ProHoster > Blog > Verwaltung > Check Point Gaia R80.40. Was ist neu?

Check Point Gaia R80.40. Was ist neu?

Check Point Gaia R80.40. Was ist neu?

Die nächste Veröffentlichung des Betriebssystems rückt näher Gaia R80.40. Vor ein paar Wochen Early-Access-Programm gestartet, auf die Sie zugreifen können, um die Distribution zu testen. Wie gewohnt veröffentlichen wir Informationen über Neuigkeiten und heben auch die aus unserer Sicht interessantesten Punkte hervor. Mit Blick auf die Zukunft kann ich sagen, dass die Innovationen wirklich bedeutsam sind. Daher lohnt es sich, sich auf einen frühzeitigen Update-Vorgang vorzubereiten. Wir haben schon einen Artikel veröffentlicht wie das geht (weitere Informationen finden Sie unter Kontakt hier). Kommen wir zum Thema...

Neuigkeiten

Schauen wir uns hier die offiziell angekündigten Neuerungen an. Informationen stammen von der Website Überprüfen Sie Mates (offizielle Check Point-Community). Mit Ihrer Erlaubnis werde ich diesen Text nicht übersetzen, zum Glück erlaubt das Habr-Publikum dies. Stattdessen werde ich meine Kommentare für das nächste Kapitel hinterlassen.

1. IoT-Sicherheit. Neue Funktionen rund um das Internet der Dinge

  • Sammeln Sie IoT-Geräte und Verkehrsattribute von zertifizierten IoT-Erkennungs-Engines (unterstützt derzeit Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM und Armis).
  • Konfigurieren Sie in der Richtlinienverwaltung eine neue IoT-dedizierte Richtlinienebene.
  • Konfigurieren und verwalten Sie Sicherheitsregeln, die auf den Attributen der IoT-Geräte basieren.

2.TLS-InspektionHTTP / 2:

  • HTTP/2 ist ein Update des HTTP-Protokolls. Das Update bietet Verbesserungen bei Geschwindigkeit, Effizienz und Sicherheit und führt zu einer besseren Benutzererfahrung.
  • Das Security Gateway von Check Point unterstützt jetzt HTTP/2 und bietet eine höhere Geschwindigkeit und Effizienz bei voller Sicherheit, mit allen Threat Prevention- und Access Control-Blades sowie neuen Schutzmaßnahmen für das HTTP/2-Protokoll.
  • Die Unterstützung umfasst sowohl klaren als auch SSL-verschlüsselten Datenverkehr und ist vollständig in HTTPS/TLS integriert
  • Inspektionsmöglichkeiten.

TLS-Inspektionsschicht. Neuerungen zur HTTPS-Inspektion:

  • Eine neue Richtlinienebene in SmartConsole speziell für die TLS-Inspektion.
  • In verschiedenen Richtlinienpaketen können unterschiedliche TLS-Inspektionsebenen verwendet werden.
  • Gemeinsame Nutzung einer TLS-Inspektionsschicht über mehrere Richtlinienpakete hinweg.
  • API für TLS-Operationen.

3. Bedrohungsprävention

  • Gesamteffizienzsteigerung für Threat Prevention-Prozesse und -Updates.
  • Automatische Updates der Threat Extraction Engine.
  • Dynamische, Domänen- und aktualisierbare Objekte können jetzt in Richtlinien zur Bedrohungsprävention und TLS-Inspektion verwendet werden. Aktualisierbare Objekte sind Netzwerkobjekte, die einen externen Dienst oder eine bekannte dynamische Liste von IP-Adressen darstellen, zum Beispiel Office365-/Google-/Azure-/AWS-IP-Adressen und Geo-Objekte.
  • Anti-Virus verwendet jetzt SHA-1- und SHA-256-Bedrohungshinweise, um Dateien basierend auf ihren Hashes zu blockieren. Importieren Sie die neuen Indikatoren aus der SmartConsole-Ansicht „Bedrohungsindikatoren“ oder der Custom Intelligence Feed-CLI.
  • Anti-Virus und SandBlast Threat Emulation unterstützen jetzt die Überprüfung des E-Mail-Verkehrs über das POP3-Protokoll sowie eine verbesserte Überprüfung des E-Mail-Verkehrs über das IMAP-Protokoll.
  • Anti-Virus und SandBlast Threat Emulation verwenden jetzt die neu eingeführte SSH-Inspektionsfunktion, um Dateien zu überprüfen, die über die SCP- und SFTP-Protokolle übertragen werden.
  • Anti-Virus und SandBlast Threat Emulation bieten jetzt eine verbesserte Unterstützung für die SMBv3-Inspektion (3.0, 3.0.2, 3.1.1), einschließlich der Inspektion von Mehrkanalverbindungen. Check Point ist jetzt der einzige Anbieter, der die Überprüfung einer Dateiübertragung über mehrere Kanäle unterstützt (eine Funktion, die in allen Windows-Umgebungen standardmäßig aktiviert ist). Dadurch können Kunden bei der Arbeit mit dieser leistungssteigernden Funktion sicher bleiben.

