ProHoster > Blog > administration > Check Point Gaia 80.40 kr. Hvad er nyt?

Check Point Gaia 80.40 kr. Hvad er nyt?

Check Point Gaia 80.40 kr. Hvad er nyt?

Den næste udgivelse af operativsystemet nærmer sig Gaia 80.40 kr. Et par uger siden Early Access-programmet startede, hvor du kan få adgang til at teste distributionen. Som sædvanlig offentliggør vi information om, hvad der er nyt, og fremhæver også de punkter, der er mest interessante fra vores synspunkt. Når jeg ser fremad, kan jeg sige, at innovationerne er virkelig betydningsfulde. Derfor er det værd at forberede sig på en tidlig opdateringsprocedure. Tidligere har vi allerede udgivet en artikel om, hvordan du gør dette (for mere information, besøg venligst kontakt her). Lad os komme til emnet...

Hvad er nyt

Lad os se på de officielt annoncerede innovationer her. Oplysninger hentet fra siden Tjek kammerater (officielt Check Point-fællesskab). Med din tilladelse vil jeg ikke oversætte denne tekst, heldigvis tillader Habr-publikummet det. I stedet vil jeg efterlade mine kommentarer til næste kapitel.

1. IoT-sikkerhed. Nye funktioner relateret til tingenes internet

  • Saml IoT-enheder og trafikattributter fra certificerede IoT-opdagelsesmotorer (understøtter i øjeblikket Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM og Armis).
  • Konfigurer et nyt IoT-dedikeret politiklag i politikstyring.
  • Konfigurer og administrer sikkerhedsregler, der er baseret på IoT-enhedernes attributter.

2.TLS InspektionHTTP / 2:

  • HTTP/2 er en opdatering til HTTP-protokollen. Opdateringen giver forbedringer af hastighed, effektivitet og sikkerhed og resultater med en bedre brugeroplevelse.
  • Check Points Security Gateway understøtter nu HTTP/2 og gavner bedre hastighed og effektivitet, samtidig med at den får fuld sikkerhed med alle Threat Prevention og Access Control-blade, samt nye beskyttelser til HTTP/2-protokollen.
  • Support er til både klar og SSL-krypteret trafik og er fuldt integreret med HTTPS/TLS
  • Inspektionsmuligheder.

TLS inspektionslag. Innovationer vedrørende HTTPS-inspektion:

  • Et nyt politiklag i SmartConsole dedikeret til TLS Inspection.
  • Forskellige TLS-inspektionslag kan bruges i forskellige politikpakker.
  • Deling af et TLS-inspektionslag på tværs af flere politikpakker.
  • API til TLS-operationer.

3. Forebyggelse af trusler

  • Samlet effektivitetsforbedring for trusselsforebyggende processer og opdateringer.
  • Automatiske opdateringer til Threat Extraction Engine.
  • Dynamiske, domæne- og opdaterbare objekter kan nu bruges i trusselsforebyggelse og TLS-inspektionspolitikker. Opdaterbare objekter er netværksobjekter, der repræsenterer en ekstern tjeneste eller en kendt dynamisk liste over IP-adresser, for eksempel - Office365 / Google / Azure / AWS IP-adresser og Geo-objekter.
  • Anti-Virus bruger nu SHA-1 og SHA-256 trusselsindikationer til at blokere filer baseret på deres hashes. Importer de nye indikatorer fra SmartConsole Threat Indicators-visningen eller Custom Intelligence Feed CLI.
  • Anti-Virus og SandBlast Threat Emulation understøtter nu inspektion af e-mail-trafik over POP3-protokollen, samt forbedret inspektion af e-mail-trafik over IMAP-protokollen.
  • Anti-Virus og SandBlast Threat Emulation bruger nu den nyligt introducerede SSH-inspektionsfunktion til at inspicere filer, der er overført over SCP- og SFTP-protokollerne.
  • Anti-Virus og SandBlast Threat Emulation giver nu en forbedret understøttelse af SMBv3-inspektion (3.0, 3.0.2, 3.1.1), som omfatter inspektion af multi-kanalforbindelser. Check Point er nu den eneste leverandør, der understøtter inspektion af en filoverførsel gennem flere kanaler (en funktion, der er slået til som standard i alle Windows-miljøer). Dette giver kunderne mulighed for at forblive sikre, mens de arbejder med denne præstationsforbedrende funktion.

4. Identitetsbevidsthed

  • Understøttelse af Captive Portal-integration med SAML 2.0 og tredjeparts identitetsudbydere.
  • Understøttelse af Identity Broker til skalerbar og granulær deling af identitetsoplysninger mellem PDP'er samt deling på tværs af domæner.
  • Forbedringer til Terminal Servers Agent for bedre skalering og kompatibilitet.

