ProHoster > Blog > administration > Vérifiez le point Gaia R80.40. Quoi de neuf?

Vérifiez le point Gaia R80.40. Quoi de neuf?

Vérifiez le point Gaia R80.40. Quoi de neuf?

La prochaine version du système d'exploitation approche Gaïa 80.40 R$. Il y a quelques semaines Programme d'accès anticipé lancé, auquel vous pouvez accéder pour tester la distribution. Comme d’habitude, nous publions des informations sur les nouveautés et mettons également en avant les points les plus intéressants de notre point de vue. Pour l’avenir, je peux dire que les innovations sont vraiment significatives. Par conséquent, il vaut la peine de se préparer à une procédure de mise à jour anticipée. Nous avons déjà a publié un article sur la façon de procéder (pour plus d'informations, veuillez visiter contacter ici). Venons-en au sujet...

A propos

Regardons ici les innovations officiellement annoncées. Informations extraites du site Vérifier les partenaires (communauté officielle Check Point). Avec votre permission, je ne traduirai pas ce texte, heureusement le public Habr le permet. Au lieu de cela, je laisserai mes commentaires pour le prochain chapitre.

1. Sécurité IoT. Nouvelles fonctionnalités liées à l'Internet des objets

  • Collectez les appareils IoT et les attributs de trafic à partir de moteurs de découverte IoT certifiés (prend actuellement en charge Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM et Armis).
  • Configurez une nouvelle couche de stratégie dédiée à l’IoT dans la gestion des stratégies.
  • Configurez et gérez les règles de sécurité basées sur les attributs des appareils IoT.

2.Inspection TLSHTTP / 2:

  • HTTP/2 est une mise à jour du protocole HTTP. La mise à jour apporte des améliorations en termes de vitesse, d’efficacité et de sécurité et donne lieu à une meilleure expérience utilisateur.
  • La passerelle de sécurité de Check Point prend désormais en charge HTTP/2 et bénéficie d'une vitesse et d'une efficacité accrues tout en bénéficiant d'une sécurité totale, avec toutes les lames de prévention des menaces et de contrôle d'accès, ainsi que de nouvelles protections pour le protocole HTTP/2.
  • La prise en charge concerne à la fois le trafic clair et crypté SSL et est entièrement intégrée à HTTPS/TLS
  • Capacités d’inspection.

Couche d'inspection TLS. Innovations concernant l’inspection HTTPS :

  • Une nouvelle couche de stratégie dans SmartConsole dédiée à l'inspection TLS.
  • Différentes couches d’inspection TLS peuvent être utilisées dans différents packages de stratégies.
  • Partage d’une couche d’inspection TLS entre plusieurs packages de politiques.
  • API pour les opérations TLS.

3. Prévention des menaces

  • Amélioration globale de l’efficacité des processus et des mises à jour de prévention des menaces.
  • Mises à jour automatiques du moteur d'extraction des menaces.
  • Les objets dynamiques, de domaine et pouvant être mis à jour peuvent désormais être utilisés dans les politiques de prévention des menaces et d'inspection TLS. Les objets pouvant être mis à jour sont des objets réseau qui représentent un service externe ou une liste dynamique connue d'adresses IP, par exemple : adresses IP Office365 / Google / Azure / AWS et objets Geo.
  • Anti-Virus utilise désormais les indications de menace SHA-1 et SHA-256 pour bloquer les fichiers en fonction de leurs hachages. Importez les nouveaux indicateurs à partir de la vue Indicateurs de menace SmartConsole ou de la CLI Custom Intelligence Feed.
  • Anti-Virus et SandBlast Threat Emulation prennent désormais en charge l'inspection du trafic de messagerie via le protocole POP3, ainsi qu'une inspection améliorée du trafic de messagerie via le protocole IMAP.
  • Anti-Virus et SandBlast Threat Emulation utilisent désormais la nouvelle fonctionnalité d'inspection SSH pour inspecter les fichiers transférés via les protocoles SCP et SFTP.
  • Anti-Virus et SandBlast Threat Emulation offrent désormais une prise en charge améliorée de l'inspection SMBv3 (3.0, 3.0.2, 3.1.1), qui inclut l'inspection des connexions multicanaux. Check Point est désormais le seul fournisseur à prendre en charge l'inspection d'un transfert de fichiers via plusieurs canaux (une fonctionnalité activée par défaut dans tous les environnements Windows). Cela permet aux clients de rester en sécurité tout en travaillant avec cette fonctionnalité d'amélioration des performances.

