ProHoster > Dienoraštis > Administravimas > Check Point Gaia R80.40. Kas naujo?

Check Point Gaia R80.40. Kas naujo?

Check Point Gaia R80.40. Kas naujo?

Artėja kitas operacinės sistemos leidimas Gaia R80.40. Prieš kelias savaites Pradėta ankstyvos prieigos programa, kur galite pasiekti ir išbandyti platinimą. Kaip įprasta, skelbiame informaciją apie tai, kas naujo, taip pat pabrėžiame mūsų požiūriu įdomiausius dalykus. Žvelgiant į ateitį, galiu pasakyti, kad naujovės tikrai reikšmingos. Todėl verta pasiruošti ankstyvai atnaujinimo procedūrai. Anksčiau mes jau turėjome paskelbė straipsnį kaip tai padaryti (daugiau informacijos rasite apsilankę susisiekite čia). Eikime prie temos...

Kas naujo

Pažvelkime į oficialiai paskelbtas naujoves čia. Informacija paimta iš svetainės Patikrinkite draugus (oficiali Check Point bendruomenė). Jums leidus, šio teksto neversiu, laimei, Habr publika tai leidžia. Vietoj to, paliksiu savo komentarus kitam skyriui.

1. IoT sauga. Naujos funkcijos, susijusios su daiktų internetu

  • Surinkite daiktų interneto įrenginius ir srauto atributus iš sertifikuotų daiktų interneto aptikimo variklių (šiuo metu palaikomos Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM ir Armis).
  • Sukonfigūruokite naują IoT skirtą politikos sluoksnį politikos valdyme.
  • Konfigūruokite ir valdykite saugos taisykles, pagrįstas daiktų interneto įrenginių atributais.

2.TLS patikrinimasHTTP/2:

  • HTTP/2 yra HTTP protokolo atnaujinimas. Atnaujinimas pagerina greitį, efektyvumą ir saugą bei suteikia geresnę vartotojo patirtį.
  • „Check Point“ saugos šliuzas dabar palaiko HTTP/2 ir užtikrina didesnį greitį bei efektyvumą, kartu užtikrindamas visišką saugumą, su visomis grėsmių prevencijos ir prieigos kontrolės dalimis, taip pat naujomis HTTP/2 protokolo apsaugos priemonėmis.
  • Palaikomas tiek aiškus, tiek SSL užšifruotas srautas ir yra visiškai integruotas su HTTPS/TLS
  • Patikrinimo galimybės.

TLS tikrinimo sluoksnis. HTTPS tikrinimo naujovės:

  • Naujas „SmartConsole“ politikos sluoksnis, skirtas TLS tikrinimui.
  • Skirtinguose politikos paketuose gali būti naudojami skirtingi TLS tikrinimo lygmenys.
  • TLS tikrinimo lygmens bendrinimas keliuose politikos paketuose.
  • API TLS operacijoms.

3. Grėsmių prevencija

  • Bendras grėsmių prevencijos procesų ir atnaujinimų efektyvumo didinimas.
  • Automatiniai grėsmių pašalinimo variklio atnaujinimai.
  • Dinaminius, domeno ir atnaujinamus objektus dabar galima naudoti grėsmių prevencijos ir TLS tikrinimo politikoje. Atnaujinami objektai yra tinklo objektai, atstovaujantys išorinę paslaugą arba žinomą dinaminį IP adresų sąrašą, pavyzdžiui, Office365 / Google / Azure / AWS IP adresai ir geografiniai objektai.
  • Anti-Virus dabar naudoja SHA-1 ir SHA-256 grėsmės indikacijas, kad blokuotų failus pagal jų maišą. Importuokite naujus rodiklius iš „SmartConsole“ grėsmių indikatorių rodinio arba „Custom Intelligence Feed“ CLI.
  • Anti-Virus ir SandBlast Threat Emulation dabar palaiko el. pašto srauto tikrinimą naudojant POP3 protokolą, taip pat patobulintą el. pašto srauto tikrinimą naudojant IMAP protokolą.
  • Anti-Virus ir SandBlast Threat Emulation dabar naudoja naujai pristatytą SSH tikrinimo funkciją, kad patikrintų failus, perkeltus SCP ir SFTP protokolais.
  • Anti-Virus ir SandBlast Threat Emulation dabar teikia patobulintą SMBv3 tikrinimo palaikymą (3.0, 3.0.2, 3.1.1), kuris apima kelių kanalų jungčių patikrinimą. „Check Point“ dabar yra vienintelis tiekėjas, palaikantis failų perdavimo keliais kanalais tikrinimą (funkcija, kuri yra įjungta pagal numatytuosius nustatymus visose „Windows“ aplinkose). Tai leidžia klientams išlikti saugūs dirbdami su šia našumą didinančia funkcija.

