ProHoster > Блог > Administrado > Kontrolpunkto Gaia R80.40. Kio novas?

Kontrolpunkto Gaia R80.40. Kio novas?

Kontrolpunkto Gaia R80.40. Kio novas?

La sekva eldono de la operaciumo alproksimiĝas Gaia R80.40. Antaŭ kelkaj semajnoj Komenciĝis la programo de Frua Aliro, kie vi povas aliri por testi la distribuon. Kiel kutime, ni publikigas informojn pri kio estas nova, kaj ankaŭ reliefigas la punktojn kiuj estas plej interesaj el nia vidpunkto. Rigardante antaŭen, mi povas diri, ke la novigoj estas vere signifaj. Tial indas prepariĝi por frua ĝisdatiga proceduro. Antaŭe ni jam havas publikigis artikolon pri kiel fari tion (por pliaj informoj, bonvolu viziti kontaktu ĉi tie). Ni iru al la temo...

Kio novas

Ni rigardu la oficiale anoncitajn novigojn ĉi tie. Informoj prenitaj de la retejo Kontrolu amikojn (oficiala Check Point-komunumo). Kun via permeso, mi ne tradukos ĉi tiun tekston, feliĉe la publiko de Habr permesas ĝin. Anstataŭe, mi lasos miajn komentojn por la sekva ĉapitro.

1. Sekureco de IoT. Novaj funkcioj rilataj al la Interreto de Aĵoj

  • Kolektu IoT-aparatojn kaj trafikajn atributojn de atestitaj IoT-eltrovmotoroj (nuntempe subtenas Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM kaj Armis).
  • Agordu novan IoT dediĉitan Politikan Tavolon en politika administrado.
  • Agordu kaj administru sekurecajn regulojn, kiuj baziĝas sur la atributoj de la IoT-aparatoj.

2.TLS-InspektadoHTTP/2:

  • HTTP/2 estas ĝisdatigo de la HTTP-protokolo. La ĝisdatigo provizas plibonigojn al rapideco, efikeco kaj sekureco kaj rezultoj kun pli bona sperto de uzanto.
  • La Sekureca Enirejo de Check Point nun subtenas HTTP/2 kaj profitas pli bonan rapidecon kaj efikecon dum ĝi ricevas plenan sekurecon, kun ĉiuj klingoj de Minaco-Preventado kaj Alirkontrolo, kaj ankaŭ novaj protektoj por la protokolo HTTP/2.
  • Subteno estas por klara kaj SSL ĉifrita trafiko kaj estas plene integrita kun HTTPS/TLS
  • Inspektaj kapabloj.

TLS-Inspekta Tavolo. Novigoj pri HTTPS-inspektado:

  • Nova Politika Tavolo en SmartConsole dediĉita al TLS-Inspektado.
  • Malsamaj TLS-Inspektaj tavoloj povas esti uzataj en malsamaj politikaj pakaĵoj.
  • Kunhavigo de TLS-Inspekta tavolo tra pluraj politikaj pakaĵoj.
  • API por TLS-operacioj.

3. Minaco-Preventado

  • Ĝenerale efikeco plibonigo por Minaco Preventado procezoj kaj ĝisdatigoj.
  • Aŭtomataj ĝisdatigoj al Threat Extraction Engine.
  • Dinamikaj, Domajnaj kaj Ĝisdatigeblaj Objektoj nun povas esti uzataj en Politikoj pri Minaco-Preventado kaj TLS-Inspektado. Ĝisdatigeblaj objektoj estas retaj objektoj, kiuj reprezentas eksteran servon aŭ konatan dinamikan liston de IP-adresoj, ekzemple - Office365 / Google / Azure / AWS IP-adresoj kaj Geo-objektoj.
  • Anti-Virus nun uzas SHA-1 kaj SHA-256 minaco-indikojn por bloki dosierojn bazitajn sur iliaj haŝiŝoj. Importu la novajn indikilojn el la vido de SmartConsole Threat Indicators aŭ la Custom Intelligence Feed CLI.
  • Anti-Virus kaj SandBlast Threat Emulation nun subtenas inspektadon de retpoŝta trafiko super la POP3-protokolo, same kiel plibonigitan inspektadon de retpoŝta trafiko super la IMAP-protokolo.
  • Anti-Virus kaj SandBlast Threat Emulation nun uzas la lastatempe enkondukitan SSH-inspektan funkcion por inspekti dosierojn transdonitajn per la SCP kaj SFTP-protokoloj.
  • Anti-Virus kaj SandBlast Threat Emulation nun provizas plibonigitan subtenon por SMBv3-inspektado (3.0, 3.0.2, 3.1.1), kiu inkluzivas inspektadon de plurkanalaj konektoj. Check Point nun estas la nura vendisto por subteni inspektadon de dosiertranslokigo tra pluraj kanaloj (trajto kiu estas defaŭlte en ĉiuj Vindozaj medioj). Ĉi tio permesas al klientoj resti sekuraj dum ili laboras kun ĉi tiu pliboniga funkcio.

