ProHoster > Blog > administracja > Check Point Gaia R80.40. Co nowego?

Check Point Gaia R80.40. Co nowego?

Check Point Gaia R80.40. Co nowego?

Zbliża się kolejna edycja systemu operacyjnego Gaja R80.40. Kilka tygodni temu Rozpoczęto program wczesnego dostępu, gdzie możesz uzyskać dostęp do testowania dystrybucji. Tradycyjnie publikujemy informacje o nowościach, a także podkreślamy punkty, które z naszego punktu widzenia są najciekawsze. Patrząc w przyszłość, mogę powiedzieć, że innowacje są naprawdę znaczące. Dlatego warto przygotować się na procedurę wcześniejszej aktualizacji. Wcześniej już to zrobiliśmy opublikował artykuł jak to zrobić (więcej informacji znajdziesz na stronie skontaktuj się tutaj). Przejdźmy do tematu...

Co nowego

Przyjrzyjmy się tutaj oficjalnie ogłoszonym innowacjom. Informacje zaczerpnięte ze strony Sprawdź Koledzy (oficjalna społeczność Check Point). Za Waszą zgodą nie będę tłumaczyć tego tekstu, na szczęście publiczność Habr na to pozwala. Zamiast tego pozostawię swoje komentarze do następnego rozdziału.

1. Bezpieczeństwo Internetu Rzeczy. Nowe funkcjonalności związane z Internetem Rzeczy

  • Zbieraj urządzenia IoT i atrybuty ruchu z certyfikowanych silników wykrywania IoT (obecnie obsługują Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM i Armis).
  • Skonfiguruj nową dedykowaną warstwę zasad IoT w zarządzaniu zasadami.
  • Konfiguruj i zarządzaj regułami bezpieczeństwa opartymi na atrybutach urządzeń IoT.

2. Kontrola TLSHTTP / 2:

  • HTTP/2 to aktualizacja protokołu HTTP. Aktualizacja zapewnia poprawę szybkości, wydajności i bezpieczeństwa, a także zapewnia lepsze wrażenia użytkownika.
  • Brama bezpieczeństwa firmy Check Point obsługuje teraz protokół HTTP/2 i zapewnia większą szybkość i wydajność, zapewniając jednocześnie pełne bezpieczeństwo, ze wszystkimi modułami zapobiegania zagrożeniom i kontroli dostępu, a także nowym zabezpieczeniom protokołu HTTP/2.
  • Obsługa dotyczy zarówno ruchu czystego, jak i szyfrowanego SSL i jest w pełni zintegrowana z HTTPS/TLS
  • Możliwości inspekcji.

Warstwa inspekcji TLS. Innowacje dotyczące inspekcji HTTPS:

  • Nowa warstwa zasad w SmartConsole dedykowana inspekcji TLS.
  • W różnych pakietach zasad można używać różnych warstw kontroli TLS.
  • Udostępnianie warstwy kontroli TLS w wielu pakietach zasad.
  • API dla operacji TLS.

3. Zapobieganie zagrożeniom

  • Ogólna poprawa wydajności procesów i aktualizacji modułu Zapobieganie zagrożeniom.
  • Automatyczne aktualizacje silnika wyodrębniania zagrożeń.
  • Obiekty dynamiczne, domeny i obiekty z możliwością aktualizacji mogą być teraz używane w zasadach zapobiegania zagrożeniom i inspekcji TLS. Obiekty aktualizowalne to obiekty sieciowe reprezentujące usługę zewnętrzną lub znaną dynamiczną listę adresów IP, na przykład adresy IP Office365 / Google / Azure / AWS i obiekty Geo.
  • Anti-Virus wykorzystuje teraz wskazania zagrożeń SHA-1 i SHA-256 do blokowania plików na podstawie ich skrótów. Zaimportuj nowe wskaźniki z widoku Wskaźniki zagrożeń SmartConsole lub interfejsu wiersza polecenia Custom Intelligence Feed.
  • Anti-Virus i SandBlast Threat Emulation obsługują teraz inspekcję ruchu e-mail poprzez protokół POP3, a także ulepszoną inspekcję ruchu e-mail poprzez protokół IMAP.
  • Anti-Virus i SandBlast Threat Emulation wykorzystują teraz nowo wprowadzoną funkcję inspekcji SSH do sprawdzania plików przesyłanych poprzez protokoły SCP i SFTP.
  • Anti-Virus i SandBlast Threat Emulation zapewniają teraz ulepszoną obsługę inspekcji SMBv3 (3.0, 3.0.2, 3.1.1), która obejmuje inspekcję połączeń wielokanałowych. Check Point jest obecnie jedynym dostawcą obsługującym kontrolę transferu plików wieloma kanałami (funkcja domyślnie włączona we wszystkich środowiskach Windows). Dzięki temu klienci mogą zachować bezpieczeństwo podczas pracy z tą funkcją zwiększającą wydajność.

