ProHoster > blog > administratie > Controlepunt Gaia R80.40. Wat is er nieuw?

Controlepunt Gaia R80.40. Wat is er nieuw?

Controlepunt Gaia R80.40. Wat is er nieuw?

De volgende release van het besturingssysteem nadert Gaia R80.40. Een paar weken geleden Early Access-programma gestart, waar u toegang hebt om de distributie te testen. Zoals gewoonlijk publiceren we informatie over wat er nieuw is, en benadrukken we ook de punten die vanuit ons standpunt het meest interessant zijn. Vooruitkijkend kan ik zeggen dat de innovaties werkelijk significant zijn. Daarom is het de moeite waard om u voor te bereiden op een vroege updateprocedure. Vroeger hebben we dat al gedaan een artikel gepubliceerd hoe u dit kunt doen (voor meer informatie kunt u terecht op contacteer hier). Laten we naar het onderwerp gaan...

Nieuws

Laten we hier eens kijken naar de officieel aangekondigde innovaties. Informatie afkomstig van de site Controleer maatjes (officiële Check Point-gemeenschap). Met uw toestemming zal ik deze tekst niet vertalen, gelukkig staat het Habr-publiek dit toe. In plaats daarvan laat ik mijn opmerkingen achter voor het volgende hoofdstuk.

1. IoT-beveiliging. Nieuwe functies gerelateerd aan het internet der dingen

  • Verzamel IoT-apparaten en verkeerskenmerken van gecertificeerde IoT-detectiemotoren (ondersteunt momenteel Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM en Armis).
  • Configureer een nieuwe IoT-specifieke beleidslaag in beleidsbeheer.
  • Configureer en beheer beveiligingsregels die zijn gebaseerd op de kenmerken van de IoT-apparaten.

2.TLS-inspectieHTTP / 2:

  • HTTP/2 is een update van het HTTP-protocol. De update zorgt voor verbeteringen op het gebied van snelheid, efficiëntie en veiligheid en resulteert in een betere gebruikerservaring.
  • De Security Gateway van Check Point ondersteunt nu HTTP/2 en profiteert van betere snelheid en efficiëntie terwijl het volledige beveiliging biedt, met alle Blades voor bedreigingspreventie en toegangscontrole, evenals nieuwe beveiligingen voor het HTTP/2-protocol.
  • Ondersteuning is voor zowel helder als SSL-gecodeerd verkeer en is volledig geïntegreerd met HTTPS/TLS
  • Inspectiemogelijkheden.

TLS-inspectielaag. Innovaties op het gebied van HTTPS-inspectie:

  • Een nieuwe beleidslaag in SmartConsole speciaal voor TLS-inspectie.
  • In verschillende beleidspakketten kunnen verschillende TLS-inspectielagen worden gebruikt.
  • Het delen van een TLS-inspectielaag over meerdere beleidspakketten.
  • API voor TLS-bewerkingen.

3. Bedreigingspreventie

  • Algehele efficiëntieverbetering voor Threat Prevention-processen en updates.
  • Automatische updates voor de Threat Extraction Engine.
  • Dynamische, domein- en updatebare objecten kunnen nu worden gebruikt in het beleid voor bedreigingspreventie en TLS-inspectie. Bijwerkbare objecten zijn netwerkobjecten die een externe service of een bekende dynamische lijst met IP-adressen vertegenwoordigen, bijvoorbeeld Office365 / Google / Azure / AWS IP-adressen en Geo-objecten.
  • Anti-Virus gebruikt nu SHA-1- en SHA-256-dreigingsindicaties om bestanden te blokkeren op basis van hun hashes. Importeer de nieuwe indicatoren vanuit de weergave SmartConsole Threat Indicators of de Custom Intelligence Feed CLI.
  • Anti-Virus en SandBlast Threat Emulation ondersteunen nu inspectie van e-mailverkeer via het POP3-protocol, evenals verbeterde inspectie van e-mailverkeer via het IMAP-protocol.
  • Anti-Virus en SandBlast Threat Emulation gebruiken nu de nieuw geïntroduceerde SSH-inspectiefunctie om bestanden te inspecteren die zijn overgedragen via de SCP- en SFTP-protocollen.
  • Anti-Virus en SandBlast Threat Emulation bieden nu verbeterde ondersteuning voor SMBv3-inspectie (3.0, 3.0.2, 3.1.1), inclusief inspectie van meerkanaalsverbindingen. Check Point is nu de enige leverancier die de inspectie van een bestandsoverdracht via meerdere kanalen ondersteunt (een functie die standaard is ingeschakeld in alle Windows-omgevingen). Hierdoor kunnen klanten veilig blijven terwijl ze met deze prestatieverbeterende functie werken.