4. Tapatybės suvokimas

  • Užfiksuoto portalo integravimo su SAML 2.0 ir trečiųjų šalių tapatybės teikėjais palaikymas.
  • „Identity Broker“ palaikymas, skirtas keičiamam ir detaliam tapatybės informacijos dalijimuisi tarp PDP, taip pat tarp domenų.
  • Terminalų serverių agento patobulinimai geresniam mastelio keitimui ir suderinamumui.

5. IPsec VPN

  • Konfigūruokite skirtingus VPN šifravimo domenus saugos šliuze, kuris yra kelių VPN bendruomenių narys. Tai suteikia:
  • Patobulintas privatumas – derybose dėl IKE protokolo vidiniai tinklai neatskleidžiami.
  • Patobulinta sauga ir detalumas – nurodykite, kurie tinklai pasiekiami nurodytoje VPN bendruomenėje.
  • Pagerintas suderinamumas – supaprastinti maršrutais pagrįsti VPN apibrėžimai (rekomenduojama, kai dirbate su tuščiu VPN šifravimo domenu).
  • Kurkite ir sklandžiai dirbkite su Large Scale VPN (LSV) aplinka, naudodami LSV profilius.

6. URL filtravimas

  • Pagerintas mastelio keitimas ir atsparumas.
  • Išplėstos trikčių šalinimo galimybės.

7.NAT

  • Patobulintas NAT prievadų paskirstymo mechanizmas – saugos šliuzuose su 6 ar daugiau CoreXL ugniasienės egzempliorių visi egzemplioriai naudoja tą patį NAT prievadų telkinį, o tai optimizuoja prievado naudojimą ir pakartotinį naudojimą.
  • NAT prievado panaudojimo stebėjimas naudojant CPView ir SNMP.

8. Balsas per IP (VoIP)Keli „CoreXL Firewall“ egzemplioriai apdoroja SIP protokolą, kad pagerintų našumą.

9. Nuotolinės prieigos VPNNaudokite mašinos sertifikatą, kad atskirtumėte įmonės ir ne įmonės turtą ir nustatytumėte politiką, pagal kurią būtų naudojamas tik įmonės turtas. Įgyvendinimas gali būti atliekamas prieš prisijungimą (tik įrenginio autentifikavimas) arba po prisijungimo (įrenginio ir vartotojo autentifikavimas).

10. Mobiliosios prieigos portalo agentasPatobulinta galutinio taško sauga pagal poreikį mobiliosios prieigos portalo agente, skirta palaikyti visas pagrindines žiniatinklio naršykles. Daugiau informacijos rasite sk113410.

11. „CoreXL“ ir „Multi-Queue“.

  • Automatinio CoreXL SND ir ugniasienės egzempliorių paskirstymo palaikymas, kuriam nereikia iš naujo paleisti saugos šliuzo.
  • Patobulinta eksploatacinė patirtis – „Security Gateway“ automatiškai pakeičia „CoreXL SND“ ir ugniasienės egzempliorių skaičių bei kelių eilių konfigūraciją, atsižvelgdama į esamą srauto apkrovą.

12. Klasterizavimas

  • Cluster Control Protocol palaikymas Unicast režimu, kuris pašalina CCP poreikį

Transliacijos arba Multicast režimai:

  • Cluster Control Protocol šifravimas dabar įjungtas pagal numatytuosius nustatymus.
  • Naujas „ClusterXL“ režimas – Aktyvus/Aktyvus, kuris palaiko klasterio narius skirtingose ​​geografinėse vietose, kurios yra skirtinguose potinkliuose ir turi skirtingus IP adresus.
  • ClusterXL Cluster Narių, kuriuose veikia skirtingos programinės įrangos versijos, palaikymas.
  • Panaikino MAC Magic konfigūracijos poreikį, kai prie to paties potinklio prijungti keli klasteriai.

