ProHoster > Blogi > Haldamine > Check Point Gaia R80.40. Mis on uut?

Check Point Gaia R80.40. Mis on uut?

Check Point Gaia R80.40. Mis on uut?

Operatsioonisüsteemi järgmine väljalase on lähenemas Gaia R80.40. Mõned nädalad tagasi Varajase juurdepääsu programm algas, kuhu pääsete juurde distributsiooni testimiseks. Nagu tavaliselt, avaldame teavet uue kohta ja tõstame esile ka meie seisukohast kõige huvitavamad punktid. Tulevikku vaadates võin öelda, et uuendused on tõeliselt märkimisväärsed. Seetõttu tasub varajaseks värskendamise protseduuriks valmistuda. Varem oleme juba avaldas artikli kuidas seda teha (lisateabe saamiseks külastage võtke ühendust siin). Asume teema juurde...

Mis on uut

Vaatame siin ametlikult välja kuulutatud uuendusi. Teave võetud saidilt Kontrollige kaaslaseid (ametlik Check Pointi kogukond). Teie loal ma seda teksti ei tõlgi, õnneks Habri publik lubab. Selle asemel jätan oma kommentaarid järgmise peatüki jaoks.

1. IoT turvalisus. Asjade Internetiga seotud uued funktsioonid

  • Koguge IoT-seadmeid ja liiklusatribuute sertifitseeritud IoT-tuvastusmootoritest (toetab praegu Medigate'i, CyberMDX-i, Cynerio't, Claroty't, Indegy't, SAM-i ja Armist).
  • Konfigureerige poliitikahalduses uus IoT-le pühendatud poliitikakiht.
  • Konfigureerige ja hallake turvareegleid, mis põhinevad asjade Interneti-seadmete atribuutidel.

2.TLS-i ülevaatusHTTP / 2:

  • HTTP/2 on HTTP-protokolli värskendus. Värskendus pakub kiiruse, tõhususe ja turvalisuse täiustusi ning tulemusi parema kasutuskogemusega.
  • Check Pointi turvavärav toetab nüüd HTTP/2 ja pakub paremat kiirust ja tõhusust, saavutades samal ajal täieliku turvalisuse koos kõigi ohtude ennetamise ja juurdepääsukontrolli teradega, samuti HTTP/2 protokolli uute kaitsetega.
  • Tugi on nii selge kui ka SSL-krüptitud liikluse jaoks ning on täielikult integreeritud HTTPS/TLS-iga
  • Kontrollimise võimalused.

TLS-i kontrollikiht. HTTPS-i kontrolliga seotud uuendused:

  • SmartConsole'i ​​uus poliitikakiht, mis on pühendatud TLS-i kontrollile.
  • Erinevates poliitikapakettides saab kasutada erinevaid TLS-i kontrollikihte.
  • TLS-i kontrollikihi jagamine mitme poliitikapaketi vahel.
  • API TLS-i toimingute jaoks.

3. Ohtude ennetamine

  • Ohuennetuse protsesside ja värskenduste üldine tõhususe suurendamine.
  • Ohu eemaldamise mootori automaatsed värskendused.
  • Dünaamilisi, domeeni- ja värskendatavaid objekte saab nüüd kasutada ohtude ennetamise ja TLS-i kontrollimise poliitikates. Värskendatavad objektid on võrguobjektid, mis esindavad välisteenust või teadaolevat dünaamilist IP-aadresside loendit, näiteks Office365 / Google / Azure / AWS IP-aadressid ja geoobjektid.
  • Viirusetõrje kasutab nüüd SHA-1 ja SHA-256 ohunäitajaid failide blokeerimiseks nende räside alusel. Importige uued indikaatorid SmartConsole'i ​​ohuindikaatorite vaatest või kohandatud teabevoo CLI-st.
  • Anti-Virus ja SandBlast Threat Emulation toetavad nüüd e-posti liikluse kontrollimist POP3-protokolli kaudu, samuti täiustatud meililiikluse kontrollimist IMAP-protokolli kaudu.
  • Viirusetõrje ja SandBlast Threat Emulation kasutavad nüüd SCP- ja SFTP-protokollide kaudu edastatud failide kontrollimiseks äsja kasutusele võetud SSH-i kontrollifunktsiooni.
  • Viirusetõrje ja SandBlast Threat Emulation pakuvad nüüd SMBv3 kontrolli (3.0, 3.0.2, 3.1.1) täiustatud tuge, mis hõlmab mitme kanaliga ühenduste kontrollimist. Check Point on nüüd ainus tarnija, kes toetab failiedastuse kontrollimist mitme kanali kaudu (funktsioon, mis on kõigis Windowsi keskkondades vaikimisi sisse lülitatud). See võimaldab klientidel selle jõudlust parandava funktsiooniga töötamise ajal turvaliselt püsida.