4. Conscience de l'identité

  • Prise en charge de l'intégration du portail captif avec SAML 2.0 et des fournisseurs d'identité tiers.
  • Prise en charge d'Identity Broker pour le partage évolutif et granulaire des informations d'identité entre les PDP, ainsi que le partage entre domaines.
  • Améliorations apportées à l'agent des serveurs Terminal Server pour une meilleure mise à l'échelle et une meilleure compatibilité.

5. VPN IPsec

  • Configurez différents domaines de chiffrement VPN sur une passerelle de sécurité membre de plusieurs communautés VPN. Cela fournit :
  • Confidentialité améliorée — Les réseaux internes ne sont pas divulgués dans les négociations du protocole IKE.
  • Sécurité et granularité améliorées — Spécifiez quels réseaux sont accessibles dans une communauté VPN spécifiée.
  • Interopérabilité améliorée — Définitions VPN basées sur les routes simplifiées (recommandé lorsque vous travaillez avec un domaine de chiffrement VPN vide).
  • Créez et travaillez en toute transparence avec un environnement VPN à grande échelle (LSV) à l'aide de profils LSV.

6. Filtrage d'URL

  • Évolutivité et résilience améliorées.
  • Capacités de dépannage étendues.

7.NAT

  • Mécanisme d'allocation de ports NAT amélioré : sur les passerelles de sécurité dotées de 6 instances de pare-feu CoreXL ou plus, toutes les instances utilisent le même pool de ports NAT, ce qui optimise l'utilisation et la réutilisation des ports.
  • Surveillance de l'utilisation des ports NAT dans CPView et avec SNMP.

8. Voix sur IP (VoIP)Plusieurs instances de pare-feu CoreXL gèrent le protocole SIP pour améliorer les performances.

9. VPN d'accès à distanceUtilisez le certificat machine pour faire la distinction entre les actifs de l'entreprise et les autres et pour définir une politique imposant l'utilisation des actifs de l'entreprise uniquement. L’application peut être effectuée avant la connexion (authentification du périphérique uniquement) ou après la connexion (authentification du périphérique et de l’utilisateur).

10. Agent du portail d'accès mobileSécurité améliorée des points de terminaison à la demande dans l'agent du portail d'accès mobile pour prendre en charge tous les principaux navigateurs Web. Pour plus d’informations, consultez sk113410.

11.CoreXL et multi-file d'attente

  • Prise en charge de l'allocation automatique des SND CoreXL et des instances de pare-feu qui ne nécessite pas de redémarrage de Security Gateway.
  • Expérience prête à l'emploi améliorée — Security Gateway modifie automatiquement le nombre d'instances CoreXL SND et de pare-feu ainsi que la configuration multi-files d'attente en fonction de la charge de trafic actuelle.

12. Regroupement

  • Prise en charge du protocole de contrôle de cluster en mode Unicast qui élimine le besoin de CCP

Modes diffusion ou multidiffusion :

  • Le chiffrement du Cluster Control Protocol est désormais activé par défaut.
  • Nouveau mode ClusterXL - Actif/Actif, qui prend en charge les membres du cluster dans différents emplacements géographiques situés sur différents sous-réseaux et ayant des adresses IP différentes.
  • Prise en charge des membres du cluster ClusterXL qui exécutent différentes versions de logiciel.
  • Élimination du besoin de configuration MAC Magic lorsque plusieurs clusters sont connectés au même sous-réseau.

13. VSX

  • Prise en charge de la mise à niveau de VSX avec CPUSE dans Gaia Portal.
  • Prise en charge du mode Active Up dans VSLS.
  • Prise en charge des rapports statistiques CPView pour chaque système virtuel

14. Zéro contactUn processus de configuration Plug & Play simple pour installer une appliance — éliminant le besoin d'expertise technique et la nécessité de se connecter à l'appliance pour la configuration initiale.

