チェックポイントガイアR80.40。 新着情報？

オペレーティング システムの次のリリースが近づいています ガイア R80.40。 数週間前 早期アクセス プログラムが開始されましたにアクセスして配布をテストできます。 いつものように、最新情報を公開するとともに、私たちの観点から最も興味深い点を強調します。 将来を見据えると、このイノベーションは本当に重要なものであると言えます。 したがって、早めの更新手順を準備する価値があります。 我々はすでに持っています 記事を公開しました これを行う方法については (詳細については、次のサイトを参照してください) ここに連絡してください）。 本題に入りましょう...

What's New

ここで正式に発表されたイノベーションを見てみましょう。 サイトから取得した情報 チェックメイト (チェック・ポイントの公式コミュニティ)。 あなたの許可を得て、私はこのテキストを翻訳しません。幸いなことに、Habr の視聴者がそれを許可しています。 代わりに、次の章にコメントを残しておきます。

1. IoT セキュリティ。 モノのインターネットに関連する新機能

• 認定された IoT 検出エンジン (現在、Medigate、Cyber​​MDX、Cynerio、Claroty、Indegy、SAM、Armis をサポート) から IoT デバイスとトラフィック属性を収集します。
• ポリシー管理で新しい IoT 専用ポリシー レイヤーを構成します。
• IoT デバイスの属性に基づいたセキュリティ ルールを構成および管理します。

2.TLS検査HTTP / 2：

• HTTP/2 は HTTP プロトコルのアップデートです。 このアップデートにより、速度、効率、セキュリティが向上し、ユーザー エクスペリエンスが向上します。
• Check Point の Security Gateway は HTTP/2 をサポートし、すべての脅威防御ブレードとアクセス コントロール ブレード、および HTTP/2 プロトコルの新しい保護機能を備えた完全なセキュリティを実現しながら、速度と効率の向上を実現します。
• サポートはクリア トラフィックと SSL 暗号化トラフィックの両方をサポートしており、HTTPS/TLS と完全に統合されています。
• 検査機能。

TLS検査層。 HTTPS 検査に関する革新:

• TLS インスペクション専用の SmartConsole の新しいポリシー レイヤ。
• 異なる TLS 検査層を異なるポリシー パッケージで使用できます。
• 複数のポリシー パッケージにわたる TLS 検査レイヤーの共有。
• TLS 操作用の API。

3. 脅威の防御

• 脅威対策のプロセスと更新の全体的な効率が向上します。
• 脅威抽出エンジンの自動更新。
• 動的オブジェクト、ドメイン オブジェクト、更新可能オブジェクトを脅威対策ポリシーと TLS 検査ポリシーで使用できるようになりました。 更新可能なオブジェクトは、外部サービス、または IP アドレスの既知の動的リスト (Office365 / Google / Azure / AWS IP アドレスや地域オブジェクトなど) を表すネットワーク オブジェクトです。
• Anti-Virus は、SHA-1 および SHA-256 の脅威指標を使用して、ハッシュに基づいてファイルをブロックするようになりました。 SmartConsole の脅威インジケーター ビューまたはカスタム インテリジェンス フィード CLI から新しいインジケーターをインポートします。
• ウイルス対策および SandBlast 脅威エミュレーションは、POP3 プロトコルを介した電子メール トラフィックの検査をサポートするようになりました。また、IMAP プロトコルを介した電子メール トラフィックの検査も強化されました。
• ウイルス対策および SandBlast 脅威エミュレーションは、新しく導入された SSH 検査機能を使用して、SCP および SFTP プロトコル経由で転送されたファイルを検査するようになりました。
• ウイルス対策および SandBlast 脅威エミュレーションでは、マルチチャネル接続の検査を含む SMBv3 インスペクション (3.0、3.0.2、3.1.1) のサポートが強化されました。 Check Point は現在、複数のチャネルを介したファイル転送の検査 (すべての Windows 環境でデフォルトでオンになっている機能) をサポートする唯一のベンダーです。 これにより、お客様はこのパフォーマンス強化機能を使用しながら安全を確保できます。

4. アイデンティティの認識

• SAML 2.0 およびサードパーティ ID プロバイダーとの Captive Portal 統合のサポート。
• PDP 間でのアイデンティティ情報のスケーラブルかつ詳細な共有およびクロスドメイン共有のための Identity Broker のサポート。
• スケーリングと互換性を向上させるためのターミナル サーバー エージェントの機能強化。

5.IPsec VPN

• 複数の VPN コミュニティのメンバーである Security Gateway 上で、異なる VPN 暗号化ドメインを設定します。 これにより、以下が提供されます。
• プライバシーの向上 — IKE プロトコル ネゴシエーションでは内部ネットワークは公開されません。
• セキュリティと粒度の向上 — 指定した VPN コミュニティでアクセスできるネットワークを指定します。
• 相互運用性の向上 — ルートベースの VPN 定義が簡素化されました (空の VPN 暗号化ドメインを使用する場合に推奨)。
• LSV プロファイルを利用して、大規模 VPN (LSV) 環境を作成し、シームレスに操作します。