5. IPsec VPN

  • Konfigurer forskellige VPN-krypteringsdomæner på en Security Gateway, der er medlem af flere VPN-fællesskaber. Dette giver:
  • Forbedret privatliv — Interne netværk afsløres ikke i IKE-protokolforhandlinger.
  • Forbedret sikkerhed og granularitet — Angiv, hvilke netværk der er tilgængelige i et specificeret VPN-fællesskab.
  • Forbedret interoperabilitet — Forenklede rutebaserede VPN-definitioner (anbefales, når du arbejder med et tomt VPN-krypteringsdomæne).
  • Opret og arbejd problemfrit med et Large Scale VPN (LSV)-miljø ved hjælp af LSV-profiler.

6. URL-filtrering

  • Forbedret skalerbarhed og modstandsdygtighed.
  • Udvidede fejlfindingsmuligheder.

7.NAT

  • Forbedret NAT-portallokeringsmekanisme — på Security Gateways med 6 eller flere CoreXL Firewall-instanser bruger alle instanser den samme pulje af NAT-porte, hvilket optimerer portudnyttelsen og genbrugen.
  • Overvågning af NAT-portudnyttelse i CPView og med SNMP.

8. Voice over IP (VoIP)Flere CoreXL Firewall-instanser håndterer SIP-protokollen for at forbedre ydeevnen.

9. Fjernadgang VPNBrug maskincertifikat til at skelne mellem virksomheds- og ikke-virksomhedsaktiver og til at angive en politik, der kun håndhæver brugen af ​​virksomhedsaktiver. Håndhævelse kan være før-logon (kun enhedsgodkendelse) eller post-logon (enheds- og brugergodkendelse).

10. Mobil adgangsportalagentForbedret Endpoint Security on Demand i Mobile Access Portal Agent for at understøtte alle større webbrowsere. For mere information, se sk113410.

11.CoreXL og Multi-Queue

  • Understøttelse af automatisk tildeling af CoreXL SND'er og Firewall-instanser, der ikke kræver en genstart af Security Gateway.
  • Forbedret out of the box-oplevelse — Security Gateway ændrer automatisk antallet af CoreXL SND'er og Firewall-instanser og Multi-Queue-konfigurationen baseret på den aktuelle trafikbelastning.

12. Klynger

  • Understøttelse af Cluster Control Protocol i Unicast-tilstand, der eliminerer behovet for CCP

Broadcast- eller Multicast-tilstande:

  • Cluster Control Protocol-kryptering er nu aktiveret som standard.
  • Ny ClusterXL-tilstand -Active/Active, som understøtter Cluster Members på forskellige geografiske steder, der er placeret på forskellige undernet og har forskellige IP-adresser.
  • Support til ClusterXL Cluster Members, der kører forskellige softwareversioner.
  • Eliminerede behovet for MAC Magic-konfiguration, når flere klynger er forbundet til det samme undernet.

13. VSX

  • Understøttelse af VSX-opgradering med CPUSE i Gaia Portal.
  • Understøttelse af Active Up-tilstand i VSLS.
  • Understøttelse af CPView statistiske rapporter for hvert virtuelt system

14. Zero TouchEn simpel Plug & Play-opsætningsproces til installation af et apparat — eliminerer behovet for teknisk ekspertise og at skulle oprette forbindelse til apparatet for indledende konfiguration.

15. Gaia REST APIGaia REST API giver en ny måde at læse og sende information til servere, der kører Gaia Operating System. Se sk143612.

16. Avanceret routing

  • Forbedringer til OSPF og BGP gør det muligt at nulstille og genstarte OSPF-naboer for hver CoreXL Firewall-instans uden at skulle genstarte den routede dæmon.
  • Forbedrer ruteopdatering for forbedret håndtering af BGP-routing-inkonsekvenser.

17. Nye kernefunktioner

  • Opgraderet Linux-kerne
  • Nyt partitioneringssystem (gpt):
  • Understøtter mere end 2TB fysiske/logiske drev
  • Hurtigere filsystem (xfs)
  • Understøtter større systemlager (op til 48 TB testet)
  • I/O-relaterede præstationsforbedringer
  • Multi-kø:
  • Fuld Gaia Clish-understøttelse af Multi-Queue-kommandoer
  • Automatisk "til som standard" konfiguration
  • SMB v2/3 monteringsstøtte i Mobile Access blade
  • Tilføjet NFSv4 (klient) support (NFS v4.2 er den anvendte standard NFS version)
  • Support af nye systemværktøjer til fejlretning, overvågning og konfiguration af systemet

18. CloudGuard-controller

  • Ydeevneforbedringer for forbindelser til eksterne datacentre.
  • Integration med VMware NSX-T.
  • Understøttelse af yderligere API-kommandoer til at oprette og redigere datacenterserverobjekter.

19. Multidomæneserver

  • Sikkerhedskopier og gendan en individuel Domain Management Server på en Multi-Domain Server.
  • Migrer en Domain Management Server på en Multi-Domain Server til en anden Multi-Domain Security Management.
  • Migrer en Security Management Server for at blive en Domain Management Server på en Multi-Domain Server.
  • Migrer en Domain Management Server for at blive en Security Management Server.
  • Gendan et domæne på en multidomæneserver eller en sikkerhedsstyringsserver til en tidligere revision for yderligere redigering.