4. Identeca Konscio

  • Subteno por integriĝo de Captive Portal kun SAML 2.0 kaj triaj Identecaj Provizantoj.
  • Subteno por Identity Broker por skalebla kaj grajneca kundivido de identecaj informoj inter PDP-oj, same kiel transdomajna kundivido.
  • Plibonigoj al Terminal Servers Agent por pli bona skalado kaj kongrueco.

5. IPsec VPN

  • Agordu malsamajn VPN-ĉifradomajnojn sur Sekureca Enirejo, kiu estas membro de pluraj VPN-komunumoj. Ĉi tio provizas:
  • Plibonigita privateco — Internaj retoj ne estas malkaŝitaj en IKE-protokolo-intertraktadoj.
  • Plibonigita sekureco kaj granulareco — Specifu kiuj retoj estas alireblaj en specifa VPN-komunumo.
  • Plibonigita kunfunkciebleco - Simpligitaj difinoj de VPN-bazitaj itineroj (rekomenditaj kiam vi laboras kun malplena VPN-ĉifradomajno).
  • Kreu kaj perfekte laboru kun Grandskala VPN (LSV) medio helpe de LSV-profiloj.

6. URL-Filtrado

  • Plibonigita skaleblo kaj fortikeco.
  • Plilongigitaj problemoj pri solvo.

7.NAT

  • Plibonigita NAT-havena atribuo-mekanismo - ĉe Sekurec-Enirejoj kun 6 aŭ pli da CoreXL Firewall-okcioj, ĉiuj okazoj uzas la saman aron de NAT-havenoj, kiu optimumigas la havenutiligon kaj reuzon.
  • Monitorado de uzado de NAT-haveno en CPView kaj kun SNMP.

8. Voĉo super IP (VoIP)Multoblaj CoreXL Firewall-instancoj pritraktas la SIP-protokolon por plibonigi rendimenton.

9. Fora Aliro VPNUzu maŝinatestilon por distingi inter kompaniaj kaj ne-kompaniaj aktivoj kaj starigi politikon devigantan la uzon de kompaniaj aktivoj nur. Devigo povas esti antaŭ-saluto (nur aparata konfirmo) aŭ post-saluto (aparato kaj uzantkonfirmo).

10. Mobile Access Portal AgentPlibonigita Endpoint Security on Demand ene de la Mobile Access Portal Agent por subteni ĉiujn ĉefajn TTT-legilojn. Por pliaj informoj, vidu sk113410.

11.CoreXL kaj Multi-Queue

  • Subteno por aŭtomata asigno de CoreXL-SND-oj kaj Fajroŝirmilaj okazoj, kiuj ne postulas rekomencon de Sekurec-Enirejo.
  • Plibonigita ekstere de la skatolo sperto — Sekureca Enirejo aŭtomate ŝanĝas la nombron da CoreXL-SND-oj kaj Fajromuro-okazoj kaj la Multi-Queue-agordo bazita sur la nuna trafikŝarĝo.

12. Agrupiĝo

  • Subteno por Cluster Control Protocol en Unicast-reĝimo, kiu forigas la bezonon de CCP

Elsendo aŭ Multicast reĝimoj:

  • Ĉifrado de Cluster Control Protocol nun estas ebligita defaŭlte.
  • Nova ClusterXL-reĝimo -Aktiva/Aktiva, kiu subtenas Cluster Members en malsamaj geografiaj lokoj kiuj situas sur malsamaj subretoj kaj havas malsamajn IP-adresojn.
  • Subteno por ClusterXL Cluster Members, kiuj prizorgas malsamajn programversiojn.
  • Forigita la bezono de MAC Magic-agordo kiam pluraj aretoj estas konektitaj al la sama subreto.

