ProHoster > Blog > uprava > Check Point Gaia 80.40 kn. Što ima novog?

Check Point Gaia 80.40 kn. Što ima novog?

Check Point Gaia 80.40 kn. Što ima novog?

Bliži se sljedeće izdanje operativnog sustava Gaia 80.40 kn. Prije nekoliko tjedana Pokrenut je program ranog pristupa, gdje možete pristupiti testiranju distribucije. Kao i obično, objavljujemo informacije o tome što je novo, a također ističemo točke koje su najzanimljivije s naše točke gledišta. Gledajući unaprijed, mogu reći da su inovacije doista značajne. Stoga se vrijedi pripremiti za rani postupak ažuriranja. Ranije smo već objavio članak o tome kako to učiniti (za više informacija posjetite kontaktirajte ovdje). Idemo na temu...

Što ima novoga

Pogledajmo službeno najavljene inovacije ovdje. Informacije preuzete sa stranice Provjerite Mates (službena Check Point zajednica). Uz vaše dopuštenje, neću prevoditi ovaj tekst, srećom publika Habra to dopušta. Umjesto toga, ostavit ću svoje komentare za sljedeće poglavlje.

1. Sigurnost interneta stvari. Nove značajke povezane s Internetom stvari

  • Prikupite IoT uređaje i atribute prometa iz certificiranih IoT mehanizama za otkrivanje (trenutačno podržava Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM i Armis).
  • Konfigurirajte novi IoT namjenski sloj pravila u upravljanju pravilima.
  • Konfigurirajte i upravljajte sigurnosnim pravilima koja se temelje na atributima IoT uređaja.

2.TLS inspekcijaHTTP/2:

  • HTTP/2 je ažuriranje HTTP protokola. Ažuriranje pruža poboljšanja brzine, učinkovitosti i sigurnosti te rezultira boljim korisničkim iskustvom.
  • Sigurnosni pristupnik Check Pointa sada podržava HTTP/2 i koristi bolju brzinu i učinkovitost dok dobiva potpunu sigurnost, sa svim oštricama za sprječavanje prijetnji i kontrolu pristupa, kao i nove zaštite za HTTP/2 protokol.
  • Podrška je za čisti i SSL šifrirani promet i potpuno je integrirana s HTTPS/TLS
  • Mogućnosti inspekcije.

Sloj inspekcije TLS-a. Inovacije vezane uz HTTPS inspekciju:

  • Novi sloj pravila u SmartConsole posvećen TLS inspekciji.
  • Različiti slojevi TLS inspekcije mogu se koristiti u različitim paketima pravila.
  • Dijeljenje sloja TLS inspekcije u više paketa pravila.
  • API za TLS operacije.

3. Prevencija prijetnji

  • Sveukupno poboljšanje učinkovitosti za procese i ažuriranja sprječavanja prijetnji.
  • Automatska ažuriranja Threat Extraction Enginea.
  • Dinamički objekti, objekti domene i objekti koji se mogu ažurirati sada se mogu koristiti u politikama sprječavanja prijetnji i TLS inspekcije. Objekti koji se mogu ažurirati mrežni su objekti koji predstavljaju vanjsku uslugu ili poznati dinamički popis IP adresa, na primjer – IP adrese Office365 / Google / Azure / AWS i Geo objekti.
  • Zaštita od virusa sada koristi SHA-1 i SHA-256 indikacije prijetnji za blokiranje datoteka na temelju njihovih hashova. Uvezite nove indikatore iz prikaza SmartConsole Threat Indicators ili Custom Intelligence Feed CLI.
  • Anti-Virus i SandBlast Threat Emulation sada podržavaju inspekciju prometa e-pošte preko POP3 protokola, kao i poboljšanu inspekciju prometa e-pošte preko IMAP protokola.
  • Anti-Virus i SandBlast Threat Emulation sada koriste novouvedenu značajku SSH inspekcije za pregled datoteka prenesenih preko SCP i SFTP protokola.
  • Anti-Virus i SandBlast Threat Emulation sada pružaju poboljšanu podršku za SMBv3 inspekciju (3.0, 3.0.2, 3.1.1), koja uključuje inspekciju višekanalnih veza. Check Point je sada jedini dobavljač koji podržava pregled prijenosa datoteka kroz više kanala (značajka koja je standardno uključena u svim Windows okruženjima). To korisnicima omogućuje da ostanu sigurni dok rade s ovom značajkom za poboljšanje performansi.