13. VSX

  • VSX atnaujinimo su CPUSE palaikymas Gaia portale.
  • „Active Up“ režimo palaikymas VSLS.
  • Kiekvienos virtualios sistemos CPView statistinių ataskaitų palaikymas

14. Zero TouchPaprastas „Plug & Play“ sąrankos procesas norint įdiegti prietaisą – nereikia techninių žinių ir nereikia prisijungti prie prietaiso, norint atlikti pradinę konfigūraciją.

15. Gaia REST APIGaia REST API suteikia naują būdą skaityti ir siųsti informaciją serveriams, kuriuose veikia Gaia operacinė sistema. Žiūrėkite sk143612.

16. Išplėstinis maršruto parinkimas

  • OSPF ir BGP patobulinimai leidžia iš naujo nustatyti ir iš naujo paleisti OSPF šalia kiekvieno CoreXL ugniasienės egzemplioriaus, nereikia iš naujo paleisti nukreipto demono.
  • Patobulintas maršruto atnaujinimas, kad būtų geriau valdomi BGP maršruto nenuoseklumai.

17. Naujos branduolio galimybės

  • Atnaujintas Linux branduolys
  • Nauja skaidymo sistema (gpt):
  • Palaiko daugiau nei 2TB fizinius/loginius diskus
  • Greitesnė failų sistema (xfs)
  • Didesnės sistemos saugyklos palaikymas (išbandyta iki 48 TB)
  • Su I/O susiję našumo patobulinimai
  • Kelių eilių:
  • Visiškas Gaia Clish palaikymas kelių eilių komandoms
  • Automatinė „įjungta pagal numatytuosius nustatymus“ konfigūracija
  • SMB v2/3 tvirtinimo palaikymas mobiliosios prieigos blade
  • Pridėtas NFSv4 (kliento) palaikymas (NFS v4.2 yra numatytoji naudojama NFS versija)
  • Naujų sistemos įrankių palaikymas, skirtas sistemos derinimui, stebėjimui ir konfigūravimui

18. „CloudGuard“ valdiklis

  • Ryšių su išoriniais duomenų centrais našumo patobulinimai.
  • Integracija su VMware NSX-T.
  • Papildomų API komandų palaikymas duomenų centro serverio objektams kurti ir redaguoti.

19. Kelių domenų serveris

  • Atkurkite atskiro domenų valdymo serverio atsarginę kopiją ir atkurkite kelių domenų serveryje.
  • Perkelkite domenų valdymo serverį viename kelių domenų serveryje į kitą kelių domenų saugos valdymą.
  • Perkelkite saugos valdymo serverį, kad taptumėte domenų valdymo serveriu kelių domenų serveryje.
  • Perkelkite domeno valdymo serverį, kad taptumėte saugos valdymo serveriu.
  • Grąžinkite kelių domenų serverio domeną arba saugos valdymo serverį į ankstesnę versiją, kad galėtumėte toliau redaguoti.

20. SmartTasks ir API

  • Naujas valdymo API autentifikavimo metodas, kuris naudoja automatiškai sugeneruotą API raktą.
  • Naujos valdymo API komandos klasterio objektams kurti.
  • Centrinis Jumbo karštųjų pataisų kaupiklio ir karštųjų pataisų diegimas iš SmartConsole arba naudojant API leidžia lygiagrečiai įdiegti arba atnaujinti kelis saugos šliuzus ir grupes.
  • „SmartTasks“ – konfigūruokite automatinius scenarijus arba HTTPS užklausas, kurias suaktyvina administratoriaus užduotys, pvz., seanso paskelbimas arba strategijos diegimas.

21. DiegimasCentrinis Jumbo karštųjų pataisų kaupiklio ir karštųjų pataisų diegimas iš SmartConsole arba naudojant API leidžia lygiagrečiai įdiegti arba atnaujinti kelis saugos šliuzus ir grupes.

22. SmartEventBendrinkite „SmartView“ rodinius ir ataskaitas su kitais administratoriais.

23.Rąstų eksportuotojasEksportuoti žurnalus, filtruotus pagal lauko reikšmes.

24.Galinio taško saugumas

  • Viso disko šifravimo „BitLocker“ šifravimo palaikymas.
  • „Endpoint Security“ kliento išorinių sertifikatų institucijos sertifikatų palaikymas
  • autentifikavimas ir ryšys su Endpoint Security Management Server.
  • Dinaminio „Endpoint Security Client“ paketų dydžio palaikymas, pagrįstas pasirinktais
  • diegimo funkcijos.
  • Dabar politika gali valdyti pranešimų galutiniams vartotojams lygį.
  • Palaikymas nuolatinei VDI aplinkai Endpoint Policy Management.

