ProHoster > Блог > басқарма > Gaia тексеру нүктесі R80.40. Не жаңалық бар?

Gaia тексеру нүктесі R80.40. Не жаңалық бар?

Gaia тексеру нүктесі R80.40. Не жаңалық бар?

Операциялық жүйенің келесі шығарылымы жақындап қалды Gaia R80.40. Бірнеше апта бұрын Ерте қол жеткізу бағдарламасы басталды, дистрибуцияны тексеру үшін кіруге болады. Әдеттегідей, біз жаңалықтар туралы ақпаратты жариялаймыз, сонымен қатар біздің көзқарасымыз бойынша ең қызықты тұстарды бөлектейміз. Алға қарай отырып, инновациялар шынымен де маңызды деп айта аламын. Сондықтан ертерек жаңарту процедурасына дайындалған жөн. Бұрын бізде бар мақала жариялады мұны қалай жасау керектігі туралы (қосымша ақпарат алу үшін мына сайтқа кіріңіз осында хабарласыңыз). Тақырыпқа көшейік...

Не жаңалық бар

Мұнда ресми түрде жарияланған жаңалықтарды қарастырайық. Ақпарат сайттан алынды Жолдастарды тексеріңіз (Ресми Check Point қауымдастығы). Сіздің рұқсатыңызбен бұл мәтінді аудармаймын, бақытымызға орай Habr аудиториясы рұқсат береді. Оның орнына келесі тарауға өз пікірлерімді қалдырамын.

1. IoT қауіпсіздігі. Интернет заттарына қатысты жаңа мүмкіндіктер

  • IoT құрылғыларын және трафик атрибуттарын сертификатталған IoT ашу қозғалтқыштарынан жинаңыз (қазір Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM және Armis қолдайды).
  • Саясатты басқаруда жаңа IoT арнайы саясат деңгейін теңшеңіз.
  • IoT құрылғыларының атрибуттарына негізделген қауіпсіздік ережелерін конфигурациялаңыз және басқарыңыз.

2.TLS инспекциясыHTTP/2:

  • HTTP/2 — HTTP протоколының жаңартуы. Жаңарту жылдамдықты, тиімділікті және қауіпсіздікті жақсартуды және жақсырақ пайдаланушы тәжірибесі бар нәтижелерді қамтамасыз етеді.
  • Тексеру нүктесінің қауіпсіздік шлюзі енді HTTP/2 протоколын қолдайды және барлық Қауіптердің алдын алу және кіруді басқару жолақтарымен, сондай-ақ HTTP/2 протоколы үшін жаңа қорғаныстармен толық қауіпсіздікті қамтамасыз ету кезінде жоғары жылдамдық пен тиімділікке ие.
  • Қолдау анық және SSL шифрланған трафикке арналған және HTTPS/TLS-пен толығымен біріктірілген
  • Тексеру мүмкіндіктері.

TLS тексеру қабаты. HTTPS тексеруіне қатысты инновациялар:

  • TLS тексеруіне арналған SmartConsole жаңа саясат деңгейі.
  • Әртүрлі TLS тексеру қабаттарын әртүрлі саясат бумаларында пайдалануға болады.
  • TLS тексеру қабатын бірнеше саясат бумаларында ортақ пайдалану.
  • TLS операцияларына арналған API.

3. Қауіптің алдын алу

  • Қауіптердің алдын алу процестері мен жаңартуларының жалпы тиімділігін арттыру.
  • Threat Extraction Engine үшін автоматты жаңартулар.
  • Динамикалық, домен және жаңартылатын нысандар енді Қауіптердің алдын алу және TLS тексеру саясаттарында пайдаланылуы мүмкін. Жаңартылатын нысандар сыртқы қызметті немесе IP мекенжайларының белгілі динамикалық тізімін көрсететін желі нысандары, мысалы - Office365 / Google / Azure / AWS IP мекенжайлары және Geo нысандары.
  • Антивирус енді хэштеріне негізделген файлдарды блоктау үшін SHA-1 және SHA-256 қауіп белгілерін пайдаланады. Жаңа көрсеткіштерді SmartConsole қауіп индикаторлары көрінісінен немесе Custom Intelligence Feed CLI ішінен импорттаңыз.
  • Вирусқа қарсы және SandBlast Threat эмуляциясы енді POP3 протоколы арқылы электрондық пошта трафигін тексеруді, сондай-ақ IMAP протоколы арқылы электрондық пошта трафигін жақсартуды қолдайды.
  • Вирусқа қарсы және SandBlast қауіп эмуляциясы енді SCP және SFTP протоколдары арқылы тасымалданатын файлдарды тексеру үшін жаңадан енгізілген SSH тексеру мүмкіндігін пайдаланады.
  • Вирусқа қарсы және SandBlast қауіп эмуляциясы енді көп арналы қосылымдарды тексеруді қамтитын SMBv3 тексеруіне (3.0, 3.0.2, 3.1.1) жақсартылған қолдауды қамтамасыз етеді. Check Point қазір бірнеше арналар арқылы файлдарды тасымалдауды тексеруге қолдау көрсететін жалғыз жеткізуші болып табылады (барлық Windows орталарында әдепкі бойынша болатын мүмкіндік). Бұл тұтынушыларға өнімділікті арттыру мүмкіндігімен жұмыс істеу кезінде қауіпсіздікті сақтауға мүмкіндік береді.

4. Жеке басын білу

  • SAML 2.0 және үшінші тарап идентификациялық провайдерлерімен Captive Portal интеграциясына қолдау көрсету.
  • PDP арасында сәйкестендіру ақпаратын масштабталатын және түйіршікті ортақ пайдалану, сондай-ақ домен аралық ортақ пайдалану үшін Identity Broker қызметін қолдау.
  • Жақсырақ масштабтау және үйлесімділік үшін Терминал серверлерінің агентіне арналған жақсартулар.

5. IPsec VPN

  • Бірнеше VPN қауымдастықтарының мүшесі болып табылатын Қауіпсіздік шлюзінде әртүрлі VPN шифрлау домендерін конфигурациялаңыз. Бұл қамтамасыз етеді:
  • Жақсартылған құпиялылық — Ішкі желілер IKE протоколының келіссөздерінде ашылмайды.
  • Жақсартылған қауіпсіздік пен түйіршіктілік — Белгіленген VPN қауымдастығында қай желілерге қол жетімді екенін көрсетіңіз.
  • Жақсартылған өзара әрекеттесу — Жеңілдетілген маршрут негізіндегі VPN анықтамалары (бос VPN шифрлау доменімен жұмыс істегенде ұсынылады).
  • LSV профильдерінің көмегімен Large Scale VPN (LSV) ортасын жасаңыз және онымен үздіксіз жұмыс жасаңыз.

6. URL сүзгілеу

  • Жақсартылған масштабтау және тұрақтылық.
  • Ақаулықтарды жоюдың кеңейтілген мүмкіндіктері.

7.NAT

  • Жетілдірілген NAT портын бөлу механизмі — 6 немесе одан да көп CoreXL Firewall даналары бар қауіпсіздік шлюздерінде барлық даналар портты пайдалануды және қайта пайдалануды оңтайландыратын NAT порттарының бірдей пулын пайдаланады.
  • CPView және SNMP көмегімен NAT портын пайдалану мониторингі.

8. IP арқылы дауыс (VoIP)Бірнеше CoreXL Firewall даналары өнімділікті арттыру үшін SIP протоколын өңдейді.

9. Қашықтан қол жеткізу VPNКорпоративтік және корпоративтік емес активтерді ажырату және тек корпоративтік активтерді пайдалануды қамтамасыз ететін саясатты орнату үшін машина сертификатын пайдаланыңыз. Орындау жүйеге кіру алдындағы (тек құрылғының аутентификациясы) немесе кіруден кейінгі (құрылғы мен пайдаланушының аутентификациясы) болуы мүмкін.

10. Мобильді қатынас порталының агентіБарлық негізгі веб-шолғыштарды қолдау үшін мобильді қатынас порталының агентінде сұраныс бойынша жетілдірілген соңғы нүкте қауіпсіздігі. Қосымша ақпаратты sk113410 бөлімінен қараңыз.

11.CoreXL және көп кезек

  • Қауіпсіздік шлюзін қайта жүктеуді қажет етпейтін CoreXL SND және желіаралық қалқан даналарын автоматты түрде бөлуге қолдау көрсету.
  • Жақсартылған тәжірибе — Қауіпсіздік шлюзі ағымдағы трафик жүктемесіне негізделген CoreXL SND және желіаралық қалқан даналарының санын және көп кезек конфигурациясын автоматты түрде өзгертеді.

12. Кластерлеу

  • CCP қажеттілігін жоққа шығаратын Unicast режимінде кластерді басқару протоколын қолдау

Тарату немесе көп тарату режимдері:

  • Кластерді басқару протоколының шифрлауы енді әдепкі бойынша қосылған.
  • Жаңа ClusterXL режимі - Белсенді/Белсенді, ол әртүрлі ішкі желілерде орналасқан және әртүрлі IP мекенжайлары бар әртүрлі географиялық орындарда кластер мүшелеріне қолдау көрсетеді.
  • Әртүрлі бағдарламалық құрал нұсқаларын іске қосатын ClusterXL кластер мүшелеріне қолдау көрсету.
  • Бірнеше кластер бір ішкі желіге қосылған кезде MAC Magic конфигурациясының қажеттілігі жойылды.