4. Svijest o identitetu

  • Podrška za integraciju Captive Portala sa SAML 2.0 i pružateljima identiteta treće strane.
  • Podrška za Identity Broker za skalabilno i granularno dijeljenje informacija o identitetu između PDP-ova, kao i dijeljenje među domenama.
  • Poboljšanja agenta terminalskih poslužitelja za bolje skaliranje i kompatibilnost.

5. IPsec VPN

  • Konfigurirajte različite domene VPN enkripcije na sigurnosnom pristupniku koji je član više VPN zajednica. Ovo osigurava:
  • Poboljšana privatnost — Interne mreže se ne otkrivaju u pregovorima IKE protokola.
  • Poboljšana sigurnost i granularnost — odredite koje su mreže dostupne u određenoj VPN zajednici.
  • Poboljšana interoperabilnost — Pojednostavljene definicije VPN-a temeljene na ruti (preporučuje se kada radite s praznom VPN enkripcijskom domenom).
  • Kreirajte Large Scale VPN (LSV) okruženje i besprijekorno radite s njim uz pomoć LSV profila.

6. URL filtriranje

  • Poboljšana skalabilnost i otpornost.
  • Proširene mogućnosti rješavanja problema.

7.NAT

  • Poboljšani mehanizam dodjele NAT portova — na sigurnosnim pristupnicima sa 6 ili više instanci CoreXL vatrozida, sve instance koriste isti skup NAT portova, što optimizira korištenje i ponovnu upotrebu porta.
  • Praćenje korištenja NAT porta u CPView-u i sa SNMP-om.

8. Glas preko IP-a (VoIP)Višestruke instance CoreXL vatrozida rukuju SIP protokolom za poboljšanje performansi.

9. VPN s udaljenim pristupomUpotrijebite strojni certifikat za razlikovanje korporativnih i nekorporativnih sredstava i za postavljanje politike koja nameće korištenje samo korporativnih sredstava. Provedba može biti prije prijave (samo provjera autentičnosti uređaja) ili nakon prijave (provjera autentičnosti uređaja i korisnika).

10. Agent portala mobilnog pristupaPoboljšana sigurnost krajnjih točaka na zahtjev unutar Mobile Access Portal Agenta za podršku svim glavnim web preglednicima. Za više informacija pogledajte sk113410.

11.CoreXL i Multi-Queue

  • Podrška za automatsku dodjelu CoreXL SND-ova i instanci vatrozida koja ne zahtijeva ponovno pokretanje sigurnosnog pristupnika.
  • Poboljšano iskustvo izvan kutije — Sigurnosni pristupnik automatski mijenja broj CoreXL SND-ova i instanci vatrozida i konfiguraciju s više reda čekanja na temelju trenutnog opterećenja prometa.

12. Grupiranje

  • Podrška za Cluster Control Protocol u Unicast modu koji eliminira potrebu za CCP

Broadcast ili Multicast načini rada:

  • Šifriranje protokola kontrole klastera sada je omogućeno prema zadanim postavkama.
  • Novi način rada ClusterXL - Aktivan/Aktivan, koji podržava članove klastera na različitim geografskim lokacijama koji se nalaze na različitim podmrežama i imaju različite IP adrese.
  • Podrška za članove klastera ClusterXL koji pokreću različite verzije softvera.
  • Eliminirana je potreba za MAC Magic konfiguracijom kada je nekoliko klastera spojeno na istu podmrežu.

13. VSX

  • Podrška za VSX nadogradnju s CPUSE u Gaia Portalu.
  • Podrška za Active Up mod u VSLS-u.
  • Podrška za CPView statistička izvješća za svaki virtualni sustav

14. Nulti dodirJednostavan Plug & Play postupak postavljanja za instaliranje uređaja — eliminira potrebu za tehničkom stručnošću i povezivanje s uređajem za početnu konfiguraciju.

