ProHoster > blog > administrasi > Periksa Titik Gaia R80.40. Apa yang baru?

Periksa Titik Gaia R80.40. Apa yang baru?

Periksa Titik Gaia R80.40. Apa yang baru?

Rilis sistem operasi berikutnya semakin dekat Gaia R80.40. Beberapa minggu yang lalu Program Akses Awal dimulai, di mana Anda dapat mengakses untuk menguji distribusi. Seperti biasa, kami mempublikasikan informasi tentang apa yang baru, dan juga menyoroti poin-poin yang paling menarik dari sudut pandang kami. Ke depan, saya dapat mengatakan bahwa inovasi ini sangat signifikan. Oleh karena itu, ada baiknya mempersiapkan prosedur pembaruan awal. Sebelumnya kita sudah melakukannya menerbitkan sebuah artikel tentang cara melakukan ini (untuk informasi lebih lanjut, silakan kunjungi hubungi di sini). Mari kita masuk ke topik...

Yang Baru

Mari kita lihat inovasi yang diumumkan secara resmi di sini. Informasi diambil dari situs Periksa Teman (komunitas Check Point resmi). Dengan izin Anda, saya tidak akan menerjemahkan teks ini, untungnya pembaca Habr mengizinkannya. Sebaliknya, saya akan meninggalkan komentar saya untuk bab berikutnya.

1. Keamanan IoT. Fitur baru terkait Internet of Things

  • Kumpulkan perangkat IoT dan atribut lalu lintas dari mesin penemuan IoT bersertifikat (saat ini mendukung Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM, dan Armis).
  • Konfigurasikan Lapisan Kebijakan khusus IoT baru dalam manajemen kebijakan.
  • Konfigurasikan dan kelola aturan keamanan yang didasarkan pada atribut perangkat IoT.

2. Inspeksi TLSHTTP / 2:

  • HTTP/2 adalah pembaruan pada protokol HTTP. Pembaruan tersebut memberikan peningkatan pada kecepatan, efisiensi, dan keamanan serta menghasilkan pengalaman pengguna yang lebih baik.
  • Gerbang Keamanan Check Point kini mendukung HTTP/2 dan memberikan kecepatan dan efisiensi yang lebih baik sekaligus mendapatkan keamanan penuh, dengan semua bilah Pencegahan Ancaman dan Kontrol Akses, serta perlindungan baru untuk protokol HTTP/2.
  • Dukungan untuk lalu lintas yang jelas dan terenkripsi SSL dan sepenuhnya terintegrasi dengan HTTPS/TLS
  • Kemampuan inspeksi.

Lapisan Inspeksi TLS. Inovasi mengenai inspeksi HTTPS:

  • Lapisan Kebijakan baru di SmartConsole yang didedikasikan untuk Inspeksi TLS.
  • Lapisan Inspeksi TLS yang berbeda dapat digunakan dalam paket kebijakan yang berbeda.
  • Berbagi lapisan Inspeksi TLS di beberapa paket kebijakan.
  • API untuk operasi TLS.

3. Pencegahan Ancaman

  • Peningkatan efisiensi secara keseluruhan untuk proses dan pembaruan Pencegahan Ancaman.
  • Pembaruan otomatis pada Mesin Ekstraksi Ancaman.
  • Objek Dinamis, Domain, dan Dapat Diperbarui kini dapat digunakan dalam kebijakan Pencegahan Ancaman dan Inspeksi TLS. Objek yang dapat diperbarui adalah objek jaringan yang mewakili layanan eksternal atau daftar alamat IP dinamis yang diketahui, misalnya - alamat IP Office365/Google/Azure/AWS dan objek Geo.
  • Anti-Virus sekarang menggunakan indikasi ancaman SHA-1 dan SHA-256 untuk memblokir file berdasarkan hashnya. Impor indikator baru dari tampilan SmartConsole Threat Indicators atau CLI Feed Custom Intelligence.
  • Anti-Virus dan Emulasi Ancaman SandBlast kini mendukung pemeriksaan lalu lintas email melalui protokol POP3, serta peningkatan pemeriksaan lalu lintas email melalui protokol IMAP.
  • Emulasi Ancaman Anti-Virus dan SandBlast kini menggunakan fitur inspeksi SSH yang baru diperkenalkan untuk memeriksa file yang ditransfer melalui protokol SCP dan SFTP.
  • Anti-Virus dan Emulasi Ancaman SandBlast kini memberikan dukungan yang lebih baik untuk inspeksi SMBv3 (3.0, 3.0.2, 3.1.1), yang mencakup pemeriksaan koneksi multi-saluran. Check Point kini menjadi satu-satunya vendor yang mendukung pemeriksaan transfer file melalui berbagai saluran (fitur yang aktif secara default di semua lingkungan Windows). Hal ini memungkinkan pelanggan untuk tetap aman saat bekerja dengan fitur peningkatan kinerja ini.

