ProHoster > Log > administrasjon > Check Point Gaia R80.40. Hva er nytt?

Check Point Gaia R80.40. Hva er nytt?

Check Point Gaia R80.40. Hva er nytt?

Den neste versjonen av operativsystemet nærmer seg Gaia 80.40 kr. Noen få uker siden Early Access-programmet startet, hvor du kan få tilgang til å teste distribusjonen. Som vanlig publiserer vi informasjon om hva som er nytt, og fremhever også de punktene som er mest interessante fra vårt ståsted. Når jeg ser fremover, kan jeg si at innovasjonene er virkelig betydelige. Derfor er det verdt å forberede seg på en tidlig oppdateringsprosedyre. Tidligere har vi allerede publiserte en artikkel om hvordan du gjør dette (for mer informasjon, vennligst besøk ta kontakt her). La oss komme til emnet...

Hva er nytt

La oss se på de offisielt annonserte innovasjonene her. Informasjon hentet fra siden Sjekk Mates (offisielt Check Point-fellesskap). Med din tillatelse vil jeg ikke oversette denne teksten, heldigvis tillater Habr-publikummet det. I stedet vil jeg legge igjen kommentarene mine til neste kapittel.

1. IoT-sikkerhet. Nye funksjoner knyttet til tingenes internett

  • Samle IoT-enheter og trafikkattributter fra sertifiserte IoT-oppdagelsesmotorer (støtter for tiden Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM og Armis).
  • Konfigurer et nytt IoT-dedikert policylag i policyadministrasjon.
  • Konfigurer og administrer sikkerhetsregler som er basert på IoT-enhetenes attributter.

2.TLS InspeksjonHTTP / 2:

  • HTTP/2 er en oppdatering av HTTP-protokollen. Oppdateringen gir forbedringer av hastighet, effektivitet og sikkerhet og resultater med en bedre brukeropplevelse.
  • Check Points Security Gateway støtter nå HTTP/2 og gir bedre hastighet og effektivitet samtidig som den får full sikkerhet, med alle Threat Prevention og Access Control-blader, samt nye beskyttelser for HTTP/2-protokollen.
  • Støtte er for både klar og SSL-kryptert trafikk og er fullt integrert med HTTPS/TLS
  • Inspeksjonsmuligheter.

TLS inspeksjonslag. Innovasjoner angående HTTPS-inspeksjon:

  • Et nytt policylag i SmartConsole dedikert til TLS-inspeksjon.
  • Ulike TLS-inspeksjonslag kan brukes i forskjellige policypakker.
  • Deling av et TLS-inspeksjonslag på tvers av flere policypakker.
  • API for TLS-operasjoner.

3. Trusselforebygging

  • Generell effektivitetsforbedring for trusselforebyggende prosesser og oppdateringer.
  • Automatiske oppdateringer til Threat Extraction Engine.
  • Dynamiske, domene- og oppdaterbare objekter kan nå brukes i retningslinjer for trusselforebygging og TLS-inspeksjon. Oppdaterbare objekter er nettverksobjekter som representerer en ekstern tjeneste eller en kjent dynamisk liste over IP-adresser, for eksempel - Office365 / Google / Azure / AWS IP-adresser og Geo-objekter.
  • Anti-Virus bruker nå SHA-1 og SHA-256 trusselindikasjoner for å blokkere filer basert på hashen. Importer de nye indikatorene fra SmartConsole Threat Indicators-visningen eller Custom Intelligence Feed CLI.
  • Anti-Virus og SandBlast Threat Emulation støtter nå inspeksjon av e-posttrafikk over POP3-protokollen, samt forbedret inspeksjon av e-posttrafikk over IMAP-protokollen.
  • Anti-Virus og SandBlast Threat Emulation bruker nå den nylig introduserte SSH-inspeksjonsfunksjonen for å inspisere filer overført over SCP- og SFTP-protokollene.
  • Anti-Virus og SandBlast Threat Emulation gir nå forbedret støtte for SMBv3-inspeksjon (3.0, 3.0.2, 3.1.1), som inkluderer inspeksjon av flerkanalsforbindelser. Check Point er nå den eneste leverandøren som støtter inspeksjon av en filoverføring gjennom flere kanaler (en funksjon som er på som standard i alle Windows-miljøer). Dette lar kundene være sikre mens de jobber med denne ytelsesforbedrende funksjonen.

4. Identitetsbevissthet

  • Støtte for Captive Portal-integrasjon med SAML 2.0 og tredjeparts identitetsleverandører.
  • Støtte for Identity Broker for skalerbar og granulær deling av identitetsinformasjon mellom PDPer, samt deling på tvers av domener.
  • Forbedringer til Terminal Servers Agent for bedre skalering og kompatibilitet.

5. IPsec VPN

  • Konfigurer forskjellige VPN-krypteringsdomener på en Security Gateway som er medlem av flere VPN-fellesskap. Dette gir:
  • Forbedret personvern – Interne nettverk avsløres ikke i IKE-protokollforhandlinger.
  • Forbedret sikkerhet og granularitet — Spesifiser hvilke nettverk som er tilgjengelige i et spesifisert VPN-fellesskap.
  • Forbedret interoperabilitet — Forenklede rutebaserte VPN-definisjoner (anbefalt når du arbeider med et tomt VPN-krypteringsdomene).
  • Lag og arbeid sømløst med et Large Scale VPN (LSV)-miljø ved hjelp av LSV-profiler.