13. VSX

  • Subteno por VSX-ĝisdatigo kun CPUSE en Gaia Portal.
  • Subteno por Active Up-reĝimo en VSLS.
  • Subteno por CPView-statistikaj raportoj por ĉiu Virtuala Sistemo

14. Nula TuŝoSimpla agorda procezo Plug & Play por instali aparaton — forigante la bezonon de teknika kompetenteco kaj devi konekti al la aparato por komenca agordo.

15. Gaia REST APIGaia REST API provizas novan manieron legi kaj sendi informojn al serviloj, kiuj funkcias Gaia Operating System. Vidu sk143612.

16. Altnivela Vokado

  • Plibonigoj al OSPF kaj BGP permesas restarigi kaj rekomenci OSPF najbaran por ĉiu CoreXL Firewall-instanco sen la bezono rekomenci la senditan demonon.
  • Plibonigi itineran refreŝigon por plibonigita uzado de BGP-vojigmalkongruoj.

17. Novaj kernaj kapabloj

  • Ĝisdatigita Linukso-kerno
  • Nova sekciosistemo (gpt):
  • Subtenas pli ol 2TB fizikajn/logikajn diskojn
  • Pli rapida dosiersistemo (xfs)
  • Subtenante pli grandan sisteman stokadon (ĝis 48TB provita)
  • I/O rilataj agado-plibonigoj
  • Multvico:
  • Plena subteno de Gaia Clish por Multi-Queue-komandoj
  • Aŭtomata "ŝaltita defaŭlte" agordo
  • SMB v2/3-montsubteno en Mobile Access-klingo
  • Aldonita NFSv4 (kliento) subteno (NFS v4.2 estas la defaŭlta NFS-versio uzita)
  • Subteno de novaj sistemaj iloj por senararigado, monitorado kaj agordo de la sistemo

18. CloudGuard Regilo

  • Pliboniĝoj de rendimento por konektoj al eksteraj Datumcentroj.
  • Integriĝo kun VMware NSX-T.
  • Subteno por kromaj API-komandoj por krei kaj redakti objektojn de Data Center Server.

19. Plurdomajna Servilo

  • Sekurigu kaj restarigu individuan Domajnan Administran Servilon sur Plurdomajna Servilo.
  • Migru Servilon pri Domajna Administrado sur unu Plurdomajna Servilo al malsama Multi-Domajna Sekureca Administrado.
  • Migru Sekurecan Administran Servilon por fariĝi Domajna Administra Servilo sur Multdomajna Servilo.
  • Migru Domajnan Administran Servilon por fariĝi Sekureca Administra Servilo.
  • Reverigu Domajnon sur Plurdomajna Servilo, aŭ Sekureca Administra Servilo al antaŭa revizio por plua redaktado.

20. SmartTasks kaj API

  • Nova Administrada API-aŭtentikigmetodo, kiu uzas aŭtomaten generitan API-Ŝlosilon.
  • Novaj Administraj API-komandoj por krei aretajn objektojn.
  • Centra Deplojo de Jumbo Hotfix Accumulator kaj Hotfixes de SmartConsole aŭ kun API permesas instali aŭ ĝisdatigi plurajn Sekurecajn Enirejojn kaj Aretojn paralele.
  • SmartTasks — Agordu aŭtomatajn skriptojn aŭ HTTPS-petojn ekigitajn de administraj taskoj, kiel publikigado de sesio aŭ instalo de politiko.

21. DeplojoCentra Deplojo de Jumbo Hotfix Accumulator kaj Hotfixes de SmartConsole aŭ kun API permesas instali aŭ ĝisdatigi plurajn Sekurecajn Enirejojn kaj Aretojn paralele.

22. SmartEventKunhavigu SmartView-vidojn kaj raportojn kun aliaj administrantoj.

23.Log ExporterEksporti protokolojn filtritajn laŭ kampaj valoroj.

24. Finpunkto Sekureco

  • Subteno por BitLocker-ĉifrado por Plena Diska Ĉifrado.
  • Subteno por eksteraj Atestila Aŭtoritato por Endpoint Security-kliento
  • aŭtentikigo kaj komunikado kun la Endpoint Security Management Server.
  • Subteno por dinamika grandeco de Endpoint Security Client-pakaĵoj bazitaj sur la elektitaj
  • funkcioj por deplojo.
  • Politiko nun povas kontroli nivelon de sciigoj al finaj uzantoj.
  • Subteno por Persistenta VDI-medio en Endpoint Policy Management.