4. Kesadaran Identitas

  • Dukungan untuk integrasi Captive Portal dengan SAML 2.0 dan Penyedia Identitas pihak ketiga.
  • Dukungan untuk Identity Broker untuk berbagi informasi identitas yang terukur dan terperinci antar PDP, serta berbagi lintas domain.
  • Peningkatan pada Agen Server Terminal untuk penskalaan dan kompatibilitas yang lebih baik.

5.IPsec VPN

  • Konfigurasikan domain enkripsi VPN yang berbeda pada Gateway Keamanan yang merupakan anggota dari beberapa komunitas VPN. Ini menyediakan:
  • Peningkatan privasi — Jaringan internal tidak diungkapkan dalam negosiasi protokol IKE.
  • Peningkatan keamanan dan granularitas — Tentukan jaringan mana yang dapat diakses di komunitas VPN tertentu.
  • Peningkatan interoperabilitas — Definisi VPN berbasis rute yang disederhanakan (disarankan bila Anda bekerja dengan domain enkripsi VPN yang kosong).
  • Buat dan bekerja secara lancar dengan lingkungan VPN Skala Besar (LSV) dengan bantuan profil LSV.

6. Pemfilteran URL

  • Peningkatan skalabilitas dan ketahanan.
  • Kemampuan pemecahan masalah yang diperluas.

7.NAT

  • Mekanisme alokasi port NAT yang ditingkatkan — pada Security Gateway dengan 6 atau lebih instans CoreXL Firewall, semua instans menggunakan kumpulan port NAT yang sama, yang mengoptimalkan pemanfaatan dan penggunaan kembali port.
  • Pemantauan pemanfaatan port NAT di CPView dan dengan SNMP.

8. Suara melalui IP (VoIP)Beberapa instans CoreXL Firewall menangani protokol SIP untuk meningkatkan kinerja.

9. VPN Akses Jarak JauhGunakan sertifikat mesin untuk membedakan antara aset korporat dan non-korporat dan untuk menetapkan kebijakan yang memberlakukan penggunaan aset korporat saja. Penegakan dapat dilakukan sebelum masuk (hanya autentikasi perangkat) atau pasca masuk (autentikasi perangkat dan pengguna).

10. Agen Portal Akses SelulerPeningkatan Keamanan Endpoint sesuai Permintaan dalam Agen Portal Akses Seluler untuk mendukung semua browser web utama. Untuk informasi lebih lanjut, lihat sk113410.

11.CoreXL dan Multi-Antrian

  • Dukungan untuk alokasi otomatis instans CoreXL SND dan Firewall yang tidak memerlukan reboot Security Gateway.
  • Pengalaman siap pakai yang ditingkatkan — Security Gateway secara otomatis mengubah jumlah CoreXL SND dan instans Firewall serta konfigurasi Multi-Antrian berdasarkan beban lalu lintas saat ini.

12. Pengelompokan

  • Dukungan untuk Cluster Control Protocol dalam mode Unicast yang menghilangkan kebutuhan akan CCP

Mode siaran atau Multicast:

  • Enkripsi Cluster Control Protocol sekarang diaktifkan secara default.
  • Mode ClusterXL baru -Aktif/Aktif, yang mendukung Anggota Cluster di lokasi geografis berbeda yang terletak di subnet berbeda dan memiliki alamat IP berbeda.
  • Dukungan untuk Anggota Cluster ClusterXL yang menjalankan versi perangkat lunak berbeda.
  • Menghilangkan kebutuhan konfigurasi MAC Magic ketika beberapa cluster terhubung ke subnet yang sama.