15. API REST GaiaL'API Gaia REST offre une nouvelle façon de lire et d'envoyer des informations aux serveurs qui exécutent le système d'exploitation Gaia. Voir sk143612.

16. Routage avancé

  • Les améliorations apportées à OSPF et BGP permettent de réinitialiser et de redémarrer OSPF voisin pour chaque instance de pare-feu CoreXL sans avoir besoin de redémarrer le démon routé.
  • Amélioration de l'actualisation des routes pour une meilleure gestion des incohérences de routage BGP.

17. Nouvelles capacités du noyau

  • Noyau Linux mis à niveau
  • Nouveau système de partitionnement (gpt) :
  • Prend en charge plus de 2 To de disques physiques/logiques
  • Système de fichiers plus rapide (xfs)
  • Prise en charge d'un stockage système plus important (jusqu'à 48 To testés)
  • Améliorations des performances liées aux E/S
  • Multi-file d'attente :
  • Prise en charge complète de Gaia Clish pour les commandes multi-files d'attente
  • Configuration automatique « activé par défaut »
  • Prise en charge du montage SMB v2/3 dans la lame Mobile Access
  • Ajout de la prise en charge de NFSv4 (client) (NFS v4.2 est la version NFS utilisée par défaut)
  • Prise en charge de nouveaux outils système pour le débogage, la surveillance et la configuration du système

18. Contrôleur CloudGuard

  • Améliorations des performances pour les connexions aux centres de données externes.
  • Intégration avec VMware NSX-T.
  • Prise en charge de commandes API supplémentaires pour créer et modifier des objets Data Center Server.

19. Serveur multi-domaine

  • Sauvegardez et restaurez un serveur de gestion de domaine individuel sur un serveur multi-domaine.
  • Migrez un serveur de gestion de domaine sur un serveur multi-domaine vers une autre gestion de sécurité multi-domaine.
  • Migrez un serveur de gestion de la sécurité pour devenir un serveur de gestion de domaine sur un serveur multi-domaine.
  • Migrez un serveur de gestion de domaine pour devenir un serveur de gestion de la sécurité.
  • Rétablissez un domaine sur un serveur multi-domaine ou un serveur de gestion de la sécurité vers une révision précédente pour une modification ultérieure.

20. SmartTasks et API

  • Nouvelle méthode d'authentification de l'API de gestion qui utilise une clé API générée automatiquement.
  • Nouvelles commandes de l'API de gestion pour créer des objets de cluster.
  • Le déploiement centralisé de l'accumulateur de correctifs Jumbo et des correctifs à partir de SmartConsole ou avec une API permet d'installer ou de mettre à niveau plusieurs passerelles et clusters de sécurité en parallèle.
  • SmartTasks — Configurez des scripts automatiques ou des requêtes HTTPS déclenchées par des tâches d'administrateur, telles que la publication d'une session ou l'installation d'une stratégie.

21. DéploiementLe déploiement centralisé de l'accumulateur de correctifs Jumbo et des correctifs à partir de SmartConsole ou avec une API permet d'installer ou de mettre à niveau plusieurs passerelles et clusters de sécurité en parallèle.

22. Événement intelligentPartagez des vues et des rapports SmartView avec d'autres administrateurs.

23.Exportateur de journauxExportez les journaux filtrés en fonction des valeurs des champs.

24. Sécurité des terminaux

  • Prise en charge du chiffrement BitLocker pour le chiffrement complet du disque.
  • Prise en charge des certificats d'autorité de certification externes pour le client Endpoint Security
  • l'authentification et la communication avec le serveur de gestion Endpoint Security.
  • Prise en charge de la taille dynamique des packages Endpoint Security Client en fonction de la taille sélectionnée
  • fonctionnalités pour le déploiement.
  • La stratégie peut désormais contrôler le niveau de notifications aux utilisateurs finaux.
  • Prise en charge de l’environnement VDI persistant dans Endpoint Policy Management.

