ProHoster > Blog > Administración > Check Point Gaia R80.40. Que hai de novo?

Check Point Gaia R80.40. Que hai de novo?

Check Point Gaia R80.40. Que hai de novo?

A próxima versión do sistema operativo achégase Gaia R80.40. Hai unhas semanas Comezou o programa de acceso anticipado, onde podes acceder para probar a distribución. Como é habitual, publicamos información sobre as novidades, e tamén destacamos os puntos que son máis interesantes dende o noso punto de vista. De cara ao futuro, podo dicir que as innovacións son realmente significativas. Polo tanto, paga a pena prepararse para un procedemento de actualización anticipada. Xa temos publicou un artigo sobre como facelo (para obter máis información, visite contacto aquí). Imos ao tema...

Que hai de novo

Vexamos aquí as novidades anunciadas oficialmente. Información extraída do sitio Comprobe Mates (comunidade oficial de Check Point). Co teu permiso non vou traducir este texto, afortunadamente o público de Habr permíteo. Pola contra, deixarei os meus comentarios para o próximo capítulo.

1. Seguridade IoT. Novas funcións relacionadas coa Internet das Cousas

  • Recolle dispositivos IoT e atributos de tráfico de motores de descubrimento de IoT certificados (actualmente admite Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM e Armis).
  • Configure unha nova capa de políticas dedicada a IoT na xestión de políticas.
  • Configura e xestiona regras de seguridade baseadas nos atributos dos dispositivos IoT.

2. Inspección TLSHTTP / 2:

  • HTTP/2 é unha actualización do protocolo HTTP. A actualización ofrece melloras na velocidade, a eficiencia e a seguridade e ofrece unha mellor experiencia de usuario.
  • A pasarela de seguranza de Check Point agora admite HTTP/2 e beneficia dunha mellor velocidade e eficiencia ao tempo que obtén unha seguridade total, con todas as láminas de prevención de ameazas e control de acceso, así como novas proteccións para o protocolo HTTP/2.
  • O soporte é tanto para tráfico cifrado claro como SSL e está totalmente integrado con HTTPS/TLS
  • Capacidades de inspección.

Capa de inspección TLS. Innovacións relativas á inspección HTTPS:

  • Unha nova capa de políticas en SmartConsole dedicada á inspección TLS.
  • Pódense usar diferentes capas de inspección de TLS en diferentes paquetes de políticas.
  • Compartir unha capa de inspección TLS en varios paquetes de políticas.
  • API para operacións TLS.

3. Prevención de Ameazas

  • Mellora da eficiencia global dos procesos e actualizacións de prevención de ameazas.
  • Actualizacións automáticas de Threat Extraction Engine.
  • Os obxectos dinámicos, de dominio e actualizables agora pódense utilizar nas políticas de prevención de ameazas e inspección de TLS. Os obxectos actualizables son obxectos de rede que representan un servizo externo ou unha lista dinámica coñecida de enderezos IP, por exemplo: enderezos IP Office365/Google/Azure/AWS e obxectos xeo.
  • Agora o antivirus usa indicacións de ameaza SHA-1 e SHA-256 para bloquear ficheiros en función dos seus hash. Importe os novos indicadores da vista de indicadores de ameaza de SmartConsole ou da CLI de fonte de intelixencia personalizada.
  • A emulación antivirus e SandBlast Threat agora admite a inspección do tráfico de correo electrónico a través do protocolo POP3, así como a inspección mellorada do tráfico de correo electrónico mediante o protocolo IMAP.
  • A emulación de ameazas antivirus e SandBlast agora usa a función de inspección SSH recentemente introducida para inspeccionar os ficheiros transferidos a través dos protocolos SCP e SFTP.
  • A emulación de ameazas antivirus e SandBlast ofrece agora un soporte mellorado para a inspección SMBv3 (3.0, 3.0.2, 3.1.1), que inclúe a inspección de conexións multicanle. Check Point é agora o único provedor que admite a inspección dunha transferencia de ficheiros a través de varias canles (unha función que está activada por defecto en todos os ambientes Windows). Isto permite que os clientes estean seguros mentres traballan con esta función de mellora do rendemento.

4. Concienciación da identidade

  • Compatibilidade coa integración do portal cativo con SAML 2.0 e provedores de identidade de terceiros.
  • Compatibilidade con Identity Broker para compartir información de identidade escalable e granular entre PDP, así como para compartir entre dominios.
  • Melloras no axente de Terminal Servers para mellorar a escala e a compatibilidade.

5. VPN IPsec

  • Configure diferentes dominios de cifrado VPN nunha pasarela de seguranza que sexa membro de varias comunidades VPN. Isto proporciona:
  • Privacidade mellorada: as redes internas non se revelan nas negociacións do protocolo IKE.
  • Seguridade e granularidade melloradas — Especifique cales son as redes accesibles nunha comunidade VPN especificada.
  • Interoperabilidade mellorada — Definicións de VPN baseadas en rutas simplificadas (recomendado cando se traballa cun dominio de cifrado VPN baleiro).
  • Crea e traballa perfectamente cun ambiente VPN a gran escala (LSV) coa axuda dos perfís LSV.

