ProHoster > blog > amministrazione > Check Point Gaia R80.40. Cosa c'è di nuovo?

Check Point Gaia R80.40. Cosa c'è di nuovo?

Check Point Gaia R80.40. Cosa c'è di nuovo?

La prossima versione del sistema operativo si avvicina Gaia R80.40. Poche settimane fa È iniziato il programma di accesso anticipato, a cui è possibile accedere per testare la distribuzione. Come di consueto pubblichiamo informazioni sulle novità ed evidenziamo anche i punti che sono più interessanti dal nostro punto di vista. Guardando al futuro, posso dire che le novità sono davvero significative. Pertanto, vale la pena prepararsi per una procedura di aggiornamento anticipato. In precedenza lo abbiamo già ha pubblicato un articolo su come eseguire questa operazione (per ulteriori informazioni, visitare il sito contattare qui). Veniamo all'argomento...

Cosa c'è di nuovo

Diamo un'occhiata alle novità ufficialmente annunciate qui. Informazioni prese dal sito Controlla accoppiamenti (comunità ufficiale Check Point). Con il tuo permesso, non tradurrò questo testo, fortunatamente il pubblico Habr lo consente. Lascerò invece i miei commenti per il prossimo capitolo.

1. Sicurezza dell'IoT. Nuove funzionalità legate all'Internet delle cose

  • Raccogli dispositivi IoT e attributi del traffico da motori di rilevamento IoT certificati (attualmente supporta Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM e Armis).
  • Configura un nuovo livello di policy dedicato all'IoT nella gestione delle policy.
  • Configura e gestisci le regole di sicurezza basate sugli attributi dei dispositivi IoT.

2.Ispezione TLSHTTP / 2:

  • HTTP/2 è un aggiornamento del protocollo HTTP. L'aggiornamento fornisce miglioramenti in termini di velocità, efficienza e sicurezza e risultati con una migliore esperienza utente.
  • Il Security Gateway di Check Point ora supporta HTTP/2 e beneficia di maggiore velocità ed efficienza, garantendo allo stesso tempo la massima sicurezza, con tutti i blade di prevenzione delle minacce e controllo degli accessi, nonché nuove protezioni per il protocollo HTTP/2.
  • Il supporto è sia per il traffico in chiaro che per quello crittografato SSL ed è completamente integrato con HTTPS/TLS
  • Capacità di ispezione.

Livello di ispezione TLS. Innovazioni riguardanti l'ispezione HTTPS:

  • Un nuovo livello di policy in SmartConsole dedicato all'ispezione TLS.
  • È possibile utilizzare diversi livelli di ispezione TLS in diversi pacchetti di policy.
  • Condivisione di un livello di ispezione TLS tra più pacchetti di policy.
  • API per operazioni TLS.

3. Prevenzione delle minacce

  • Miglioramento dell'efficienza complessiva per i processi e gli aggiornamenti di prevenzione delle minacce.
  • Aggiornamenti automatici al Threat Extraction Engine.
  • Gli oggetti dinamici, di dominio e aggiornabili possono ora essere utilizzati nelle policy di prevenzione delle minacce e di ispezione TLS. Gli oggetti aggiornabili sono oggetti di rete che rappresentano un servizio esterno o un elenco dinamico noto di indirizzi IP, ad esempio: indirizzi IP Office365/Google/Azure/AWS e oggetti Geo.
  • Anti-Virus ora utilizza le indicazioni di minaccia SHA-1 e SHA-256 per bloccare i file in base ai loro hash. Importare i nuovi indicatori dalla vista Indicatori di minaccia SmartConsole o dalla CLI del feed di intelligence personalizzato.
  • Anti-Virus e SandBlast Threat Emulation ora supportano il controllo del traffico di posta elettronica sul protocollo POP3, nonché un controllo migliorato del traffico di posta elettronica sul protocollo IMAP.
  • Anti-Virus e SandBlast Threat Emulation ora utilizzano la funzionalità di ispezione SSH appena introdotta per ispezionare i file trasferiti tramite i protocolli SCP e SFTP.
  • Anti-Virus e SandBlast Threat Emulation ora forniscono un supporto migliorato per l'ispezione SMBv3 (3.0, 3.0.2, 3.1.1), che include l'ispezione delle connessioni multicanale. Check Point è ora l'unico fornitore a supportare l'ispezione di un trasferimento di file attraverso più canali (una funzionalità attivata per impostazione predefinita in tutti gli ambienti Windows). Ciò consente ai clienti di rimanere al sicuro mentre lavorano con questa funzionalità di miglioramento delle prestazioni.