13. VSX

  • Gaia порталында CPUSE көмегімен VSX жаңартуына қолдау көрсету.
  • VSLS жүйесінде Active Up режимін қолдау.
  • Әрбір виртуалды жүйе үшін CPView статистикалық есептерін қолдау

14. Zero TouchҚұрылғыны орнатуға арналған қарапайым Plug & Play орнату процесі — техникалық сараптама қажеттілігін және бастапқы конфигурациялау үшін құрылғыға қосылу қажеттілігін жояды.

15. Gaia REST APIGaia REST API Gaia операциялық жүйесін басқаратын серверлерге ақпаратты оқу және жіберудің жаңа әдісін ұсынады. sk143612 қараңыз.

16. Кеңейтілген маршруттау

  • OSPF және BGP жақсартулары әрбір CoreXL брандмауэр данасы үшін көршілес OSPF-ді қайта орнатуға және қайта іске қосуға мүмкіндік береді, маршрутталған демонды қайта іске қосудың қажеті жоқ.
  • BGP бағыттау сәйкессіздіктерін өңдеуді жақсарту үшін маршрутты жаңартуды жақсарту.

17. Ядроның жаңа мүмкіндіктері

  • Жаңартылған Linux ядросы
  • Жаңа бөлу жүйесі (gpt):
  • 2 ТБ астам физикалық/логикалық дискілерді қолдайды
  • Жылдамырақ файлдық жүйе (xfs)
  • Үлкен жүйелік жадты қолдау (48 ТБ дейін сынақтан өткен)
  • I/O қатысты өнімділік жақсартулары
  • Көп кезек:
  • Multi-Queue пәрмендері үшін толық Gaia Clish қолдауы
  • Автоматты «әдепкі бойынша қосулы» конфигурациясы
  • Mobile Access пышағында SMB v2/3 орнатуды қолдау
  • NFSv4 (клиент) қолдауы қосылды (NFS v4.2 әдепкі NFS нұсқасы пайдаланылады)
  • Жүйені жөндеу, бақылау және конфигурациялау үшін жаңа жүйелік құралдарды қолдау

18. CloudGuard контроллері

  • Сыртқы деректер орталықтарына қосылу үшін өнімділікті жақсартулар.
  • VMware NSX-T бағдарламасымен интеграция.
  • Деректер орталығы серверінің нысандарын жасау және өңдеу үшін қосымша API пәрмендерін қолдау.

19. Көп домендік сервер

  • Көп доменді серверде жеке доменді басқару серверінің сақтық көшірмесін жасаңыз және қалпына келтіріңіз.
  • Бір көп домендік сервердегі доменді басқару серверін басқа көп домендік қауіпсіздікті басқаруға көшіріңіз.
  • Көп доменді серверде доменді басқару сервері болу үшін қауіпсіздікті басқару серверін тасымалдаңыз.
  • Қауіпсіздікті басқару сервері болу үшін доменді басқару серверін тасымалдаңыз.
  • Көп доменді сервердегі доменді немесе қауіпсіздікті басқару серверін одан әрі өңдеу үшін алдыңғы нұсқасына қайтарыңыз.

20. SmartTasks және API

  • Автоматты түрде жасалған API кілтін пайдаланатын жаңа Management API аутентификация әдісі.
  • Кластер нысандарын жасау үшін жаңа басқару API пәрмендері.
  • SmartConsole немесе API көмегімен Jumbo Hotfix аккумуляторын және түзетулерді орталық орналастыру бірнеше қауіпсіздік шлюздері мен кластерлерін қатар орнатуға немесе жаңартуға мүмкіндік береді.
  • SmartTasks — сеансты жариялау немесе саясатты орнату сияқты әкімші тапсырмалары арқылы іске қосылған автоматты сценарийлерді немесе HTTPS сұрауларын конфигурациялаңыз.

21. ОрналастыруSmartConsole немесе API көмегімен Jumbo Hotfix аккумуляторын және түзетулерді орталық орналастыру бірнеше қауіпсіздік шлюздері мен кластерлерін қатар орнатуға немесе жаңартуға мүмкіндік береді.

22. SmartEventSmartView көріністері мен есептерін басқа әкімшілермен бөлісіңіз.

23. Журнал экспорттаушысыӨріс мәндеріне сәйкес сүзілген журналдарды экспорттау.

24. Соңғы нүкте қауіпсіздігі

  • Толық дискіні шифрлау үшін BitLocker шифрлауын қолдау.
  • Endpoint Security клиенті үшін сыртқы сертификаттау орталығы сертификаттарына қолдау көрсету
  • аутентификация және Endpoint Security Management серверімен байланыс.
  • Таңдалғанға негізделген Endpoint Security Client бумаларының динамикалық өлшеміне қолдау көрсету
  • орналастыруға арналған мүмкіндіктер.
  • Саясат енді соңғы пайдаланушыларға хабарландырулар деңгейін басқара алады.
  • Endpoint Policy Management жүйесіндегі тұрақты VDI ортасын қолдау.