20. SmartTasks og API

  • Ny Management API-godkendelsesmetode, der bruger en automatisk genereret API-nøgle.
  • Nye Management API-kommandoer til at oprette klyngeobjekter.
  • Central udrulning af Jumbo Hotfix Accumulator og Hotfixes fra SmartConsole eller med en API gør det muligt at installere eller opgradere flere sikkerhedsgateways og -klynger parallelt.
  • SmartTasks — Konfigurer automatiske scripts eller HTTPS-anmodninger udløst af administratoropgaver, såsom udgivelse af en session eller installation af en politik.

21. ImplementeringCentral udrulning af Jumbo Hotfix Accumulator og Hotfixes fra SmartConsole eller med en API gør det muligt at installere eller opgradere flere sikkerhedsgateways og -klynger parallelt.

22. SmartEventDel SmartView-visninger og rapporter med andre administratorer.

23. Log-eksportørEksportlogfiler filtreret efter feltværdier.

24. Slutpunktsikkerhed

  • Understøttelse af BitLocker-kryptering til fuld diskkryptering.
  • Understøttelse af eksterne certifikatmyndighedscertifikater til Endpoint Security-klient
  • autentificering og kommunikation med Endpoint Security Management Server.
  • Understøttelse af dynamisk størrelse af Endpoint Security Client-pakker baseret på det valgte
  • funktioner til implementering.
  • Politik kan nu kontrollere niveauet af meddelelser til slutbrugere.
  • Understøttelse af vedvarende VDI-miljø i Endpoint Policy Management.

Hvad vi bedst kunne lide (baseret på kundeopgaver)

Som du kan se, er der mange innovationer. Men for os, som for systemintegrator, er der flere meget interessante punkter (som også er interessante for vores kunder). Vores top 10:

  1. Endelig er fuld understøttelse af IoT-enheder dukket op. Det er allerede ret svært at finde et firma, der ikke har sådanne enheder.
  2. TLS inspektion er nu placeret i et separat lag (Layer). Det er meget mere bekvemt end nu (kl. 80.30). Ikke mere at køre det gamle Legasy Dashboard. Plus, nu kan du bruge Opdaterbare objekter i HTTPS-inspektionspolitikken, såsom Office365, Google, Azure, AWS osv.-tjenester. Dette er meget praktisk, når du skal konfigurere undtagelser. Der er dog stadig ingen understøttelse af tls 1.3. Tilsyneladende vil de "indhente" det næste hotfix.
  3. Væsentlige ændringer for Anti-Virus og SandBlast. Nu kan du tjekke protokoller som SCP, SFTP og SMBv3 (der er i øvrigt ingen, der kan tjekke denne flerkanalsprotokol længere).
  4. Der er en masse forbedringer vedrørende Site-to-Site VPN. Nu kan du konfigurere flere VPN-domæner på en gateway, der er en del af flere VPN-fællesskaber. Det er meget praktisk og meget sikrere. Derudover huskede Check Point endelig rutebaseret VPN og forbedrede dens stabilitet/kompatibilitet en smule.
  5. En meget populær funktion for fjernbrugere er dukket op. Nu kan du godkende ikke kun brugeren, men også den enhed, han opretter forbindelse fra. For eksempel ønsker vi kun at tillade VPN-forbindelser fra virksomhedens enheder. Dette gøres naturligvis ved hjælp af certifikater. Det er også muligt automatisk at montere (SMB v2/3) fildelinger for fjernbrugere med en VPN-klient.
  6. Der er mange ændringer i driften af ​​klyngen. Men måske en af ​​de mest interessante er muligheden for at drive en klynge, hvor gateways har forskellige versioner af Gaia. Dette er praktisk, når du planlægger en opdatering.
  7. Forbedrede Zero Touch-funktioner. En nyttig ting for dem, der ofte installerer "små" gateways (for eksempel til pengeautomater).
  8. For logfiler understøttes lagring op til 48TB nu.
  9. Du kan dele dine SmartEvent-dashboards med andre administratorer.
  10. Log Exporter giver dig nu mulighed for at forfiltrere sendte beskeder ved hjælp af de påkrævede felter. De der. Kun de nødvendige logfiler og hændelser vil blive overført til dine SIEM-systemer

Opdater

Måske overvejer mange allerede at opdatere. Der er ingen grund til at skynde sig. Til at begynde med skal version 80.40 flytte til Generel tilgængelighed. Men selv efter det, bør du ikke opdatere med det samme. Det er bedre at vente på i det mindste det første hotfix.
Måske "sidder" mange på ældre versioner. Jeg kan sige, at det som minimum allerede er muligt (og endda nødvendigt) at opdatere til 80.30. Dette er allerede et stabilt og gennemprøvet system!

Du kan også abonnere på vores offentlige sider (Telegram, Facebook, VK, TS Solution Blog), hvor du kan følge fremkomsten af ​​nye materialer på Check Point og andre sikkerhedsprodukter.

Kun registrerede brugere kan deltage i undersøgelsen. Log ind, Vær venlig.

Hvilken version af Gaia bruger du?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Andet

13 brugere stemte. 6 brugere undlod at stemme.

Kilde: www.habr.com

Tilføj en kommentar