13. VSX

  • Dukungan untuk peningkatan VSX dengan CPUSE di Portal Gaia.
  • Dukungan untuk mode Aktif di VSLS.
  • Dukungan untuk laporan statistik CPView untuk setiap Sistem Virtual

14. Nol SentuhanProses penyiapan Plug & Play yang sederhana untuk memasang peralatan — menghilangkan kebutuhan akan keahlian teknis dan harus terhubung ke peralatan untuk konfigurasi awal.

15.API REST GaiaGaia REST API menyediakan cara baru untuk membaca dan mengirim informasi ke server yang menjalankan Sistem Operasi Gaia. Lihat sk143612.

16. Perutean Lanjutan

  • Penyempurnaan pada OSPF dan BGP memungkinkan untuk mengatur ulang dan memulai ulang OSPF tetangga untuk setiap instans CoreXL Firewall tanpa perlu memulai ulang daemon yang dirutekan.
  • Meningkatkan penyegaran rute untuk meningkatkan penanganan inkonsistensi perutean BGP.

17. Kemampuan kernel baru

  • Kernel Linux yang ditingkatkan
  • Sistem partisi baru (gpt):
  • Mendukung lebih dari 2TB drive fisik/logis
  • Sistem file lebih cepat (xfs)
  • Mendukung penyimpanan sistem yang lebih besar (diuji hingga 48 TB)
  • Peningkatan kinerja terkait I/O
  • Multi-Antrian:
  • Dukungan penuh Gaia Clish untuk perintah Multi-Antrian
  • Konfigurasi otomatis “diaktifkan secara default”.
  • Dukungan pemasangan SMB v2/3 di bilah Akses Seluler
  • Menambahkan dukungan NFSv4 (klien) (NFS v4.2 adalah versi NFS default yang digunakan)
  • Dukungan alat sistem baru untuk debugging, pemantauan dan konfigurasi sistem

18. Pengontrol CloudGuard

  • Peningkatan kinerja untuk koneksi ke Pusat Data eksternal.
  • Integrasi dengan VMware NSX-T.
  • Dukungan untuk perintah API tambahan untuk membuat dan mengedit objek Server Pusat Data.

19. Server Multi-Domain

  • Cadangkan dan pulihkan Server Manajemen Domain individual di Server Multi-Domain.
  • Migrasi Server Manajemen Domain di satu Server Multi-Domain ke Manajemen Keamanan Multi-Domain yang berbeda.
  • Migrasi Server Manajemen Keamanan menjadi Server Manajemen Domain di Server Multi-Domain.
  • Migrasi Server Manajemen Domain menjadi Server Manajemen Keamanan.
  • Kembalikan Domain di Server Multi-Domain, atau Server Manajemen Keamanan ke revisi sebelumnya untuk pengeditan lebih lanjut.

20. SmartTask dan API

  • Metode autentikasi API Manajemen baru yang menggunakan Kunci API yang dibuat secara otomatis.
  • Perintah API Manajemen baru untuk membuat objek cluster.
  • Penerapan Sentral Akumulator dan Perbaikan Terbaru Jumbo dari SmartConsole atau dengan API memungkinkan untuk menginstal atau meningkatkan beberapa Gateway dan Klaster Keamanan secara paralel.
  • SmartTasks — Mengonfigurasi skrip otomatis atau permintaan HTTPS yang dipicu oleh tugas administrator, seperti memublikasikan sesi atau menginstal kebijakan.

21. PenerapanPenerapan Sentral Akumulator dan Perbaikan Terbaru Jumbo dari SmartConsole atau dengan API memungkinkan untuk menginstal atau meningkatkan beberapa Gateway dan Klaster Keamanan secara paralel.

22. Acara CerdasBagikan tampilan dan laporan SmartView dengan administrator lain.

23.Pengekspor LogEkspor log difilter menurut nilai bidang.

24. Keamanan Titik Akhir

  • Dukungan untuk enkripsi BitLocker untuk Enkripsi Disk Penuh.
  • Dukungan untuk sertifikat Otoritas Sertifikat eksternal untuk klien Keamanan Titik Akhir
  • autentikasi dan komunikasi dengan Server Manajemen Keamanan Titik Akhir.
  • Dukungan untuk ukuran dinamis paket Klien Keamanan Titik Akhir berdasarkan yang dipilih
  • fitur untuk penerapan.
  • Kebijakan kini dapat mengontrol tingkat notifikasi kepada pengguna akhir.
  • Dukungan untuk lingkungan VDI yang Persisten dalam Manajemen Kebijakan Titik Akhir.

