ProHoster > Blog > administración > Punto de control Gaia R80.40. ¿Qué hay de nuevo?

Punto de control Gaia R80.40. ¿Qué hay de nuevo?

Punto de control Gaia R80.40. ¿Qué hay de nuevo?

Se acerca la próxima versión del sistema operativo Gaiá R80.40. Hace unas pocas semanas Comenzó el programa de acceso anticipado, donde podrás acceder para probar la distribución. Como es habitual, publicamos información sobre las novedades, y también destacamos los puntos que resultan más interesantes desde nuestro punto de vista. De cara al futuro, puedo decir que las innovaciones son verdaderamente significativas. Por lo tanto, vale la pena prepararse para un procedimiento de actualización anticipado. Anteriormente ya hemos publicó un artículo sobre cómo hacer esto (para obtener más información, visite contacta aqui). Vayamos al tema...

Noticias

Veamos aquí las innovaciones anunciadas oficialmente. Información extraída del sitio. Jaque de Mates (comunidad oficial de Check Point). Con su permiso no traduciré este texto, afortunadamente la audiencia de Habr lo permite. En cambio, dejaré mis comentarios para el próximo capítulo.

1. Seguridad de la IoT. Nuevas funciones relacionadas con el Internet de las Cosas

  • Recopile dispositivos de IoT y atributos de tráfico de motores de descubrimiento de IoT certificados (actualmente es compatible con Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM y Armis).
  • Configure una nueva capa de políticas dedicada a IoT en la gestión de políticas.
  • Configure y administre reglas de seguridad basadas en los atributos de los dispositivos IoT.

2.Inspección TLSHTTP / 2:

  • HTTP/2 es una actualización del protocolo HTTP. La actualización proporciona mejoras en velocidad, eficiencia y seguridad y resultados con una mejor experiencia de usuario.
  • Security Gateway de Check Point ahora admite HTTP/2 y se beneficia de una mayor velocidad y eficiencia al mismo tiempo que obtiene seguridad total, con todas las hojas de prevención de amenazas y control de acceso, así como nuevas protecciones para el protocolo HTTP/2.
  • El soporte es para tráfico cifrado SSL y claro y está completamente integrado con HTTPS/TLS.
  • Capacidades de inspección.

Capa de inspección TLS. Innovaciones en cuanto a la inspección HTTPS:

  • Una nueva capa de políticas en SmartConsole dedicada a la inspección TLS.
  • Se pueden utilizar diferentes capas de inspección TLS en diferentes paquetes de políticas.
  • Compartir una capa de inspección TLS entre múltiples paquetes de políticas.
  • API para operaciones TLS.

3. Prevención de amenazas

  • Mejora general de la eficiencia de los procesos y actualizaciones de Prevención de amenazas.
  • Actualizaciones automáticas del motor de extracción de amenazas.
  • Los objetos dinámicos, de dominio y actualizables ahora se pueden utilizar en las políticas de prevención de amenazas e inspección TLS. Los objetos actualizables son objetos de red que representan un servicio externo o una lista dinámica conocida de direcciones IP, por ejemplo: direcciones IP de Office365 / Google / Azure / AWS y objetos geográficos.
  • El antivirus ahora utiliza indicaciones de amenazas SHA-1 y SHA-256 para bloquear archivos según sus hashes. Importe los nuevos indicadores desde la vista Indicadores de amenazas de SmartConsole o la CLI de Custom Intelligence Feed.
  • Anti-Virus y SandBlast Threat Emulation ahora admiten la inspección del tráfico de correo electrónico a través del protocolo POP3, así como una inspección mejorada del tráfico de correo electrónico a través del protocolo IMAP.
  • Anti-Virus y SandBlast Threat Emulation ahora utilizan la función de inspección SSH recientemente introducida para inspeccionar archivos transferidos a través de los protocolos SCP y SFTP.
  • Anti-Virus y SandBlast Threat Emulation ahora brindan soporte mejorado para la inspección SMBv3 (3.0, 3.0.2, 3.1.1), que incluye la inspección de conexiones multicanal. Check Point es ahora el único proveedor que admite la inspección de una transferencia de archivos a través de múltiples canales (una característica que está activada de forma predeterminada en todos los entornos Windows). Esto permite a los clientes mantenerse seguros mientras trabajan con esta función que mejora el rendimiento.

4. Conciencia de identidad

  • Soporte para la integración del portal cautivo con SAML 2.0 y proveedores de identidad de terceros.
  • Soporte para Identity Broker para el intercambio escalable y granular de información de identidad entre PDP, así como el intercambio entre dominios.
  • Mejoras al Agente de Terminal Servers para una mejor escalabilidad y compatibilidad.

5. VPN IPsec

  • Configure diferentes dominios de cifrado VPN en un Security Gateway que sea miembro de varias comunidades VPN. Esto proporciona:
  • Privacidad mejorada: las redes internas no se divulgan en las negociaciones del protocolo IKE.
  • Seguridad y granularidad mejoradas: especifique qué redes son accesibles en una comunidad VPN específica.
  • Interoperabilidad mejorada: definiciones de VPN basadas en rutas simplificadas (recomendado cuando trabaja con un dominio de cifrado VPN vacío).
  • Cree y trabaje sin problemas con un entorno VPN a gran escala (LSV) con la ayuda de perfiles LSV.