4. Identiteediteadlikkus

  • Captive Portali integreerimise tugi SAML 2.0 ja kolmandate osapoolte identiteedipakkujatega.
  • Identity Brokeri tugi identiteedi teabe skaleeritavaks ja üksikasjalikuks jagamiseks PDP-de vahel, samuti domeenidevaheliseks jagamiseks.
  • Terminal Servers Agendi täiustused parema skaleerimise ja ühilduvuse tagamiseks.

5. IPsec VPN

  • Erinevate VPN-i krüpteerimisdomeenide konfigureerimine turvaväravas, mis on mitme VPN-i kogukonna liige. See annab:
  • Parem privaatsus – sisevõrke IKE protokolli läbirääkimistel ei avalikustata.
  • Täiustatud turvalisus ja detailsus – määrake, millised võrgud on konkreetses VPN-i kogukonnas juurdepääsetavad.
  • Täiustatud koostalitlusvõime – lihtsustatud marsruudipõhised VPN-i määratlused (soovitatav, kui töötate tühja VPN-i krüpteerimisdomeeniga).
  • Looge LSV-profiilide abil suuremahulist VPN-i (LSV) keskkonda ja töötage sellega sujuvalt.

6. URL-i filtreerimine

  • Täiustatud mastaapsus ja vastupidavus.
  • Laiendatud veaotsingu võimalused.

7.NAT

  • Täiustatud NAT-pordi eraldamise mehhanism – 6 või enama CoreXL-i tulemüüri eksemplariga turvalüüsides kasutavad kõik eksemplarid sama NAT-portide kogumit, mis optimeerib pordi kasutamist ja taaskasutamist.
  • NAT-pordi kasutamise jälgimine CPView-s ja SNMP-ga.

8. Voice over IP (VoIP)SIP-protokolli töötlevad jõudluse parandamiseks mitu CoreXL-i tulemüüri eksemplari.

9. Kaugjuurdepääsu VPNKasutage masinasertifikaati, et teha vahet ettevõtte varade ja mitteettevõtte varade vahel ning kehtestada poliitika, mis jõustab ainult ettevõtte varade kasutamise. Jõustamine võib olla sisselogimiseelne (ainult seadme autentimine) või sisselogimisjärgne (seadme ja kasutaja autentimine).

10. Mobiilse juurdepääsu portaali agentTäiustatud lõpp-punkti turvalisus nõudmisel Mobile Access Portal Agentis, et toetada kõiki suuremaid veebibrausereid. Lisateabe saamiseks vaadake sk113410.

11.CoreXL ja Multi-Queue

  • CoreXL SND-de ja tulemüüri eksemplaride automaatse eraldamise tugi, mis ei nõua turvalüüsi taaskäivitamist.
  • Täiustatud kasutuskogemus – Security Gateway muudab automaatselt CoreXL SND-de ja tulemüüri eksemplaride arvu ning mitme järjekorra konfiguratsiooni vastavalt praegusele liikluskoormusele.

12. Klasterdamine

  • Klastri juhtimisprotokolli tugi Unicast-režiimis, mis välistab vajaduse CCP järele

Saate- või multisaadete režiimid:

  • Klastri juhtimisprotokolli krüptimine on nüüd vaikimisi lubatud.
  • Uus ClusterXL režiim -Aktiivne/Aktiivne, mis toetab klastri liikmeid erinevates geograafilistes asukohtades, mis asuvad erinevates alamvõrkudes ja millel on erinevad IP-aadressid.
  • ClusterXL-i klastriliikmete tugi, mis käitavad erinevaid tarkvaraversioone.
  • Kui samasse alamvõrku on ühendatud mitu klastrit, on kõrvaldatud vajadus MAC Magicu konfiguratsiooni järele.