4. Identitätsbewusstsein

  • Unterstützung für die Captive Portal-Integration mit SAML 2.0 und Identitätsanbietern von Drittanbietern.
  • Unterstützung für Identity Broker für den skalierbaren und detaillierten Austausch von Identitätsinformationen zwischen PDPs sowie für den domänenübergreifenden Austausch.
  • Verbesserungen am Terminalserver-Agenten für bessere Skalierung und Kompatibilität.

5. IPsec-VPN

  • Konfigurieren Sie verschiedene VPN-Verschlüsselungsdomänen auf einem Security Gateway, das Mitglied mehrerer VPN-Communitys ist. Dies bietet:
  • Verbesserter Datenschutz – Interne Netzwerke werden in den IKE-Protokollverhandlungen nicht offengelegt.
  • Verbesserte Sicherheit und Granularität – Geben Sie an, auf welche Netzwerke in einer bestimmten VPN-Community zugegriffen werden kann.
  • Verbesserte Interoperabilität – Vereinfachte routenbasierte VPN-Definitionen (empfohlen, wenn Sie mit einer leeren VPN-Verschlüsselungsdomäne arbeiten).
  • Erstellen Sie mit Hilfe von LSV-Profilen eine Large Scale VPN (LSV)-Umgebung und arbeiten Sie nahtlos damit.

6. URL-Filterung

  • Verbesserte Skalierbarkeit und Ausfallsicherheit.
  • Erweiterte Möglichkeiten zur Fehlerbehebung.

7.NAT

  • Verbesserter NAT-Port-Zuweisungsmechanismus – auf Sicherheitsgateways mit 6 oder mehr CoreXL Firewall-Instanzen verwenden alle Instanzen denselben Pool von NAT-Ports, was die Portauslastung und -wiederverwendung optimiert.
  • Überwachung der NAT-Portauslastung in CPView und mit SNMP.

8. Voice-over-IP (VoIP)Mehrere CoreXL-Firewall-Instanzen verarbeiten das SIP-Protokoll, um die Leistung zu verbessern.

9. Fernzugriffs-VPNVerwenden Sie Maschinenzertifikate, um zwischen Unternehmens- und Nicht-Unternehmensvermögen zu unterscheiden und eine Richtlinie festzulegen, die nur die Nutzung von Unternehmensvermögen vorschreibt. Die Durchsetzung kann vor der Anmeldung (nur Geräteauthentifizierung) oder nach der Anmeldung (Geräte- und Benutzerauthentifizierung) erfolgen.

10. Mobile Access Portal-AgentVerbesserte Endpoint Security on Demand im Mobile Access Portal Agent zur Unterstützung aller gängigen Webbrowser. Weitere Informationen finden Sie unter sk113410.

11.CoreXL und Multi-Queue

  • Unterstützung für die automatische Zuweisung von CoreXL-SNDs und Firewall-Instanzen, die keinen Neustart des Security Gateways erfordert.
  • Verbessertes Out-of-the-Box-Erlebnis – Security Gateway ändert automatisch die Anzahl der CoreXL-SNDs und Firewall-Instanzen sowie die Multi-Queue-Konfiguration basierend auf der aktuellen Verkehrslast.

12. Clusterbildung

  • Unterstützung für das Cluster Control Protocol im Unicast-Modus, wodurch CCP nicht mehr erforderlich ist

Broadcast- oder Multicast-Modi:

  • Die Cluster Control Protocol-Verschlüsselung ist jetzt standardmäßig aktiviert.
  • Neuer ClusterXL-Modus – Aktiv/Aktiv, der Cluster-Mitglieder an verschiedenen geografischen Standorten unterstützt, die sich in unterschiedlichen Subnetzen befinden und unterschiedliche IP-Adressen haben.
  • Unterstützung für ClusterXL-Clustermitglieder, die unterschiedliche Softwareversionen ausführen.
  • Die Notwendigkeit einer MAC Magic-Konfiguration entfällt, wenn mehrere Cluster mit demselben Subnetz verbunden sind.

