ProHoster > Blog > Administrazioa > Check Point Gaia R80.40. Zer berri?

Check Point Gaia R80.40. Zer berri?

Check Point Gaia R80.40. Zer berri?

Sistema eragilearen hurrengo bertsioa hurbiltzen ari da Gaia R80.40. Duela aste batzuk Early Access programa hasi zen, non sar zaitezke banaketa probatzeko. Ohi bezala, berritasunei buruzko informazioa argitaratzen dugu, eta gure ikuspuntutik interesgarrienak diren puntuak ere nabarmentzen ditugu. Aurrera begira, berrikuntzak benetan esanguratsuak direla esan dezaket. Hori dela eta, merezi du eguneratze goiztiarreko prozedura bat prestatzea. Aurretik dagoeneko badugu artikulu bat argitaratu zuen hau nola egin jakiteko (informazio gehiagorako, mesedez bisitatu jarri harremanetan hemen). Goazen gaiari...

Zer berri

Ikus ditzagun ofizialki iragarritako berrikuntzak hemen. Gunetik hartutako informazioa Egiaztatu Mates (Check Point komunitate ofiziala). Zure baimenarekin, ez dut testu hau itzuliko, zorionez Habr-eko entzuleek ahalbidetzen dute. Horren ordez, nire iruzkinak hurrengo kapitulurako utziko ditut.

1. IoT Segurtasuna. Gauzen Internetarekin lotutako ezaugarri berriak

  • Bildu IoT gailuak eta trafiko-atributuak ziurtatutako IoT aurkikuntza-motorretatik (gaur egun Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM eta Armis onartzen ditu).
  • Konfiguratu IoT dedikatu politika-geruza berri bat politika-kudeaketan.
  • Konfiguratu eta kudeatu IoT gailuen atributuetan oinarritutako segurtasun-arauak.

2.TLS IkuskapenaHTTP/2:

  • HTTP/2 HTTP protokoloaren eguneraketa bat da. Eguneratzeak abiadura, eraginkortasuna eta segurtasuna hobetzen ditu eta emaitzak erabiltzailearen esperientzia hobearekin.
  • Check Point-en Security Gateway-k HTTP/2 onartzen du orain eta abiadura eta eraginkortasun hobea lortzen du segurtasun osoa lortzen duen bitartean, Mehatxuen Prebentziorako eta Sarbide Kontrolerako blade guztiekin, baita HTTP/2 protokolorako babes berriekin ere.
  • Laguntza argia eta SSL enkriptatutako trafikorako da eta HTTPS/TLSrekin guztiz integratuta dago
  • Ikuskatzeko gaitasunak.

TLS Ikuskapen Geruza. HTTPS ikuskapenari buruzko berrikuntzak:

  • SmartConsoleko Politika-geruza berri bat TLS ikuskapenari eskainia.
  • TLS Inspection geruza desberdinak politika pakete desberdinetan erabil daitezke.
  • TLS Inspection geruza bat hainbat politika paketetan partekatzea.
  • TLS eragiketetarako APIa.

3. Mehatxuen Prebentzioa

  • Mehatxuen Prebentziorako prozesuen eta eguneratzeen eraginkortasun orokorra hobetzea.
  • Threat Extraction Engine-ren eguneratze automatikoak.
  • Objektu dinamikoak, domeinuak eta eguneragarriak Mehatxuen Prebentziorako eta TLS Ikuskapeneko politiketan erabil daitezke orain. Objektu eguneragarriak kanpoko zerbitzu bat edo IP helbideen zerrenda dinamiko ezagun bat adierazten duten sareko objektuak dira, adibidez - Office365 / Google / Azure / AWS IP helbideak eta Geo objektuak.
  • Anti-Virus-ek SHA-1 eta SHA-256 mehatxuen zantzuak erabiltzen ditu fitxategiak blokeatzeko hashetan oinarrituta. Inportatu adierazle berriak SmartConsole Threat Indicators ikuspegitik edo Custom Intelligence Feed CLI-tik.
  • Birusen aurkako eta SandBlast Threat Emulation-ek posta elektronikoko trafikoa POP3 protokoloaren bidez ikuskatzea onartzen dute, baita IMAP protokoloaren bidez posta elektronikoaren trafikoaren ikuskapena hobetu ere.
  • Birusen aurkako eta SandBlast Threat Emulation-ek orain sartu berri den SSH ikuskatzeko funtzioa erabiltzen dute SCP eta SFTP protokoloen bidez transferitutako fitxategiak ikuskatzeko.
  • Birusen aurkako eta SandBlast Threat Emulation-ek SMBv3 ikuskatzeko (3.0, 3.0.2, 3.1.1) euskarri hobetua eskaintzen dute, kanal anitzeko konexioen ikuskapena barne. Check Point da orain fitxategien transferentzia kanal anitzetan ikuskatzea onartzen duen hornitzaile bakarra (Windows ingurune guztietan lehenetsita dagoen funtzioa). Horri esker, bezeroak seguru egon daitezke errendimendua hobetzeko eginbide honekin lan egiten duten bitartean.

4. Identitatearen kontzientzia

  • Atari gatibuaren integraziorako laguntza SAML 2.0 eta hirugarrenen identitate hornitzaileekin.
  • Identity Broker-en laguntza PDPen artean identitate-informazioa partekatzeko eskalagarria eta zehatza da, baita domeinuen artean partekatzeko ere.
  • Terminal Servers Agent-en hobekuntzak eskalatze eta bateragarritasun hobea lortzeko.

5. IPsec VPN

  • Konfiguratu VPN enkriptazio-domeinu desberdinak VPN komunitate anitzetako kide den Security Gateway batean. Honek eskaintzen du:
  • Pribatutasun hobetua β€” Barne sareak ez dira IKE protokoloaren negoziazioetan azaltzen.
  • Segurtasun eta granulartasuna hobetua β€” Zehaztu zein sare eskuragarri dauden VPN komunitate zehatz batean.
  • Elkarreragingarritasun hobetua β€” Ibilbideetan oinarritutako VPN definizio sinplifikatuak (gomendagarria VPN enkriptazio-domeinu huts batekin lan egiten duzunean).
  • Sortu eta lan egin eskala Handiko VPN (LSV) ingurune batekin LSV profilen laguntzarekin.

6. URL Iragazkia

  • Eskalagarritasuna eta erresilientzia hobetua.
  • Arazoak konpontzeko ahalmen hedatuak.

7.NAT

  • NAT ataka esleitzeko mekanismo hobetua - CoreXL Firewall 6 instantzia edo gehiago dituzten Security Gateway-n, instantzia guztiek NAT ataken multzo bera erabiltzen dute, eta horrek portuaren erabilera eta berrerabilpena optimizatzen ditu.
  • NAT portuaren erabileraren jarraipena CPView-n eta SNMP-rekin.

8. IP bidezko ahotsa (VoIP)CoreXL Firewall-en hainbat instantziek SIP protokoloa kudeatzen dute errendimendua hobetzeko.

9. Urruneko sarbidea VPNErabili makinaren ziurtagiria aktibo korporatiboak eta ez korporatiboak bereizteko eta aktibo korporatiboen erabilera soilik betearazteko politika ezartzeko. Betearazpena saioa hasi aurretik (gailuaren autentifikazioa soilik) edo saioaren ondoren (gailuaren eta erabiltzaileen autentifikazioa) izan daiteke.

10. Mugikorrerako Sarbide Atariko AgenteaEskarirako Endpoint Security hobetua Sarbide mugikorreko atariko agentearen barruan, web-arakatzaile nagusi guztiak onartzeko. Informazio gehiagorako, ikus sk113410.

11.CoreXL eta Multi-Queue

  • Security Gateway berrabiarazi behar ez duten CoreXL SND eta Firewall instantzien esleipen automatikorako laguntza.
  • Kutxaz kanpoko esperientzia hobetua - Security Gateway-k automatikoki aldatzen ditu CoreXL SND eta Firewall instantzia kopurua eta Multi-Queue konfigurazioa uneko trafiko-kargaren arabera.

12. Clustering

  • CCPren beharra kentzen duen Unicast moduan Cluster Kontrolerako Protokoloaren laguntza

Igorpen edo Multicast moduak:

  • Cluster Control Protocol enkriptatzea lehenespenez gaituta dago orain.
  • ClusterXL modu berria -Aktibo/Aktiboa, azpisare ezberdinetan kokatuta dauden eta IP helbide desberdinak dituzten kokapen geografiko desberdinetako Cluster Kideak onartzen dituena.
  • Software bertsio desberdinak exekutatzen dituzten ClusterXL Cluster Kideentzako laguntza.
  • Hainbat kluster azpisare berdinera konektatuta daudenean MAC Magic konfigurazioaren beharra ezabatu da.

13. VSX

  • Gaia Portaleko CPUSE-rekin VSX eguneratzeko laguntza.
  • Active Up modurako laguntza VSLSn.
  • Sistema Birtual bakoitzeko CPView txosten estatistikoetarako laguntza

14. Zero TouchTresna bat instalatzeko Plug & Play konfigurazio-prozesu sinplea; esperientzia teknikoaren beharra ezabatuz eta hasierako konfiguraziorako tresnara konektatu behar izatea.

15. Gaia REST APIaGaia REST APIak Gaia Sistema Eragilea exekutatzen duten zerbitzarietara informazioa irakurtzeko eta bidaltzeko modu berri bat eskaintzen du. Ikus sk143612.

16. Bideratze aurreratua

  • OSPF eta BGPren hobekuntzek CoreXL Firewall instantzia bakoitzeko aldameneko OSPF berrezartzeko eta berrabiarazteko aukera ematen dute bideratutako deabrua berrabiarazi beharrik gabe.
  • Ibilbidearen freskatzea hobetzea BGP bideratze-inkoherentziak kudeatzeko.

17. Nukleoaren gaitasun berriak

  • Linux kernel berritua
  • Banaketa sistema berria (gpt):
  • 2TBko unitate fisiko/logiko baino gehiago onartzen ditu
  • Fitxategi-sistema azkarragoa (xfs)
  • Sistemaren biltegiratze handiagoa onartzen du (gehienez 48 TB probatuta)
  • I/O-ren errendimenduaren hobekuntzak
  • Ilara anitzeko:
  • Gaia Clish-en laguntza osoa ilara anitzeko komandoetarako
  • "Lehenetsita" konfigurazio automatikoa
  • SMB v2/3 muntatzeko euskarria Mobile Access bladean
  • NFSv4 (bezeroa) euskarria gehitu da (NFS v4.2 erabiltzen den NFS bertsio lehenetsia da)
  • Sistema-tresna berrien laguntza sistema arazketa, monitorizazioa eta konfigurazioa egiteko

18. CloudGuard kontrolatzailea

  • Kanpoko Datu Zentroetarako konexioetarako errendimendu hobekuntzak.
  • VMware NSX-T-rekin integratzea.
  • Data Center Server objektuak sortzeko eta editatzeko API komando gehigarrietarako laguntza.

19. Domeinu anitzeko zerbitzaria

  • Egin babeskopiak eta leheneratu domeinu kudeatzeko zerbitzari banako domeinu anitzeko zerbitzari batean.
  • Migratu domeinu anitzeko zerbitzari bateko domeinu-kudeaketa zerbitzari bat domeinu anitzeko segurtasun-kudeaketa beste batera.
  • Migratu segurtasuna kudeatzeko zerbitzari bat domeinu anitzeko zerbitzari batean domeinuen kudeaketa zerbitzari bihurtzeko.
  • Migratu Domeinu-kudeaketako zerbitzari bat Segurtasun-kudeaketako zerbitzari bihurtzeko.
  • Berrezarri domeinu bat domeinu anitzeko zerbitzari batean edo segurtasuna kudeatzeko zerbitzari batean aurreko berrikuspen batera editatzeko.

20. SmartTasks eta APIa

  • Automatikoki sortutako API gako bat erabiltzen duen Kudeaketa APIaren autentifikazio metodo berria.
  • Kudeaketa API komando berriak cluster objektuak sortzeko.
  • SmartConsole-tik edo API batekin Jumbo Hotfix Accumulator eta Hotfixen inplementazio zentralak Segurtasun-atebide eta kluster ugari instalatu edo berritzea ahalbidetzen du paraleloan.
  • SmartTasks β€” Konfiguratu administratzaile-zereginek abiarazitako script automatikoak edo HTTPS eskaerak, hala nola saio bat argitaratzea edo politika bat instalatzea.

21. HedapenaSmartConsole-tik edo API batekin Jumbo Hotfix Accumulator eta Hotfixen inplementazio zentralak Segurtasun-atebide eta kluster ugari instalatu edo berritzea ahalbidetzen du paraleloan.

22. SmartEventPartekatu SmartView ikuspegiak eta txostenak beste administratzaile batzuekin.

23.Erregistro esportatzaileaEremu-balioen arabera iragazitako erregistroak esportatu.

24.Endpoint Security

  • Disko osoa enkriptatzeko BitLocker enkriptatzea onartzen da.
  • Endpoint Security bezeroaren kanpoko Autoritate Ziurtagiriaren ziurtagirietarako laguntza
  • autentifikazioa eta komunikazioa Endpoint Security Management Server-ekin.
  • Hautatutakoaren arabera Endpoint Security Client paketeen tamaina dinamikorako laguntza
  • hedatzeko ezaugarriak.
  • Orain, politikak azken erabiltzaileentzako jakinarazpenen maila kontrola dezake.
  • Endpoint Policy Management-en VDI ingurune iraunkorraren laguntza.

Gehien gustatu zaiguna (bezeroaren zereginetan oinarrituta)

Ikusten duzunez, berrikuntza asko daude. Baina guretzat, bezala sistema integratzailea, hainbat puntu oso interesgarri daude (gure bezeroentzat ere interesgarriak direnak). Gure Top 10:

  1. Azkenik, IoT gailuetarako laguntza osoa agertu da. Dagoeneko nahiko zaila da horrelako gailurik ez duen enpresa bat aurkitzea.
  2. TLS ikuskapena geruza bereizi batean jartzen da orain (geruza). Orain baino askoz erosoagoa da (80.30etan). Ez dago Legasy Dashboard zaharra exekutatu. Gainera, orain egunera daitezkeen objektuak erabil ditzakezu HTTPS ikuskapen-politikan, hala nola Office365, Google, Azure, AWS eta abar zerbitzuak. Hau oso erosoa da salbuespenak konfiguratu behar dituzunean. Hala ere, oraindik ez dago tls 1.3rako euskarririk. Dirudienez, hurrengo konponketarekin "harrapatuko" dute.
  3. Aldaketa esanguratsuak Anti-Virus eta SandBlast-entzat. Orain SCP, SFTP eta SMBv3 bezalako protokoloak egiaztatu ditzakezu (bide batez, inork ezin du jada kanal anitzeko protokolo hau egiaztatu).
  4. Hobekuntza asko daude Site-to-Site VPN-ri dagokionez. Orain hainbat VPN domeinu konfigura ditzakezu hainbat VPN komunitateren parte den atebide batean. Oso erosoa eta askoz seguruagoa da. Gainera, Check Point-ek azkenik Route Based VPN gogoratu zuen eta apur bat hobetu zuen bere egonkortasuna/bateragarritasuna.
  5. Urruneko erabiltzaileentzat oso ezaugarri ezaguna agertu da. Orain erabiltzailea ez ezik, konektatzen den gailua ere autentifikatu dezakezu. Adibidez, VPN konexioak baimendu nahi ditugu gailu korporatiboetatik soilik. Hori, noski, ziurtagirien laguntzarekin egiten da. Gainera, posible da automatikoki muntatzea (SMB v2/3) fitxategi-partekatzeak urruneko erabiltzaileentzat VPN bezero batekin.
  6. Aldaketa asko daude klusterraren funtzionamenduan. Baina beharbada interesgarrienetako bat atebideek Gaiaren bertsio desberdinak dituzten kluster bat ustiatzeko aukera da. Hau komenigarria da eguneraketa bat planifikatzerakoan.
  7. Zero Touch gaitasun hobetuak. Gauza erabilgarria atebide "txikiak" instalatzen dituztenentzat (adibidez, kutxazainetarako).
  8. Erregistroetarako, 48 TB arteko biltegiratzea onartzen da orain.
  9. Zure SmartEvent panelak beste administratzaile batzuekin parteka ditzakezu.
  10. Log Exporter-ek orain bidalitako mezuak aurrez iragazteko aukera ematen du beharrezko eremuak erabiliz. Horiek. Beharrezko erregistroak eta gertaerak soilik bidaliko dira zure SIEM sistemetara

eguneratzea

Beharbada, asko ari dira dagoeneko eguneratzea pentsatzen. Ez dago presarik beharrik. Hasteko, 80.40 bertsioak Erabilgarritasun Orokorrera eraman behar du. Baina horren ondoren ere, ez zenuke berehala eguneratu behar. Hobe da gutxienez lehen konponketaren zain egotea.
Agian asko bertsio zaharretan "eserita" daude. Esan dezaket gutxienez posible dela (eta baita beharrezkoa ere) 80.30era eguneratzea. Hau dagoeneko sistema egonkorra eta frogatua da!

Gure orri publikoetara ere harpidetu zaitezke (Telegrama, Facebook, VK, TS Solution Bloga), non Check Point-en eta beste segurtasun-produktu batzuen material berrien sorrera jarrai dezakezun.

Erregistratutako erabiltzaileek soilik parte hartu dezakete inkestan. Hasi saioa, mesedez.

Gaiaren zein bertsio erabiltzen ari zara?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Bestelakoa

13 erabiltzailek eman dute botoa. 6 erabiltzaile abstenitu ziren.

Iturria: www.habr.com

Gehitu iruzkin berria