
Si avvicina un nuovo rilascio del sistema operativo Gaia R80.40. Alcune settimane fa , che consente di accedere per testare il sistema. Come al solito, pubblichiamo informazioni su cosa ci sarà di nuovo, evidenziando anche gli aspetti che riteniamo più interessanti. Anticipando, posso dire che le novità sono davvero significative. Quindi, preparatevi per il prossimo aggiornamento. In precedenza abbiamo su come farlo (per ulteriori informazioni, potete ). Passiamo all'argomento...
Cosa c'è di nuovo
Esaminiamo qui le novità ufficialmente annunciate. Le informazioni sono tratte dal sito (comunità ufficiale di Check Point). Se me lo consentite, non tradurrò questo testo, dato che il pubblico di Habr lo permette. Invece, lascerò i miei commenti nel capitolo successivo.
1. Sicurezza IoT. Nuove funzionalità riguardanti l'internet delle cose
- Raccogliere le caratteristiche degli attributi dei dispositivi e del traffico IoT da motori di scoperta IoT certificati (attualmente supporta Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM e Armis).
- Configurare un nuovo livello di policy dedicato all'IoT nella gestione delle politiche.
- Configurare e gestire le regole di sicurezza basate sugli attributi dei dispositivi IoT.
2. Ispezione TLSHTTP/2:
- HTTP/2 è un aggiornamento del protocollo HTTP. L'aggiornamento offre miglioramenti in termini di velocità, efficienza e sicurezza, risultando in una migliore esperienza utente.
- Il Security Gateway di Check Point ora supporta HTTP/2, beneficiando di una maggiore velocità ed efficienza mantenendo la piena sicurezza, con tutti i sistemi di prevenzione delle minacce e di controllo degli accessi, oltre a nuove protezioni per il protocollo HTTP/2.
- Il supporto è per il traffico sia chiaro che crittografato SSL ed è completamente integrato con HTTPS/TLS.
- Capacità di ispezione.
Strato di Ispezione TLS.. Innovazioni relative all'ispezione HTTPS:
- Un nuovo strato di policy in SmartConsole dedicato all'ispezione TLS.
- Strati di ispezione TLS diversi possono essere utilizzati in diversi pacchetti di policy.
- Condivisione di uno strato di ispezione TLS tra più pacchetti di policy.
- API per operazioni TLS.
3. Prevenzione delle minacce
- Miglioramento complessivo dell'efficienza per i processi di prevenzione delle minacce e aggiornamenti.
- Aggiornamenti automatici per il Threat Extraction Engine.
- Oggetti dinamici, a dominio e aggiornabili possono ora essere utilizzati nelle policy di prevenzione delle minacce e nell'ispezione TLS. Gli oggetti aggiornabili rappresentano oggetti di rete che indicano un servizio esterno o un elenco dinamico noto di indirizzi IP, ad esempio — indirizzi IP di Office365 / Google / Azure / AWS e oggetti Geo.
- L'Anti-Virus ora utilizza indicazioni di minaccia SHA-1 e SHA-256 per bloccare i file in base ai loro hash. Importa i nuovi indicatori dalla vista Indicatori di Minaccia di SmartConsole o dal CLI del Feed di Intelligenza Personalizzata.
- L'Anti-Virus e l'Emulazione delle Minacce SandBlast ora supportano l'ispezione del traffico email tramite il protocollo POP3, oltre a un miglioramento dell'ispezione del traffico email tramite il protocollo IMAP.
- L'Anti-Virus e l'Emulazione delle Minacce SandBlast ora utilizzano la nuova funzione di ispezione SSH per ispezionare i file trasferiti tramite i protocolli SCP e SFTP.
- L'antivirus e l'emulazione delle minacce SandBlast ora offrono un supporto migliorato per l'ispezione SMBv3 (3.0, 3.0.2, 3.1.1), che include l'ispezione delle connessioni multi-canale. Check Point è ora l'unico fornitore a supportare l'ispezione di un trasferimento di file attraverso più canali (una funzionalità abilitata di default in tutti gli ambienti Windows). Questo consente ai clienti di rimanere al sicuro mentre utilizzano questa funzione che migliora le prestazioni.
4. Consapevolezza dell'identità
- Supporto per l'integrazione del Captive Portal con SAML 2.0 e fornitori di identità di terze parti.
- Supporto per Identity Broker per una condivisione scalabile e dettagliata delle informazioni sull'identità tra PDP, oltre alla condivisione tra domini.
- Miglioramenti all'Agent dei Terminal Server per una migliore scalabilità e compatibilità.
5. VPN IPsec
- Configura diversi domini di crittografia VPN su un Security Gateway che è membro di più comunità VPN. Questo fornisce:
- Privacy migliorata — Le reti interne non vengono divulgate nelle negoziazioni del protocollo IKE.
- Sicurezza e granularità migliorate — Specifica quali reti sono accessibili in una comunità VPN specificata.
- Interoperabilità migliorata — Definizioni VPN basate su route semplificate (consigliate quando si lavora con un dominio di crittografia VPN vuoto).
- Crea e lavora senza problemi con un ambiente VPN su larga scala (LSV) con l'aiuto dei profili LSV.
6. Filtraggio URL
- Scalabilità e resilienza migliorate.
- Capacità di risoluzione dei problemi ampliate.
7. NAT
- Meccanismo di allocazione delle porte NAT migliorato — su Security Gateway con 6 o più istanze di firewall CoreXL, tutte le istanze utilizzano lo stesso pool di porte NAT, ottimizzando l'utilizzo e il riutilizzo delle porte.
- Monitoraggio dell'utilizzo delle porte NAT in CPView e tramite SNMP.
8. Voice over IP (VoIP)Multiple istanze di firewall CoreXL gestiscono il protocollo SIP per migliorare le prestazioni.
9. VPN di accesso remotoUtilizza il certificato della macchina per distinguere tra beni aziendali e non aziendali e per stabilire una politica che imponga l'uso esclusivo dei beni aziendali. L'applicazione può avvenire prima dell'accesso (autenticazione del dispositivo) o dopo l'accesso (autenticazione del dispositivo e dell'utente).
10. Agente del Portale di Accesso MobileSicurezza avanzata degli endpoint su richiesta all'interno dell'Agente del Portale di Accesso Mobile per supportare tutti i principali browser web. Per ulteriori informazioni, vedere sk113410.
11. CoreXL e Multi-Queue
- Supporto per l'allocazione automatica degli SND CoreXL e delle istanze firewall che non richiedono il riavvio del Security Gateway.
- Esperienza out of the box migliorata — il Security Gateway modifica automaticamente il numero di SND CoreXL e delle istanze firewall e la configurazione Multi-Queue in base al carico attuale del traffico.
12. Clustering
- Supporto per il Cluster Control Protocol in modalità Unicast che elimina la necessità di CCP.
Modalità Broadcast o Multicast:
- La crittografia del Cluster Control Protocol è ora abilitata per impostazione predefinita.
- Nuova modalità ClusterXL - Attivo/Attivo, che supporta i membri del Cluster in diverse località geografiche situate su subnet diverse e con indirizzi IP differenti.
- Supporto per i membri del ClusterXL che eseguono diverse versioni software.
- Eliminata la necessità di configurazione MAC Magic quando più cluster sono collegati alla stessa subnet.
13. VSX
- Supporto per l'aggiornamento VSX con CPUSE nel Gaia Portal.
- Supporto per la modalità Active Up in VSLS.
- Supporto per i rapporti statistici di CPView per ciascun Sistema Virtuale.
14. Zero TouchUn semplice processo di configurazione Plug & Play per installare un dispositivo — eliminando la necessità di competenze tecniche e di connettersi al dispositivo per la configurazione iniziale.
15. Gaia REST APILa Gaia REST API fornisce un nuovo modo per leggere e inviare informazioni ai server che eseguono il sistema operativo Gaia. Vedi sk143612.
16. Routing Avanzato
- Le migliorie a OSPF e BGP consentono di azzerare e riavviare i vicini OSPF per ogni istanza di Firewall CoreXL senza la necessità di riavviare il demone routed.
- Miglioramento del route refresh per una gestione più efficace delle inconsistenze nel routing BGP.
17. Nuove capacità del kernel
- Kernel Linux aggiornato
- Nuovo sistema di partizionamento (gpt):
- Supporta dischi fisici/logici superiori a 2TB
- File system più veloce (xfs)
- Supporta una maggiore capacità di archiviazione di sistema (fino a 48TB testati)
- Miglioramenti delle prestazioni relativi a I/O
- Multi-Queue:
- Supporto completo per i comandi Multi-Queue in Gaia Clish
- Configurazione automatica «attivata per impostazione predefinita»
- Supporto per montaggi SMB v2/v3 nel blade Mobile Access
- Supporto aggiunto per NFSv4 (client) (NFS v4.2 è la versione predefinita di NFS utilizzata)
- Supporto di nuovi strumenti di sistema per il debugging, il monitoraggio e la configurazione del sistema
18. CloudGuard Controller
- Miglioramenti delle prestazioni per le connessioni ai Data Center esterni.
- Integrazione con VMware NSX-T.
- Supporto per comandi API aggiuntivi per creare e modificare oggetti server del Data Center.
19. Server Multi-Domain
- Esegui il backup e ripristina un singolo Server di Gestione Dominio su un Server Multi-Domain.
- Migra un Server di Gestione Dominio su un Server Multi-Domain a un diverso Security Management Multi-Domain.
- Migra un Server di Gestione Sicurezza per diventare un Server di Gestione Dominio su un Server Multi-Domain.
- Migra un Server di Gestione Dominio per diventare un Server di Gestione Sicurezza.
- Ripristina un Dominio su un Server Multi-Domain, o un Server di Gestione Sicurezza a una revisione precedente per ulteriori modifiche.
20. SmartTasks e API
- Nuovo metodo di autenticazione API di gestione che utilizza una chiave API auto-generata.
- Nuovi comandi API di gestione per creare oggetti cluster.
- Distribuzione centrale dell'Accumulator di Jumbo Hotfix e degli Hotfix da SmartConsole o con un'API permette di installare o aggiornare più Gateway di Sicurezza e Cluster in parallelo.
- SmartTasks — Configura script automatici o richieste HTTPS attivate da attività dell'amministratore, come la pubblicazione di una sessione o l'installazione di una policy.
21. DistribuzioneDistribuzione centrale dell'Accumulator di Jumbo Hotfix e degli Hotfix da SmartConsole o con un'API permette di installare o aggiornare più Gateway di Sicurezza e Cluster in parallelo.
22. SmartEventCondividi le visualizzazioni e i rapporti di SmartView con altri amministratori.
23. Esportatore di registriEsporta i registri filtrati in base ai valori dei campi.
24. Sicurezza degli endpoint
- Supporto per la crittografia BitLocker per la crittografia del disco completo.
- Supporto per i certificati dell'autorità di certificazione esterna per il client di Sicurezza degli endpoint
- autenticazione e comunicazione con il Server di gestione della Sicurezza degli endpoint.
- Supporto per la dimensione dinamica dei pacchetti del cliente di Sicurezza degli endpoint in base alle funzionalità selezionate
- per la distribuzione.
- La politica può ora controllare il livello di notifiche per gli utenti finali.
- Supporto per ambiente VDI persistente nella gestione delle politiche degli endpoint.
Cosa ci è piaciuto di più (basato sulle richieste dei clienti)
Come potete vedere, ci sono molte novità. Ma per noi, come , ci sono alcuni aspetti molto interessanti (che sono anche interessanti per i nostri clienti). La nostra Top 10:
- Finalmente è disponibile il supporto completo per i dispositivi IoT. È diventato piuttosto difficile trovare un'azienda che non abbia tali dispositivi.
- L'ispezione TLS è stata ora spostata in uno strato separato. È molto più comodo rispetto a ora (nella versione 80.30). Non è più necessario avviare il vecchio Legasy Dashboard. Inoltre, ora nella politica di ispezione HTTPS è possibile utilizzare oggetti aggiornabili, come i servizi Office365, Google, Azure, AWS, ecc. Questo è molto comodo quando è necessario configurare le eccezioni. Tuttavia, non c'è ancora supporto per TLS 1.3. Evidentemente sarà "aggiunto" nel prossimo hotfix.
- Significative novità per Anti-Virus e SandBlast. Ora è possibile controllare protocolli come SCP, SFTP e SMBv3 (tra l'altro, questo protocollo multicanale non è in grado di essere controllato da nessun altro).
- Moltissimi miglioramenti riguardanti il Site-to-Site VPN. Ora puoi configurare più domini VPN su un gateway che fa parte di più comunità VPN. Questo è molto comodo e molto più sicuro. Inoltre, Check Point ha finalmente ricordato il Route Based VPN e ha migliorato un po' la sua stabilità/compatibilità.
- È stata introdotta una funzionalità molto richiesta per gli utenti remoti. Ora puoi autenticare non solo l'utente, ma anche il dispositivo da cui si connette. Ad esempio, vogliamo consentire la connessione tramite VPN solo da dispositivi aziendali. Questo viene fatto ovviamente tramite certificati. È diventato anche possibile montare automaticamente (SMB v2/3) le condivisioni di file per gli utenti remoti con il client VPN.
- Ci sono molte modifiche nel funzionamento del cluster. Ma una delle più interessanti è la possibilità di far funzionare un cluster in cui i gateway hanno versioni diverse di Gaia. Questo è utile durante un aggiornamento pianificato.
- Migliorate le funzionalità di Zero Touch. Utile per chi installa frequentemente 'piccole' gateway (ad esempio per i bancomat).
- Ora il supporto per i log può arrivare fino a 48TB.
- È possibile 'condividere' i propri dashboard SmartEvent con altri amministratori.
- Log Exporter ora consente di effettuare un prefiltraggio dei messaggi inviati, in base ai campi necessari. Ovvero, solo i log e gli eventi pertinenti passeranno ai vostri sistemi SIEM.
Aggiornamento
È probabile che molti stiano già pensando all'aggiornamento. È consigliabile non avere fretta. Per prima cosa, la versione 80.40 deve diventare disponibile al pubblico. E anche dopo, non bisogna aggiornare subito. Meglio aspettare almeno il primo hotfix.
È probabile che molti 'siano fermi' a versioni più vecchie. Posso dire che almeno è già possibile (e persino necessario) aggiornarsi a 80.30. Questo è già un sistema stabile e collaudato!
Puoi anche iscriverti ai nostri pubblici (, , , ), dove puoi seguire l'uscita di nuovi materiali su Check Point e altri prodotti di sicurezza.
Solo gli utenti registrati possono partecipare al sondaggio. , per favore.
Quale versione di Gaia stai utilizzando?
- R77.10
- R77.30
- R80.10
- R80.20
- R80.30
- Altro
Hanno votato 13 utenti. Si sono astenuti 6 utenti.
Fonte: habr.com