13. VSX

  • Unterstützung für VSX-Upgrade mit CPUSE im Gaia-Portal.
  • Unterstützung für den Active Up-Modus in VSLS.
  • Unterstützung für CPView-Statistikberichte für jedes virtuelle System

14. Zero TouchEin einfacher Plug-and-Play-Einrichtungsprozess für die Installation einer Appliance – ohne dass technisches Fachwissen erforderlich ist und für die Erstkonfiguration keine Verbindung zur Appliance hergestellt werden muss.

15. Gaia REST APIDie Gaia REST API bietet eine neue Möglichkeit, Informationen zu lesen und an Server zu senden, auf denen das Gaia-Betriebssystem ausgeführt wird. Siehe sk143612.

16. Erweitertes Routing

  • Verbesserungen an OSPF und BGP ermöglichen das Zurücksetzen und Neustarten von OSPF benachbart für jede CoreXL-Firewall-Instanz, ohne dass der geroutete Daemon neu gestartet werden muss.
  • Verbesserte Routenaktualisierung für eine verbesserte Handhabung von BGP-Routing-Inkonsistenzen.

17. Neue Kernel-Funktionen

  • Aktualisierter Linux-Kernel
  • Neues Partitionierungssystem (gpt):
  • Unterstützt mehr als 2 TB physische/logische Laufwerke
  • Schnelleres Dateisystem (xfs)
  • Unterstützt größeren Systemspeicher (bis zu 48 TB getestet)
  • E/A-bezogene Leistungsverbesserungen
  • Mehrere Warteschlangen:
  • Vollständige Gaia Clish-Unterstützung für Multi-Queue-Befehle
  • Automatische Konfiguration „standardmäßig aktiviert“.
  • SMB v2/3-Mount-Unterstützung im Mobile Access Blade
  • NFSv4-Unterstützung (Client) hinzugefügt (NFS v4.2 ist die standardmäßig verwendete NFS-Version)
  • Unterstützung neuer Systemtools zum Debuggen, Überwachen und Konfigurieren des Systems

18. CloudGuard-Controller

  • Leistungsverbesserungen für Verbindungen zu externen Rechenzentren.
  • Integration mit VMware NSX-T.
  • Unterstützung für zusätzliche API-Befehle zum Erstellen und Bearbeiten von Data Center Server-Objekten.

19. Multi-Domain-Server

  • Sichern und Wiederherstellen eines einzelnen Domänenverwaltungsservers auf einem Multidomänenserver.
  • Migrieren Sie einen Domänenverwaltungsserver auf einem Multidomänenserver zu einem anderen Multidomänensicherheitsmanagement.
  • Migrieren Sie einen Sicherheitsverwaltungsserver, um ein Domänenverwaltungsserver auf einem Multidomänenserver zu werden.
  • Migrieren Sie einen Domänenverwaltungsserver, um ein Sicherheitsverwaltungsserver zu werden.
  • Setzen Sie eine Domäne auf einem Multidomänenserver oder einem Sicherheitsverwaltungsserver zur weiteren Bearbeitung auf eine frühere Revision zurück.

20. SmartTasks und API

  • Neue Management-API-Authentifizierungsmethode, die einen automatisch generierten API-Schlüssel verwendet.
  • Neue Management-API-Befehle zum Erstellen von Clusterobjekten.
  • Die zentrale Bereitstellung von Jumbo Hotfix Accumulator und Hotfixes von SmartConsole oder mit einer API ermöglicht die parallele Installation oder Aktualisierung mehrerer Sicherheits-Gateways und Cluster.
  • SmartTasks – Konfigurieren Sie automatische Skripts oder HTTPS-Anfragen, die durch Administratoraufgaben ausgelöst werden, z. B. das Veröffentlichen einer Sitzung oder das Installieren einer Richtlinie.

21. BereitstellungDie zentrale Bereitstellung von Jumbo Hotfix Accumulator und Hotfixes von SmartConsole oder mit einer API ermöglicht die parallele Installation oder Aktualisierung mehrerer Sicherheits-Gateways und Cluster.

22. SmartEventTeilen Sie SmartView-Ansichten und -Berichte mit anderen Administratoren.

23.ProtokollexporterExportieren Sie Protokolle, gefiltert nach Feldwerten.

24. Endgerätesicherheit

  • Unterstützung für BitLocker-Verschlüsselung für die vollständige Festplattenverschlüsselung.
  • Unterstützung für externe Zertifizierungsstellenzertifikate für den Endpoint Security-Client
  • Authentifizierung und Kommunikation mit dem Endpoint Security Management Server.
  • Unterstützung für die dynamische Größe von Endpoint Security Client-Paketen basierend auf der Auswahl
  • Funktionen für die Bereitstellung.
  • Die Richtlinie kann jetzt den Grad der Benachrichtigungen an Endbenutzer steuern.
  • Unterstützung für eine persistente VDI-Umgebung im Endpoint Policy Management.

Was uns am besten gefallen hat (basierend auf Kundenaufgaben)

Wie Sie sehen, gibt es viele Neuerungen. Aber für uns, was Systemintegrator, es gibt einige sehr interessante Punkte (die auch für unsere Kunden interessant sind). Unsere Top 10:

  1. Endlich ist die volle Unterstützung für IoT-Geräte erschienen. Es ist schon jetzt ziemlich schwierig, ein Unternehmen zu finden, das solche Geräte nicht hat.
  2. Die TLS-Inspektion wird jetzt in einer separaten Ebene (Layer) platziert. Es ist viel bequemer als jetzt (bei 80.30). Das alte Legasy-Dashboard muss nicht mehr ausgeführt werden. Außerdem können Sie jetzt aktualisierbare Objekte in der HTTPS-Inspektionsrichtlinie verwenden, z. B. Dienste von Office365, Google, Azure, AWS usw. Dies ist sehr praktisch, wenn Sie Ausnahmen einrichten müssen. Allerdings gibt es noch keine Unterstützung für TLS 1.3. Anscheinend werden sie mit dem nächsten Hotfix „nachholen“.
  3. Wesentliche Änderungen für Anti-Virus und SandBlast. Jetzt können Sie Protokolle wie SCP, SFTP und SMBv3 überprüfen (dieses Mehrkanalprotokoll kann übrigens niemand mehr überprüfen).
  4. Es gibt viele Verbesserungen in Bezug auf Site-to-Site-VPN. Jetzt können Sie mehrere VPN-Domänen auf einem Gateway konfigurieren, das Teil mehrerer VPN-Communitys ist. Es ist sehr praktisch und viel sicherer. Darüber hinaus hat sich Check Point endlich an Route Based VPN erinnert und dessen Stabilität/Kompatibilität leicht verbessert.
  5. Eine sehr beliebte Funktion für Remote-Benutzer ist erschienen. Jetzt können Sie nicht nur den Benutzer authentifizieren, sondern auch das Gerät, von dem aus er eine Verbindung herstellt. Beispielsweise möchten wir VPN-Verbindungen nur von Unternehmensgeräten zulassen. Dies geschieht selbstverständlich mit Hilfe von Zertifikaten. Es ist auch möglich, Dateifreigaben (SMB v2/3) für Remote-Benutzer mit einem VPN-Client automatisch bereitzustellen.
  6. Es gibt viele Änderungen im Betrieb des Clusters. Aber vielleicht eine der interessantesten ist die Möglichkeit, einen Cluster zu betreiben, bei dem die Gateways unterschiedliche Versionen von Gaia haben. Dies ist praktisch, wenn Sie ein Update planen.
  7. Verbesserte Zero Touch-Funktionen. Eine nützliche Sache für diejenigen, die häufig „kleine“ Gateways installieren (z. B. für Geldautomaten).
  8. Für Protokolle wird jetzt eine Speicherung von bis zu 48 TB unterstützt.
  9. Sie können Ihre SmartEvent-Dashboards mit anderen Administratoren teilen.
  10. Mit Log Exporter können Sie jetzt gesendete Nachrichten anhand der erforderlichen Felder vorfiltern. Diese. Es werden nur die notwendigen Protokolle und Ereignisse an Ihre SIEM-Systeme übermittelt

Aktualisieren

Vielleicht denken viele bereits über ein Update nach. Keine Eile. Zunächst muss Version 80.40 auf allgemeine Verfügbarkeit umgestellt werden. Aber auch danach sollten Sie nicht gleich aktualisieren. Es ist besser, zumindest auf den ersten Hotfix zu warten.
Vielleicht „sitzen“ viele auf älteren Versionen. Ich kann sagen, dass es zumindest bereits möglich (und sogar notwendig) ist, auf 80.30 zu aktualisieren. Dies ist bereits ein stabiles und bewährtes System!

Sie können auch unsere öffentlichen Seiten abonnieren (Telegram, Facebook, VK, TS-Lösungsblog), wo Sie die Entstehung neuer Materialien zu Check Point und anderen Sicherheitsprodukten verfolgen können.

An der Umfrage können nur registrierte Benutzer teilnehmen. Einloggenbitte.

Welche Version von Gaia verwenden Sie?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Andere

13 Benutzer haben abgestimmt. 6 Benutzer enthielten sich der Stimme.

Source: habr.com

Kommentar hinzufügen