Kion ni plej ŝatis (surbaze de klienttaskoj)

Kiel vi povas vidi, estas multaj novigoj. Sed por ni, kiel por sistema integristo, estas pluraj tre interesaj punktoj (kiuj estas ankaŭ interesaj por niaj klientoj). Niaj Supraj 10:

  1. Fine aperis plena subteno por IoT-aparatoj. Jam estas sufiĉe malfacile trovi kompanion, kiu ne havas tiajn aparatojn.
  2. TLS-inspektado nun estas metita en apartan tavolon (Tavolo). Ĝi estas multe pli oportuna ol nun (je 80.30). Ne plu ruli la malnovan Legasy Dashboard. Krome, nun vi povas uzi Ĝisdatigeblajn objektojn en la HTTPS-inspekta politiko, kiel Office365, Google, Azure, AWS, ktp. Ĉi tio estas tre oportuna kiam vi bezonas agordi esceptojn. Tamen ankoraŭ ne ekzistas subteno por tls 1.3. Ŝajne ili "kaptos" kun la sekva korekto.
  3. Gravaj ŝanĝoj por Anti-Virus kaj SandBlast. Nun vi povas kontroli protokolojn kiel SCP, SFTP kaj SMBv3 (cetere, neniu plu povas kontroli ĉi tiun plurkanalan protokolon).
  4. Estas multaj plibonigoj pri retejo-al-ejo VPN. Nun vi povas agordi plurajn VPN-domajnojn sur enirejo, kiu estas parto de pluraj VPN-komunumoj. Ĝi estas tre oportuna kaj multe pli sekura. Krome, Check Point finfine memoris Route Based VPN kaj iomete plibonigis ĝian stabilecon/kongruon.
  5. Aperis tre populara trajto por foraj uzantoj. Nun vi povas aŭtentikigi ne nur la uzanton, sed ankaŭ la aparaton, de kiu li konektas. Ekzemple, ni volas permesi VPN-konektojn nur de kompaniaj aparatoj. Ĉi tio estas farita, kompreneble, kun la helpo de atestiloj. Eblas ankaŭ aŭtomate munti (SMB v2/3) dosierpartojn por foraj uzantoj kun VPN-kliento.
  6. Estas multaj ŝanĝoj en la funkciado de la areto. Sed eble unu el la plej interesaj estas la ebleco funkciigi cluster kie la enirejoj havas malsamajn versiojn de Gaia. Ĉi tio estas oportuna kiam planas ĝisdatigon.
  7. Plibonigitaj Nula Tuŝo-kapabloj. Utila afero por tiuj, kiuj ofte instalas "malgrandajn" enirejojn (ekzemple por ATMs).
  8. Por protokoloj, stokado ĝis 48TB nun estas subtenata.
  9. Vi povas dividi viajn SmartEvent panelojn kun aliaj administrantoj.
  10. Log Exporter nun permesas vin antaŭfiltri senditajn mesaĝojn uzante la postulatajn kampojn. Tiuj. Nur la necesaj protokoloj kaj eventoj estos transdonitaj al viaj SIEM-sistemoj

Ĝisdatigu

Eble multaj jam pensas pri ĝisdatigo. Ne necesas rapidi. Komence, versio 80.40 devas moviĝi al Ĝenerala Havebleco. Sed eĉ post tio, vi ne devus ĝisdatigi tuj. Estas pli bone atendi almenaŭ la unuan korekton.
Eble multaj "sidas" sur pli malnovaj versioj. Mi povas diri, ke minimume jam eblas (kaj eĉ necese) ĝisdatigi al 80.30. Ĉi tio jam estas stabila kaj pruvita sistemo!

Vi ankaŭ povas aboni niajn publikajn paĝojn (Telegramo, Facebook, VK, TS Solva Blogo), kie vi povas sekvi la aperon de novaj materialoj pri Check Point kaj aliaj sekurecaj produktoj.

Nur registritaj uzantoj povas partopreni la enketon. Ensaluti, bonvolu.

Kiun version de Gaia vi uzas?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • aliaj

13 uzantoj voĉdonis. 6 uzantoj sindetenis.

fonto: www.habr.com

Aldoni komenton