ProHoster > Blog > διαχείριση > Check Point Gaia R80.40. Τι νέα?

Check Point Gaia R80.40. Τι νέα?

Check Point Gaia R80.40. Τι νέα?

Η επόμενη κυκλοφορία του λειτουργικού πλησιάζει Gaia R80.40. Πριν λίγες εβδομάδες Το πρόγραμμα Early Access ξεκίνησε, όπου μπορείτε να έχετε πρόσβαση για να δοκιμάσετε τη διανομή. Ως συνήθως, δημοσιεύουμε πληροφορίες σχετικά με ό,τι νέο υπάρχει και επισημαίνουμε επίσης τα σημεία που είναι πιο ενδιαφέροντα από την άποψή μας. Κοιτάζοντας το μέλλον, μπορώ να πω ότι οι καινοτομίες είναι πραγματικά σημαντικές. Επομένως, αξίζει να προετοιμαστείτε για μια διαδικασία έγκαιρης ενημέρωσης. Παλαιότερα είχαμε ήδη δημοσίευσε ένα άρθρο για το πώς να το κάνετε αυτό (για περισσότερες πληροφορίες, επισκεφθείτε επικοινωνήστε εδώ). Πάμε στο θέμα...

Τι νέα

Ας δούμε τις επίσημα ανακοινωθείσες καινοτομίες εδώ. Πληροφορίες που λαμβάνονται από τον ιστότοπο Ελέγξτε τους φίλους (επίσημη κοινότητα Check Point). Με την άδειά σας, δεν θα μεταφράσω αυτό το κείμενο, ευτυχώς το κοινό του Habr το επιτρέπει. Αντίθετα, θα αφήσω τα σχόλιά μου για το επόμενο κεφάλαιο.

1. Ασφάλεια IoT. Νέες δυνατότητες που σχετίζονται με το Internet of Things

  • Συλλέξτε συσκευές IoT και χαρακτηριστικά κυκλοφορίας από πιστοποιημένες μηχανές ανακάλυψης IoT (προς το παρόν υποστηρίζει Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM και Armis).
  • Διαμορφώστε ένα νέο ειδικό επίπεδο πολιτικής για το IoT στη διαχείριση πολιτικών.
  • Διαμορφώστε και διαχειριστείτε κανόνες ασφαλείας που βασίζονται στα χαρακτηριστικά των συσκευών IoT.

2.Επιθεώρηση TLSHTTP / 2:

  • Το HTTP/2 είναι μια ενημέρωση του πρωτοκόλλου HTTP. Η ενημέρωση παρέχει βελτιώσεις στην ταχύτητα, την αποτελεσματικότητα και την ασφάλεια και έχει αποτελέσματα με καλύτερη εμπειρία χρήστη.
  • Η πύλη ασφαλείας του Check Point υποστηρίζει πλέον το HTTP/2 και επωφελείται από καλύτερη ταχύτητα και αποτελεσματικότητα, ενώ διαθέτει πλήρη ασφάλεια, με όλες τις λεπίδες αποτροπής απειλών και ελέγχου πρόσβασης, καθώς και νέες προστασίες για το πρωτόκολλο HTTP/2.
  • Η υποστήριξη είναι τόσο για καθαρή όσο και για κρυπτογραφημένη κίνηση SSL και είναι πλήρως ενσωματωμένη στο HTTPS/TLS
  • Δυνατότητες επιθεώρησης.

Επίπεδο επιθεώρησης TLS. Καινοτομίες σχετικά με την επιθεώρηση HTTPS:

  • Ένα νέο επίπεδο πολιτικής στην SmartConsole αφιερωμένο στην επιθεώρηση TLS.
  • Διαφορετικά επίπεδα επιθεώρησης TLS μπορούν να χρησιμοποιηθούν σε διαφορετικά πακέτα πολιτικής.
  • Κοινή χρήση ενός επιπέδου επιθεώρησης TLS σε πολλά πακέτα πολιτικής.
  • API για λειτουργίες TLS.