6. URL-filtrering

  • Forbedret skalerbarhet og spenst.
  • Utvidede feilsøkingsmuligheter.

7.NAT

  • Forbedret NAT-portallokeringsmekanisme – på Security Gateways med 6 eller flere CoreXL-brannmurforekomster bruker alle forekomster den samme gruppen av NAT-porter, noe som optimerer portutnyttelsen og gjenbruken.
  • NAT-portutnyttelsesovervåking i CPView og med SNMP.

8. Voice over IP (VoIP)Flere CoreXL-brannmurforekomster håndterer SIP-protokollen for å forbedre ytelsen.

9. Fjerntilgang VPNBruk maskinsertifikat for å skille mellom bedrifts- og ikke-bedriftseiendeler og for å angi en policy som kun håndhever bruken av bedriftens eiendeler. Håndhevelse kan være førpålogging (kun enhetsautentisering) eller etterpålogging (enhets- og brukerautentisering).

10. MobiltilgangsportalagentForbedret Endpoint Security on Demand i Mobile Access Portal Agent for å støtte alle større nettlesere. For mer informasjon, se sk113410.

11.CoreXL og Multi-Queue

  • Støtte for automatisk tildeling av CoreXL SND-er og brannmurforekomster som ikke krever omstart av Security Gateway.
  • Forbedret ut av esken-opplevelsen – Security Gateway endrer automatisk antall CoreXL SND-er og brannmurforekomster og Multi-Queue-konfigurasjonen basert på gjeldende trafikkbelastning.

12. Klynger

  • Støtte for Cluster Control Protocol i Unicast-modus som eliminerer behovet for CCP

Kringkastings- eller multicast-modus:

  • Cluster Control Protocol-kryptering er nå aktivert som standard.
  • Ny ClusterXL-modus -Active/Active, som støtter Cluster Members på forskjellige geografiske steder som er plassert på forskjellige subnett og har forskjellige IP-adresser.
  • Støtte for ClusterXL Cluster Members som kjører forskjellige programvareversjoner.
  • Eliminerte behovet for MAC Magic-konfigurasjon når flere klynger er koblet til samme subnett.

13. VSX

  • Støtte for VSX-oppgradering med CPUSE i Gaia Portal.
  • Støtte for Active Up-modus i VSLS.
  • Støtte for CPView statistiske rapporter for hvert virtuelle system

14. Null berøringEn enkel Plug & Play-oppsettprosess for å installere et apparat – eliminerer behovet for teknisk ekspertise og å måtte koble til apparatet for innledende konfigurasjon.

15. Gaia REST APIGaia REST API gir en ny måte å lese og sende informasjon til servere som kjører Gaia Operating System. Se sk143612.

16. Avansert ruting

  • Forbedringer til OSPF og BGP gjør det mulig å tilbakestille og starte OSPF nabolandet for hver CoreXL-brannmurforekomst uten å måtte starte den rutede daemonen på nytt.
  • Forbedrer ruteoppdatering for forbedret håndtering av BGP-ruteinkonsekvenser.

17. Nye kjernefunksjoner

  • Oppgradert Linux-kjerne
  • Nytt partisjoneringssystem (gpt):
  • Støtter mer enn 2TB fysiske/logiske stasjoner
  • Raskere filsystem (xfs)
  • Støtter større systemlagring (opptil 48 TB testet)
  • I/O-relaterte ytelsesforbedringer
  • Multi-kø:
  • Full Gaia Clish-støtte for Multi-Queue-kommandoer
  • Automatisk "på som standard" konfigurasjon
  • SMB v2/3-monteringsstøtte i Mobile Access-blad
  • Lagt til støtte for NFSv4 (klient) (NFS v4.2 er standard NFS-versjonen som brukes)
  • Støtte for nye systemverktøy for feilsøking, overvåking og konfigurering av systemet

18. CloudGuard-kontroller

  • Ytelsesforbedringer for tilkoblinger til eksterne datasentre.
  • Integrasjon med VMware NSX-T.
  • Støtte for ytterligere API-kommandoer for å opprette og redigere datasenterserverobjekter.

19. Multidomeneserver

  • Sikkerhetskopier og gjenopprett en individuell Domain Management Server på en Multi-Domain Server.
  • Migrer en Domain Management Server på én Multi-Domain Server til en annen Multi-Domain Security Management.
  • Migrer en Security Management Server for å bli en Domain Management Server på en Multi-Domain Server.
  • Migrer en Domain Management Server for å bli en Security Management Server.
  • Tilbakestill et domene på en multidomeneserver, eller en sikkerhetsadministrasjonsserver til en tidligere revisjon for videre redigering.

