Check Point Gaia R80.40. Mis uudised on tulemas?

Check Point Gaia R80.40. Mis uudised on tulemas?

Järgmine operatsioonisüsteemi versioon on peagi tulemas Gaia R80.40. Mõned nädalad tagasi loonud varajase juurdepääsu programmi, mis võimaldab juurdepääsu distributsiooni testimiseks. Nagu ikka, avaldame teavet selle kohta, mida uut tuleb, ja toome esile punktid, mis meie arvates on kõige huvitavamad. Ütlen ette, et uuendused on tõeliselt olulised. Seega tasub valmistuda varsti toimuvaks uuendamisprotsessiks. Varem oleme juba avaldanud artikli kuidas seda teha (täiendava teabe saamiseks pöörduge siia). Liigume teemasse...

Mis on uut

Vaadakem siin ametlikult välja kuulutatud uuendusi. Teave on saadud veebisaidilt Check Mates (Check Pointi ametlik kogukond). Loodetavasti ei pea ma seda teksti tõlkima, kuna Habr'i publik on selleks piisavalt kvalifitseeritud. Selle asemel jätan oma kommentaarid järgmistesse lõikudesse.

1. IoT turvalisus. Uued funktsioonid, mis puudutavad asjade Internetti

  • Koguge IoT-seadmeid ja liiklusandmeid sertifitseeritud IoT avastamisvõrkudest (praegu toetab Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM ja Armis).
  • Konfigureerige uue IoT keskse reegli kiht poliitikate haldamisel.
  • Konfigureerige ja haldage turvareegleid, mis põhinevad IoT-seadmete omadustel.

2. TLS-i kontrollimineHTTP/2:

  • HTTP/2 on täiendus HTTP protokollile. Uuendus toob parandusi kiiruselt, efektiivselt ja turvaliselt, pakkudes paremat kasutajakogemust.
  • Check Pointi turvavärav toetab nüüd HTTP/2, mis tagab parema kiirus ja efektiivsuse, säilitades samal ajal täieliku turvalisuse, kõikide Ohuteabe ennetamise ja Juurdepääsukontrolli labadega ning uusi kaitsemeetmeid HTTP/2 protokollile.
  • Tugi on nii selge kui ka SSL-krüpteeritud liiklusele ning see on täielikult integreeritud HTTPS/TLS-iga.
  • Kontrollimisvõimed.

TLS-i inspekteerimise kiht.. Uutest arendustest HTTPS-i inspekteerimise osas:

  • Uus poliitikakiht SmartConsole'is, mis on pühendatud TLS-i inspekteerimisele.
  • Erinevaid TLS-i inspekteerimise kihte saab kasutada erinevates poliitikapakettides.
  • TLS-i inspekteerimise kihi jagamine mitme poliitikapaketi vahel.
  • TLS-i toimingute API.

3. Ohuteabe ennetamine.

  • Üldine efektiivsuse täiustamine ohuteabe ennetamise protsessides ja uuendustes.
  • Automaatne uuendamine ohuteabe ekstsentriekstraktsiooni mootori jaoks.
  • Dünaamilisi, domeeni ja uuendatavaid objekte saab nüüd kasutada ohuteabe ennetamise ja TLS-i inspekteerimise poliitikates. Uuendatavad objektid on võrguobjektid, mis esindavad välist teenust või tuntud dünaamilist IP-aadresside loendit, näiteks — Office365 / Google / Azure / AWS IP-aadressid ja geoobjektid.
  • Anti-Virus kasutab nüüd SHA-1 ja SHA-256 ohuindikaatoreid failide blokeerimiseks nende räsituvate põhjal. Uute indikaatorite importimine SmartConsole'i ohuteabe indikaatorite vaates või Kohandatud Teabevooge CLI kaudu.
  • Anti-Virus ja SandBlast Threat Emulation toetavad nüüd e-kirjaliikluse inspekteerimist POP3 protokolli kaudu, samuti parendatud e-kirjaliikluse inspekteerimist IMAP protokolli kaudu.
  • Anti-Virus ja SandBlast Threat Emulation kasutavad nüüd uue SSH-i inspekteerimise funktsiooni, et kontrollida faile, mis liiguvad SCP ja SFTP protokollide kaudu.
  • Anti-Virus ja SandBlast Threat Emulation pakuvad nüüd täiustatud tuge SMBv3 kontrollimiseks (3.0, 3.0.2, 3.1.1), mis hõlmab mitmekanaliliste ühenduste kontrollimist. Check Point on nüüd ainus teenusepakkuja, kes toetab failiedastuse kontrollimist mitme kanali kaudu (see funktsioon on vaikimisi lubatud kõigis Windowsi keskkondades). See võimaldab klientidel olla turvalised, kasutades seda jõudlust parandavat funktsiooni.