4. Identiteitsbewustzijn

  • Ondersteuning voor Captive Portal-integratie met SAML 2.0 en identiteitsproviders van derden.
  • Ondersteuning voor Identity Broker voor het schaalbaar en gedetailleerd delen van identiteitsinformatie tussen PDP's, evenals het delen tussen domeinen.
  • Verbeteringen aan Terminal Servers Agent voor betere schaalbaarheid en compatibiliteit.

5. IPsec-VPN

  • Configureer verschillende VPN-coderingsdomeinen op een Security Gateway die lid is van meerdere VPN-gemeenschappen. Dit biedt:
  • Verbeterde privacy: interne netwerken worden niet bekendgemaakt tijdens IKE-protocolonderhandelingen.
  • Verbeterde beveiliging en granulariteit — Specificeer welke netwerken toegankelijk zijn in een specifieke VPN-gemeenschap.
  • Verbeterde interoperabiliteit – Vereenvoudigde, op routes gebaseerde VPN-definities (aanbevolen als u met een leeg VPN-coderingsdomein werkt).
  • Creëer en werk naadloos samen met een Large Scale VPN (LSV)-omgeving met behulp van LSV-profielen.

6. URL-filtering

  • Verbeterde schaalbaarheid en veerkracht.
  • Uitgebreide mogelijkheden voor probleemoplossing.

7.NAT

  • Verbeterd NAT-poorttoewijzingsmechanisme: op Security Gateways met 6 of meer CoreXL Firewall-instances gebruiken alle instances dezelfde pool van NAT-poorten, wat het poortgebruik en hergebruik optimaliseert.
  • Bewaking van NAT-poortgebruik in CPView en met SNMP.

8. Voice over IP (VoIP)Meerdere CoreXL Firewall-instanties verwerken het SIP-protocol om de prestaties te verbeteren.

9. VPN voor toegang op afstandGebruik een machinecertificaat om onderscheid te maken tussen bedrijfsactiva en niet-bedrijfsactiva en om een ​​beleid in te stellen dat alleen het gebruik van bedrijfsactiva afdwingt. Afdwinging kan plaatsvinden vóór aanmelding (alleen apparaatverificatie) of na aanmelding (apparaat- en gebruikersverificatie).

10. Portaalagent voor mobiele toegangVerbeterde Endpoint Security on Demand binnen de Mobile Access Portal Agent ter ondersteuning van alle belangrijke webbrowsers. Zie sk113410 voor meer informatie.

11.CoreXL en Multi-Queue

  • Ondersteuning voor automatische toewijzing van CoreXL SND's en Firewall-instanties waarvoor geen reboot van de Security Gateway vereist is.
  • Verbeterde kant-en-klare ervaring: Security Gateway verandert automatisch het aantal CoreXL SND's en Firewall-instanties en de Multi-Queue-configuratie op basis van de huidige verkeersbelasting.

12. Clustering

  • Ondersteuning voor Cluster Control Protocol in Unicast-modus waardoor CCP niet meer nodig is

Broadcast- of Multicast-modi:

  • Cluster Control Protocol-codering is nu standaard ingeschakeld.
  • Nieuwe ClusterXL-modus -Active/Active, die clusterleden ondersteunt op verschillende geografische locaties die zich op verschillende subnetten bevinden en verschillende IP-adressen hebben.
  • Ondersteuning voor ClusterXL Clusterleden die verschillende softwareversies gebruiken.
  • Elimineert de noodzaak voor MAC Magic-configuratie wanneer meerdere clusters op hetzelfde subnet zijn aangesloten.