13. VSX

  • VSX-i täiendamise tugi CPUSE-ga Gaia portaalis.
  • Active Up režiimi tugi VSLS-is.
  • CPView statistiliste aruannete tugi iga virtuaalse süsteemi jaoks

14. Null puudutusLihtne Plug & Play häälestusprotsess seadme paigaldamiseks – välistab vajaduse tehniliste teadmiste järele ja seadmega ühenduse loomise esialgseks konfigureerimiseks.

15. Gaia REST APIGaia REST API pakub uut viisi teabe lugemiseks ja saatmiseks serveritesse, mis käitavad Gaia operatsioonisüsteemi. Vaata sk143612.

16. Täpsem marsruutimine

  • OSPF-i ja BGP-i täiustused võimaldavad lähtestada ja taaskäivitada naabruses oleva OSPF-i iga CoreXL-i tulemüüri eksemplari jaoks, ilma et oleks vaja marsruutitud deemonit taaskäivitada.
  • Marsruudi värskendamise tõhustamine BGP-marsruutimise ebakõlade paremaks käsitlemiseks.

17. Uued kerneli võimalused

  • Uuendatud Linuxi kernel
  • Uus partitsioonisüsteem (gpt):
  • Toetab rohkem kui 2TB füüsilisi/loogilisi draive
  • Kiirem failisüsteem (xfs)
  • Toetab suuremat süsteemisalvestust (testitud kuni 48 TB)
  • I/O-ga seotud jõudluse täiustused
  • Mitu järjekorda:
  • Multi-Queue käskude täielik Gaia Clishi tugi
  • Automaatne "vaikimisi sees" konfiguratsioon
  • SMB v2/3 paigaldustugi Mobile Access blade'is
  • Lisatud NFSv4 (kliendi) tugi (NFS v4.2 on kasutatav NFS-i vaikeversioon)
  • Uute süsteemitööriistade tugi süsteemi silumiseks, jälgimiseks ja konfigureerimiseks

18. CloudGuardi kontroller

  • Väliste andmekeskustega ühenduste jõudluse täiustused.
  • Integratsioon VMware NSX-T-ga.
  • Täiendavate API-käskude tugi andmekeskuse serveri objektide loomiseks ja redigeerimiseks.

19. Mitme domeeni server

  • Varundage ja taastage individuaalne domeenihaldusserver mitme domeeni serveris.
  • Migreerige domeenihaldusserver ühes mitme domeeni serveris teise mitme domeeni turvahalduse alla.
  • Migreerige turbehaldusserver, et saada domeenihaldusserveriks mitme domeeni serveris.
  • Migreerige domeenihaldusserver, et saada turvahaldusserveriks.
  • Ennistage mitme domeeni serveri või turbehaldusserveri domeen edasiseks redigeerimiseks eelmisele versioonile.

20. SmartTasks ja API

  • Uus Management API autentimismeetod, mis kasutab automaatselt loodud API võtit.
  • Uued halduse API käsud klastriobjektide loomiseks.
  • Jumbo kiirparanduste akumulaatori ja kiirparanduste keskne juurutamine SmartConsole'ist või API-ga võimaldab installida või uuendada paralleelselt mitut turvalüüsi ja -klastrit.
  • Nutikad ülesanded – konfigureerige automaatseid skripte või HTTPS-i päringuid, mille käivitavad administraatori ülesanded, näiteks seansi avaldamine või poliitika installimine.

21. LähetusJumbo kiirparanduste akumulaatori ja kiirparanduste keskne juurutamine SmartConsole'ist või API-ga võimaldab installida või uuendada paralleelselt mitut turvalüüsi ja -klastrit.

22. SmartEventJagage SmartView vaateid ja aruandeid teiste administraatoritega.

23.PalgieksportijaEkspordi logid, mis on filtreeritud välja väärtuste järgi.

24. Lõpp-punkti turvalisus

  • BitLockeri krüptimise tugi täieliku ketta krüptimise jaoks.
  • Endpoint Security kliendi väliste sertifitseerimisasutuste sertifikaatide tugi
  • autentimine ja suhtlemine Endpoint Security Management Serveriga.
  • Endpoint Security Client pakettide dünaamilise suuruse tugi valitud alusel
  • funktsioonid juurutamiseks.
  • Reegel saab nüüd juhtida lõppkasutajatele saadetavate teatiste taset.
  • Endpoint Policy Managementis püsiva VDI keskkonna tugi.

Mis meile kõige rohkem meeldis (kliendi ülesannete põhjal)

Nagu näete, on uuendusi palju. Aga meie jaoks, nagu ka süsteemiintegraator, on mitmeid väga huvitavaid punkte (mis huvitavad ka meie kliente). Meie top 10:

  1. Lõpuks on ilmunud asjade Interneti-seadmete täielik tugi. Juba praegu on üsna raske leida ettevõtet, kellel selliseid seadmeid poleks.
  2. TLS-i kontroll on nüüd paigutatud eraldi kihti (Layer). See on palju mugavam kui praegu (kell 80.30). Enam ei kasutata vana Legasy Dashboardi. Lisaks saate nüüd HTTPS-i kontrollipoliitikas kasutada värskendatavaid objekte, nagu Office365, Google, Azure, AWS jne teenused. See on väga mugav, kui peate seadistama erandeid. Siiski puudub tls 1.3 tugi endiselt. Ilmselt jõuavad nad järgmisele kiirparandusele järele.
  3. Olulised muudatused Anti-Virus ja SandBlast. Nüüd saate kontrollida selliseid protokolle nagu SCP, SFTP ja SMBv3 (muide, seda mitme kanaliga protokolli ei saa enam keegi kontrollida).
  4. Site-Site VPN-i osas on palju täiustusi. Nüüd saate konfigureerida mitu VPN-domeeni lüüsis, mis on osa mitmest VPN-i kogukonnast. See on väga mugav ja palju turvalisem. Lisaks jäi Check Point lõpuks meelde marsruudipõhise VPN-i ja parandas veidi selle stabiilsust/ühilduvust.
  5. Ilmunud on kaugkasutajate jaoks väga populaarne funktsioon. Nüüd saate autentida mitte ainult kasutajat, vaid ka seadet, millega ta ühenduse loob. Näiteks tahame lubada VPN-ühendusi ainult ettevõtte seadmetest. Seda tehakse loomulikult sertifikaatide abil. Samuti on võimalik VPN-kliendiga kaugkasutajate jaoks automaatselt ühendada (SMB v2/3) failijagamisi.
  6. Klastri töös on palju muudatusi. Kuid võib-olla üks huvitavamaid on võimalus kasutada klastrit, kus lüüsidel on erinevad Gaia versioonid. See on värskenduse planeerimisel mugav.
  7. Täiustatud Zero Touchi võimalused. Kasulik asi neile, kes paigaldavad sageli “väikesi” lüüsi (näiteks sularahaautomaatide jaoks).
  8. Logide jaoks toetatakse nüüd kuni 48 TB salvestusruumi.
  9. Saate oma SmartEventi armatuurlaudu teiste administraatoritega jagada.
  10. Logieksportija võimaldab nüüd saadetud sõnumeid nõutavate väljade abil eelfiltreerida. Need. Teie SIEM-süsteemidesse edastatakse ainult vajalikud logid ja sündmused

Ajakohastama

Võib-olla mõtlevad paljud juba värskendamise peale. Pole vaja kiirustada. Alustuseks peab versioon 80.40 liikuma üldisele saadavusele. Kuid isegi pärast seda ei tohiks te kohe värskendada. Parem on oodata vähemalt esimest kiirparandust.
Võib-olla istuvad paljud vanemate versioonide peal. Võin öelda, et minimaalselt on juba võimalik (ja isegi vajalik) uuendada 80.30 peale. See on juba stabiilne ja end tõestanud süsteem!

Samuti saate tellida meie avalikke lehti (Telegramm, Facebook, VK, TS lahenduste ajaveeb), kus saate jälgida Check Pointi ja teiste turvatoodete uute materjalide ilmumist.

Küsitluses saavad osaleda ainult registreerunud kasutajad. Logi sissepalun.

Millist Gaia versiooni te kasutate?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Muu

13 kasutajat hääletas. 6 kasutajat jäi erapooletuks.

Allikas: www.habr.com

Lisa kommentaar