ProHoster > Blogi > antaminen > Check Point Gaia R80.40. Mikä on uutta?

Check Point Gaia R80.40. Mikä on uutta?

Check Point Gaia R80.40. Mikä on uutta?

Käyttöjärjestelmän seuraava julkaisu lähestyy Gaia R80.40. Muutama viikko sitten Early Access -ohjelma käynnistyi, johon pääset testaamaan jakelua. Kuten tavallista, julkaisemme tietoa uusista asioista ja korostamme myös näkökulmastamme kiinnostavimpia kohtia. Tulevaisuudessa voin sanoa, että innovaatiot ovat todella merkittäviä. Siksi kannattaa valmistautua varhaiseen päivitysmenettelyyn. Aiemmin meillä on jo julkaisi artikkelin miten tämä tehdään (lisätietoja on osoitteessa ota yhteyttä tästä). Mennään aiheeseen...

Mikä on uutta

Katsotaanpa täällä virallisesti julkistettuja innovaatioita. Tiedot otettu sivustolta Tarkista kaverit (virallinen Check Point -yhteisö). Luvallasi en käännä tätä tekstiä, onneksi Habr-yleisö sallii sen. Sen sijaan jätän kommenttini seuraavaa lukua varten.

1. IoT-suojaus. Esineiden Internetiin liittyviä uusia ominaisuuksia

  • Kerää IoT-laitteita ja liikennemääritteitä sertifioiduista IoT-etsintämoottoreista (tukee tällä hetkellä Medigatea, CyberMDX:tä, Cynerioa, Clarotya, Indegyä, SAM:ia ja Armista).
  • Määritä uusi IoT-kohtainen käytäntökerros käytäntöjen hallinnassa.
  • Määritä ja hallitse suojaussääntöjä, jotka perustuvat IoT-laitteiden attribuutteihin.

2.TLS-tarkastusHTTP / 2:

  • HTTP/2 on päivitys HTTP-protokollaan. Päivitys parantaa nopeutta, tehokkuutta ja turvallisuutta sekä parantaa käyttökokemusta.
  • Check Pointin Security Gateway tukee nyt HTTP/2:ta ja parantaa nopeutta ja tehokkuutta samalla kun se saa täyden suojan, kaikilla uhkien ehkäisy- ja kulunvalvontalevyillä sekä HTTP/2-protokollan uusilla suojauksilla.
  • Tuki on sekä selkeää että SSL-salattua liikennettä, ja se on täysin integroitu HTTPS/TLS:ään
  • Tarkastusmahdollisuudet.

TLS-tarkastuskerros. HTTPS-tarkastuksia koskevat innovaatiot:

  • SmartConsolen uusi käytäntötaso, joka on omistettu TLS-tarkastukselle.
  • Eri TLS-tarkastustasoja voidaan käyttää erilaisissa käytäntöpaketeissa.
  • TLS-tarkastuskerroksen jakaminen useiden käytäntöpakettien kesken.
  • API TLS-toimintoihin.

3. Uhkien ehkäisy

  • Uhkien ehkäisyprosessien ja päivitysten yleistä tehokkuutta.
  • Automaattiset päivitykset Threat Extraction Engineen.
  • Dynaamisia, toimialueita ja päivitettäviä objekteja voidaan nyt käyttää uhkien ehkäisy- ja TLS-tarkastuskäytännöissä. Päivitettävät objektit ovat verkkoobjekteja, jotka edustavat ulkoista palvelua tai tunnettua dynaamista IP-osoitteiden luetteloa, esimerkiksi - Office365 / Google / Azure / AWS IP-osoitteet ja Geo-objektit.
  • Anti-Virus käyttää nyt SHA-1- ja SHA-256-uhkamerkkejä estääkseen tiedostot niiden tiivisteiden perusteella. Tuo uudet ilmaisimet SmartConsole Threat Indicators -näkymästä tai Custom Intelligence -syötteen CLI:stä.
  • Anti-Virus ja SandBlast Threat Emulation tukevat nyt sähköpostiliikenteen tarkastusta POP3-protokollan kautta sekä parannettua sähköpostiliikenteen tarkastusta IMAP-protokollan kautta.
  • Anti-Virus ja SandBlast Threat Emulation käyttävät nyt uutta SSH-tarkastusominaisuutta SCP- ja SFTP-protokollien kautta siirrettyjen tiedostojen tarkastamiseen.
  • Anti-Virus ja SandBlast Threat Emulation tarjoavat nyt parannetun tuen SMBv3-tarkastuksille (3.0, 3.0.2, 3.1.1), joka sisältää monikanavaisten yhteyksien tarkastuksen. Check Point on nyt ainoa toimittaja, joka tukee useiden kanavien kautta tapahtuvan tiedostonsiirron tarkastamista (ominaisuus, joka on oletuksena käytössä kaikissa Windows-ympäristöissä). Näin asiakkaat voivat pysyä turvassa työskennellessään tämän suorituskykyä parantavan ominaisuuden kanssa.