4. Consapevolezza dell'identità

  • Supporto per l'integrazione del Captive Portal con SAML 2.0 e provider di identità di terze parti.
  • Supporto per Identity Broker per la condivisione scalabile e granulare delle informazioni sull'identità tra PDP, nonché la condivisione tra domini.
  • Miglioramenti all'agente Terminal Server per una migliore scalabilità e compatibilità.

5. VPN IPsec

  • Configura diversi domini di crittografia VPN su un Security Gateway che è membro di più comunità VPN. Ciò fornisce:
  • Privacy migliorata: le reti interne non vengono divulgate nelle negoziazioni del protocollo IKE.
  • Sicurezza e granularità migliorate: specifica quali reti sono accessibili in una comunità VPN specificata.
  • Interoperabilità migliorata: definizioni VPN basate su percorso semplificate (consigliate quando si lavora con un dominio di crittografia VPN vuoto).
  • Crea e lavora senza problemi con un ambiente VPN su larga scala (LSV) con l'aiuto dei profili LSV.

6. Filtraggio URL

  • Scalabilità e resilienza migliorate.
  • Funzionalità estese di risoluzione dei problemi.

7.NAT

  • Meccanismo di allocazione delle porte NAT migliorato: sui gateway di sicurezza con 6 o più istanze di CoreXL Firewall, tutte le istanze utilizzano lo stesso pool di porte NAT, ottimizzando l'utilizzo e il riutilizzo delle porte.
  • Monitoraggio dell'utilizzo della porta NAT in CPView e con SNMP.

8. Voce su IP (VoIP)Più istanze CoreXL Firewall gestiscono il protocollo SIP per migliorare le prestazioni.

9. VPN di accesso remotoUtilizza il certificato della macchina per distinguere tra risorse aziendali e non aziendali e per impostare una policy che imponga l'uso esclusivo delle risorse aziendali. L'applicazione può essere pre-accesso (solo autenticazione del dispositivo) o post-accesso (autenticazione del dispositivo e dell'utente).

10. Agente del portale di accesso mobileEndpoint Security on Demand migliorato all'interno dell'agente del portale di accesso mobile per supportare tutti i principali browser Web. Per ulteriori informazioni, vedere sk113410.

11.CoreXL e multicoda

  • Supporto per l'allocazione automatica di CoreXL SND e istanze firewall che non richiedono il riavvio del Security Gateway.
  • Esperienza pronta all'uso migliorata: Security Gateway modifica automaticamente il numero di CoreXL SND e istanze firewall e la configurazione multi-coda in base al carico di traffico corrente.

12. Raggruppamento

  • Supporto per il protocollo di controllo del cluster in modalità Unicast che elimina la necessità di CCP

Modalità Broadcast o Multicast:

  • La crittografia del protocollo di controllo del cluster è ora abilitata per impostazione predefinita.
  • Nuova modalità ClusterXL -Attiva/Attiva, che supporta i membri del cluster in diverse posizioni geografiche che si trovano su sottoreti diverse e hanno indirizzi IP diversi.
  • Supporto per i membri del cluster ClusterXL che eseguono versioni software diverse.
  • Eliminata la necessità della configurazione MAC Magic quando diversi cluster sono collegati alla stessa sottorete.

