nové schopnosti jádra

  • Upgradované jádro Linuxu
  • Nový systém dělení (gpt):
  • Podporuje více než 2TB fyzické/logické disky
  • Rychlejší souborový systém (xfs)
  • Podpora většího úložiště systému (testováno až 48 TB)
  • Zlepšení výkonu související s I/O
  • Více front:
  • Plná podpora Gaia Clish pro příkazy Multi-Queue
  • Automatická konfigurace „ve výchozím nastavení zapnuto“.
  • Podpora uchycení SMB v2/3 v blade serveru Mobile Access
  • Přidána podpora NFSv4 (klient) (NFS v4.2 je výchozí používaná verze NFS)
  • Podpora nových systémových nástrojů pro ladění, sledování a konfiguraci systému

18. Ovladač CloudGuard

  • Vylepšení výkonu pro připojení k externím datovým centrům.
  • Integrace s VMware NSX-T.
  • Podpora dalších příkazů API pro vytváření a úpravu objektů Data Center Server.

19. Multidoménový server

  • Zálohujte a obnovte jednotlivý server správy domén na vícedoménovém serveru.
  • Migrujte server pro správu domén na jednom serveru pro více domén na jinou správu zabezpečení pro více domén.
  • Migrujte server správy zabezpečení, abyste se stali serverem správy domén na vícedoménovém serveru.
  • Migrujte server správy domén, abyste se stali serverem správy zabezpečení.
  • Vraťte doménu na vícedoménovém serveru nebo serveru správy zabezpečení na předchozí revizi pro další úpravy.

20. SmartTasks a API

  • Nová metoda ověřování Management API, která používá automaticky generovaný klíč API.
  • Nové příkazy Management API pro vytváření objektů clusteru.
  • Centrální nasazení Jumbo Hotfix Accumulator a Hotfix ze SmartConsole nebo s API umožňuje paralelně instalovat nebo upgradovat více bezpečnostních bran a clusterů.
  • SmartTasks — Konfigurace automatických skriptů nebo požadavků HTTPS spouštěných úlohami správce, jako je publikování relace nebo instalace zásad.

21. NasazeníCentrální nasazení Jumbo Hotfix Accumulator a Hotfix ze SmartConsole nebo s API umožňuje paralelně instalovat nebo upgradovat více bezpečnostních bran a clusterů.

22. SmartEventSdílejte zobrazení a sestavy SmartView s ostatními správci.

23.Vývozce protokoluExportujte protokoly filtrované podle hodnot polí.

24. Zabezpečení koncového bodu

  • Podpora pro šifrování BitLocker pro úplné šifrování disku.
  • Podpora pro externí certifikáty certifikační autority pro klienta Endpoint Security
  • ověřování a komunikace se serverem Endpoint Security Management Server.
  • Podpora dynamické velikosti balíčků Endpoint Security Client na základě vybraného
  • funkce pro nasazení.
  • Zásady nyní mohou ovládat úroveň oznámení koncovým uživatelům.
  • Podpora trvalého prostředí VDI v Endpoint Policy Management.

Co se nám nejvíce líbilo (na základě úkolů zákazníků)

Jak vidíte, inovací je spousta. Ale pro nás jako pro systémový integrátor, existuje několik velmi zajímavých bodů (které jsou zajímavé i pro naše klienty). Naše top 10:

  1. Konečně se objevila plná podpora IoT zařízení. Najít firmu, která taková zařízení nemá, je již poměrně obtížné.
  2. Kontrola TLS je nyní umístěna do samostatné vrstvy (Layer). Je to mnohem pohodlnější než nyní (v 80.30). Už žádné spouštění starého Legasy Dashboard. Navíc nyní můžete v zásadách kontroly HTTPS používat aktualizovatelné objekty, jako jsou služby Office365, Google, Azure, AWS atd. To je velmi výhodné, když potřebujete nastavit výjimky. Stále však neexistuje podpora pro tls 1.3. Zřejmě je „dohoní“ další oprava hotfix.
  3. Významné změny pro Anti-Virus a SandBlast. Nyní můžete kontrolovat protokoly jako SCP, SFTP a SMBv3 (mimochodem, tento vícekanálový protokol už nikdo kontrolovat nemůže).
  4. Existuje mnoho vylepšení týkající se Site-to-Site VPN. Nyní můžete nakonfigurovat několik domén VPN na bráně, která je součástí několika komunit VPN. Je to velmi pohodlné a mnohem bezpečnější. Check Point si navíc konečně vzpomněl na Route Based VPN a mírně vylepšil její stabilitu/kompatibilitu.
  5. Objevila se velmi oblíbená funkce pro vzdálené uživatele. Nyní můžete ověřit nejen uživatele, ale i zařízení, ze kterého se připojuje. Chceme například povolit připojení VPN pouze z podnikových zařízení. To se děje samozřejmě pomocí certifikátů. Je také možné automaticky připojit (SMB v2/3) sdílené soubory pro vzdálené uživatele pomocí klienta VPN.
  6. V provozu clusteru je mnoho změn. Ale možná jedna z nejzajímavějších je možnost provozovat cluster, kde brány mají různé verze Gaia. To je výhodné při plánování aktualizace.
  7. Vylepšené funkce Zero Touch. Užitečná věc pro ty, kteří často instalují „malé“ brány (například pro bankomaty).
  8. Pro protokoly je nyní podporováno úložiště až 48 TB.
  9. Své řídicí panely SmartEvent můžete sdílet s ostatními správci.
  10. Log Exporter nyní umožňuje předfiltrovat odeslané zprávy pomocí požadovaných polí. Tito. Do vašich systémů SIEM budou přenášeny pouze nezbytné protokoly a události

Aktualizovat

Možná už mnozí přemýšlí o aktualizaci. Není třeba spěchat. Pro začátek se verze 80.40 musí přesunout do General Availability. Ale ani poté byste neměli okamžitě aktualizovat. Je lepší počkat alespoň na první hotfix.
Možná mnozí „sedí“ na starších verzích. Mohu říci, že minimálně je již možné (a dokonce nutné) aktualizovat na 80.30. Toto je již stabilní a osvědčený systém!

Můžete se také přihlásit k odběru našich veřejných stránek (Telegram, facebook, VK, Blog řešení TS), kde můžete sledovat vznik nových materiálů o Check Point a dalších bezpečnostních produktech.

Průzkumu se mohou zúčastnit pouze registrovaní uživatelé. Přihlásit se, prosím.

Jakou verzi Gaia používáte?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Ostatní

Hlasovalo 13 uživatelů. 6 uživatelů se zdrželo hlasování.

Zdroj: www.habr.com

Přidat komentář