3. Πρόληψη απειλών

  • Συνολική βελτίωση της αποτελεσματικότητας για τις διαδικασίες και τις ενημερώσεις Πρόληψης Απειλών.
  • Αυτόματες ενημερώσεις στο Threat Extraction Engine.
  • Τα δυναμικά αντικείμενα, τα αντικείμενα τομέα και τα ενημερωμένα αντικείμενα μπορούν πλέον να χρησιμοποιηθούν στις πολιτικές πρόληψης απειλών και επιθεώρησης TLS. Τα αντικείμενα με δυνατότητα ενημέρωσης είναι αντικείμενα δικτύου που αντιπροσωπεύουν μια εξωτερική υπηρεσία ή μια γνωστή δυναμική λίστα διευθύνσεων IP, για παράδειγμα - Διευθύνσεις IP Office365 / Google / Azure / AWS και αντικείμενα Geo.
  • Το Anti-Virus χρησιμοποιεί πλέον ενδείξεις απειλών SHA-1 και SHA-256 για να μπλοκάρει αρχεία με βάση τους κατακερματισμούς τους. Εισαγάγετε τους νέους δείκτες από την προβολή SmartConsole Threat Indicators ή το Custom Intelligence Feed CLI.
  • Το Anti-Virus και το SandBlast Threat Emulation υποστηρίζουν πλέον επιθεώρηση της κυκλοφορίας e-mail μέσω του πρωτοκόλλου POP3, καθώς και βελτιωμένη επιθεώρηση της κυκλοφορίας e-mail μέσω του πρωτοκόλλου IMAP.
  • Το Anti-Virus και το SandBlast Threat Emulation χρησιμοποιούν τώρα τη νέα δυνατότητα επιθεώρησης SSH για να επιθεωρήσουν αρχεία που μεταφέρονται μέσω των πρωτοκόλλων SCP και SFTP.
  • Το Anti-Virus και το SandBlast Threat Emulation παρέχουν τώρα μια βελτιωμένη υποστήριξη για επιθεώρηση SMBv3 (3.0, 3.0.2, 3.1.1), η οποία περιλαμβάνει επιθεώρηση πολυκαναλικών συνδέσεων. Το Check Point είναι πλέον ο μόνος προμηθευτής που υποστηρίζει την επιθεώρηση μεταφοράς αρχείων μέσω πολλαπλών καναλιών (μια δυνατότητα που είναι προεπιλεγμένη σε όλα τα περιβάλλοντα των Windows). Αυτό επιτρέπει στους πελάτες να παραμένουν ασφαλείς ενώ εργάζονται με αυτήν τη δυνατότητα βελτίωσης της απόδοσης.

4. Επίγνωση της Ταυτότητας

  • Υποστήριξη για ενσωμάτωση Captive Portal με SAML 2.0 και τρίτους παρόχους ταυτότητας.
  • Υποστήριξη για το Identity Broker για κλιμακούμενη και λεπτομερή κοινή χρήση πληροφοριών ταυτότητας μεταξύ PDP, καθώς και κοινή χρήση μεταξύ τομέων.
  • Βελτιώσεις στο Terminal Servers Agent για καλύτερη κλιμάκωση και συμβατότητα.

5. IPsec VPN

  • Διαμορφώστε διαφορετικούς τομείς κρυπτογράφησης VPN σε μια πύλη ασφαλείας που είναι μέλος πολλαπλών κοινοτήτων VPN. Αυτό παρέχει:
  • Βελτιωμένο απόρρητο — Τα εσωτερικά δίκτυα δεν αποκαλύπτονται στις διαπραγματεύσεις πρωτοκόλλου IKE.
  • Βελτιωμένη ασφάλεια και ευαισθησία — Καθορίστε ποια δίκτυα είναι προσβάσιμα σε μια συγκεκριμένη κοινότητα VPN.
  • Βελτιωμένη διαλειτουργικότητα — Απλοποιημένοι ορισμοί VPN βάσει διαδρομής (συνιστάται όταν εργάζεστε με έναν κενό τομέα κρυπτογράφησης VPN).
  • Δημιουργήστε και εργαστείτε απρόσκοπτα με ένα περιβάλλον μεγάλης κλίμακας VPN (LSV) με τη βοήθεια προφίλ LSV.