Ce que nous avons le plus aimé (en fonction des tâches du client)

Comme vous pouvez le constater, les innovations sont nombreuses. Mais pour nous, comme pour intégrateur système, il y a plusieurs points très intéressants (qui intéressent également nos clients). Notre Top 10 :

  1. Enfin, une prise en charge complète des appareils IoT est apparue. Il est déjà assez difficile de trouver une entreprise qui ne dispose pas de tels appareils.
  2. L'inspection TLS est désormais placée dans un calque séparé (Couche). C'est beaucoup plus pratique qu'aujourd'hui (à 80.30h365). Plus besoin d'exécuter l'ancien tableau de bord Legasy. De plus, vous pouvez désormais utiliser des objets pouvant être mis à jour dans la politique d'inspection HTTPS, tels que les services Office1.3, Google, Azure, AWS, etc. C'est très pratique lorsque vous devez configurer des exceptions. Cependant, il n'y a toujours pas de support pour tls XNUMX. Apparemment, ils « rattraperont » le prochain correctif.
  3. Changements importants pour Anti-Virus et SandBlast. Vous pouvez désormais vérifier des protocoles tels que SCP, SFTP et SMBv3 (d'ailleurs, personne ne peut plus vérifier ce protocole multicanal).
  4. Il y a de nombreuses améliorations concernant le VPN site à site. Vous pouvez désormais configurer plusieurs domaines VPN sur une passerelle faisant partie de plusieurs communautés VPN. C'est très pratique et beaucoup plus sûr. De plus, Check Point a finalement retenu le VPN Route Based et a légèrement amélioré sa stabilité/compatibilité.
  5. Une fonctionnalité très appréciée des utilisateurs distants est apparue. Vous pouvez désormais authentifier non seulement l'utilisateur, mais également l'appareil à partir duquel il se connecte. Par exemple, nous souhaitons autoriser les connexions VPN uniquement à partir d'appareils d'entreprise. Cela se fait bien entendu à l’aide de certificats. Il est également possible de monter automatiquement des partages de fichiers (SMB v2/3) pour les utilisateurs distants avec un client VPN.
  6. Il y a beaucoup de changements dans le fonctionnement du cluster. Mais l’un des plus intéressants est peut-être la possibilité d’exploiter un cluster où les passerelles disposent de différentes versions de Gaia. Ceci est pratique lorsque vous planifiez une mise à jour.
  7. Capacités Zero Touch améliorées. Une chose utile pour ceux qui installent souvent de « petites » passerelles (par exemple pour les guichets automatiques).
  8. Pour les journaux, un stockage jusqu'à 48 To est désormais pris en charge.
  9. Vous pouvez partager vos tableaux de bord SmartEvent avec d'autres administrateurs.
  10. Log Exporter vous permet désormais de pré-filtrer les messages envoyés en utilisant les champs obligatoires. Ceux. Seuls les logs et événements nécessaires seront transmis à vos systèmes SIEM

Mettre à jour

Peut-être que beaucoup pensent déjà à une mise à jour. Il n'est pas nécessaire de se précipiter. Pour commencer, la version 80.40 doit passer en disponibilité générale. Mais même après cela, vous ne devriez pas mettre à jour tout de suite. Il vaut mieux attendre au moins le premier correctif.
Peut-être que beaucoup sont « assis » sur des versions plus anciennes. Je peux dire qu'au minimum il est déjà possible (et même nécessaire) de mettre à jour vers 80.30. C'est déjà un système stable et éprouvé !

Vous pouvez également vous abonner à nos pages publiques (Telegram, Facebook, VK, Blog de la solution TS), où vous pourrez suivre l'émergence de nouveaux supports sur Check Point et d'autres produits de sécurité.

Seuls les utilisateurs enregistrés peuvent participer à l'enquête. se connecters'il te plait.

Quelle version de Gaia utilisez-vous ?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Autre

13 utilisateurs ont voté. 6 utilisateurs se sont abstenus.

Source: habr.com

Ajouter un commentaire