4. Identiteettitietoisuus

  • Tuki Captive Portal -integraatiolle SAML 2.0:n ja kolmannen osapuolen identiteetin tarjoajien kanssa.
  • Tuki Identity Brokerille skaalautuvaan ja rakeiseen identiteettitietojen jakamiseen PDP:iden välillä sekä verkkotunnusten väliseen jakamiseen.
  • Terminal Servers Agentin parannukset parantavat skaalausta ja yhteensopivuutta.

5. IPsec VPN

  • Määritä eri VPN-salausalueita Security Gatewayssa, joka on useiden VPN-yhteisöjen jäsen. Tämä tarjoaa:
  • Parannettu yksityisyys – Sisäisiä verkkoja ei julkisteta IKE-protokollaneuvotteluissa.
  • Parannettu suojaus ja tarkkuutta — Määritä, mitkä verkot ovat käytettävissä tietyssä VPN-yhteisössä.
  • Parannettu yhteentoimivuus – Yksinkertaistetut reittipohjaiset VPN-määritykset (suositellaan, kun työskentelet tyhjän VPN-salausalueen kanssa).
  • Luo ja työskentele saumattomasti Large Scale VPN (LSV) -ympäristön kanssa LSV-profiilien avulla.

6. URL-suodatus

  • Parempi skaalautuvuus ja joustavuus.
  • Laajennetut vianetsintäominaisuudet.

7.NAT

  • Parannettu NAT-porttien allokointimekanismi – Security Gateway -yhdyskäytävissä, joissa on vähintään 6 CoreXL-palomuuriinstanssia, kaikki esiintymät käyttävät samaa NAT-porttivarastoa, mikä optimoi portin käytön ja uudelleenkäytön.
  • NAT-portin käytön valvonta CPView:ssa ja SNMP:ssä.

8. Voice over IP (VoIP)Useat CoreXL Firewall -esiintymät käsittelevät SIP-protokollaa suorituskyvyn parantamiseksi.

9. Etäkäyttö VPNKäytä konesertifikaattia erottaaksesi yrityksen omaisuuden ja ei-yrityksen omaisuuden ja asettaaksesi käytännön, joka pakottaa vain yrityksen omaisuuden käyttöön. Täytäntöönpano voi tapahtua ennen sisäänkirjautumista (vain laitteen todennus) tai sisäänkirjautumisen jälkeen (laitteen ja käyttäjän todennus).

10. Mobile Access Portal AgentParannettu Endpoint Security on Demand Mobile Access Portal Agentissa kaikkien tärkeimpien verkkoselaimien tukemiseksi. Lisätietoja on kohdassa sk113410.

11.CoreXL ja Multi-Queue

  • Tuki CoreXL SND:n ja Firewall-esiintymien automaattiselle allokoinnille, jotka eivät vaadi Security Gateway -uudelleenkäynnistystä.
  • Parannettu käyttökokemus – Security Gateway muuttaa automaattisesti CoreXL SND:n ja Firewall-esiintymien määrää ja Multi-Queue-kokoonpanoa nykyisen liikennekuormituksen perusteella.

12. Klusterit

  • Cluster Control Protocol -tuki Unicast-tilassa, mikä eliminoi CCP:n tarpeen

Lähetys- tai monilähetystilat:

  • Cluster Control Protocol -salaus on nyt oletuksena käytössä.
  • Uusi ClusterXL-tila -Active/Active, joka tukee klusterijäseniä eri maantieteellisissä paikoissa, jotka sijaitsevat eri aliverkoissa ja joilla on eri IP-osoitteet.
  • Tuki ClusterXL-klusterijäsenille, jotka käyttävät eri ohjelmistoversioita.
  • Poistaa MAC Magic -määrityksen tarpeen, kun useita klustereita on kytketty samaan aliverkkoon.