6. Φιλτράρισμα URL

  • Βελτιωμένη επεκτασιμότητα και ανθεκτικότητα.
  • Εκτεταμένες δυνατότητες αντιμετώπισης προβλημάτων.

7. ΝΑΤ

  • Βελτιωμένος μηχανισμός κατανομής θυρών NAT — σε πύλες ασφαλείας με 6 ή περισσότερες παρουσίες τείχους προστασίας CoreXL, όλες οι παρουσίες χρησιμοποιούν την ίδια ομάδα θυρών NAT, η οποία βελτιστοποιεί τη χρήση και την επαναχρησιμοποίηση της θύρας.
  • Παρακολούθηση χρήσης θύρας NAT σε CPView και με SNMP.

8. Φωνή μέσω IP (VoIP)Πολλαπλές παρουσίες τείχους προστασίας CoreXL χειρίζονται το πρωτόκολλο SIP για να βελτιώσουν την απόδοση.

9. Απομακρυσμένη πρόσβαση VPNΧρησιμοποιήστε το πιστοποιητικό μηχανής για να διακρίνετε μεταξύ εταιρικών και μη εταιρικών περιουσιακών στοιχείων και να ορίσετε μια πολιτική που να επιβάλλει τη χρήση μόνο εταιρικών περιουσιακών στοιχείων. Η επιβολή μπορεί να είναι προ-σύνδεση (μόνο έλεγχος ταυτότητας συσκευής) ή μετά τη σύνδεση (έλεγχος ταυτότητας συσκευής και χρήστη).

10. Mobile Access Portal AgentΕνισχυμένη ασφάλεια τελικού σημείου κατά απαίτηση εντός του Mobile Access Portal Agent για υποστήριξη όλων των μεγάλων προγραμμάτων περιήγησης ιστού. Για περισσότερες πληροφορίες, ανατρέξτε στο sk113410.

11.CoreXL και Multi-Queue

  • Υποστήριξη για αυτόματη εκχώρηση CoreXL SND και παρουσίες τείχους προστασίας που δεν απαιτεί επανεκκίνηση της πύλης ασφαλείας.
  • Βελτιωμένη εμπειρία εξαρχής — Η πύλη ασφαλείας αλλάζει αυτόματα τον αριθμό των παρουσιών CoreXL SND και Firewall και τη διαμόρφωση Multi-Queue με βάση τον τρέχοντα φόρτο κυκλοφορίας.

12. Ομαδοποίηση

  • Υποστήριξη για το πρωτόκολλο ελέγχου συμπλέγματος σε λειτουργία Unicast που εξαλείφει την ανάγκη για CCP

Λειτουργίες μετάδοσης ή πολλαπλής εκπομπής:

  • Η κρυπτογράφηση πρωτοκόλλου ελέγχου συμπλέγματος είναι πλέον ενεργοποιημένη από προεπιλογή.
  • Νέα λειτουργία ClusterXL -Ενεργή/Ενεργή, η οποία υποστηρίζει Μέλη συμπλέγματος σε διαφορετικές γεωγραφικές τοποθεσίες που βρίσκονται σε διαφορετικά υποδίκτυα και έχουν διαφορετικές διευθύνσεις IP.
  • Υποστήριξη για μέλη του ClusterXL Cluster που εκτελούν διαφορετικές εκδόσεις λογισμικού.
  • Εξάλειψε την ανάγκη για διαμόρφωση MAC Magic όταν πολλά συμπλέγματα συνδέονται στο ίδιο υποδίκτυο.

13. VSX

  • Υποστήριξη για αναβάθμιση VSX με CPUSE στο Gaia Portal.
  • Υποστήριξη για λειτουργία Active Up σε VSLS.
  • Υποστήριξη για στατιστικές αναφορές CPView για κάθε εικονικό σύστημα

14. Μηδενικό άγγιγμαΜια απλή διαδικασία εγκατάστασης Plug & Play για την εγκατάσταση μιας συσκευής — εξαλείφοντας την ανάγκη για τεχνική εξειδίκευση και πρέπει να συνδεθείτε στη συσκευή για την αρχική διαμόρφωση.