6. Filtrado de URL

  • Escalabilidad y resiliencia mejoradas.
  • Capacidades ampliadas de resolución de problemas.

7. NA

  • Mecanismo de asignación de puertos NAT mejorado: en Security Gateways con 6 o más instancias de CoreXL Firewall, todas las instancias usan el mismo grupo de puertos NAT, lo que optimiza la utilización y reutilización de los puertos.
  • Monitoreo de utilización de puertos NAT en CPView y con SNMP.

8. Voz sobre IP (VoIP)Varias instancias de CoreXL Firewall manejan el protocolo SIP para mejorar el rendimiento.

9. VPN de acceso remotoUtilice el certificado de máquina para distinguir entre activos corporativos y no corporativos y para establecer una política que imponga el uso de activos corporativos únicamente. La aplicación puede ser previa al inicio de sesión (solo autenticación del dispositivo) o posterior al inicio de sesión (autenticación del dispositivo y del usuario).

10. Agente del portal de acceso móvilEndpoint Security on Demand mejorado dentro del Mobile Access Portal Agent para admitir todos los principales navegadores web. Para obtener más información, consulte sk113410.

11.CoreXL y colas múltiples

  • Soporte para la asignación automática de instancias de Firewall y SND CoreXL que no requieren reiniciar Security Gateway.
  • Experiencia lista para usar mejorada: Security Gateway cambia automáticamente la cantidad de instancias de Firewall y SND CoreXL y la configuración de cola múltiple según la carga de tráfico actual.

12. Agrupación

  • Soporte para el protocolo de control de clústeres en modo Unicast que elimina la necesidad de CCP

Modos de transmisión o multidifusión:

  • El cifrado del protocolo de control de clústeres ahora está habilitado de forma predeterminada.
  • Nuevo modo ClusterXL: Activo/Activo, que admite miembros del clúster en diferentes ubicaciones geográficas que se encuentran en diferentes subredes y tienen diferentes direcciones IP.
  • Soporte para miembros del clúster ClusterXL que ejecutan diferentes versiones de software.
  • Se eliminó la necesidad de configurar MAC Magic cuando varios clústeres están conectados a la misma subred.

13. VSX

  • Soporte para actualización de VSX con CPUSE en Gaia Portal.
  • Soporte para el modo Active Up en VSLS.
  • Soporte para informes estadísticos CPView para cada Sistema Virtual

14. Toque ceroUn proceso de configuración Plug & Play simple para instalar un dispositivo, eliminando la necesidad de experiencia técnica y la necesidad de conectarse al dispositivo para la configuración inicial.

15. API REST de GaiaGaia REST API proporciona una nueva forma de leer y enviar información a servidores que ejecutan el sistema operativo Gaia. Ver sk143612.

16. Enrutamiento avanzado

  • Las mejoras a OSPF y BGP permiten restablecer y reiniciar OSPF vecino para cada instancia de CoreXL Firewall sin la necesidad de reiniciar el demonio enrutado.
  • Mejora de la actualización de rutas para mejorar el manejo de las inconsistencias de enrutamiento BGP.

17. Nuevas capacidades del kernel

  • Kernel de Linux actualizado
  • Nuevo sistema de partición (gpt):
  • Admite más de 2 TB de unidades físicas/lógicas
  • Sistema de archivos más rápido (xfs)
  • Admite almacenamiento de sistema más grande (hasta 48 TB probado)
  • Mejoras de rendimiento relacionadas con E/S
  • Cola múltiple:
  • Compatibilidad total con Gaia Clish para comandos multicola
  • Configuración automática “activada por defecto”
  • Soporte de montaje SMB v2/3 en la hoja Mobile Access
  • Se agregó compatibilidad con NFSv4 (cliente) (NFS v4.2 es la versión de NFS predeterminada utilizada)
  • Soporte de nuevas herramientas del sistema para depurar, monitorear y configurar el sistema.

18. Controlador CloudGuard

  • Mejoras de rendimiento para conexiones a Centros de Datos externos.
  • Integración con VMware NSX-T.
  • Compatibilidad con comandos API adicionales para crear y editar objetos de Data Center Server.

19. Servidor multidominio

  • Realice una copia de seguridad y restaure un servidor de administración de dominio individual en un servidor multidominio.
  • Migre un servidor de administración de dominios en un servidor multidominio a una administración de seguridad multidominio diferente.
  • Migre un servidor de administración de seguridad para convertirlo en un servidor de administración de dominio en un servidor multidominio.
  • Migrar un servidor de administración de dominios para convertirlo en un servidor de administración de seguridad.
  • Revierta un dominio en un servidor multidominio o un servidor de administración de seguridad a una revisión anterior para editarlo más.

20. Tareas inteligentes y API

  • Nuevo método de autenticación de Management API que utiliza una clave API generada automáticamente.
  • Nuevos comandos de la API de administración para crear objetos de clúster.
  • La implementación centralizada de Jumbo Hotfix Accumulator y Hotfixes desde SmartConsole o con una API permite instalar o actualizar múltiples Security Gateways y Clusters en paralelo.
  • SmartTasks: configure scripts automáticos o solicitudes HTTPS activadas por tareas del administrador, como publicar una sesión o instalar una política.

21 DespliegueLa implementación centralizada de Jumbo Hotfix Accumulator y Hotfixes desde SmartConsole o con una API permite instalar o actualizar múltiples Security Gateways y Clusters en paralelo.

22. Evento inteligenteComparta vistas e informes de SmartView con otros administradores.

23.Exportador de registrosExportar registros filtrados según los valores de los campos.

24. Puesto final de Seguridad

  • Soporte para cifrado BitLocker para Full Disk Encryption.
  • Compatibilidad con certificados de autoridad certificadora externa para el cliente Endpoint Security
  • autenticación y comunicación con Endpoint Security Management Server.
  • Compatibilidad con el tamaño dinámico de los paquetes de Endpoint Security Client según el seleccionado
  • características para su implementación.
  • La política ahora puede controlar el nivel de notificaciones a los usuarios finales.
  • Soporte para entorno VDI persistente en Endpoint Policy Management.

Lo que más nos gustó (según las tareas del cliente)

Como puede ver, hay muchas innovaciones. Pero para nosotros, como para integrador de sistemas, hay varios puntos muy interesantes (que también lo son para nuestros clientes). Nuestro Top 10:

  1. Finalmente, ha aparecido soporte completo para dispositivos IoT. Ya es bastante difícil encontrar una empresa que no tenga este tipo de dispositivos.
  2. La inspección TLS ahora se coloca en una capa separada (Capa). Es mucho más conveniente que ahora (a las 80.30). No más ejecutar el antiguo Tablero Legasy. Además, ahora puede utilizar objetos actualizables en la política de inspección HTTPS, como servicios de Office365, Google, Azure, AWS, etc. Esto es muy conveniente cuando necesita configurar excepciones. Sin embargo, todavía no hay soporte para tls 1.3. Aparentemente se “pondrán al día” con la próxima revisión.
  3. Cambios significativos para Anti-Virus y SandBlast. Ahora puedes comprobar protocolos como SCP, SFTP y SMBv3 (por cierto, ya nadie puede comprobar este protocolo multicanal).
  4. Hay muchas mejoras con respecto a la VPN de sitio a sitio. Ahora puedes configurar varios dominios VPN en una puerta de enlace que forma parte de varias comunidades VPN. Es muy conveniente y mucho más seguro. Además, Check Point finalmente recordó la VPN basada en rutas y mejoró ligeramente su estabilidad/compatibilidad.
  5. Ha aparecido una característica muy popular para usuarios remotos. Ahora podrás autenticar no sólo al usuario, sino también al dispositivo desde el que se conecta. Por ejemplo, queremos permitir conexiones VPN sólo desde dispositivos corporativos. Esto se hace, por supuesto, con la ayuda de certificados. También es posible montar automáticamente recursos compartidos de archivos (SMB v2/3) para usuarios remotos con un cliente VPN.
  6. Hay muchos cambios en el funcionamiento del clúster. Pero quizás una de las más interesantes sea la posibilidad de operar un cluster donde los gateways tengan diferentes versiones de Gaia. Esto resulta útil a la hora de planificar una actualización.
  7. Capacidades mejoradas de Zero Touch. Algo útil para quienes instalan a menudo pasarelas "pequeñas" (por ejemplo, para cajeros automáticos).
  8. Para los registros, ahora se admite almacenamiento de hasta 48 TB.
  9. Puede compartir sus paneles de SmartEvent con otros administradores.
  10. Log Exporter ahora le permite filtrar previamente los mensajes enviados utilizando los campos obligatorios. Aquellos. Solo se transmitirán los registros y eventos necesarios a sus sistemas SIEM

Actualizar

Quizás muchos ya estén pensando en actualizar. No hay necesidad de apresurarse. Para empezar, la versión 80.40 debe pasar a Disponibilidad general. Pero incluso después de eso, no deberías actualizar de inmediato. Es mejor esperar al menos hasta la primera revisión.
Quizás muchos estén "sentados" en versiones anteriores. Puedo decir que como mínimo ya es posible (e incluso necesario) actualizar a 80.30. ¡Este ya es un sistema estable y probado!

También puedes suscribirte a nuestras páginas públicas (Telegram, Facebook, VK, Blog de soluciones TS), donde podrá seguir la aparición de nuevos materiales sobre Check Point y otros productos de seguridad.

Solo los usuarios registrados pueden participar en la encuesta. Registrarsepor favor

¿Qué versión de Gaia estás usando?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Otro

13 usuarios votaron. 6 usuarios se abstuvieron.

Fuente: habr.com

Añadir un comentario