13. VSX

  • Tuki VSX-päivitykselle CPUSE:lla Gaia-portaalissa.
  • Active Up -tilan tuki VSLS:ssä.
  • CPView-tilastoraporttien tuki jokaiselle virtuaalijärjestelmälle

14. Zero TouchYksinkertainen Plug & Play -asennusprosessi laitteen asennukseen – eliminoi teknisen asiantuntemuksen tarpeen ja yhteyden muodostamisen laitteeseen alkukokoonpanoa varten.

15. Gaia REST APIGaia REST API tarjoaa uuden tavan lukea ja lähettää tietoja palvelimille, jotka käyttävät Gaia-käyttöjärjestelmää. Katso sk143612.

16. Edistynyt reititys

  • OSPF:n ja BGP:n parannukset mahdollistavat OSPF:n nollauksen ja uudelleenkäynnistyksen jokaisessa CoreXL Firewall -esiintymässä ilman, että reititettä demonia tarvitsee käynnistää uudelleen.
  • Reitin päivityksen tehostaminen parantaa BGP-reitityksen epäjohdonmukaisuuksien käsittelyä.

17. Uudet ytimen ominaisuudet

  • Päivitetty Linux-ydin
  • Uusi osiointijärjestelmä (gpt):
  • Tukee yli 2 Tt fyysisiä/loogisia asemia
  • Nopeampi tiedostojärjestelmä (xfs)
  • Tukee suurempaa järjestelmätallennustilaa (jopa 48 Tt testattu)
  • I/O:iin liittyviä suorituskyvyn parannuksia
  • Monijono:
  • Täysi Gaia Clishin tuki Multi-Queue-komentoille
  • Automaattinen "oletusarvoisesti päällä" konfigurointi
  • SMB v2/3 -asennustuki Mobile Access bladessa
  • Lisätty NFSv4 (asiakas) -tuki (NFS v4.2 on oletusarvoisesti käytetty NFS-versio)
  • Uusien järjestelmätyökalujen tuki järjestelmän virheenkorjaukseen, valvontaan ja konfigurointiin

18. CloudGuard-ohjain

  • Suorituskykyparannuksia yhteyksissä ulkoisiin tietokeskuksiin.
  • Integrointi VMware NSX-T:n kanssa.
  • Tuki ylimääräisille API-komentoille Data Center Server -objektien luomiseen ja muokkaamiseen.

19. Multi-Domain Server

  • Varmuuskopioi ja palauta yksittäinen toimialueen hallintapalvelin Multi-Domain Serverille.
  • Siirrä toimialueen hallintapalvelin yhdellä Multi-Domain Serverillä eri Multi-Domain Security Managementiin.
  • Siirrä Security Management Server verkkotunnuksen hallintapalvelimeksi monitoimialuepalvelimella.
  • Siirrä Domain Management Server tullaksesi Security Management Serveriksi.
  • Palauta Multi-Domain Serverin tai Security Management Serverin toimialue aiempaan versioon muokkausta varten.

20. SmartTasks ja API

  • Uusi Management API -todennusmenetelmä, joka käyttää automaattisesti luotua API-avainta.
  • Uudet Management API -komennot klusteriobjektien luomiseksi.
  • Jumbo Hotfix Accumulatorin ja Hotfix-korjausten keskitetty käyttöönotto SmartConsolesta tai API:lla mahdollistaa useiden suojausyhdyskäytävien ja -klustereiden asentamisen tai päivittämisen rinnakkain.
  • SmartTasks — Määritä automaattiset komentosarjat tai HTTPS-pyynnöt, jotka käynnistävät järjestelmänvalvojan tehtävät, kuten istunnon julkaiseminen tai käytännön asentaminen.

21. KäyttöönottoJumbo Hotfix Accumulatorin ja Hotfix-korjausten keskitetty käyttöönotto SmartConsolesta tai API:lla mahdollistaa useiden suojausyhdyskäytävien ja -klustereiden asentamisen tai päivittämisen rinnakkain.

22. SmartEventJaa SmartView-näkymiä ja -raportteja muiden järjestelmänvalvojien kanssa.

23.Tokkien viejäVie lokit suodatettuna kenttäarvojen mukaan.

24. Päätepisteen suojaus

  • Tuki BitLocker-salaukselle täydelle levysalaukselle.
  • Tuki ulkoisille varmenteen myöntäjän varmenteille Endpoint Security -asiakkaalle
  • todennus ja viestintä Endpoint Security Management Serverin kanssa.
  • Tuki Endpoint Security Client -pakettien dynaamiseen kokoon valitun perusteella
  • ominaisuuksia käyttöönottoa varten.
  • Käytäntö voi nyt hallita loppukäyttäjille lähetettävien ilmoitusten tasoa.
  • Pysyvän VDI-ympäristön tuki Endpoint Policy Managementissa.