4. Świadomość tożsamości

  • Obsługa integracji portalu Captive Portal z SAML 2.0 i zewnętrznymi dostawcami tożsamości.
  • Wsparcie dla Identity Broker w celu skalowalnego i szczegółowego udostępniania informacji o tożsamości pomiędzy PDP, a także udostępniania między domenami.
  • Ulepszenia agenta serwerów terminali w celu lepszego skalowania i kompatybilności.

5. VPN IPsec

  • Skonfiguruj różne domeny szyfrowania VPN na bramce Security Gateway, która jest członkiem wielu społeczności VPN. Zapewnia to:
  • Większa prywatność — sieci wewnętrzne nie są ujawniane podczas negocjacji protokołu IKE.
  • Większe bezpieczeństwo i szczegółowość — określ, które sieci są dostępne w określonej społeczności VPN.
  • Lepsza interoperacyjność — uproszczone definicje VPN oparte na trasach (zalecane w przypadku pracy z pustą domeną szyfrowania VPN).
  • Twórz i bezproblemowo pracuj w środowisku VPN na dużą skalę (LSV) za pomocą profili LSV.

6. Filtrowanie adresów URL

  • Większa skalowalność i odporność.
  • Rozszerzone możliwości rozwiązywania problemów.

7.NAT

  • Ulepszony mechanizm alokacji portów NAT — w bramkach Security Gateways z 6 lub więcej instancjami zapory CoreXL wszystkie instancje korzystają z tej samej puli portów NAT, co optymalizuje wykorzystanie i ponowne wykorzystanie portów.
  • Monitorowanie wykorzystania portu NAT w CPView i SNMP.

8. Głos przez IP (VoIP)Wiele instancji zapory CoreXL obsługuje protokół SIP w celu zwiększenia wydajności.

9. Zdalny dostęp VPNUżyj certyfikatu maszynowego, aby rozróżnić aktywa korporacyjne i niekorporacyjne oraz aby ustalić zasady wymuszające korzystanie wyłącznie z aktywów korporacyjnych. Egzekwowanie może odbywać się przed logowaniem (tylko uwierzytelnianie urządzenia) lub po logowaniu (uwierzytelnianie urządzenia i użytkownika).

10. Agent portalu dostępu mobilnegoUlepszona ochrona punktów końcowych na żądanie w agencie portalu Mobile Access obsługująca wszystkie główne przeglądarki internetowe. Aby uzyskać więcej informacji, zobacz sk113410.

11.CoreXL i wiele kolejek

  • Obsługa automatycznego przydzielania instancji CoreXL SND i zapory ogniowej, która nie wymaga ponownego uruchomienia Security Gateway.
  • Ulepszone działanie po wyjęciu z pudełka — Security Gateway automatycznie zmienia liczbę instancji CoreXL SND i Firewall oraz konfigurację wielu kolejek w oparciu o bieżące obciążenie ruchem.

12. Klastrowanie

  • Obsługa protokołu Cluster Control Protocol w trybie Unicast, która eliminuje potrzebę stosowania CCP

Tryby rozgłaszania lub multiemisji:

  • Szyfrowanie protokołu Cluster Control Protocol jest teraz domyślnie włączone.
  • Nowy tryb ClusterXL -Active/Active, który obsługuje Członków Klastra znajdujących się w różnych lokalizacjach geograficznych, znajdujących się w różnych podsieciach i mających różne adresy IP.
  • Wsparcie dla Członków Klastra ClusterXL korzystających z różnych wersji oprogramowania.
  • Wyeliminowano potrzebę konfiguracji MAC Magic, gdy kilka klastrów jest podłączonych do tej samej podsieci.

13. VSX

  • Obsługa aktualizacji VSX z CPUSE w portalu Gaia.
  • Obsługa trybu Active Up w VSLS.
  • Obsługa raportów statystycznych CPView dla każdego systemu wirtualnego

14. Zero dotykuProsty proces konfiguracji Plug & Play umożliwiający instalację urządzenia — eliminujący potrzebę posiadania specjalistycznej wiedzy technicznej i konieczności łączenia się z urządzeniem w celu wstępnej konfiguracji.

15. API REST GaiaGaia REST API zapewnia nowy sposób odczytywania i wysyłania informacji do serwerów z systemem operacyjnym Gaia. Zobacz sk143612.

16. Zaawansowane wyznaczanie tras

  • Udoskonalenia protokołów OSPF i BGP umożliwiają resetowanie i ponowne uruchamianie sąsiadującego protokołu OSPF dla każdej instancji zapory CoreXL bez konieczności ponownego uruchamiania demona routowanego.
  • Ulepszone odświeżanie tras w celu lepszej obsługi niespójności routingu BGP.

17. Nowe możliwości jądra

  • Ulepszone jądro Linuksa
  • Nowy system partycjonowania (gpt):
  • Obsługuje więcej niż 2 TB dysków fizycznych/logicznych
  • Szybszy system plików (xfs)
  • Obsługa większej pamięci systemowej (testowano do 48 TB)
  • Ulepszenia wydajności związane z wejściami/wyjściami
  • Wiele kolejek:
  • Pełna obsługa Gaia Clish dla poleceń wielokolejkowych
  • Automatyczna konfiguracja „domyślnie włączona”.
  • Obsługa montażu SMB v2/3 w module Mobile Access
  • Dodano obsługę NFSv4 (klient) (NFS v4.2 jest domyślną używaną wersją NFS)
  • Obsługa nowych narzędzi systemowych do debugowania, monitorowania i konfiguracji systemu

18. Kontroler CloudGuard

  • Ulepszenia wydajności połączeń z zewnętrznymi centrami danych.
  • Integracja z VMware NSX-T.
  • Obsługa dodatkowych poleceń API do tworzenia i edytowania obiektów Data Center Server.

19. Serwer wielodomenowy

  • Utwórz kopię zapasową i przywróć indywidualny serwer zarządzania domeną na serwerze z wieloma domenami.
  • Przeprowadź migrację serwera zarządzania domenami na jednym serwerze wielodomenowym do innego serwera zarządzania bezpieczeństwem wielu domen.
  • Przeprowadź migrację serwera zarządzania bezpieczeństwem, aby stał się serwerem zarządzania domeną na serwerze z wieloma domenami.
  • Przeprowadź migrację serwera zarządzania domeną, aby stał się serwerem zarządzania bezpieczeństwem.
  • Przywróć domenę na serwerze z wieloma domenami lub serwerze zarządzania bezpieczeństwem do poprzedniej wersji w celu dalszej edycji.

20. SmartTasks i API

  • Nowa metoda uwierzytelniania API zarządzania, która wykorzystuje automatycznie wygenerowany klucz API.
  • Nowe polecenia Management API umożliwiające tworzenie obiektów klastra.
  • Centralne wdrażanie akumulatora poprawek Jumbo i poprawek z poziomu konsoli SmartConsole lub interfejsu API umożliwia równoległą instalację lub aktualizację wielu bram bezpieczeństwa i klastrów.
  • SmartTasks — konfiguruj automatyczne skrypty lub żądania HTTPS wyzwalane przez zadania administratora, takie jak publikowanie sesji lub instalowanie polityki.

21. WdrożenieCentralne wdrażanie akumulatora poprawek Jumbo i poprawek z poziomu konsoli SmartConsole lub interfejsu API umożliwia równoległą instalację lub aktualizację wielu bram bezpieczeństwa i klastrów.

22. Inteligentne wydarzenieUdostępniaj widoki i raporty SmartView innym administratorom.

23.Eksporter dziennikaEksportuj logi filtrowane według wartości pól.

24. Bezpieczeństwo punktów końcowych

  • Obsługa szyfrowania funkcją BitLocker w celu szyfrowania całego dysku.
  • Obsługa zewnętrznych certyfikatów urzędu certyfikacji dla klienta Endpoint Security
  • uwierzytelnianie i komunikacja z serwerem zarządzania Endpoint Security.
  • Obsługa dynamicznego rozmiaru pakietów Klienta Endpoint Security w oparciu o wybrane
  • funkcje do wdrożenia.
  • Polityka może teraz kontrolować poziom powiadomień dla użytkowników końcowych.
  • Wsparcie dla trwałego środowiska VDI w zarządzaniu zasadami punktów końcowych.