13.VSX

  • Supporto per l'aggiornamento VSX con CPUSE in Gaia Portal.
  • Supporto per la modalità Active Up in VSLS.
  • Supporto per report statistici CPView per ciascun sistema virtuale

14. Tocco zeroUn semplice processo di configurazione Plug & Play per l'installazione di un elettrodomestico, eliminando la necessità di competenze tecniche e la necessità di connettersi all'elettrodomestico per la configurazione iniziale.

15.API REST GaiaL'API REST Gaia fornisce un nuovo modo per leggere e inviare informazioni ai server che eseguono il sistema operativo Gaia. Vedi sk143612.

16. Itinerario avanzato

  • I miglioramenti a OSPF e BGP consentono di reimpostare e riavviare OSPF adiacente per ciascuna istanza del firewall CoreXL senza la necessità di riavviare il demone instradato.
  • Miglioramento dell'aggiornamento del percorso per una migliore gestione delle incoerenze del routing BGP.

17. Nuove funzionalità del kernel

  • Kernel Linux aggiornato
  • Nuovo sistema di partizionamento (gpt):
  • Supporta unità fisiche/logiche da più di 2 TB
  • File system più veloce (xfs)
  • Supporta storage di sistema più grandi (testato fino a 48 TB)
  • Miglioramenti delle prestazioni relativi all'I/O
  • Multi-coda:
  • Supporto completo Gaia Clish per comandi multi-coda
  • Configurazione automatica “on by default”.
  • Supporto per il montaggio SMB v2/3 nel blade Accesso mobile
  • Aggiunto supporto NFSv4 (client) (NFS v4.2 è la versione NFS predefinita utilizzata)
  • Supporto di nuovi strumenti di sistema per il debug, il monitoraggio e la configurazione del sistema

18. Controller CloudGuard

  • Miglioramenti delle prestazioni per le connessioni a Data Center esterni.
  • Integrazione con VMware NSX-T.
  • Supporto per comandi API aggiuntivi per creare e modificare oggetti Data Center Server.

19. Server multidominio

  • Eseguire il backup e ripristinare un singolo server di gestione del dominio su un server multidominio.
  • Migrare un server di gestione del dominio su un server multidominio su un diverso sistema di gestione della sicurezza multidominio.
  • Migrare un Security Management Server per diventare un Domain Management Server su un server multidominio.
  • Migrare un server di gestione del dominio per diventare un server di gestione della sicurezza.
  • Ripristina un dominio su un server multidominio o un server di gestione della sicurezza a una revisione precedente per ulteriori modifiche.

20. SmartTask e API

  • Nuovo metodo di autenticazione dell'API di gestione che utilizza una chiave API generata automaticamente.
  • Nuovi comandi API di gestione per creare oggetti cluster.
  • La distribuzione centrale dell'accumulatore di hotfix Jumbo e degli hotfix da SmartConsole o con un'API consente di installare o aggiornare più gateway di sicurezza e cluster in parallelo.
  • SmartTask: configura script automatici o richieste HTTPS attivate da attività di amministratore, come la pubblicazione di una sessione o l'installazione di una policy.

21. DistribuzioneLa distribuzione centrale dell'accumulatore di hotfix Jumbo e degli hotfix da SmartConsole o con un'API consente di installare o aggiornare più gateway di sicurezza e cluster in parallelo.

22. Evento intelligenteCondividi visualizzazioni e report SmartView con altri amministratori.

23.Esportatore registriEsporta i log filtrati in base ai valori dei campi.

24. Sicurezza dell'endpoint

  • Supporto per la crittografia BitLocker per la crittografia dell'intero disco.
  • Supporto per certificati di autorità di certificazione esterne per il client Endpoint Security
  • autenticazione e comunicazione con Endpoint Security Management Server.
  • Supporto per la dimensione dinamica dei pacchetti Endpoint Security Client in base a quelli selezionati
  • funzionalità per la distribuzione.
  • La policy ora può controllare il livello delle notifiche agli utenti finali.
  • Supporto per l'ambiente VDI persistente nella gestione delle policy degli endpoint.

Cosa ci è piaciuto di più (in base alle attività del cliente)

Come puoi vedere, le novità sono molte. Ma per noi, per quanto riguarda integratore di sistema, ci sono diversi punti molto interessanti (che interessano anche i nostri clienti). La nostra top 10:

  1. Finalmente è apparso il pieno supporto per i dispositivi IoT. È già abbastanza difficile trovare un'azienda che non disponga di tali dispositivi.
  2. L'ispezione TLS è ora posizionata in un livello separato (Layer). È molto più conveniente di adesso (alle 80.30). Non è più necessario eseguire la vecchia dashboard Legasy. Inoltre, ora puoi utilizzare oggetti aggiornabili nella policy di ispezione HTTPS, come i servizi Office365, Google, Azure, AWS, ecc. Ciò è molto comodo quando è necessario impostare delle eccezioni. Tuttavia, non c'è ancora supporto per tls 1.3. Apparentemente "recupereranno il ritardo" con il prossimo hotfix.
  3. Cambiamenti significativi per Anti-Virus e SandBlast. Ora puoi controllare protocolli come SCP, SFTP e SMBv3 (a proposito, nessuno può più controllare questo protocollo multicanale).
  4. Sono stati apportati molti miglioramenti alla VPN da sito a sito. Ora puoi configurare diversi domini VPN su un gateway che fa parte di diverse comunità VPN. È molto comodo e molto più sicuro. Inoltre, Check Point si è finalmente ricordata della Route Based VPN e ne ha leggermente migliorato la stabilità/compatibilità.
  5. È apparsa una funzionalità molto popolare per gli utenti remoti. Ora puoi autenticare non solo l'utente, ma anche il dispositivo da cui si connette. Ad esempio, vogliamo consentire le connessioni VPN solo dai dispositivi aziendali. Questo viene fatto, ovviamente, con l'aiuto di certificati. È anche possibile montare automaticamente condivisioni file (SMB v2/3) per utenti remoti con un client VPN.
  6. Ci sono molti cambiamenti nel funzionamento del cluster. Ma forse una delle più interessanti è la possibilità di gestire un cluster in cui i gateway hanno diverse versioni di Gaia. Ciò è utile quando si pianifica un aggiornamento.
  7. Funzionalità Zero Touch migliorate. Una cosa utile per chi installa spesso gateway “piccoli” (ad esempio per i bancomat).
  8. Per i log, ora è supportato lo spazio di archiviazione fino a 48 TB.
  9. Puoi condividere i tuoi dashboard SmartEvent con altri amministratori.
  10. Log Exporter ora consente di prefiltrare i messaggi inviati utilizzando i campi obbligatori. Quelli. Solo i log e gli eventi necessari verranno trasmessi ai tuoi sistemi SIEM

Aggiornare

Forse molti stanno già pensando all'aggiornamento. Non c'è bisogno di affrettarsi. Per cominciare, la versione 80.40 deve passare alla disponibilità generale. Ma anche dopo, non dovresti aggiornare subito. È meglio aspettare almeno il primo hotfix.
Forse molti sono “seduti” su versioni precedenti. Posso dire che come minimo è già possibile (e anche necessario) aggiornare alle 80.30. Questo è già un sistema stabile e collaudato!

Puoi anche iscriverti alle nostre pagine pubbliche (Telegram, Facebook, VK, Blog sulle soluzioni TS), in cui è possibile seguire l'emergere di nuovi materiali su Check Point e altri prodotti di sicurezza.

Solo gli utenti registrati possono partecipare al sondaggio. AccediPer favore.

Che versione di Gaia stai usando?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Altro

13 utenti hanno votato. 6 utenti si sono astenuti.

Fonte: habr.com

Aggiungi un commento