6. URLフィルタリング

• スケーラビリティと復元力が向上しました。
• 拡張されたトラブルシューティング機能。

7.NAT

• 強化された NAT ポート割り当てメカニズム — 6 つ以上の CoreXL Firewall インスタンスを備えた Security Gateway では、すべてのインスタンスが同じ NAT ポートのプールを使用するため、ポートの使用率と再利用が最適化されます。
• CPView および SNMP を使用した NAT ポート使用率の監視。

8.ボイスオーバーIP（VoIP）複数の CoreXL Firewall インスタンスが SIP プロトコルを処理してパフォーマンスを向上させます。

9. リモート アクセス VPNマシン証明書を使用して、企業資産と非企業資産を区別し、企業資産のみの使用を強制するポリシーを設定します。 強制は、ログオン前 (デバイス認証のみ) またはログオン後 (デバイスおよびユーザー認証) に行うことができます。

10.モバイルアクセスポータルエージェントモバイル アクセス ポータル エージェント内のエンドポイント セキュリティ オンデマンドが強化され、すべての主要な Web ブラウザがサポートされます。 詳細については、sk113410を参照してください。

11.CoreXL とマルチキュー

• Security Gateway の再起動を必要としない、CoreXL SND およびファイアウォール インスタンスの自動割り当てのサポート。
• すぐに使えるエクスペリエンスの向上 - Security Gateway は、現在のトラフィック負荷に基づいて、CoreXL SND とファイアウォール インスタンスの数、およびマルチキュー構成を自動的に変更します。

12.クラスタリング

• CCP の必要性を排除するユニキャスト モードでのクラスター制御プロトコルのサポート

ブロードキャストまたはマルチキャスト モード:

• クラスター制御プロトコルの暗号化がデフォルトで有効になるようになりました。
• 新しい ClusterXL モード - アクティブ/アクティブ。異なるサブネット上にあり、異なる IP アドレスを持つ、異なる地理的位置にあるクラスター メンバーをサポートします。
• 異なるソフトウェア バージョンを実行する ClusterXL クラスター メンバーのサポート。
• 複数のクラスターが同じサブネットに接続されている場合、MAC Magic 構成の必要性がなくなりました。

13.VSX

• Gaia Portal での CPUSE による VSX アップグレードのサポート。
• VSLS でのアクティブアップ モードのサポート。
• 各仮想システムの CPView 統計レポートのサポート

14. ゼロタッチアプライアンスをインストールするためのシンプルなプラグ アンド プレイ セットアップ プロセス。技術的な専門知識は必要なく、初期構成のためにアプライアンスに接続する必要もありません。

15. ガイア REST APIGaia REST API は、Gaia オペレーティング システムを実行するサーバーに情報を読み取り、送信するための新しい方法を提供します。 sk143612を参照してください。

16. 高度なルーティング

• OSPF と BGP の機能強化により、ルーテッド デーモンを再起動することなく、各 CoreXL Firewall インスタンスの OSPF ネイバーをリセットおよび再起動できるようになりました。
• BGP ルーティングの不一致の処理を改善するためにルート更新を強化します。

17. 新しいカーネル機能

• アップグレードされた Linux カーネル
• 新しいパーティショニング システム (gpt):
• 2TBを超える物理/論理ドライブをサポート
• 高速なファイル システム (xfs)
• 大規模なシステム ストレージのサポート (最大 48TB テスト済み)
• I/O関連のパフォーマンスの向上
• マルチキュー:
• Gaia Clish のマルチキュー コマンドの完全サポート
• 自動「デフォルトでオン」構成
• Mobile Access ブレードでの SMB v2/3 マウントのサポート
• NFSv4 (クライアント) サポートを追加しました (NFS v4.2 が使用されるデフォルトの NFS バージョンです)
• システムのデバッグ、監視、構成のための新しいシステム ツールのサポート

18.CloudGuardコントローラー

• 外部データセンターへの接続のパフォーマンスが強化されました。
• VMware NSX-T との統合。
• データセンターサーバーオブジェクトを作成および編集するための追加の API コマンドのサポート。

19. マルチドメインサーバー

• マルチドメイン サーバー上の個々のドメイン管理サーバーをバックアップおよび復元します。
• XNUMX つのマルチドメイン サーバー上のドメイン管理サーバーを別のマルチドメイン セキュリティ管理に移行します。
• Security Management Server を移行して、マルチドメイン サーバー上のドメイン管理サーバーにします。
• ドメイン管理サーバーを移行してセキュリティ管理サーバーにします。
• さらに編集できるように、マルチドメイン サーバー上のドメインまたはセキュリティ管理サーバーを以前のリビジョンに戻します。