15. Gaia REST APIΤο Gaia REST API παρέχει έναν νέο τρόπο ανάγνωσης και αποστολής πληροφοριών σε διακομιστές που εκτελούν το λειτουργικό σύστημα Gaia. Δείτε sk143612.

16. Προηγμένη δρομολόγηση

  • Οι βελτιώσεις σε OSPF και BGP επιτρέπουν την επαναφορά και επανεκκίνηση του OSPF γειτονικού για κάθε παρουσία του τείχους προστασίας CoreXL χωρίς την ανάγκη επανεκκίνησης του δρομολογημένου δαίμονα.
  • Βελτίωση της ανανέωσης διαδρομής για βελτιωμένο χειρισμό των ασυνεπειών δρομολόγησης BGP.

17. Νέες δυνατότητες πυρήνα

  • Αναβαθμισμένος πυρήνας Linux
  • Νέο σύστημα διαμερισμάτων (gpt):
  • Υποστηρίζει περισσότερα από 2 TB φυσικές/λογικές μονάδες δίσκου
  • Ταχύτερο σύστημα αρχείων (xfs)
  • Υποστήριξη μεγαλύτερου χώρου αποθήκευσης συστήματος (έως 48 TB δοκιμασμένο)
  • Βελτιώσεις απόδοσης που σχετίζονται με I/O
  • Πολλαπλές ουρές:
  • Πλήρης υποστήριξη Gaia Clish για εντολές Multi-Queue
  • Αυτόματη ρύθμιση παραμέτρων "ενεργό από προεπιλογή".
  • Υποστήριξη βάσης SMB v2/3 στο Mobile Access blade
  • Προστέθηκε υποστήριξη NFSv4 (πελάτης) (Το NFS v4.2 είναι η προεπιλεγμένη έκδοση NFS που χρησιμοποιείται)
  • Υποστήριξη νέων εργαλείων συστήματος για τον εντοπισμό σφαλμάτων, την παρακολούθηση και τη διαμόρφωση του συστήματος

18. Ελεγκτής CloudGuard

  • Βελτιώσεις απόδοσης για συνδέσεις σε εξωτερικά κέντρα δεδομένων.
  • Ενσωμάτωση με VMware NSX-T.
  • Υποστήριξη για πρόσθετες εντολές API για τη δημιουργία και την επεξεργασία αντικειμένων διακομιστή δεδομένων κέντρου δεδομένων.

19. Διακομιστής πολλαπλών τομέων

  • Δημιουργήστε αντίγραφα ασφαλείας και επαναφέρετε έναν μεμονωμένο διακομιστή διαχείρισης τομέα σε έναν διακομιστή πολλών τομέων.
  • Μετεγκατάσταση ενός διακομιστή διαχείρισης τομέα σε έναν διακομιστή πολλαπλών τομέων σε διαφορετική διαχείριση ασφάλειας πολλαπλών τομέων.
  • Μεταφέρετε έναν διακομιστή διαχείρισης ασφάλειας για να γίνετε διακομιστής διαχείρισης τομέα σε διακομιστή πολλών τομέων.
  • Μεταφέρετε έναν διακομιστή διαχείρισης τομέα για να γίνετε διακομιστής διαχείρισης ασφάλειας.
  • Επαναφέρετε έναν τομέα σε έναν διακομιστή πολλών τομέων ή έναν διακομιστή διαχείρισης ασφάλειας σε μια προηγούμενη αναθεώρηση για περαιτέρω επεξεργασία.