6. Filtrado de URL

  • Mellora a escalabilidade e a resistencia.
  • Capacidades de resolución de problemas ampliadas.

7.NAT

  • Mecanismo de asignación de portos NAT mellorado: en Security Gateways con 6 ou máis instancias de CoreXL Firewall, todas as instancias usan o mesmo conxunto de portos NAT, o que optimiza a utilización e a reutilización dos portos.
  • Monitorización da utilización do porto NAT en CPView e con SNMP.

8. Voz sobre IP (VoIP)Varias instancias de CoreXL Firewall manexan o protocolo SIP para mellorar o rendemento.

9. VPN de acceso remotoUse o certificado de máquina para distinguir entre activos corporativos e non corporativos e para establecer unha política que impoña o uso só de activos corporativos. A aplicación pode ser antes do inicio de sesión (só autenticación do dispositivo) ou posterior ao inicio de sesión (autenticación do dispositivo e do usuario).

10. Axente do portal de acceso móbilSeguridade de Endpoint On Demand mellorada dentro do Mobile Access Portal Agent para admitir todos os principais navegadores web. Para obter máis información, consulte sk113410.

11.CoreXL e Multi-Queue

  • Compatibilidade coa asignación automática de CoreXL SND e instancias de firewall que non requiren un reinicio de Security Gateway.
  • Experiencia fóra da caixa mellorada — Security Gateway cambia automaticamente o número de instancias de CoreXL SND e Firewall e a configuración de Multi-Queue en función da carga de tráfico actual.

12. Agrupación

  • Compatibilidade co protocolo de control de clúster en modo unicast que elimina a necesidade de CCP

Modos de transmisión ou multidifusión:

  • Agora o cifrado do protocolo de control de clústeres está activado de forma predeterminada.
  • Novo modo ClusterXL -Activo/Activo, que admite membros do clúster en diferentes localizacións xeográficas que se atopan en diferentes subredes e teñen diferentes enderezos IP.
  • Compatibilidade con membros do clúster ClusterXL que executan diferentes versións de software.
  • Eliminouse a necesidade de configurar MAC Magic cando varios clústeres están conectados á mesma subrede.

13. VSX

  • Soporte para a actualización de VSX con CPUSE en Gaia Portal.
  • Soporte para o modo Active Up en VSLS.
  • Soporte para informes estatísticos CPView para cada Sistema Virtual

14. Toque ceroUn sinxelo proceso de configuración Plug & Play para instalar un dispositivo, eliminando a necesidade de coñecementos técnicos e ter que conectarse ao dispositivo para a configuración inicial.

15. API REST GaiaA API REST de Gaia ofrece unha nova forma de ler e enviar información aos servidores que executan o sistema operativo Gaia. Ver sk143612.

16. Enrutamento avanzado

  • As melloras en OSPF e BGP permiten restablecer e reiniciar OSPF veciños para cada instancia de Firewall CoreXL sen necesidade de reiniciar o daemon enrutado.
  • Mellorar a actualización de rutas para mellorar o manexo das incoherencias de enrutamento BGP.

17. Novas capacidades do núcleo

  • Núcleo Linux actualizado
  • Novo sistema de partición (gpt):
  • Admite máis de 2 TB de unidades físicas/lóxicas
  • Sistema de ficheiros máis rápido (xfs)
  • Admite almacenamento de sistema máis grande (ata 48 TB probado)
  • Melloras de rendemento relacionadas coa E/S
  • Multi-cola:
  • Compatibilidade total de Gaia Clish para comandos multi-cola
  • Configuración automática "activada por defecto".
  • Soporte de montaxe SMB v2/3 na lámina de acceso móbil
  • Engadiuse compatibilidade con NFSv4 (cliente) (NFS v4.2 é a versión NFS predeterminada utilizada)
  • Soporte de novas ferramentas do sistema para a depuración, monitorización e configuración do sistema

18. Controlador CloudGuard

  • Melloras de rendemento para as conexións a centros de datos externos.
  • Integración con VMware NSX-T.
  • Compatibilidade con comandos de API adicionais para crear e editar obxectos de Data Center Server.

19. Servidor multidominio

  • Fai unha copia de seguridade e restaure un servidor de xestión de dominios individual nun servidor multidominio.
  • Migre un servidor de xestión de dominios nun servidor multidominio a outro de xestión de seguranza multidominio.
  • Migre un servidor de xestión de seguridade para converterse nun servidor de xestión de dominios nun servidor multidominio.
  • Migre un servidor de xestión de dominios para converterse nun servidor de xestión de seguridade.
  • Reverte un dominio nun servidor multidominio ou nun servidor de xestión de seguridade a unha revisión anterior para posterior edición.

