ProHoster > Blog > башкаруу > Check Point Gaia R80.40. Эмне жанылык?

Check Point Gaia R80.40. Эмне жанылык?

Check Point Gaia R80.40. Эмне жанылык?

Операциялык системанын кезектеги чыгарылышы жакындап калды Gaia R80.40. Бир нече жума мурун Эрте мүмкүндүк программасы башталды, бөлүштүрүүнү текшерүү үчүн кире аласыз. Адаттагыдай эле, биз жаңылыктар тууралуу маалыматты жарыялайбыз, ошондой эле биздин көз карашыбыз боюнча эң кызыктуу болгон жагдайларды баса белгилейбиз. Алдыга көз чаптырып, инновациялар чындап эле маанилүү деп айта алам. Ошондуктан, эрте жаңыртуу процедурасына даярдануу керек. Буга чейин бизде бар макала жарыялады муну кантип кылуу керектиги жөнүндө (көбүрөөк маалымат үчүн, кириңиз бул жерде байланыш). Темага кайрылалы...

Эмне жанылык

Келгиле, бул жерде расмий жарыяланган жаңылыктарды карап көрөлү. Маалымат сайттан алынды Досторду текшериңиз (расмий Check Point коомчулугу). Сиздин уруксатыңыз менен мен бул текстти которбойм, бактыга жараша Habr аудиториясы уруксат берет. Тескерисинче, кийинки бөлүмгө комментарий калтырам.

1. IoT коопсуздугу. Нерселер Интернетине байланыштуу жаңы функциялар

  • IoT түзмөктөрүн жана трафик атрибуттарын тастыкталган IoT ачылыш моторлорунан чогултуңуз (учурда Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM жана Armis колдойт).
  • Саясатты башкарууда жаңы IoT арналган Саясат катмарын конфигурациялаңыз.
  • IoT түзмөктөрүнүн атрибуттарына негизделген коопсуздук эрежелерин конфигурациялаңыз жана башкарыңыз.

2.TLS текшерүүHTTP/2:

  • HTTP/2 - HTTP протоколуна жаңыртуу. Жаңыртуу ылдамдыкты, эффективдүүлүктү жана коопсуздукту жакшыртууну жана колдонуучу тажрыйбасын жакшыртууну камсыз кылат.
  • Check Point'тин Коопсуздук шлюзи азыр HTTP/2ди колдойт жана толук коопсуздукту алуу менен бирге ылдамдыкты жана эффективдүүлүктү жакшыртат, бардык Коркунучтарды алдын алуу жана Кирүүнү башкаруу тилкелери, ошондой эле HTTP/2 протоколу үчүн жаңы коргоолор.
  • Колдоо ачык жана SSL шифрленген трафик үчүн жана толугу менен HTTPS/TLS менен интеграцияланган
  • Текшерүү мүмкүнчүлүктөрү.

TLS текшерүү катмары. HTTPS текшерүүсүнө байланыштуу инновациялар:

  • TLS текшерүүсүнө арналган SmartConsoleдогу жаңы Саясат катмары.
  • Ар кандай TLS Inspection катмарлары ар кандай саясат пакеттеринде колдонулушу мүмкүн.
  • TLS текшерүү катмарын бир нече саясат пакеттеринде бөлүшүү.
  • TLS операциялары үчүн API.

3. Коркунучтун алдын алуу

  • Коркунучту алдын алуу процесстери жана жаңыртуулары үчүн жалпы натыйжалуулукту жогорулатуу.
  • Threat Extraction Engine үчүн автоматтык жаңыртуулар.
  • Динамикалык, домендик жана жаңылануучу объекттер эми коркунучтун алдын алуу жана TLS текшерүү саясаттарында колдонулушу мүмкүн. Жаңылануучу объекттер - бул тышкы кызматты же белгилүү динамикалык IP даректер тизмесин көрсөткөн тармак объекттери, мисалы - Office365 / Google / Azure / AWS IP даректери жана Geo объекттери.
  • Anti-Virus азыр SHA-1 жана SHA-256 коркунуч көрсөткүчтөрүн хэштеринин негизинде файлдарды бөгөттөө үчүн колдонот. Жаңы көрсөткүчтөрдү SmartConsole Threat Indicators көрүнүшүнөн же Custom Intelligence Feed CLIден импорттоңуз.
  • Anti-Virus жана SandBlast Threat Emulation азыр POP3 протоколу аркылуу электрондук почта трафигин текшерүүнү, ошондой эле IMAP протоколу аркылуу электрондук почта трафигинин жакшыртылган текшерүүсүн колдойт.
  • Anti-Virus жана SandBlast Threat Emulation азыр SCP жана SFTP протоколдору аркылуу өткөрүлүп берилген файлдарды текшерүү үчүн жаңы киргизилген SSH текшерүү функциясын колдонушат.
  • Anti-Virus жана SandBlast Threat Emulation азыр SMBv3 текшерүүсүнө (3.0, 3.0.2, 3.1.1) жакшыртылган колдоо көрсөтөт, ал көп каналдуу байланыштарды текшерүүнү камтыйт. Check Point азыр бир нече каналдар (бардык Windows чөйрөлөрүндө демейки боюнча орнотулган өзгөчөлүк) аркылуу файлдарды өткөрүп берүүнү текшерүүнү колдогон жалгыз сатуучу болуп саналат. Бул кардарларга бул өндүрүмдүүлүктү жогорулатуу функциясы менен иштөөдө коопсуз болууга мүмкүндүк берет.

4. Иденттикти билүү

  • SAML 2.0 жана үчүнчү тараптын Identity Provayderдери менен Captive Portal интеграциясын колдоо.
  • PDPs ортосунда идентификациялык маалыматты масштабдуу жана гранулдуу бөлүшүү үчүн Identity Broker үчүн колдоо, ошондой эле домендер аралык бөлүшүү.
  • Жакшыраак масштабдоо жана шайкештик үчүн Terminal Servers Agent үчүн өркүндөтүүлөр.

5. IPsec VPN

  • Бир нече VPN жамааттарынын мүчөсү болгон Коопсуздук шлюзинде ар кандай VPN шифрлөө домендерин конфигурациялаңыз. Бул камсыз кылат:
  • Жакшыртылган купуялык - Ички тармактар ​​IKE протоколунун сүйлөшүүлөрүндө ачыкка чыккан эмес.
  • Жакшыртылган коопсуздук жана майда-чүйдөсүнө чейин — Белгиленген VPN коомчулугунда кайсы тармактарга жеткиликтүү болоорун көрсөтүңүз.
  • Жакшыртылган өз ара аракеттенүү — Жөнөкөйлөштүрүлгөн маршрутка негизделген VPN аныктамалары (бош VPN шифрлөө домени менен иштегенде сунушталат).
  • LSV профилдеринин жардамы менен Large Scale VPN (LSV) чөйрөсүн түзүңүз жана аны менен үзгүлтүксүз иштеңиз.

6. URL чыпкалоо

  • Өркүндөтүлгөн масштабдуулук жана туруктуулук.
  • Кеңейтилген көйгөйлөрдү чечүү мүмкүнчүлүктөрү.

7.NAT

  • NAT портун бөлүштүрүүнүн өркүндөтүлгөн механизми — 6 же андан көп CoreXL Firewall инстанциялары бар Коопсуздук шлюздеринде, бардык инстанциялар портту колдонууну жана кайра колдонууну оптималдаштырган NAT портторунун бирдей бассейнин колдонушат.
  • CPView жана SNMP менен NAT портун пайдалануу мониторинги.

8. IP аркылуу үн (VoIP)Бир нече CoreXL Firewall инстанциялары натыйжалуулукту жогорулатуу үчүн SIP протоколун иштетет.

9.Remote Access VPNКорпоративдик жана корпоративдик эмес активдерди айырмалоо жана корпоративдик активдерди гана колдонууну талап кылган саясатты коюу үчүн машина сертификатын колдонуңуз. Күчкө салуу кирүү алдында (түзмөктүн аутентификациясы гана) же кирүүдөн кийинки (түзмөктүн жана колдонуучунун аутентификациясы) болушу мүмкүн.

10. Мобилдик мүмкүндүк алуу порталынын агентиБардык негизги веб-браузерлерди колдоо үчүн Мобилдик мүмкүндүк алуу порталынын агентинде талап боюнча күчөтүлгөн акыркы чекит коопсуздугу. Көбүрөөк маалымат алуу үчүн, sk113410 караңыз.

11.CoreXL жана көп кезек

  • CoreXL SND жана Firewall инстанцияларын автоматтык түрдө бөлүштүрүүнү колдоо Коопсуздук шлюзун кайра жүктөөнү талап кылбайт.
  • Жакшыртылган тажрыйба — Коопсуздук шлюзи автоматтык түрдө CoreXL SND жана Firewall инстанцияларынын санын жана учурдагы трафик жүктөмүнүн негизинде Көп кезек конфигурациясын өзгөртөт.

12. Кластерлөө

  • CCP муктаждыгын жок кылган Unicast режиминде кластердик башкаруу протоколун колдоо

Берүү же мультикаст режимдери:

  • Кластерди башкаруу протоколунун шифрлөөсү азыр демейки боюнча иштетилген.
  • Жаңы ClusterXL режими -Активдүү/Активдүү, ал ар башка субторлордо жайгашкан жана ар кандай IP даректери бар ар кандай географиялык жерлерде кластер мүчөлөрүн колдойт.
  • Ар кандай программалык версияларды иштеткен ClusterXL Cluster мүчөлөрүн колдоо.
  • Бир эле ички тармакка бир нече кластер туташтырылганда MAC Magic конфигурациясынын зарылдыгы жок кылынды.

13. VSX

  • Gaia порталында CPUSE менен VSX жаңыртуу үчүн колдоо.
  • VSLS ичинде Active Up режимин колдоо.
  • Ар бир Виртуалдык система үчүн CPView статистикалык отчетторун колдоо

14. Zero TouchШайманды орнотуу үчүн жөнөкөй Plug & Play орнотуу процесси — техникалык экспертизага муктаждыкты жок кылат жана баштапкы конфигурациялоо үчүн шайманга туташуу керек.

15. Gaia REST APIGaia REST API Gaia операциялык тутумун иштеткен серверлерге маалыматты окуунун жана жөнөтүүнүн жаңы жолун камсыз кылат. sk143612 караңыз.

16. Өркүндөтүлгөн багыттоо

  • OSPF жана BGP өркүндөтүлүшү ар бир CoreXL Firewall инстанциясы үчүн коңшулаш OSPFди баштапкы абалга келтирүүгө жана кайра иштетүүгө мүмкүндүк берет, багытталган демонду кайра иштетүүнүн зарылдыгы жок.
  • BGP маршруттук дал келбестиктер менен иштөөнү жакшыртуу үчүн маршрутту жаңыртуу.

17. Жаңы ядро ​​мүмкүнчүлүктөрү

  • Жаңыртылган Linux ядросу
  • Жаңы бөлүү системасы (gpt):
  • 2ТБдан ашык физикалык/логикалык дисктерди колдойт
  • Тезирээк файл системасы (xfs)
  • Чоңураак тутум сактагычын колдоо (сыналган 48 ТБ чейин)
  • I/O байланыштуу аткарууну жакшыртуу
  • Көп кезек:
  • Көп кезек буйруктары үчүн толук Gaia Clish колдоосу
  • Автоматтык "демейки боюнча күйгүзүлгөн" конфигурация
  • SMB v2/3 монтаждоо Mobile Access blade'де
  • NFSv4 (кардар) колдоосу кошулду (NFS v4.2 демейки NFS версиясы колдонулат)
  • Түзмөктү оңдоо, мониторинг жана конфигурациялоо үчүн жаңы тутум куралдарын колдоо

18. CloudGuard Controller

  • Сырткы маалымат борборлоруна туташуулардын иштөөсүн жакшыртуу.
  • VMware NSX-T менен интеграция.
  • Data Center Server объекттерин түзүү жана түзөтүү үчүн кошумча API буйруктарын колдоо.

19. Көп домендүү сервер

  • Көп домендик серверде жеке доменди башкаруу серверинин камдык көчүрмөсүн сактоо жана калыбына келтирүү.
  • Бир көп домендик сервердеги доменди башкаруу серверин башка көп домендүү коопсуздук башкаруусуна көчүрүңүз.
  • Көп домендик серверде доменди башкаруу сервери болуу үчүн Коопсуздукту башкаруу серверин көчүрүңүз.
  • Коопсуздукту башкаруу сервери болуу үчүн доменди башкаруу серверин көчүрүңүз.
  • Көп домендик сервердеги доменди же Коопсуздукту башкаруу серверин андан ары оңдоо үчүн мурунку ревизияга кайтарыңыз.

20. SmartTasks жана API

  • Автоматтык түрдө түзүлгөн API ачкычын колдонгон жаңы башкаруу API аныктыгын текшерүү ыкмасы.
  • Кластер объекттерин түзүү үчүн жаңы башкаруу API буйруктары.
  • SmartConsole же API менен Jumbo Hotfix Аккумуляторун жана Түзөтүүлөрдү борбордук жайгаштыруу параллелдүү бир нече коопсуздук шлюздарын жана кластерлерин орнотууга же жаңыртууга мүмкүндүк берет.
  • SmartTasks — Сеансты жарыялоо же саясатты орнотуу сыяктуу администратордун тапшырмалары менен шартталган автоматтык скрипттерди же HTTPS сурамдарын конфигурациялаңыз.

21. ЖайгаштырууSmartConsole же API менен Jumbo Hotfix Аккумуляторун жана Түзөтүүлөрдү борбордук жайгаштыруу параллелдүү бир нече коопсуздук шлюздарын жана кластерлерин орнотууга же жаңыртууга мүмкүндүк берет.

22. SmartEventSmartView көрүнүштөрүн жана отчетторун башка администраторлор менен бөлүшүңүз.

23. Log ExporterТалаа маанилерине ылайык чыпкаланган журналдарды экспорттоо.

24. Акыркы чекиттин коопсуздугу

  • Толук диск шифрлөө үчүн BitLocker шифрлөөсүн колдоо.
  • Endpoint Security кардары үчүн тышкы тастыктама органынын сертификаттарын колдоо
  • аныктыгын текшерүү жана Endpoint Security Management Server менен байланыш.
  • Тандалгандардын негизинде Endpoint Security Client пакеттеринин динамикалык өлчөмүн колдоо
  • жайылтуу үчүн өзгөчөлүктөр.
  • Саясат эми акыркы колдонуучуларга билдирмелердин деңгээлин көзөмөлдөй алат.
  • Endpoint Policy Management'те Persistent VDI чөйрөсүн колдоо.

Бизге эң жаккан нерсе (кардарлардын тапшырмаларынын негизинде)

Көрүнүп тургандай, жаңычылдыктар көп. Бирок биз үчүн системалык интегратор, бир нече абдан кызыктуу пункттар бар (алар биздин кардарлар үчүн да кызыктуу). Биздин мыкты 10:

  1. Акыры, IoT түзмөктөрүн толук колдоо пайда болду. Мындай аппараттары жок компанияны табуу буга чейин эле кыйын.
  2. TLS текшерүүсү азыр өзүнчө катмарга (катмар) жайгаштырылган. Азыркыга караганда алда канча ыңгайлуу (80.30да). Эски Legasy Dashboard иштебей калды. Мындан тышкары, эми сиз Office365, Google, Azure, AWS ж.б. кызматтар сыяктуу HTTPS текшерүү саясатында Жаңылануучу объекттерди колдоно аласыз. Бул өзгөчө учурларды орнотуу керек болгондо абдан ыңгайлуу. Бирок, дагы эле tls 1.3 үчүн колдоо жок. Кыязы, алар кийинки оңдоо менен "кууп" калышат.
  3. Anti-Virus жана SandBlast үчүн олуттуу өзгөрүүлөр. Эми сиз SCP, SFTP жана SMBv3 сыяктуу протоколдорду текшере аласыз (айтмакчы, бул көп каналдуу протоколду мындан ары эч ким текшере албайт).
  4. Сайттан Сайтка VPNге байланыштуу көптөгөн жакшыруулар бар. Эми сиз бир нече VPN жамааттарынын бир бөлүгү болгон шлюз боюнча бир нече VPN домендерин конфигурациялай аласыз. Бул абдан ыңгайлуу жана алда канча коопсуз. Кошумчалай кетсек, Check Point акыры Route Based VPN-ди эстеп, анын туруктуулугун/шайкештигин бир аз жакшыртты.
  5. Алыскы колдонуучулар үчүн абдан популярдуу функция пайда болду. Эми сиз колдонуучуну гана эмес, ал туташкан аппаратты да ырастай аласыз. Мисалы, биз VPN туташуусуна корпоративдик түзмөктөрдөн гана уруксат бергибиз келет. Бул, албетте, сертификаттардын жардамы менен жасалат. Ошондой эле VPN кардары менен алыскы колдонуучулар үчүн (SMB v2/3) файл бөлүшүүлөрүн автоматтык түрдө орнотууга болот.
  6. Кластердин иштешинде бир топ өзгөрүүлөр бар. Бирок, балким, эң кызыктууларынын бири - бул шлюздарда Gaia ар кандай версиялары бар кластерди иштетүү мүмкүнчүлүгү. Бул жаңыртууну пландаштырууда ыңгайлуу.
  7. Жакшыртылган Zero Touch мүмкүнчүлүктөрү. Көбүнчө "чакан" шлюздарды орноткондор үчүн пайдалуу нерсе (мисалы, банкоматтар үчүн).
  8. Журналдар үчүн 48 ТБ чейин сактагыч азыр колдоого алынат.
  9. Сиз SmartEvent панелдериңизди башка администраторлор менен бөлүшө аласыз.
  10. Log Exporter азыр жөнөтүлгөн билдирүүлөрдү талап кылынган талааларды колдонуу менен алдын ала чыпкалоого мүмкүндүк берет. Ошол. SIEM системаларыңызга керектүү журналдар жана окуялар гана өткөрүлүп берилет

өзгөртүү

Балким, көптөр жаңыртуу жөнүндө ойлонуп жатышат. Шашуунун кереги жок. Баштоо үчүн, 80.40 версиясы Жалпы жеткиликтүүлүккө өтүшү керек. Бирок андан кийин да, сиз дароо жаңырбашыңыз керек. Жок дегенде биринчи оңдоону күткөн жакшы.
Балким, көбү эски версияларда "отурган". Минимумда 80.30 жаңыртуу мүмкүн (жана зарыл болсо да) деп айта алам. Бул туруктуу жана далилденген система!

Сиз ошондой эле биздин жалпы баракчаларыбызга жазылсаңыз болот (телеграмма, Facebook, VK, TS Solution блогу), анда сиз Check Point жана башка коопсуздук өнүмдөрүндө жаңы материалдардын пайда болушун байкай аласыз.

Сурамжылоого катталган колдонуучулар гана катыша алышат. Кирүү, өтүнөмүн.

Гаианын кайсы версиясын колдонуп жатасыз?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • башка

13 колдонуучу добуш берди. 6 колдонуучу добуш берүүдөн баш тартты.

Source: www.habr.com

Комментарий кошуу