20. SmartTasks και API

  • Νέα μέθοδος ελέγχου ταυτότητας API διαχείρισης που χρησιμοποιεί ένα κλειδί API που δημιουργείται αυτόματα.
  • Εντολές New Management API για τη δημιουργία αντικειμένων συμπλέγματος.
  • Η κεντρική ανάπτυξη του Jumbo Hotfix Accumulator και των επειγουσών επιδιορθώσεων από την SmartConsole ή με ένα API επιτρέπει την εγκατάσταση ή την αναβάθμιση πολλαπλών πυλών ασφαλείας και συμπλεγμάτων παράλληλα.
  • SmartTasks — Διαμορφώστε αυτόματα σενάρια ή αιτήματα HTTPS που ενεργοποιούνται από εργασίες διαχειριστή, όπως η δημοσίευση μιας περιόδου σύνδεσης ή η εγκατάσταση μιας πολιτικής.

21. ΑνάπτυξηΗ κεντρική ανάπτυξη του Jumbo Hotfix Accumulator και των επειγουσών επιδιορθώσεων από την SmartConsole ή με ένα API επιτρέπει την εγκατάσταση ή την αναβάθμιση πολλαπλών πυλών ασφαλείας και συμπλεγμάτων παράλληλα.

22. SmartEventΜοιραστείτε προβολές και αναφορές SmartView με άλλους διαχειριστές.

23.Εξαγωγέας κορμώνΕξαγωγή αρχείων καταγραφής φιλτραρισμένα σύμφωνα με τις τιμές πεδίου.

24. Ασφάλεια τελικού σημείου

  • Υποστήριξη για κρυπτογράφηση BitLocker για κρυπτογράφηση πλήρους δίσκου.
  • Υποστήριξη για εξωτερικά πιστοποιητικά αρχής έκδοσης πιστοποιητικών για τον πελάτη Endpoint Security
  • έλεγχος ταυτότητας και επικοινωνία με το Endpoint Security Management Server.
  • Υποστήριξη για δυναμικό μέγεθος πακέτων Endpoint Security Client με βάση το επιλεγμένο
  • χαρακτηριστικά για ανάπτυξη.
  • Η πολιτική μπορεί πλέον να ελέγχει το επίπεδο ειδοποιήσεων προς τους τελικούς χρήστες.
  • Υποστήριξη για μόνιμο περιβάλλον VDI στη Διαχείριση Πολιτικής Τελικού Σημείου.

Τι μας άρεσε περισσότερο (με βάση τις εργασίες των πελατών)

Όπως μπορείτε να δείτε, υπάρχουν πολλές καινοτομίες. Αλλά για εμάς, όσο για ολοκληρωμένος συστήματος, υπάρχουν αρκετά πολύ ενδιαφέροντα σημεία (τα οποία είναι ενδιαφέροντα και για τους πελάτες μας). Το Top 10 μας:

  1. Τέλος, εμφανίστηκε η πλήρης υποστήριξη για συσκευές IoT. Είναι ήδη αρκετά δύσκολο να βρεις μια εταιρεία που να μην έχει τέτοιες συσκευές.
  2. Η επιθεώρηση TLS τοποθετείται τώρα σε ξεχωριστό στρώμα (Layer). Είναι πολύ πιο βολικό από τώρα (στο 80.30). Δεν υπάρχει πλέον η λειτουργία του παλιού πίνακα ελέγχου Legasy. Επιπλέον, τώρα μπορείτε να χρησιμοποιείτε αντικείμενα με δυνατότητα ενημέρωσης στην πολιτική επιθεώρησης HTTPS, όπως υπηρεσίες Office365, Google, Azure, AWS κ.λπ. Αυτό είναι πολύ βολικό όταν πρέπει να ορίσετε εξαιρέσεις. Ωστόσο, δεν υπάρχει ακόμα υποστήριξη για το tls 1.3. Προφανώς θα «καλύψουν τη διαφορά» με την επόμενη επείγουσα επιδιόρθωση.
  3. Σημαντικές αλλαγές για το Anti-Virus και το SandBlast. Τώρα μπορείτε να ελέγξετε πρωτόκολλα όπως τα SCP, SFTP και SMBv3 (παρεμπιπτόντως, κανείς δεν μπορεί πλέον να ελέγξει αυτό το πρωτόκολλο πολλαπλών καναλιών).
  4. Υπάρχουν πολλές βελτιώσεις σχετικά με το VPN από ιστότοπο σε ιστότοπο. Τώρα μπορείτε να διαμορφώσετε πολλούς τομείς VPN σε μια πύλη που αποτελεί μέρος πολλών κοινοτήτων VPN. Είναι πολύ βολικό και πολύ πιο ασφαλές. Επιπλέον, το Check Point θυμήθηκε τελικά το Route Based VPN και βελτίωσε ελαφρώς τη σταθερότητα/συμβατότητά του.
  5. Εμφανίστηκε ένα πολύ δημοφιλές χαρακτηριστικό για απομακρυσμένους χρήστες. Τώρα μπορείτε να ελέγξετε την ταυτότητα όχι μόνο του χρήστη, αλλά και της συσκευής από την οποία συνδέεται. Για παράδειγμα, θέλουμε να επιτρέπουμε συνδέσεις VPN μόνο από εταιρικές συσκευές. Αυτό γίνεται φυσικά με τη βοήθεια πιστοποιητικών. Είναι επίσης δυνατή η αυτόματη προσάρτηση κοινόχρηστων αρχείων (SMB v2/3) για απομακρυσμένους χρήστες με πελάτη VPN.
  6. Υπάρχουν πολλές αλλαγές στη λειτουργία του cluster. Αλλά ίσως ένα από τα πιο ενδιαφέροντα είναι η δυνατότητα λειτουργίας ενός cluster όπου οι πύλες έχουν διαφορετικές εκδόσεις του Gaia. Αυτό είναι βολικό όταν σχεδιάζετε μια ενημέρωση.
  7. Βελτιωμένες δυνατότητες Zero Touch. Ένα χρήσιμο πράγμα για όσους εγκαθιστούν συχνά «μικρές» πύλες (για παράδειγμα, για ΑΤΜ).
  8. Για αρχεία καταγραφής, υποστηρίζεται πλέον χώρος αποθήκευσης έως 48 TB.
  9. Μπορείτε να μοιραστείτε τους πίνακες ελέγχου SmartEvent με άλλους διαχειριστές.
  10. Το Log Exporter σάς επιτρέπει τώρα να προφιλτράρετε τα απεσταλμένα μηνύματα χρησιμοποιώντας τα απαιτούμενα πεδία. Εκείνοι. Μόνο τα απαραίτητα αρχεία καταγραφής και συμβάντα θα μεταδοθούν στα συστήματά σας SIEM

Ενημέρωση

Ίσως πολλοί σκέφτονται ήδη την ενημέρωση. Δεν χρειάζεται να βιαστείτε. Αρχικά, η έκδοση 80.40 πρέπει να μετακινηθεί στη Γενική Διαθεσιμότητα. Αλλά ακόμα και μετά από αυτό, δεν πρέπει να ενημερώσετε αμέσως. Είναι καλύτερα να περιμένετε τουλάχιστον την πρώτη επείγουσα επιδιόρθωση.
Ίσως πολλοί «κάθονται» σε παλαιότερες εκδόσεις. Μπορώ να πω ότι τουλάχιστον είναι ήδη δυνατή (και μάλιστα απαραίτητη) η ενημέρωση στο 80.30. Αυτό είναι ήδη ένα σταθερό και αποδεδειγμένο σύστημα!

Μπορείτε επίσης να εγγραφείτε στις δημόσιες σελίδες μας (Telegram, Facebook, VK, Ιστολόγιο TS Solution), όπου μπορείτε να παρακολουθήσετε την εμφάνιση νέων υλικών στο Check Point και σε άλλα προϊόντα ασφαλείας.

Μόνο εγγεγραμμένοι χρήστες μπορούν να συμμετάσχουν στην έρευνα. Συνδεθείτε, Σας παρακαλούμε.

Ποια έκδοση του Gaia χρησιμοποιείτε;

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • ΑΛΛΑ

Ψήφισαν 13 χρήστες. 6 χρήστες απείχαν.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο