ProHoster > Блог > Захиргаа > Шалгах цэг Gaia R80.40. Шинэ зүйл юу вэ?

Шалгах цэг Gaia R80.40. Шинэ зүйл юу вэ?

Шалгах цэг Gaia R80.40. Шинэ зүйл юу вэ?

Үйлдлийн системийн дараагийн хувилбар гарах дөхөж байна Gaia R80.40. Хэдэн долоо хоногийн өмнө Эрт хандалтын хөтөлбөр эхэлсэн, та түгээлтийг шалгахын тулд хандах боломжтой. Ердийнх шигээ бид шинэлэг зүйлийн талаарх мэдээллийг нийтлэхээс гадна бидний үзэл бодлоос хамгийн сонирхолтой зүйлийг онцолж өгдөг. Цаашид инноваци үнэхээр чухал гэж би хэлж чадна. Тиймээс эрт шинэчлэх процедурт бэлтгэх нь зүйтэй. Өмнө нь бид аль хэдийн байсан нийтлэл хэвлүүлсэн Үүнийг хэрхэн хийх талаар (дэлгэрэнгүй мэдээллийг эндээс авна уу энд холбогдоно уу). Сэдэв рүүгээ орцгооё...

Шинэ зүйл

Албан ёсоор зарласан шинэчлэлүүдийг эндээс харцгаая. Мэдээллийг сайтаас авав Найзуудыг шалгана уу (албан ёсны Check Point нийгэмлэг). Таны зөвшөөрлөөр би энэ текстийг орчуулахгүй, аз болоход Habr үзэгчид үүнийг зөвшөөрдөг. Харин дараагийн бүлэгт сэтгэгдлээ үлдээх болно.

1. IoT аюулгүй байдал. Интернетийн зүйлстэй холбоотой шинэ боломжууд

  • IoT-ийг илрүүлэх баталгаажсан хөдөлгүүрүүдээс IoT төхөөрөмж болон замын хөдөлгөөний шинж чанаруудыг цуглуул (одоогоор Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM болон Armis дэмждэг).
  • Бодлогын удирдлагад IoT-д зориулсан шинэ бодлогын давхаргыг тохируулна уу.
  • IoT төхөөрөмжийн шинж чанарт суурилсан аюулгүй байдлын дүрмийг тохируулж, удирдана уу.

2.TLS шалгалтHTTP / 2:

  • HTTP/2 нь HTTP протоколын шинэчлэл юм. Энэхүү шинэчлэлт нь хурд, үр ашиг, аюулгүй байдлыг сайжруулж, хэрэглэгчийн илүү сайн туршлага бүхий үр дүнг өгдөг.
  • Check Point-ын Аюулгүй байдлын гарц нь HTTP/2-г дэмждэг бөгөөд бүх аюулаас урьдчилан сэргийлэх, хандалтын хяналтын самбар, HTTP/2 протоколын шинэ хамгаалалтуудаар бүрэн аюулгүй байдлыг хангахын зэрэгцээ илүү хурд, үр ашгийг өгдөг.
  • Тусламж нь тодорхой болон SSL шифрлэгдсэн траффикт зориулагдсан бөгөөд HTTPS/TLS-тэй бүрэн нэгдсэн
  • Хяналт шалгалтын чадвар.

TLS шалгалтын давхарга. HTTPS шалгалтын талаархи шинэлэг зүйлүүд:

  • TLS шалгалтад зориулагдсан SmartConsole дахь шинэ бодлогын давхарга.
  • Төрөл бүрийн бодлогын багцад TLS шалгалтын өөр давхаргыг ашиглаж болно.
  • TLS Inspection давхаргыг олон бодлогын багц дээр хуваалцах.
  • TLS үйлдлийн API.

3. Аюулаас урьдчилан сэргийлэх

  • Аюулаас урьдчилан сэргийлэх үйл явц, шинэчлэлтүүдийн үр ашгийг бүхэлд нь сайжруулах.
  • Threat Extraction Engine-ийн автомат шинэчлэлтүүд.
  • Динамик, домэйн болон шинэчлэгдэх боломжтой объектуудыг одоо аюулаас урьдчилан сэргийлэх болон TLS шалгалтын бодлогод ашиглах боломжтой. Шинэчлэх боломжтой объектууд нь гадаад үйлчилгээ эсвэл мэдэгдэж буй IP хаягуудын динамик жагсаалтыг төлөөлдөг сүлжээний объектууд, жишээлбэл - Office365 / Google / Azure / AWS IP хаягууд болон Geo объектууд.
  • Anti-Virus нь одоо SHA-1 болон SHA-256 аюулын заалтуудыг хэш дээр үндэслэн файлуудыг блоклоход ашигладаг. SmartConsole Threat Indicators харагдац эсвэл Custom Intelligence Feed CLI-аас шинэ үзүүлэлтүүдийг импортлох.
  • Anti-Virus болон SandBlast Threat Emulation нь одоо POP3 протоколоор дамжуулан цахим шуудангийн урсгалыг шалгах, мөн IMAP протоколоор дамжуулан цахим шуудангийн урсгалыг шалгахыг дэмждэг.
  • Вирусны эсрэг болон элсний тэсрэх аюулын эмуляц нь SCP болон SFTP протоколоор дамжуулагдсан файлуудыг шалгахын тулд шинээр нэвтрүүлсэн SSH шалгалтын функцийг ашигладаг.
  • Вирусны эсрэг болон SandBlast Threat Emulation нь одоо олон сувгийн холболтыг шалгах SMBv3 шалгалтыг (3.0, 3.0.2, 3.1.1) сайжруулахад дэмжлэг үзүүлдэг. Check Point нь одоо олон сувгаар файл дамжуулалтыг шалгахыг дэмждэг цорын ганц үйлдвэрлэгч юм (бүх Windows орчинд анхдагчаар тохируулагдсан функц). Энэ нь хэрэглэгчид энэхүү гүйцэтгэлийг сайжруулах функцтэй ажиллахын зэрэгцээ аюулгүй байдлыг хангах боломжийг олгодог.

4. Өөрийгөө таниулах

  • SAML 2.0 болон гуравдагч талын таниулах үйлчилгээ үзүүлэгчидтэй Captive Portal-ыг нэгтгэх дэмжлэг.
  • Identity Broker-д дэмжлэг үзүүлэх нь PDP-уудын хооронд таних мэдээллийг өргөтгөх боломжтой, нарийн ширхэгтэй хуваалцах, түүнчлэн домэйн дамнасан хуваалцах.
  • Терминал серверийн агентын сайжруулалтууд нь илүү сайн масштаб болон нийцтэй байх болно.

5. IPsec VPN

  • Олон VPN нийгэмлэгийн гишүүн Аюулгүй байдлын гарц дээр өөр өөр VPN шифрлэлтийн домайнуудыг тохируулна уу. Энэ нь:
  • Сайжруулсан нууцлал — Дотоод сүлжээг IKE протоколын хэлэлцээрт задруулдаггүй.
  • Сайжруулсан аюулгүй байдал, нарийвчлал - Тодорхой VPN нийгэмлэгт аль сүлжээнд хандах боломжтойг зааж өгнө үү.
  • Сайжруулсан харилцан ажиллах чадвар — Хялбаршуулсан чиглүүлэлтэд суурилсан VPN тодорхойлолтууд (та хоосон VPN шифрлэлтийн домэйнтэй ажиллах үед ашиглахыг зөвлөж байна).
  • LSV профайлын тусламжтайгаар Large Scale VPN (LSV) орчныг үүсгэж, саадгүй ажиллана уу.

6. URL шүүлтүүр

  • Өргөтгөх чадвар, уян хатан байдал сайжирсан.
  • Өргөтгөсөн алдааг олж засварлах боломжууд.

7.NAT

  • Сайжруулсан NAT порт хуваарилах механизм — 6 ба түүнээс дээш CoreXL Firewall-тай Хамгаалалтын гарцууд дээр бүх инстанцууд NAT портуудын ижил санг ашигладаг бөгөөд энэ нь портын ашиглалт болон дахин ашиглалтыг оновчтой болгодог.
  • CPView болон SNMP дээр NAT портын ашиглалтын хяналт.

8. IP дээр дуу хоолой (VoIP)Олон тооны CoreXL Firewall нь гүйцэтгэлийг сайжруулахын тулд SIP протоколыг зохицуулдаг.

9. Remote Access VPNКорпорацийн болон корпорацийн бус өмчийг ялгах, зөвхөн компанийн хөрөнгийг ашиглах бодлогыг хэрэгжүүлэхийн тулд машины гэрчилгээг ашиглана уу. Хэрэгжүүлэх нь нэвтрэхээс өмнө (зөвхөн төхөөрөмжийн нэвтрэлт танилт) эсвэл нэвтэрсний дараа (төхөөрөмж ба хэрэглэгчийн баталгаажуулалт) байж болно.

10. Mobile Access Portal AgentБүх томоохон вэб хөтчүүдийг дэмжихийн тулд Mobile Access Portal Agent-ийн эрэлт хэрэгцээний төгсгөлийн аюулгүй байдлыг сайжруулсан. Дэлгэрэнгүй мэдээллийг sk113410-аас үзнэ үү.

11.CoreXL болон олон дараалал

  • Аюулгүй байдлын гарцыг дахин ачаалах шаардлагагүй CoreXL SND болон Галт ханын инстанцуудыг автоматаар хуваарилах дэмжлэг.
  • Сайжруулсан туршлага — Аюулгүй байдлын гарц нь одоогийн замын ачаалалд тулгуурлан CoreXL SND болон Галт хананы тоо, Олон дарааллын тохиргоог автоматаар өөрчилдөг.

12. Бүлэглэх

  • CCP-ийн хэрэгцээг арилгадаг Unicast горим дахь Cluster Control Protocol-ийн дэмжлэг

Өргөн нэвтрүүлгийн эсвэл олон дамжуулалтын горимууд:

  • Кластерын хяналтын протоколын шифрлэлт одоо анхдагчаар идэвхжсэн.
  • Шинэ ClusterXL горим -Идэвхтэй/Идэвхтэй, өөр өөр дэд сүлжээнд байрладаг, өөр IP хаягтай газарзүйн өөр өөр байршилд кластерийн гишүүдийг дэмждэг.
  • Програм хангамжийн өөр хувилбаруудыг ажиллуулдаг ClusterXL кластерийн гишүүдэд зориулсан дэмжлэг.
  • Нэг дэд сүлжээнд хэд хэдэн кластер холбогдсон үед MAC Magic тохиргоо хийх шаардлагагүй болсон.

13. VSX

  • Gaia портал дахь CPUSE-ээр VSX-ийн шинэчлэлтийг дэмжих.
  • VSLS дахь Active Up горимын дэмжлэг.
  • Виртуал систем бүрийн CPView статистик тайланг дэмжих

14. Zero TouchТөхөөрөмжийг суулгах энгийн Plug & Play тохиргооны процесс нь техникийн мэдлэг шаарддаггүй бөгөөд анхны тохиргоог хийхийн тулд төхөөрөмжид холбогдох шаардлагатай болдог.

15. Gaia REST APIGaia REST API нь Gaia үйлдлийн системийг ажиллуулдаг серверүүд рүү мэдээлэл уншиж, илгээх шинэ аргыг санал болгодог. sk143612-г үзнэ үү.

16. Нарийвчилсан чиглүүлэлт

  • OSPF болон BGP-ийн сайжруулалтууд нь чиглүүлсэн демоныг дахин эхлүүлэх шаардлагагүйгээр CoreXL Firewall-ын инстанц бүрийн хөрш OSPF-г дахин тохируулах, дахин эхлүүлэх боломжийг олгодог.
  • BGP чиглүүлэлтийн зөрчилтэй байдлыг сайжруулахын тулд маршрутын шинэчлэлтийг сайжруулж байна.

17. Цөмийн шинэ боломжууд

  • Линуксийн цөмийг сайжруулсан
  • Шинэ хуваалтын систем (gpt):
  • 2ТБ-аас дээш физик/логик хөтчүүдийг дэмждэг
  • Илүү хурдан файлын систем (xfs)
  • Илүү том системийн санах ойг дэмжих (48TB хүртэл туршсан)
  • I/O холбоотой гүйцэтгэлийн сайжруулалт
  • Олон дараалал:
  • Multi-Queue командын бүрэн Gaia Clish дэмжлэг
  • "Өгөгдмөлөөр асаалттай" автомат тохиргоо
  • Mobile Access blade дээр SMB v2/3 холбох дэмжлэг
  • NFSv4 (үйлчлүүлэгч) дэмжлэгийг нэмсэн (NFS v4.2 нь үндсэн NFS хувилбар юм)
  • Системийг дибаг хийх, хянах, тохируулах шинэ системийн хэрэгслийг дэмжих

18. CloudGuard Controller

  • Гадаад дата төвүүдтэй холбогдох гүйцэтгэлийн сайжруулалт.
  • VMware NSX-T-тэй нэгтгэх.
  • Дата төвийн серверийн объектуудыг үүсгэх, засварлах нэмэлт API тушаалуудыг дэмжих.