15. Gaia REST APIGaia REST API pruža novi način čitanja i slanja informacija poslužiteljima koji pokreću operativni sustav Gaia. Vidi sk143612.

16. Napredno usmjeravanje

  • Poboljšanja OSPF-a i BGP-a dopuštaju resetiranje i ponovno pokretanje susjednog OSPF-a za svaku instancu CoreXL vatrozida bez potrebe za ponovnim pokretanjem rutiranog demona.
  • Poboljšano osvježavanje rute za poboljšano rukovanje nedosljednostima BGP usmjeravanja.

17. Nove mogućnosti jezgre

  • Nadograđen Linux kernel
  • Novi sustav particioniranja (gpt):
  • Podržava više od 2TB fizičkih/logičkih diskova
  • Brži datotečni sustav (xfs)
  • Podržava veću sistemsku pohranu (testirano do 48 TB)
  • Poboljšanja performansi povezanih s I/O
  • Višestruki red čekanja:
  • Potpuna podrška za Gaia Clish za naredbe s više reda čekanja
  • Automatska konfiguracija "uključeno prema zadanim postavkama".
  • Podrška za montiranje SMB v2/3 u bladeu Mobile Access
  • Dodana podrška za NFSv4 (klijent) (NFS v4.2 je zadana verzija NFS-a koja se koristi)
  • Podrška novih sistemskih alata za ispravljanje pogrešaka, praćenje i konfiguriranje sustava

18. CloudGuard kontroler

  • Poboljšanja performansi za veze s vanjskim podatkovnim centrima.
  • Integracija s VMware NSX-T.
  • Podrška za dodatne API naredbe za stvaranje i uređivanje objekata poslužitelja podatkovnog centra.

19. Poslužitelj s više domena

  • Izradite sigurnosnu kopiju i vratite pojedinačni poslužitelj za upravljanje domenom na poslužitelj s više domena.
  • Migrirajte poslužitelj za upravljanje domenom na jednom poslužitelju s više domena na drugi sustav upravljanja sigurnošću s više domena.
  • Migrirajte poslužitelj za upravljanje sigurnošću da postane poslužitelj za upravljanje domenom na poslužitelju s više domena.
  • Migrirajte poslužitelj za upravljanje domenom da postane poslužitelj za upravljanje sigurnošću.
  • Vratite domenu na poslužitelju s više domena ili poslužitelju za upravljanje sigurnošću na prethodnu reviziju za daljnje uređivanje.

20. SmartTasks i API

  • Nova metoda provjere autentičnosti API-ja za upravljanje koja koristi automatski generirani API ključ.
  • Nove naredbe API-ja za upravljanje za stvaranje objekata klastera.
  • Centralna implementacija Jumbo hitnih popravaka akumulatora i hitnih popravaka sa SmartConsole ili s API-jem omogućuje paralelnu instalaciju ili nadogradnju više sigurnosnih pristupnika i klastera.
  • SmartTasks — Konfigurirajte automatske skripte ili HTTPS zahtjeve koje pokreću administratorski zadaci, kao što je objavljivanje sesije ili instaliranje pravila.

21. RaspoređivanjeCentralna implementacija Jumbo hitnih popravaka akumulatora i hitnih popravaka sa SmartConsole ili s API-jem omogućuje paralelnu instalaciju ili nadogradnju više sigurnosnih pristupnika i klastera.

22. SmartEventDijelite SmartView prikaze i izvješća s drugim administratorima.

23.Log ExporterIzvezi zapisnike filtrirane prema vrijednostima polja.

24. Sigurnost krajnje točke

  • Podrška za BitLocker enkripciju za šifriranje cijelog diska.
  • Podrška za vanjske certifikate tijela za izdavanje certifikata za klijenta Endpoint Security
  • autentifikaciju i komunikaciju s Endpoint Security Management Serverom.
  • Podrška za dinamičku veličinu paketa Endpoint Security Client na temelju odabranog
  • značajke za implementaciju.
  • Politika sada može kontrolirati razinu obavijesti krajnjim korisnicima.
  • Podrška za Persistent VDI okruženje u Endpoint Policy Managementu.

Što nam se najviše svidjelo (na temelju zadataka korisnika)

Kao što vidite, postoji mnogo inovacija. Ali za nas, što se tiče integrator sustava, postoji nekoliko vrlo zanimljivih točaka (koje su zanimljive i našim klijentima). Naših 10 najboljih:

  1. Konačno se pojavila puna podrška za IoT uređaje. Već je prilično teško pronaći tvrtku koja nema takve uređaje.
  2. TLS inspekcija je sada smještena u poseban sloj (Layer). Puno je povoljnije nego sada (kod 80.30). Nema više pokretanja stare Legasy nadzorne ploče. Osim toga, sada možete koristiti objekte koji se mogu ažurirati u politici HTTPS inspekcije, kao što su usluge Office365, Google, Azure, AWS itd. Ovo je vrlo zgodno kada trebate postaviti iznimke. Međutim, još uvijek nema podrške za tls 1.3. Očito će se "nadoknaditi" sa sljedećim hitnim popravkom.
  3. Značajne promjene za Anti-Virus i SandBlast. Sada možete provjeriti protokole kao što su SCP, SFTP i SMBv3 (usput, nitko više ne može provjeriti ovaj višekanalni protokol).
  4. Mnogo je poboljšanja u vezi Site-to-Site VPN-a. Sada možete konfigurirati nekoliko VPN domena na pristupniku koji je dio nekoliko VPN zajednica. Vrlo je zgodno i mnogo sigurnije. Osim toga, Check Point se konačno sjetio Route Based VPN-a i malo poboljšao njegovu stabilnost/kompatibilnost.
  5. Pojavila se vrlo popularna značajka za udaljene korisnike. Sada možete autentificirati ne samo korisnika, već i uređaj s kojeg se povezuje. Na primjer, želimo dopustiti VPN veze samo s korporativnih uređaja. To se radi, naravno, uz pomoć certifikata. Također je moguće automatski montirati (SMB v2/3) dijeljenje datoteka za udaljene korisnike s VPN klijentom.
  6. Puno je promjena u radu klastera. Ali možda jedan od najzanimljivijih je mogućnost rada klastera gdje gatewayi imaju različite verzije Gaie. Ovo je zgodno kada planirate ažuriranje.
  7. Poboljšane mogućnosti Zero Toucha. Korisna stvar za one koji često instaliraju "male" pristupnike (na primjer, za bankomate).
  8. Za zapisnike je sada podržana pohrana do 48 TB.
  9. Svoje SmartEvent nadzorne ploče možete dijeliti s drugim administratorima.
  10. Log Exporter vam sada omogućuje prethodno filtriranje poslanih poruka pomoću obaveznih polja. Oni. Samo potrebni zapisnici i događaji bit će preneseni u vaše SIEM sustave

Ažurirati

Možda mnogi već razmišljaju o ažuriranju. Nema potrebe za žurbom. Za početak, verzija 80.40 mora prijeći na opću dostupnost. Ali čak i nakon toga, ne biste trebali odmah ažurirati. Bolje je pričekati barem prvi hitni popravak.
Možda mnogi "sjede" na starijim verzijama. Mogu reći da je barem već moguće (pa čak i potrebno) ažurirati na 80.30. Ovo je već stabilan i provjeren sustav!

Također se možete pretplatiti na naše javne stranice (Telegram, Facebook, VK, Blog o TS rješenjima), gdje možete pratiti pojavu novih materijala o Check Pointu i drugim sigurnosnim proizvodima.

U anketi mogu sudjelovati samo registrirani korisnici. Prijaviti se, molim.

Koju verziju Gaie koristite?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • drugo

Glasovalo je 13 korisnika. Suzdržano je bilo 6 korisnika.

Izvor: www.habr.com

Dodajte komentar