20. スマートタスクとAPI

• 自動生成された API キーを使用する新しい Management API 認証方法。
• クラスター オブジェクトを作成するための新しい管理 API コマンド。
• SmartConsole または API を使用してジャンボ ホットフィックス アキュムレータとホットフィックスを一元展開すると、複数のセキュリティ ゲートウェイとクラスタを並行してインストールまたはアップグレードできます。
• SmartTasks — セッションの公開やポリシーのインストールなどの管理者タスクによってトリガーされる自動スクリプトまたは HTTPS リクエストを構成します。

21.導入SmartConsole または API を使用してジャンボ ホットフィックス アキュムレータとホットフィックスを一元展開すると、複数のセキュリティ ゲートウェイとクラスタを並行してインストールまたはアップグレードできます。

22. スマートイベントSmartView のビューとレポートを他の管理者と共有します。

23.ログエクスポーターフィールド値に従ってフィルタリングされたログをエクスポートします。

24. エンドポイント セキュリティ

• フルディスク暗号化のための BitLocker 暗号化のサポート。
• Endpoint Security クライアントの外部認証局証明書のサポート
• Endpoint Security Management Server との認証と通信。
• 選択した内容に基づいた Endpoint Security クライアント パッケージの動的なサイズのサポート
• 導入のための機能。
• ポリシーでエンドユーザーへの通知レベルを制御できるようになりました。
• Endpoint Policy Management での永続的な VDI 環境のサポート。

最も気に入ったこと (顧客のタスクに基づく)

ご覧のとおり、多くの革新があります。 しかし、私たちにとっては、 システムインテグレーター、非常に興味深い点がいくつかあります（これはクライアントにとっても興味深いものです）。 私たちのトップ10:

1. ついに、IoT デバイスの完全サポートが登場しました。 このようなデバイスを持たない企業を見つけることはすでに非常に困難です。
2. TLS 検査は別のレイヤー (レイヤー) に配置されるようになりました。 今（80.30時365分）よりもずっと便利です。 古いレガシー ダッシュボードを実行する必要はもうありません。 さらに、Office1.3、Google、Azure、AWS などのサービスなどの更新可能なオブジェクトを HTTPS 検査ポリシーで使用できるようになりました。 これは、例外を設定する必要がある場合に非常に便利です。 ただし、tls XNUMX はまだサポートされていません。 どうやら、次のホットフィックスで「追いつく」ようです。
3. ウイルス対策とサンドブラストの大幅な変更。 SCP、SFTP、SMBv3 などのプロトコルをチェックできるようになりました (ちなみに、このマルチチャネル プロトコルはもう誰もチェックできません)。
4. Site-to-Site VPN に関しては多くの改善が加えられています。 複数の VPN コミュニティの一部であるゲートウェイ上に複数の VPN ドメインを構成できるようになりました。 とても便利で、より安全です。 さらに、Check Point はついにルート ベースの VPN を思い出し、その安定性と互換性をわずかに改善しました。
5. リモートユーザーにとって非常に人気のある機能が登場しました。 これで、ユーザーだけでなく、接続元のデバイスも認証できるようになりました。 たとえば、企業デバイスからの VPN 接続のみを許可したいとします。 もちろん、これは証明書の助けを借りて行われます。 VPN クライアントを使用して、リモート ユーザー用のファイル共有 (SMB v2/3) を自動的にマウントすることもできます。
6. クラスターの操作には多くの変更があります。 しかし、おそらく最も興味深いの XNUMX つは、ゲートウェイに異なるバージョンの Gaia が存在するクラスターを運用できる可能性です。 これはアップデートを計画するときに便利です。
7. ゼロタッチ機能が向上しました。 「小さな」ゲートウェイ (ATM など) を頻繁に設置する人にとっては便利です。
8. ログについては、最大 48TB のストレージがサポートされるようになりました。
9. SmartEvent ダッシュボードを他の管理者と共有できます。
10. Log Exporter では、必須フィールドを使用して送信メッセージを事前にフィルターできるようになりました。 それらの。 必要なログとイベントのみが SIEM システムに送信されます

アップデート

すでにアップデートを検討している方も多いのではないでしょうか。 急ぐ必要はありません。 まず、バージョン 80.40 を一般提供に移行する必要があります。 ただし、その後でも、すぐに更新しないでください。 少なくとも最初のホットフィックスまで待つことをお勧めします。
おそらく多くの人は古いバージョンを「使い続けている」でしょう。 少なくとも 80.30 にアップデートすることはすでに可能です (そして必要です)。 これはすでに安定した実績のあるシステムです。

公開ページを購読することもできます (Telegram, Facebook, VK, TSソリューションブログ) では、Check Point およびその他のセキュリティ製品に関する新しい資料の出現を追跡できます。

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

ガイアのどのバージョンを使用していますか?

• R77.10

• R77.30

• R80.10

• R80.20

• R80.30

• その他

13 人のユーザーが投票しました。 6名のユーザーが棄権した。

出所： habr.com