13. VSX

  • Ondersteuning voor VSX-upgrade met CPUSE in Gaia Portal.
  • Ondersteuning voor Active Up-modus in VSLS.
  • Ondersteuning voor CPView-statistische rapporten voor elk virtueel systeem

14. Geen aanrakingEen eenvoudig Plug & Play-installatieproces voor het installeren van een apparaat, waardoor er geen technische expertise meer nodig is en u geen verbinding hoeft te maken met het apparaat voor de eerste configuratie.

15. Gaia REST-APIGaia REST API biedt een nieuwe manier om informatie te lezen en te verzenden naar servers waarop het Gaia-besturingssysteem draait. Zie sk143612.

16. Geavanceerde routering

  • Verbeteringen aan OSPF en BGP maken het mogelijk om OSPF aangrenzend voor elke CoreXL Firewall-instantie opnieuw in te stellen en opnieuw te starten zonder dat de gerouteerde daemon opnieuw hoeft te worden opgestart.
  • Verbetering van het vernieuwen van routes voor een betere afhandeling van inconsistenties in de BGP-routering.

17. Nieuwe kernelmogelijkheden

  • Verbeterde Linux-kernel
  • Nieuw partitiesysteem (gpt):
  • Ondersteunt meer dan 2TB fysieke/logische schijven
  • Sneller bestandssysteem (xfs)
  • Ondersteuning van grotere systeemopslag (tot 48TB getest)
  • I/O-gerelateerde prestatieverbeteringen
  • Meerdere wachtrijen:
  • Volledige Gaia Clish-ondersteuning voor Multi-Queue-opdrachten
  • Automatische “standaard aan” configuratie
  • Ondersteuning voor SMB v2/3-montage in Mobile Access-blade
  • Ondersteuning voor NFSv4 (client) toegevoegd (NFS v4.2 is de standaard NFS-versie die wordt gebruikt)
  • Ondersteuning van nieuwe systeemtools voor het debuggen, monitoren en configureren van het systeem

18. CloudGuard-controller

  • Prestatieverbeteringen voor verbindingen met externe datacenters.
  • Integratie met VMware NSX-T.
  • Ondersteuning voor extra API-opdrachten om Data Center Server-objecten te maken en te bewerken.

19. Multi-domeinserver

  • Maak een back-up en herstel een individuele Domain Management Server op een Multi-Domain Server.
  • Migreer een Domain Management Server op de ene Multi-Domain Server naar een ander Multi-Domain Security Management.
  • Migreer een Security Management Server naar een Domain Management Server op een Multi-Domain Server.
  • Migreer een Domain Management Server naar een Security Management Server.
  • Zet een domein op een multidomeinserver of een Security Management Server terug naar een eerdere revisie voor verdere bewerking.

20. SmartTasks en API

  • Nieuwe Management API-verificatiemethode die gebruikmaakt van een automatisch gegenereerde API-sleutel.
  • Nieuwe Management API-opdrachten om clusterobjecten te maken.
  • Centrale implementatie van Jumbo Hotfix Accumulator en Hotfixes van SmartConsole of met een API maakt het mogelijk om meerdere Security Gateways en Clusters parallel te installeren of te upgraden.
  • SmartTasks — Configureer automatische scripts of HTTPS-verzoeken die worden geactiveerd door beheerderstaken, zoals het publiceren van een sessie of het installeren van beleid.

21. ImplementatieCentrale implementatie van Jumbo Hotfix Accumulator en Hotfixes van SmartConsole of met een API maakt het mogelijk om meerdere Security Gateways en Clusters parallel te installeren of te upgraden.

22. SmartEventDeel SmartView-weergaven en -rapporten met andere beheerders.

23.LogboekexporteurExportlogboeken gefilterd op basis van veldwaarden.

24. Eindpuntbeveiliging

  • Ondersteuning voor BitLocker-codering voor volledige schijfversleuteling.
  • Ondersteuning voor externe Certificate Authority-certificaten voor Endpoint Security-client
  • authenticatie en communicatie met de Endpoint Security Management Server.
  • Ondersteuning voor dynamische grootte van Endpoint Security Client-pakketten op basis van de geselecteerde
  • functies voor implementatie.
  • Beleid kan nu het niveau van meldingen aan eindgebruikers bepalen.
  • Ondersteuning voor persistente VDI-omgeving in Endpoint Policy Management.