Kas mums patiko labiausiai (pagal klientų užduotis)

Kaip matote, yra daug naujovių. Bet mums, kaip ir sistemos integratorius, yra keletas labai įdomių punktų (kurie įdomūs ir mūsų klientams). Mūsų 10 geriausių:

  1. Galiausiai atsirado visiškas daiktų interneto įrenginių palaikymas. Jau dabar gana sunku rasti įmonę, kuri neturėtų tokių įrenginių.
  2. TLS patikrinimas dabar dedamas į atskirą sluoksnį (sluoksnį). Tai daug patogiau nei dabar (80.30). Nebereikia naudoti senosios Legasy Dashboard. Be to, dabar HTTPS tikrinimo politikoje galite naudoti atnaujinamus objektus, pvz., Office365, Google, Azure, AWS ir kt. paslaugas. Tai labai patogu, kai reikia nustatyti išimtis. Tačiau tls 1.3 palaikymo vis dar nėra. Matyt, jie „pasveiks“ kitą karštąją pataisą.
  3. Reikšmingi „Anti-Virus“ ir „SandBlast“ pakeitimai. Dabar galite patikrinti tokius protokolus kaip SCP, SFTP ir SMBv3 (beje, šio kelių kanalų protokolo jau niekas nebegali patikrinti).
  4. Yra daug patobulinimų, susijusių su „Site-to-Site“ VPN. Dabar šliuze, kuris yra kelių VPN bendruomenių dalis, galite konfigūruoti kelis VPN domenus. Tai labai patogu ir daug saugiau. Be to, „Check Point“ pagaliau prisiminė maršrutais pagrįstą VPN ir šiek tiek pagerino jo stabilumą / suderinamumą.
  5. Atsirado labai populiari nuotolinių vartotojų funkcija. Dabar galite autentifikuoti ne tik vartotoją, bet ir įrenginį, iš kurio jis prisijungia. Pavyzdžiui, norime leisti VPN ryšius tik iš įmonės įrenginių. Tai daroma, žinoma, sertifikatų pagalba. Taip pat galima automatiškai prijungti (SMB v2/3) failų bendrinimą nuotoliniams vartotojams naudojant VPN klientą.
  6. Klasterio veikloje yra daug pokyčių. Tačiau turbūt viena įdomiausių yra galimybė valdyti klasterį, kuriame vartai turi skirtingas Gaia versijas. Tai patogu planuojant atnaujinimą.
  7. Patobulintos Zero Touch galimybės. Naudingas dalykas tiems, kurie dažnai montuoja „mažus“ šliuzus (pavyzdžiui, bankomatams).
  8. Dabar palaikoma žurnalų saugykla iki 48 TB.
  9. Galite bendrinti savo „SmartEvent“ prietaisų skydelius su kitais administratoriais.
  10. Žurnalų eksportuotojas dabar leidžia iš anksto filtruoti išsiųstus pranešimus naudojant reikiamus laukus. Tie. Į jūsų SIEM sistemas bus perduodami tik būtini žurnalai ir įvykiai

Atnaujinti

Galbūt daugelis jau galvoja apie atnaujinimą. Nereikia skubėti. Pirmiausia 80.40 versija turi būti perkelta į Bendrąjį prieinamumą. Tačiau net ir po to neturėtumėte atnaujinti iš karto. Geriau palaukti bent jau pirmosios karštosios pataisos.
Galbūt daugelis „sėdi“ prie senesnių versijų. Galiu pasakyti, kad bent jau galima (ir net būtina) atnaujinti iki 80.30. Tai jau stabili ir patikrinta sistema!

Taip pat galite užsiprenumeruoti mūsų viešuosius puslapius (Telegram, Facebook, VK, TS sprendimų tinklaraštis), kur galite stebėti naujos medžiagos atsiradimą „Check Point“ ir kituose saugos produktuose.

Apklausoje gali dalyvauti tik registruoti vartotojai. Prisijungti, Prašau.

Kokią Gaia versiją naudojate?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • kitas

Balsavo 13 vartotojų. 6 vartotojai susilaikė.

Šaltinis: www.habr.com

Добавить комментарий