Co nam się najbardziej podobało (na podstawie zadań klienta)

Jak widać nowości jest sporo. Ale dla nas, jak dla Integrator systemu, jest kilka bardzo interesujących punktów (które są również interesujące dla naszych klientów). Nasze najlepsze 10:

  1. Wreszcie pojawiła się pełna obsługa urządzeń IoT. Znalezienie firmy, która nie posiada takich urządzeń, jest już dość trudne.
  2. Inspekcja TLS jest teraz umieszczona w osobnej warstwie (Warstwa). Jest to znacznie wygodniejsze niż obecnie (o 80.30). Koniec z uruchamianiem starego pulpitu nawigacyjnego Legasy. Ponadto w polityce inspekcji HTTPS możesz teraz używać obiektów aktualizowalnych, takich jak usługi Office365, Google, Azure, AWS itp. Jest to bardzo wygodne, gdy trzeba skonfigurować wyjątki. Jednak nadal nie ma obsługi tls 1.3. Najwyraźniej „nadrobią” kolejną poprawkę.
  3. Znaczące zmiany w programie Anti-Virus i SandBlast. Teraz możesz sprawdzić protokoły takie jak SCP, SFTP i SMBv3 (swoją drogą, tego wielokanałowego protokołu nikt już nie jest w stanie sprawdzić).
  4. Wprowadzono wiele ulepszeń w zakresie VPN typu Site-to-Site. Teraz możesz skonfigurować kilka domen VPN na bramie będącej częścią kilku społeczności VPN. To bardzo wygodne i dużo bezpieczniejsze. Ponadto firma Check Point w końcu przypomniała sobie o VPN opartym na trasach i nieznacznie poprawiła swoją stabilność/kompatybilność.
  5. Pojawiła się bardzo popularna funkcja dla użytkowników zdalnych. Teraz możesz uwierzytelnić nie tylko użytkownika, ale także urządzenie, z którego się łączy. Na przykład chcemy zezwolić na połączenia VPN tylko z urządzeń firmowych. Odbywa się to oczywiście za pomocą certyfikatów. Możliwe jest również automatyczne montowanie udziałów plików (SMB v2/3) dla użytkowników zdalnych za pomocą klienta VPN.
  6. Zachodzi wiele zmian w funkcjonowaniu klastra. Ale być może jedną z najbardziej interesujących jest możliwość obsługi klastra, w którym bramy mają różne wersje Gai. Jest to wygodne podczas planowania aktualizacji.
  7. Ulepszone możliwości Zero Touch. Przydatna rzecz dla tych, którzy często instalują „małe” bramki (na przykład do bankomatów).
  8. W przypadku dzienników obsługiwana jest teraz pamięć do 48 TB.
  9. Możesz udostępniać swoje pulpity nawigacyjne SmartEvent innym administratorom.
  10. Log Exporter umożliwia teraz wstępne filtrowanie wysłanych wiadomości przy użyciu wymaganych pól. Te. Do Twoich systemów SIEM przesyłane będą tylko niezbędne dzienniki i zdarzenia

Aktualizuj

Być może wielu już myśli o aktualizacji. Nie ma potrzeby się spieszyć. Na początek wersja 80.40 musi przejść do General Availability. Ale nawet po tym nie należy aktualizować od razu. Lepiej poczekać przynajmniej na pierwszą poprawkę.
Być może wielu „siedzi” na starszych wersjach. Mogę powiedzieć, że przynajmniej jest już możliwa (a nawet konieczna) aktualizacja do wersji 80.30. To już stabilny i sprawdzony system!

Możesz także subskrybować nasze strony publiczne (Telegram, Facebook, VK, Blog rozwiązań TS), gdzie można śledzić pojawienie się nowych materiałów na temat Check Point i innych produktów związanych z bezpieczeństwem.

W ankiecie mogą brać udział tylko zarejestrowani użytkownicy. Zaloguj się, Proszę.

Jakiej wersji Gai używasz?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Inne

Głosowało 13 użytkowników. 6 użytkowników wstrzymało się od głosu.

Źródło: www.habr.com

Dodaj komentarz