Бізге ең ұнайтын нәрсе (тұтынушы тапсырмалары негізінде)

Көріп отырғаныңыздай, жаңашылдық көп. Бірақ біз үшін жүйелік интегратор, бірнеше өте қызықты тұстары бар (олар біздің клиенттерді де қызықтырады). Біздің үздік 10:

  1. Ақырында, IoT құрылғыларына толық қолдау көрсетілді. Мұндай құрылғылары жоқ компанияны табу қазірдің өзінде өте қиын.
  2. TLS инспекциясы енді бөлек қабатқа (Қабат) орналастырылған. Бұл қазіргіден әлдеқайда ыңғайлы (80.30-да). Енді ескі Legasy бақылау тақтасын іске қосудың қажеті жоқ. Оған қоса, енді Office365, Google, Azure, AWS және т.б. қызметтері сияқты HTTPS тексеру саясатындағы жаңартылатын нысандарды пайдалана аласыз. Бұл ерекше жағдайларды орнату қажет болғанда өте ыңғайлы. Дегенмен, tls 1.3 үшін әлі де қолдау жоқ. Шамасы, олар келесі түзетуді «қуып жететін болады».
  3. Антивирус және SandBlast үшін елеулі өзгерістер. Енді сіз SCP, SFTP және SMBv3 сияқты хаттамаларды тексере аласыз (айтпақшы, бұл көп арналы хаттаманы енді ешкім тексере алмайды).
  4. Сайттан Сайтқа VPN-ге қатысты көптеген жақсартулар бар. Енді бірнеше VPN қауымдастықтарының бөлігі болып табылатын шлюзде бірнеше VPN домендерін конфигурациялауға болады. Бұл өте ыңғайлы және әлдеқайда қауіпсіз. Сонымен қатар, Check Point маршрутқа негізделген VPN-ді есіне алды және оның тұрақтылығын/үйлесімділігін сәл жақсартты.
  5. Қашықтағы пайдаланушылар үшін өте танымал мүмкіндік пайда болды. Енді сіз пайдаланушыны ғана емес, ол қосылатын құрылғыны да аутентификациялай аласыз. Мысалы, біз VPN қосылымдарына тек корпоративтік құрылғылардан рұқсат бергіміз келеді. Бұл, әрине, сертификаттардың көмегімен жүзеге асырылады. Сондай-ақ, VPN клиенті бар қашықтағы пайдаланушылар үшін (SMB v2/3) файл ортақтастарын автоматты түрде орнатуға болады.
  6. Кластердің жұмысында көптеген өзгерістер бар. Бірақ, мүмкін, ең қызықтысының бірі - шлюздерде Gaia-ның әртүрлі нұсқалары бар кластерді басқару мүмкіндігі. Бұл жаңартуды жоспарлау кезінде ыңғайлы.
  7. Жетілдірілген Zero Touch мүмкіндіктері. «Шағын» шлюздерді жиі орнататындар үшін пайдалы нәрсе (мысалы, банкоматтар үшін).
  8. Журналдар үшін енді 48 ТБ дейін жадқа қолдау көрсетіледі.
  9. SmartEvent бақылау тақталарын басқа әкімшілермен бөлісе аласыз.
  10. Log Exporter енді қажетті өрістерді пайдаланып жіберілген хабарларды алдын ала сүзуге мүмкіндік береді. Анау. SIEM жүйелеріне тек қажетті журналдар мен оқиғалар жіберіледі

Жаңарту

Мүмкін көпшілігі жаңарту туралы ойланып жатқан шығар. Асықпаудың қажеті жоқ. Бастау үшін 80.40 нұсқасы Жалпы қолжетімділікке өтуі керек. Бірақ одан кейін де бірден жаңартуға болмайды. Кем дегенде бірінші түзетуді күткен дұрыс.
Мүмкін, көпшілігі ескі нұсқаларда «отырған». Кем дегенде 80.30 дейін жаңарту мүмкін (тіпті қажет) деп айта аламын. Бұл қазірдің өзінде тұрақты және дәлелденген жүйе!

Сіз сондай-ақ біздің жалпыға ортақ беттерімізге жазыла аласыз (Telegram, Facebook, VK, TS Solution блогы), мұнда сіз Check Point және басқа қауіпсіздік өнімдерінде жаңа материалдардың пайда болуын бақылай аласыз.

Сауалнамаға тек тіркелген пайдаланушылар қатыса алады. Кіру, өтінемін.

Сіз Gaia қандай нұсқасын пайдаланасыз?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • басқа

13 пайдаланушы дауыс берді. 6 пайдаланушы қалыс қалды.

Ақпарат көзі: www.habr.com

пікір қалдыру