Mistä pidimme eniten (asiakastehtävien perusteella)

Kuten näette, innovaatioita on paljon. Mutta meille, niin kuin meillekin järjestelmäintegraattori, on useita erittäin mielenkiintoisia kohtia (jotka kiinnostavat myös asiakkaitamme). Meidän Top 10:

  1. Lopulta IoT-laitteiden täysi tuki on ilmestynyt. On jo melko vaikeaa löytää yritystä, jolla ei ole tällaisia ​​laitteita.
  2. TLS-tarkastus on nyt sijoitettu erilliseen kerrokseen (Layer). Se on paljon kätevämpi kuin nyt (80.30). Ei enää vanhaa Legasy Dashboardia. Lisäksi nyt voit käyttää päivitettäviä objekteja HTTPS-tarkastuskäytännössä, kuten Office365-, Google-, Azure-, AWS- jne. palveluissa. Tämä on erittäin kätevää, kun sinun on määritettävä poikkeuksia. tls 1.3:lle ei kuitenkaan edelleenkään ole tukea. Ilmeisesti he "saavat kiinni" seuraavan hotfix-korjauksen.
  3. Merkittäviä muutoksia Anti-Virus ja SandBlast. Nyt voit tarkistaa protokollat, kuten SCP, SFTP ja SMBv3 (muuten, kukaan ei voi enää tarkistaa tätä monikanavaprotokollaa).
  4. Site-to-Site VPN:ssä on paljon parannuksia. Nyt voit määrittää useita VPN-verkkotunnuksia yhdyskäytävässä, joka on osa useita VPN-yhteisöjä. Se on erittäin kätevä ja paljon turvallisempi. Lisäksi Check Point muisti vihdoin Route Based VPN:n ja paransi hieman sen vakautta/yhteensopivuutta.
  5. Erittäin suosittu ominaisuus etäkäyttäjille on ilmestynyt. Nyt voit todentaa käyttäjän lisäksi myös laitteen, josta hän muodostaa yhteyden. Haluamme esimerkiksi sallia VPN-yhteydet vain yrityslaitteista. Tämä tehdään tietysti todistusten avulla. On myös mahdollista liittää automaattisesti (SMB v2/3) tiedostoosuudet etäkäyttäjille VPN-asiakassovelluksella.
  6. Klusterin toiminnassa on paljon muutoksia. Mutta ehkä yksi mielenkiintoisimmista on mahdollisuus käyttää klusteria, jossa yhdyskäytävillä on eri versioita Gaiasta. Tämä on kätevää, kun suunnittelet päivitystä.
  7. Parannetut Zero Touch -ominaisuudet. Hyödyllinen asia niille, jotka usein asentavat "pieniä" yhdyskäytäviä (esimerkiksi pankkiautomaateille).
  8. Lokien osalta tuetaan nyt jopa 48 Tt:n tallennustilaa.
  9. Voit jakaa SmartEvent-hallintapaneelisi muiden järjestelmänvalvojien kanssa.
  10. Log Exporterin avulla voit nyt esisuodattaa lähetetyt viestit pakollisilla kentillä. Nuo. Vain tarvittavat lokit ja tapahtumat lähetetään SIEM-järjestelmiisi

Päivittää

Ehkä monet ovat jo miettineet päivittämistä. Ei tarvitse kiirehtiä. Aluksi version 80.40 on siirrettävä Yleiseen saatavuuteen. Mutta senkään jälkeen sinun ei pitäisi päivittää heti. On parempi odottaa ainakin ensimmäistä hotfix-korjausta.
Ehkä monet "istuvat" vanhempien versioiden päällä. Voin sanoa, että ainakin on jo mahdollista (ja jopa välttämätöntä) päivittää 80.30:een. Tämä on jo vakaa ja hyväksi havaittu järjestelmä!

Voit myös tilata julkiset sivumme (Telegram, Facebook, VK, TS Solution -blogi), jossa voit seurata Check Pointin ja muiden tietoturvatuotteiden uusien materiaalien syntymistä.

Vain rekisteröityneet käyttäjät voivat osallistua kyselyyn. Kirjaudu sisään, ole kiltti.

Mitä versiota Gaiasta käytät?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Muut

13 käyttäjää äänesti. 6 käyttäjää pidättyi äänestämästä.

Lähde: will.com

Lisää kommentti