19. Олон домайн сервер

  • Олон домэйн сервер дээр тусдаа Домэйн Удирдлагын Серверийг нөөцөлж сэргээнэ үү.
  • Нэг олон домэйн сервер дээрх Домэйн удирдлагын серверийг өөр олон домэйн аюулгүй байдлын удирдлага руу шилжүүлээрэй.
  • Олон домайн сервер дээр Домэйн удирдлагын сервер болохын тулд Аюулгүй байдлын удирдлагын серверийг шилжүүлээрэй.
  • Аюулгүй байдлын удирдлагын сервер болохын тулд Домэйн удирдлагын серверийг шилжүүлээрэй.
  • Олон домэйн сервер дээрх домэйн эсвэл Аюулгүй байдлын удирдлагын серверийг дахин засварлахын тулд өмнөх хувилбар руу буцаана уу.

20. SmartTasks болон API

  • Автоматаар үүсгэгдсэн API Түлхүүрийг ашигладаг удирдлагын шинэ API баталгаажуулалтын арга.
  • Кластер объект үүсгэх шинэ удирдлагын API тушаалууд.
  • SmartConsole эсвэл API-аас Jumbo Hotfix Accumulator болон Hotfix-уудыг төвлөрсөн байдлаар байршуулах нь олон хамгаалалтын гарц болон кластеруудыг зэрэгцүүлэн суулгах эсвэл шинэчлэх боломжийг олгодог.
  • SmartTasks — Сесс нийтлэх, бодлого суулгах гэх мэт администраторын даалгавраас үүдэлтэй автомат скрипт эсвэл HTTPS хүсэлтийг тохируулах.

21. БайршуулалтSmartConsole эсвэл API-аас Jumbo Hotfix Accumulator болон Hotfix-уудыг төвлөрсөн байдлаар байршуулах нь олон хамгаалалтын гарц болон кластеруудыг зэрэгцүүлэн суулгах эсвэл шинэчлэх боломжийг олгодог.

22. SmartEventSmartView-ийн үзэл бодол, тайланг бусад админуудтай хуваалцаарай.

23. Лог экспортлогчТалбарын утгын дагуу шүүсэн логуудыг экспортлох.

24. Төгсгөлийн аюулгүй байдал

  • Бүрэн дискний шифрлэлтийн BitLocker шифрлэлтийн дэмжлэг.
  • Төгсгөлийн аюулгүй байдлын үйлчлүүлэгчийн гадаад гэрчилгээний байгууллагын гэрчилгээг дэмжих
  • баталгаажуулалт болон Endpoint Security Management Server-тэй харилцах.
  • Сонгогдсон дээр үндэслэн Endpoint Security Client багцуудын динамик хэмжээг дэмжих
  • байршуулах онцлогууд.
  • Бодлого одоо эцсийн хэрэглэгчдэд өгөх мэдэгдлийн түвшинг хянах боломжтой.
  • Төгсгөлийн бодлогын менежмент дэх байнгын VDI орчныг дэмжих.

Бидэнд хамгийн их таалагдсан зүйл (хэрэглэгчийн даалгаврын дагуу)

Таны харж байгаагаар маш олон шинэлэг зүйл бий. Гэхдээ бидний хувьд системийн интегратор, хэд хэдэн маш сонирхолтой цэгүүд байдаг (энэ нь манай үйлчлүүлэгчдэд бас сонирхолтой байдаг). Манай шилдэг 10:

  1. Эцэст нь IoT төхөөрөмжүүдийн бүрэн дэмжлэг гарч ирэв. Ийм төхөөрөмжгүй компанийг олох нь аль хэдийн нэлээд хэцүү байдаг.
  2. TLS шалгалтыг одоо тусдаа давхаргад (давхарга) байрлуулсан. Энэ нь одоогийнхоос хамаагүй илүү тохиромжтой (80.30-д). Хуучин Legasy хяналтын самбарыг ажиллуулахаа больсон. Нэмж хэлэхэд, одоо та Office365, Google, Azure, AWS гэх мэт HTTPS шалгалтын бодлогод Шинэчлэх боломжтой объектуудыг ашиглаж болно. Үл хамаарах зүйлийг тохируулах шаардлагатай үед энэ нь маш тохиромжтой. Гэсэн хэдий ч tls 1.3-ийг дэмжээгүй хэвээр байна. Тэд дараагийн засварыг "гүйцэх" бололтой.
  3. Anti-Virus болон SandBlast-д зориулсан томоохон өөрчлөлтүүд. Одоо та SCP, SFTP, SMBv3 гэх мэт протоколуудыг шалгаж болно (дашрамд хэлэхэд энэ олон сувгийн протоколыг хэн ч шалгах боломжгүй).
  4. Сайтаас Сайт руу VPN-ийн талаар маш олон сайжруулалт хийгдсэн. Одоо та хэд хэдэн VPN нийгэмлэгийн нэг хэсэг болох гарц дээр хэд хэдэн VPN домайныг тохируулах боломжтой. Энэ нь маш тохиромжтой бөгөөд илүү аюулгүй юм. Нэмж дурдахад, Check Point эцэст нь Route Based VPN-г санаж, тогтвортой байдал / нийцтэй байдлыг бага зэрэг сайжруулсан.
  5. Алсын хэрэглэгчдэд зориулсан маш алдартай функц гарч ирэв. Одоо та зөвхөн хэрэглэгчийг төдийгүй түүний холбогдсон төхөөрөмжийг баталгаажуулах боломжтой. Жишээлбэл, бид зөвхөн корпорацийн төхөөрөмжөөс VPN холболтыг зөвшөөрөхийг хүсч байна. Энэ нь мэдээжийн хэрэг гэрчилгээний тусламжтайгаар хийгддэг. Мөн VPN клиенттэй алсын хэрэглэгчдэд зориулсан файлын хуваалцах (SMB v2/3)-ийг автоматаар холбох боломжтой.
  6. Кластерын үйл ажиллагаанд маш их өөрчлөлт орсон. Гэхдээ хамгийн сонирхолтой зүйл бол гарцууд нь Gaia-ийн өөр өөр хувилбартай кластер ажиллуулах боломж юм. Энэ нь шинэчлэлтийг төлөвлөхөд тохиромжтой.
  7. Zero Touch-ийн чадварыг сайжруулсан. "Жижиг" гарцыг ихэвчлэн суулгадаг хүмүүст хэрэгтэй зүйл (жишээлбэл, АТМ-д).
  8. Логуудын хувьд 48TB хүртэлх санах ойг одоо дэмждэг болсон.
  9. Та SmartEvent хяналтын самбараа бусад админуудтай хуваалцах боломжтой.
  10. Log Exporter нь шаардлагатай талбаруудыг ашиглан илгээсэн мессежийг урьдчилан шүүх боломжийг танд олгоно. Тэдгээр. Зөвхөн шаардлагатай бүртгэлүүд болон үйл явдлуудыг таны SIEM системд дамжуулах болно

Шинэчлэх

Магадгүй олон хүн аль хэдийн шинэчлэх талаар бодож байгаа байх. Яарах шаардлагагүй. Эхлэхийн тулд 80.40 хувилбар нь Ерөнхий бэлэн байдал руу шилжих ёстой. Гэхдээ үүний дараа ч гэсэн та шууд шинэчлэх ёсгүй. Хамгийн багадаа эхний засварыг хүлээх нь дээр.
Магадгүй олон хүн хуучин хувилбарууд дээр "сууж" байгаа байх. Наад зах нь 80.30 хүртэл шинэчлэх боломжтой (тэр ч байтугай шаардлагатай) гэж би хэлж чадна. Энэ бол аль хэдийн тогтвортой, батлагдсан систем юм!

Та манай олон нийтийн хуудсуудыг захиалж болно (цахилгаан, Facebook-ийн, VK, TS шийдлийн блог), Та Check Point болон бусад хамгаалалтын бүтээгдэхүүнүүд дээр шинэ материал гарч ирэхийг дагаж болно.

Зөвхөн бүртгэлтэй хэрэглэгчид санал асуулгад оролцох боломжтой. Нэвтрэх, гуйя.

Та Gaia-ийн ямар хувилбарыг ашиглаж байна вэ?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Бусад

13 хэрэглэгч санал өгсөн. 6 хэрэглэгч түдгэлзсэн.

Эх сурвалж: www.habr.com

сэтгэгдэл нэмэх