Apa yang paling kami sukai (berdasarkan tugas pelanggan)

Seperti yang Anda lihat, ada banyak inovasi. Tapi bagi kami, untuk pengintegrasi sistem, ada beberapa poin yang sangat menarik (yang juga menarik bagi klien kami). 10 Teratas kami:

  1. Akhirnya, dukungan penuh untuk perangkat IoT telah muncul. Cukup sulit menemukan perusahaan yang tidak memiliki perangkat seperti itu.
  2. Pemeriksaan TLS sekarang ditempatkan pada lapisan tersendiri (Layer). Jauh lebih nyaman daripada sekarang (pukul 80.30). Tidak perlu lagi menjalankan Dasbor Legacy yang lama. Selain itu, kini Anda dapat menggunakan objek yang Dapat Diperbarui dalam kebijakan inspeksi HTTPS, seperti layanan Office365, Google, Azure, AWS, dll. Ini sangat berguna ketika Anda perlu menyiapkan pengecualian. Namun, masih belum ada dukungan untuk tls 1.3. Tampaknya mereka akan “mengejar” perbaikan terbaru berikutnya.
  3. Perubahan signifikan untuk Anti-Virus dan SandBlast. Sekarang Anda dapat memeriksa protokol seperti SCP, SFTP dan SMBv3 (omong-omong, tidak ada lagi yang dapat memeriksa protokol multi-saluran ini).
  4. Ada banyak perbaikan terkait Site-to-Site VPN. Sekarang Anda dapat mengkonfigurasi beberapa domain VPN pada gateway yang merupakan bagian dari beberapa komunitas VPN. Ini sangat nyaman dan lebih aman. Selain itu, Check Point akhirnya mengingat VPN Berbasis Rute dan sedikit meningkatkan stabilitas/kompatibilitasnya.
  5. Sebuah fitur yang sangat populer untuk pengguna jarak jauh telah muncul. Sekarang Anda tidak hanya dapat mengautentikasi pengguna, tetapi juga perangkat yang terhubung dengannya. Misalnya, kami ingin mengizinkan koneksi VPN hanya dari perangkat perusahaan. Hal ini tentu saja dilakukan dengan bantuan sertifikat. Dimungkinkan juga untuk memasang berbagi file (SMB v2/3) secara otomatis untuk pengguna jarak jauh dengan klien VPN.
  6. Ada banyak perubahan dalam pengoperasian cluster. Namun mungkin salah satu yang paling menarik adalah kemungkinan mengoperasikan cluster yang gatewaynya memiliki versi Gaia yang berbeda. Ini berguna saat merencanakan pembaruan.
  7. Peningkatan kemampuan Zero Touch. Suatu hal yang berguna bagi mereka yang sering memasang gateway “kecil” (misalnya untuk ATM).
  8. Untuk log, penyimpanan hingga 48 TB kini didukung.
  9. Anda dapat membagikan dasbor SmartEvent Anda dengan administrator lain.
  10. Pengekspor Log sekarang memungkinkan Anda melakukan pra-filter pesan terkirim menggunakan bidang yang wajib diisi. Itu. Hanya log dan peristiwa yang diperlukan yang akan dikirimkan ke sistem SIEM Anda

Memperbarui

Mungkin banyak yang sudah berpikir untuk memperbarui. Tidak perlu terburu-buru. Untuk memulainya, versi 80.40 harus dipindahkan ke Ketersediaan Umum. Tetapi bahkan setelah itu, Anda tidak boleh langsung memperbaruinya. Lebih baik menunggu setidaknya perbaikan terbaru pertama.
Mungkin banyak yang “duduk” di versi lama. Saya dapat mengatakan bahwa setidaknya sudah mungkin (dan bahkan perlu) untuk memperbarui ke 80.30. Ini sudah merupakan sistem yang stabil dan terbukti!

Anda juga dapat berlangganan halaman publik kami (Telegram, Facebook, VK, Blog Solusi TS), dimana Anda dapat mengikuti kemunculan material baru di Check Point dan produk keamanan lainnya.

Hanya pengguna terdaftar yang dapat berpartisipasi dalam survei. Masuk, silakan.

Versi Gaia apa yang Anda gunakan?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Lainnya

13 pengguna memilih. 6 pengguna abstain.

Sumber: www.habr.com

Tambah komentar