20. SmartTasks e API

  • Novo método de autenticación da API de xestión que utiliza unha clave de API xerada automaticamente.
  • Novos comandos da API de xestión para crear obxectos de clúster.
  • A implantación central de Jumbo Hotfix Accumulator e Hotfixes desde SmartConsole ou cunha API permite instalar ou actualizar varias pasarelas e clústeres de seguridade en paralelo.
  • SmartTasks — Configure scripts automáticos ou solicitudes HTTPS desencadeadas por tarefas do administrador, como publicar unha sesión ou instalar unha política.

21. DespregamentoA implantación central de Jumbo Hotfix Accumulator e Hotfixes desde SmartConsole ou cunha API permite instalar ou actualizar varias pasarelas e clústeres de seguridade en paralelo.

22. SmartEventComparte vistas e informes de SmartView con outros administradores.

23. Exportador de rexistrosExportar rexistros filtrados segundo os valores dos campos.

24. Seguridade do punto final

  • Compatibilidade co cifrado BitLocker para o cifrado completo do disco.
  • Soporte para certificados de autoridade de certificación externa para o cliente de Endpoint Security
  • autenticación e comunicación co servidor de xestión de Endpoint Security.
  • Soporte para o tamaño dinámico dos paquetes de Endpoint Security Client en función do seleccionado
  • características para a súa implantación.
  • Agora a política pode controlar o nivel de notificacións aos usuarios finais.
  • Soporte para o contorno VDI persistente na xestión de políticas de punto final.

O que máis nos gustou (en función das tarefas do cliente)

Como podes ver, hai moitas novidades. Pero para nós, como para integrador de sistemas, hai varios puntos moi interesantes (que tamén son interesantes para os nosos clientes). O noso top 10:

  1. Finalmente, apareceu o soporte total para dispositivos IoT. Xa é bastante difícil atopar unha empresa que non teña este tipo de dispositivos.
  2. A inspección TLS colócase agora nunha capa separada (Capa). É moito máis cómodo que agora (ás 80.30). Non máis executar o antigo Legasy Dashboard. Ademais, agora podes usar obxectos actualizables na política de inspección HTTPS, como servizos de Office365, Google, Azure, AWS, etc. Isto é moi cómodo cando necesitas configurar excepcións. Non obstante, aínda non hai soporte para tls 1.3. Ao parecer, "poranse ao día" coa seguinte corrección.
  3. Cambios significativos para Anti-Virus e SandBlast. Agora podes comprobar protocolos como SCP, SFTP e SMBv3 (por certo, xa ninguén pode comprobar este protocolo multicanle).
  4. Hai moitas melloras en relación coa VPN de sitio a sitio. Agora podes configurar varios dominios VPN nunha pasarela que forma parte de varias comunidades VPN. É moi cómodo e moito máis seguro. Ademais, Check Point finalmente recordou Route Based VPN e mellorou lixeiramente a súa estabilidade/compatibilidade.
  5. Apareceu unha función moi popular para usuarios remotos. Agora podes autenticar non só o usuario, senón tamén o dispositivo desde o que se conecta. Por exemplo, queremos permitir conexións VPN só desde dispositivos corporativos. Isto faise, por suposto, coa axuda de certificados. Tamén é posible montar automaticamente (SMB v2/3) recursos compartidos de ficheiros para usuarios remotos cun cliente VPN.
  6. Hai moitos cambios no funcionamento do clúster. Pero quizais un dos máis interesantes sexa a posibilidade de operar un clúster onde as pasarelas teñan diferentes versións de Gaia. Isto é conveniente ao planificar unha actualización.
  7. Capacidades Zero Touch melloradas. Unha cousa útil para aqueles que adoitan instalar pasarelas "pequenas" (por exemplo, para caixeiros automáticos).
  8. Para os rexistros, agora é compatible o almacenamento de ata 48 TB.
  9. Podes compartir os teus paneis de SmartEvent con outros administradores.
  10. Log Exporter agora permítelle filtrar previamente as mensaxes enviadas usando os campos obrigatorios. Eses. Só se transmitirán aos seus sistemas SIEM os rexistros e eventos necesarios

Actualizar

Quizais moitos xa estean pensando en actualizar. Non hai que apresurarse. Para comezar, a versión 80.40 debe pasar á dispoñibilidade xeral. Pero mesmo despois diso, non deberías actualizar inmediatamente. É mellor esperar polo menos polo primeiro hotfix.
Quizais moitos estean "sentados" en versións antigas. Podo dicir que como mínimo xa é posible (e incluso necesario) actualizar a 80.30. Este xa é un sistema estable e comprobado!

Tamén podes subscribirte ás nosas páxinas públicas (Telegrama, Facebook, VK, Blog de solucións TS), onde podes seguir a aparición de novos materiais en Check Point e outros produtos de seguridade.

Só os usuarios rexistrados poden participar na enquisa. Rexístrate, por favor.

Que versión de Gaia estás usando?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Outra

Votaron 13 usuarios. 6 usuarios abstivéronse.

Fonte: www.habr.com

Engadir un comentario