Wat we het leukst vonden (gebaseerd op klanttaken)

Zoals je kunt zien, zijn er veel innovaties. Maar voor ons, als voor systeemintegrator, zijn er een aantal zeer interessante punten (die ook interessant zijn voor onze klanten). Onze top 10:

  1. Eindelijk is er volledige ondersteuning voor IoT-apparaten verschenen. Het is al behoorlijk moeilijk om een ​​bedrijf te vinden dat dergelijke apparaten niet heeft.
  2. TLS-inspectie wordt nu in een aparte laag (Layer) geplaatst. Het is veel handiger dan nu (om 80.30 uur). U hoeft niet langer het oude Legasy Dashboard te gebruiken. Bovendien kunt u nu bijwerkbare objecten gebruiken in het HTTPS-inspectiebeleid, zoals Office365-, Google-, Azure-, AWS-services, enz. Dit is erg handig als u uitzonderingen moet instellen. Er is echter nog steeds geen ondersteuning voor tls 1.3. Blijkbaar zullen ze de volgende hotfix "inhalen".
  3. Aanzienlijke wijzigingen voor Anti-Virus en SandBlast. Nu kun je protocollen als SCP, SFTP en SMBv3 controleren (overigens kan niemand dit meerkanaalsprotocol meer controleren).
  4. Er zijn veel verbeteringen met betrekking tot Site-to-Site VPN. Nu kunt u meerdere VPN-domeinen configureren op een gateway die deel uitmaakt van verschillende VPN-gemeenschappen. Het is erg handig en veel veiliger. Bovendien herinnerde Check Point zich eindelijk Route Based VPN en verbeterde de stabiliteit/compatibiliteit enigszins.
  5. Er is een zeer populaire functie voor externe gebruikers verschenen. Nu kunt u niet alleen de gebruiker authenticeren, maar ook het apparaat waarmee hij verbinding maakt. We willen bijvoorbeeld alleen VPN-verbindingen vanaf bedrijfsapparaten toestaan. Dit gebeurt uiteraard met behulp van certificaten. Het is ook mogelijk om automatisch (SMB v2/3) bestandsshares te koppelen voor externe gebruikers met een VPN-client.
  6. Er zijn veel veranderingen in de werking van het cluster. Maar misschien wel een van de meest interessante is de mogelijkheid om een ​​cluster te exploiteren waarbij de gateways verschillende versies van Gaia hebben. Dit is handig bij het plannen van een update.
  7. Verbeterde Zero Touch-mogelijkheden. Handig voor degenen die vaak “kleine” gateways installeren (bijvoorbeeld voor geldautomaten).
  8. Voor logboeken wordt nu opslag tot 48 TB ondersteund.
  9. U kunt uw SmartEvent-dashboards delen met andere beheerders.
  10. Met Log Exporter kunt u nu verzonden berichten vooraf filteren met behulp van de vereiste velden. Die. Alleen de noodzakelijke logboeken en gebeurtenissen worden naar uw SIEM-systemen verzonden

Bijwerken

Misschien denken velen al aan updaten. Het is niet nodig om je te haasten. Om te beginnen moet versie 80.40 overgaan naar algemene beschikbaarheid. Maar zelfs daarna moet u niet meteen updaten. Het is beter om op zijn minst op de eerste hotfix te wachten.
Misschien zitten velen op oudere versies. Ik kan zeggen dat het op zijn minst al mogelijk (en zelfs noodzakelijk) is om te updaten naar 80.30. Dit is al een stabiel en bewezen systeem!

U kunt zich ook abonneren op onze openbare pagina's (Telegram, Facebook, VK, TS Solution-blog), waar u de opkomst van nieuwe materialen over Check Point en andere beveiligingsproducten kunt volgen.

Alleen geregistreerde gebruikers kunnen deelnemen aan het onderzoek. Inloggen, Alsjeblieft.

Welke versie van Gaia gebruik je?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Overige

13 gebruikers hebben gestemd. 6 gebruikers onthielden zich van stemming.

Bron: www.habr.com

Voeg een reactie