20. SmartTasks og API

  • Ny Management API-autentiseringsmetode som bruker en automatisk generert API-nøkkel.
  • Nye Management API-kommandoer for å lage klyngeobjekter.
  • Sentral distribusjon av Jumbo Hotfix Accumulator og hurtigreparasjoner fra SmartConsole eller med en API gjør det mulig å installere eller oppgradere flere sikkerhetsgatewayer og -klynger parallelt.
  • SmartTasks — Konfigurer automatiske skript eller HTTPS-forespørsler som utløses av administratoroppgaver, for eksempel å publisere en økt eller installere en policy.

21. ImplementeringSentral distribusjon av Jumbo Hotfix Accumulator og hurtigreparasjoner fra SmartConsole eller med en API gjør det mulig å installere eller oppgradere flere sikkerhetsgatewayer og -klynger parallelt.

22. SmartEventDel SmartView-visninger og rapporter med andre administratorer.

23. LoggeksportørEksporter logger filtrert i henhold til feltverdier.

24.Endepunktsikkerhet

  • Støtte for BitLocker-kryptering for full diskkryptering.
  • Støtte for eksterne sertifiseringsinstanssertifikater for Endpoint Security-klient
  • autentisering og kommunikasjon med Endpoint Security Management Server.
  • Støtte for dynamisk størrelse på Endpoint Security Client-pakker basert på valgt
  • funksjoner for distribusjon.
  • Policy kan nå kontrollere nivået på varsler til sluttbrukere.
  • Støtte for vedvarende VDI-miljø i Endpoint Policy Management.

Det vi likte best (basert på kundeoppgaver)

Som du kan se, er det mange innovasjoner. Men for oss, som for systemintegrator, er det flere veldig interessante punkter (som også er interessante for våre kunder). Vår topp 10:

  1. Endelig har full støtte for IoT-enheter dukket opp. Det er allerede ganske vanskelig å finne et selskap som ikke har slike enheter.
  2. TLS inspeksjon er nå plassert i et eget lag (Layer). Det er mye mer praktisk enn nå (kl. 80.30). Ikke mer å kjøre det gamle Legasy Dashboard. I tillegg kan du nå bruke Oppdaterbare objekter i HTTPS-inspeksjonspolicyen, for eksempel Office365, Google, Azure, AWS, etc.-tjenester. Dette er veldig praktisk når du trenger å sette opp unntak. Imidlertid er det fortsatt ingen støtte for tls 1.3. Tilsynelatende vil de "ta igjen" den neste hurtigreparasjonen.
  3. Betydelige endringer for Anti-Virus og SandBlast. Nå kan du sjekke protokoller som SCP, SFTP og SMBv3 (forresten, ingen kan sjekke denne flerkanalsprotokollen lenger).
  4. Det er mange forbedringer angående Site-to-Site VPN. Nå kan du konfigurere flere VPN-domener på en gateway som er en del av flere VPN-fellesskap. Det er veldig praktisk og mye tryggere. I tillegg husket Check Point endelig rutebasert VPN og forbedret stabiliteten/kompatibiliteten litt.
  5. En veldig populær funksjon for eksterne brukere har dukket opp. Nå kan du autentisere ikke bare brukeren, men også enheten som han kobler til. For eksempel ønsker vi å tillate VPN-tilkoblinger kun fra bedriftsenheter. Dette gjøres selvfølgelig ved hjelp av sertifikater. Det er også mulig å automatisk montere (SMB v2/3) fildelinger for eksterne brukere med en VPN-klient.
  6. Det er mange endringer i driften av klyngen. Men kanskje noe av det mest interessante er muligheten for å drive en klynge der gatewayene har forskjellige versjoner av Gaia. Dette er praktisk når du planlegger en oppdatering.
  7. Forbedrede Zero Touch-funksjoner. En nyttig ting for de som ofte installerer "små" gatewayer (for eksempel for minibanker).
  8. For logger støttes nå lagring på opptil 48 TB.
  9. Du kan dele SmartEvent-dashbordene dine med andre administratorer.
  10. Loggeksporter lar deg nå forhåndsfiltrere sendte meldinger ved å bruke de nødvendige feltene. De. Bare de nødvendige loggene og hendelsene vil bli overført til SIEM-systemene dine

Oppdater

Kanskje mange allerede tenker på å oppdatere. Det er ingen grunn til å forhaste seg. Til å begynne med må versjon 80.40 flyttes til generell tilgjengelighet. Men selv etter det, bør du ikke oppdatere med en gang. Det er bedre å vente på i det minste den første hurtigreparasjonen.
Kanskje mange "sitter" på eldre versjoner. Jeg kan si at det i det minste allerede er mulig (og til og med nødvendig) å oppdatere til 80.30. Dette er allerede et stabilt og velprøvd system!

Du kan også abonnere på våre offentlige sider (Telegram, Facebook , VK, TS Løsningsblogg), hvor du kan følge fremveksten av nytt materiale på Check Point og andre sikkerhetsprodukter.

Kun registrerte brukere kan delta i undersøkelsen. Logg inn, vær så snill.

Hvilken versjon av Gaia bruker du?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Annen

13 brukere stemte. 6 brukere avsto.

Kilde: www.habr.com

Legg til en kommentar