4. Identiteedi teadlikkus

  • Toetatakse Captive Portali integreerimist SAML 2.0 ja kolmandate osapoolte identiteediteenuse pakkujatega.
  • Toetatakse Identiteedi vahendajat, mis võimaldab skaleeritavat ja granulaarselt identiteediinfot jagada PDP-de vahel, samuti ülemaailmset jagamist.
  • Parandatud Terminali serverite agendi skaleeritavus ja ühilduvus.

5. IPsec VPN

  • Konfigureerige erinevad VPN-i krüpteerimisdomeenid turvagateway'l, mis kuulub mitmesse VPN-i kogukonda. See võimaldab:
  • Parandatud privaatsus — sisemisi võrke ei avaldata IKE protokolli läbirääkimiste käigus.
  • Parandatud turvalisus ja granulaarsus — määrake, millised võrgud on juurdepääsetavad määratud VPN-i kogukonnas.
  • Parandatud ühilduvus — lihtsustatud marsruutide põhised VPN-i määratlemised (soovitatav, kui töötate tühja VPN-i krüpteerimisdomeeniga).
  • Looge ja töötage probleemideta Suure Mahuga VPN (LSV) keskkonnas LSV profiilide abiga.

6. URL-i filtreerimine

  • Parandatud skaleeritavus ja vastupidavus.
  • Laiendatud tõrkeotsingu võimalused.

7. NAT

  • Täiustatud NAT-portide jaotamise mehhanism — Security Gateway-del, millel on 6 või enam CoreXL tulemüüride eksemplari, kasutavad kõik eksemplarid sama NAT-portide bassein, mis optimeerib portsiooni kasutamist ja korduvkasutust.
  • NAT-portide kasutamise jälgimine CPView'is ja SNMP-i kaudu.

8. Hääle üle IP (VoIP)Mitmed CoreXL tulemüüride eksemplarid töötlevad SIP-protokolli, et parandada jõudlust.

9. Kaugjuurdepääsu VPNKasutage masina sertifikaati, et eristada ettevõtte ja mitteettevõtte varasid ning seada poliitika, mis sunnib kasutama ainult ettevõtte varasid. Sunnivõime võib olla enne sisselogimist (seadmepõhine autentimine) või pärast sisselogimist (seadmepõhine ja kasutajapõhine autentimine).

10. Mobiilse Ühenduse Portaal AgentTäiendav lõpp-punktide turvalisus nõudmisel mobiilse juurdepääsu portaali agendi kaudu, et toetada kõiki suuremaid veebibrausereid. Lisainfot leiate sk113410-st.

11. CoreXL ja Multi-Queue

  • Toetab automaatset CoreXL SND-de ja tulemüüriteenuste jaotust, mis ei nõua turvagateway taaskäivitamist.
  • Parandatud esmase kasutuskogemuse versioon — Security Gateway muudab automaatselt CoreXL SND-de ja tulemüüriteenuste arvu ning Multi-Queue seadistust vastavalt praegusele liikluskoormusele.

12. Klastrite Seondumine

  • Toetab Klasterkontrolli protokolli Unicast režiimis, mis elimineerib CCP vajaduse.

Edastus- või Multicast režiimid:

  • Klasterkontrolli protokolli krüpteerimine on nüüd vaikimisi lubatud.
  • Uus ClusterXL režiim - Aktiivne/Aktiivne, mis toetab klastriliikmeid, mis asuvad erinevates geograafilistes asukohtades, erinevates alamvõrkudes ja erinevate IP-aadressidega.
  • Toetab ClusterXL klastriliikmeid, mis kasutavad erinevaid tarkvaraversioone.
  • Eliminatiivsed MAC Magic seaded, kui mitu klastrit on ühendatud sama alamvõrku.

13. VSX

  • Toetab VSX uuendamist CPUSE-ga Gaia Portaali kaudu.
  • Toetab aktiivse ülesande režiimi VSLS-is.
  • Toetab CPView statistilisi aruandeid iga virtuaalsüsteemi kohta.

14. Null TouchLihtne Plug & Play seadistamisprotsess seadme installimiseks — elimineerib tehnilise ekspertiisi vajaduse ja ühenduse seadmega esialgse seadistuse jaoks.

15. Gaia REST APIGaia REST API pakub uut viisi teabe lugemiseks ja saatmiseks teenustele, mis töötavad Gaia operatiivsystemil. Vaata sk143612.

16. Täiendav Suunamine

  • OSPF ja BGP täiustused võimaldavad igas CoreXL tulemüüris OSPF naabrite lähtestamist ja taaskäivitamist, ilma et oleks vaja suunatud deemonit taaskäivitada.
  • Marsruudi värskendamise täiustamine BGP marsruudi ebakõlade paremaks käsitlemiseks.

17. Uued kernelivõimekus

  • Uuendatud Linuxi kernel
  • Uus partitsioneerimissüsteem (gpt):
  • Toetab üle 2TB füüsilisi/loogilisi draive
  • Kiirem failisüsteem (xfs)
  • Toetab suuremaid süsteemi salvestusi (kuni 48TB testitud)
  • I/O-ga seotud jõudluse paranemised
  • Multi-Queue:
  • Täielik Gaia Clish tugi Multi-Queue käsutamiseks
  • Automaatne «vaikimisi lubatud» konfiguratsioon
  • SMB v2/3 mount tugi Mobile Access blade'is
  • Lisatud NFSv4 (klient) tugi (NFS v4.2 on vaikimisi NFS versioon)
  • Uute süsteemitööriistade tugi süsteemi tõrkeotsimiseks, jälgimiseks ja konfigureerimiseks

18. CloudGuard Controller

  • Jõudluse parandused ühendustele väliste andmekeskustega.
  • Integreerimine VMware NSX-T-ga.
  • Tugi lisanduvatele API käskudele andmekeskuse serveri objektide loomiseks ja redigeerimiseks.

19. Multi-Domain Server

  • Kopeerige ja taastage individuaalne Domeeni Halduse Server Multi-Domain Serveris.
  • Migreerige Domeeni Halduse Server ühest Multi-Domain Serverist teise Multi-Domain Turbehalduse serverisse.
  • Migreerige Turbehalduse Server, et saada Domeeni Halduse Serveriks Multi-Domain Serveris.
  • Migreerige Domeeni Halduse Server, et saada Turbehalduse Serveriks.
  • Tagasivõtt Domeen Multi-Domain Serveris või Turbehalduse Server eelnevale versioonile edasi redigeerimiseks.

20. SmartTasks ja API

  • Uus Halduse API autentimise meetod, mis kasutab automaatselt genereeritud API võtit.
  • Uued Halduse API käsud klastrite objektide loomiseks.
  • Jumbo Hotfix Akumulaatori ja hotfixide keskne paigaldamine SmartConsole'i või API kaudu võimaldab installida või uuendada mitmeid Turbeväravaid ja klastreid samaaegselt.
  • SmartTasks — konfigureerige automaatsed skriptid või HTTPS-päringud, mida käivitavad administraatori toimingud, näiteks sessiooni avaldamine või poliitika installimine.

21. PaigaldamineJumbo Hotfix Akumulaatori ja hotfixide keskne paigaldamine SmartConsole'i või API kaudu võimaldab installida või uuendada mitmeid Turbeväravaid ja klastreid samaaegselt.

22. SmartEventJagage SmartView vaateid ja aruandeid teiste halduritega.

23. Logi eksportijaEkspordi logisid, filtrituna vastavalt väljade väärtustele.

24. Lõpp-punkti turvalisus

  • Toetab BitLockeri krüpteerimist täisdiskikrüpteeringu jaoks.
  • Toetab välist sertifikaadi autoriteedi sertifikaate lõpp-punkti turvalisuse kliendi jaoks
  • autentimise ja suhtlemise jaoks Lõpp-punkti turvalisuse haldusserveriga.
  • Toetab lõpp-punkti turvalisuse kliendi pakettide dünaamilist suurust vastavalt valitud
  • paigaldamise omadustele.
  • Poliitika saab nüüd kontrollida teavituste taset lõppkasutajatele.
  • Toetab Persistent VDI keskkonda lõpp-punkti poliitika haldamises.

Mis meile kõige rohkem meeldis (kliendiülesannete põhjal)

Nagu näete, on palju uuendusi. Kuid meie jaoks, nagu süsteemi integreerija , on mõned väga huvitavad punktid (mis on samuti huvitavad meie klientidele). Meie Top-10:Lõpuks on täielik toetust IoT seadmeid. Üha raskem on leida ettevõte, kellel poleks selliseid seadmeid.

  1. TLS-i inspekteerimine on nüüd eraldi kihile (Layer) viidud. See on palju mugavam kui praegu (80.30). Pole enam vaja käivitada vana Legasy juhtpaneeli. Lisaks saab nüüd HTTPS-i inspekteerimise poliitikas kasutada Updatable objekte, nagu Office365, Google, Azure, AWS jne. See on väga mugav, kui on vaja seadistada erandeid. Kuid siiski puudub toetus tls 1.3. Tundub, et järgmise hotfixiga 'jõuab' see siiski kohale.
  2. TLS-i inspeksioon on nüüd eraldi kihina (Layer). See on palju mugavam kui praegu (80.30). Vanat Legasy Dashboard'i pole enam vaja käivitada. Lisaks saab nüüd HTTPS-i inspeksiooni poliitikas kasutada uuendatavaid objekte, nagu Office365, Google, Azure, AWS jne. See on väga mugav, kui on vaja seadistada erandeid. Siiski ei ole endiselt tls 1.3 toe olemas. Ilmselt "jõuavad" järgmise hotfix'iga.
  3. Märkimisväärsed muudatused Anti-Viruses ja SandBlastis. Nüüd on võimalik kontrollida protokolle nagu SCP, SFTP ja SMBv3 (muide, seda mitme kanali protokolli ei oska keegi teine kontrollida).
  4. Palju parandusi Site-to-Site VPN-i osas. Nüüd on võimalik seadistada mitu VPN domeeni väravas, mis kuulub mitmesse VPN kogukonda. See on väga mugav ja oluliselt turvalisem. Samuti on Check Point lõpuks meenutanud Route Based VPN-i ja parandanud veidi selle stabiilsust/ühilduvust.
  5. Tekkis väga nõutud funktsioon kaugkasutajatele. Nüüd on võimalik autentida mitte ainult kasutajat, vaid ka seadet, millega ta siseneb. Näiteks tahame lubada VPN-i ühenduse vaid ettevõtte seadmetelt. See toimub loomulikult sertifikaatide kaudu. Samuti on nüüd võimalik automaatselt monteerida (SMB v2/3) failijagamised kaugkasutajatele, kes kasutavad VPN-klienti.
  6. Palju muudatusi klastrite töös. Kuid üks huvitavamaid on võimalus kasutada klastreid, kus väravad kasutavad erinevaid Gaia versioone. See on mugav, kui plaanite uuendust.
  7. Zero Touchi võimalused on paranenud. Kasulik neile, kes tihti seadistavad „väikesi“ väravaid (näiteks automaatide jaoks).
  8. Logide jaoks toetatakse nüüd salvestusruumi kuni 48TB.
  9. Saate jagada oma SmartEventi juhtpaneele teiste administraatoritega.
  10. Logi eksportija võimaldab nüüd eelfilterdada saadetavaid sõnumeid vastavalt vajalikutele väljadele. See tähendab, et teie SIEM süsteemidesse jõuavad ainult vajalikud logid ja sündmused.

Uuendamine

Võib-olla mõtlevad paljud värskendamisele. Ära kiirusta. Esiteks peaks versioon 80.40 minema avatud jaole. Kuid isegi siis ei tasu kohe värskendada. Paremini on oodata vähemalt esimest hotfixi.
Võib-olla istuvad paljud veel vanematel versioonidel. Võin öelda, et vähemalt 80.30-le on juba võimalik (ja isegi vajalik) uuendada. See on juba stabiilne ja tõestatud süsteem!

Samuti saate liituda meie avalike kanalitega (Telegram, Facebook, VK, TS Solution Blog), kus saab jälgida uusi materjale Check Pointi ja teiste turvatoodete kohta.

Ainult registreeritud kasutajad saavad küsitluses osaleda. Logige sisse, palun.

Millist Gaia versiooni te kasutate?

  • R77.10
  • R77.30
  • R80.10
  • R80.20
  • R80.30
  • Muu

Külastasid 13 kasutajat. 6 kasutajat hoidusid.

Allikas: habr.com

Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid 🔥 Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster