ProHoster > Blog > administração > Ponto de verificação Gaia R80.40. O que há de novo?

Ponto de verificação Gaia R80.40. O que há de novo?

Ponto de verificação Gaia R80.40. O que há de novo?

A próxima versão do sistema operacional está se aproximando Gaia R80.40. Algumas semanas atrás Programa de acesso antecipado iniciado, onde você pode acessar para testar a distribuição. Como de costume, publicamos informações sobre as novidades, e também destacamos os pontos que são mais interessantes do nosso ponto de vista. Olhando para o futuro, posso dizer que as inovações são verdadeiramente significativas. Portanto, vale a pena se preparar para um procedimento de atualização antecipada. Anteriormente já publicou um artigo sobre como fazer isso (para obter mais informações, visite entre em contato aqui). Vamos ao assunto...

Novidades

Vejamos aqui as inovações anunciadas oficialmente. Informações retiradas do site Verificar posicionamentos (comunidade oficial da Check Point). Com sua permissão, não irei traduzir este texto, felizmente o público do Habr permite. Em vez disso, deixarei meus comentários para o próximo capítulo.

1. Segurança de IoT. Novos recursos relacionados à Internet das Coisas

  • Colete dispositivos IoT e atributos de tráfego de mecanismos de descoberta de IoT certificados (atualmente compatível com Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM e Armis).
  • Configure uma nova camada de política dedicada à IoT no gerenciamento de políticas.
  • Configure e gerencie regras de segurança baseadas nos atributos dos dispositivos IoT.

2. Inspeção TLSHTTP / 2:

  • HTTP/2 é uma atualização do protocolo HTTP. A atualização traz melhorias de velocidade, eficiência e segurança e resultados com melhor experiência do usuário.
  • O Security Gateway da Check Point agora suporta HTTP/2 e beneficia de maior velocidade e eficiência, ao mesmo tempo que obtém segurança total, com todos os blades de Prevenção de Ameaças e Controlo de Acesso, bem como novas proteções para o protocolo HTTP/2.
  • O suporte é para tráfego limpo e criptografado por SSL e está totalmente integrado com HTTPS/TLS
  • Capacidades de inspeção.

Camada de inspeção TLS. Inovações em relação à inspeção HTTPS:

  • Uma nova camada de política no SmartConsole dedicada à inspeção TLS.
  • Diferentes camadas de inspeção TLS podem ser usadas em diferentes pacotes de políticas.
  • Compartilhamento de uma camada de inspeção TLS em vários pacotes de políticas.
  • API para operações TLS.

3. Prevenção de ameaças

  • Melhoria geral de eficiência para processos e atualizações de prevenção de ameaças.
  • Atualizações automáticas no Threat Extraction Engine.
  • Objetos Dinâmicos, de Domínio e Atualizáveis ​​agora podem ser usados ​​em políticas de Prevenção de Ameaças e Inspeção TLS. Objetos atualizáveis ​​são objetos de rede que representam um serviço externo ou uma lista dinâmica conhecida de endereços IP, por exemplo - endereços IP do Office365/Google/Azure/AWS e objetos geográficos.
  • O antivírus agora usa indicações de ameaças SHA-1 e SHA-256 para bloquear arquivos com base em seus hashes. Importe os novos indicadores da visualização SmartConsole Threat Indicators ou da CLI do Custom Intelligence Feed.
  • O Antivírus e o SandBlast Threat Emulation agora oferecem suporte à inspeção do tráfego de e-mail pelo protocolo POP3, bem como inspeção aprimorada do tráfego de e-mail pelo protocolo IMAP.
  • O Antivírus e o SandBlast Threat Emulation agora usam o recém-introduzido recurso de inspeção SSH para inspecionar arquivos transferidos pelos protocolos SCP e SFTP.
  • O antivírus e a emulação de ameaças SandBlast agora fornecem suporte aprimorado para inspeção SMBv3 (3.0, 3.0.2, 3.1.1), que inclui inspeção de conexões multicanais. A Check Point é agora o único fornecedor que oferece suporte à inspeção de transferência de arquivos através de múltiplos canais (um recurso que está ativado por padrão em todos os ambientes Windows). Isso permite que os clientes permaneçam seguros enquanto trabalham com esse recurso de melhoria de desempenho.

4. Consciência de Identidade

  • Suporte para integração do Captive Portal com SAML 2.0 e provedores de identidade de terceiros.
  • Suporte para Identity Broker para compartilhamento escalonável e granular de informações de identidade entre PDPs, bem como compartilhamento entre domínios.
  • Aprimoramentos no Terminal Servers Agent para melhor dimensionamento e compatibilidade.

5. VPN IPsec

  • Configure diferentes domínios de criptografia VPN em um Security Gateway que seja membro de diversas comunidades VPN. Isso fornece:
  • Privacidade aprimorada — As redes internas não são divulgadas nas negociações do protocolo IKE.
  • Segurança e granularidade aprimoradas — Especifique quais redes estão acessíveis em uma comunidade VPN específica.
  • Interoperabilidade aprimorada — Definições de VPN baseadas em rotas simplificadas (recomendadas quando você trabalha com um domínio de criptografia VPN vazio).
  • Crie e trabalhe perfeitamente com um ambiente VPN de grande escala (LSV) com a ajuda de perfis LSV.

6. Filtragem de URL

  • Maior escalabilidade e resiliência.
  • Recursos estendidos de solução de problemas.

7. NAT

  • Mecanismo aprimorado de alocação de portas NAT — em gateways de segurança com 6 ou mais instâncias do CoreXL Firewall, todas as instâncias usam o mesmo pool de portas NAT, o que otimiza a utilização e reutilização da porta.
  • Monitoramento de utilização de portas NAT em CPView e com SNMP.

8. Voz sobre IP (VoIP)Várias instâncias do CoreXL Firewall lidam com o protocolo SIP para melhorar o desempenho.

9. VPN de acesso remotoUse o certificado de máquina para distinguir entre ativos corporativos e não corporativos e para definir uma política que imponha o uso apenas de ativos corporativos. A aplicação pode ser pré-login (somente autenticação de dispositivo) ou pós-logon (autenticação de dispositivo e usuário).

10. Agente do Portal de Acesso MóvelEndpoint Security on Demand aprimorado no Mobile Access Portal Agent para oferecer suporte a todos os principais navegadores da web. Para obter mais informações, consulte sk113410.

11.CoreXL e Multi-Queue

  • Suporte para alocação automática de SNDs CoreXL e instâncias de Firewall que não requerem reinicialização do Security Gateway.
  • Experiência aprimorada pronta para uso: o Security Gateway altera automaticamente o número de instâncias CoreXL SNDs e Firewall e a configuração Multi-Queue com base na carga de tráfego atual.

12. Agrupamento

  • Suporte para Cluster Control Protocol em modo Unicast que elimina a necessidade de CCP

Modos Broadcast ou Multicast:

  • A criptografia do Cluster Control Protocol agora está habilitada por padrão.
  • Novo modo ClusterXL -Ativo/Ativo, que oferece suporte a membros de cluster em diferentes localizações geográficas que estão localizadas em sub-redes diferentes e possuem endereços IP diferentes.
  • Suporte para membros de cluster ClusterXL que executam diferentes versões de software.
  • Eliminou a necessidade de configuração do MAC Magic quando vários clusters estão conectados à mesma sub-rede.

13. VSX

  • Suporte para atualização do VSX com CPUSE no Portal Gaia.
  • Suporte para modo Active Up em VSLS.
  • Suporte para relatórios estatísticos CPView para cada Sistema Virtual

14. Toque zeroUm processo simples de configuração Plug & Play para instalar um dispositivo, eliminando a necessidade de conhecimento técnico e a necessidade de conexão ao dispositivo para a configuração inicial.

15. API REST do GaiaA API REST do Gaia fornece uma nova maneira de ler e enviar informações para servidores que executam o sistema operacional Gaia. Consulte sk143612.

16. Roteamento Avançado

  • Aprimoramentos no OSPF e BGP permitem redefinir e reiniciar o OSPF vizinho para cada instância do CoreXL Firewall sem a necessidade de reiniciar o daemon roteado.
  • Aprimoramento da atualização de rotas para melhor tratamento de inconsistências de roteamento BGP.

17. Novos recursos do kernel

  • Kernel Linux atualizado
  • Novo sistema de particionamento (gpt):
  • Suporta mais de 2 TB de unidades físicas/lógicas
  • Sistema de arquivos mais rápido (xfs)
  • Suporta armazenamento de sistema maior (até 48 TB testado)
  • Melhorias de desempenho relacionadas à E/S
  • Multifila:
  • Suporte completo do Gaia Clish para comandos Multi-Queue
  • Configuração automática “ativada por padrão”
  • Suporte de montagem SMB v2/3 no blade Mobile Access
  • Adicionado suporte NFSv4 (cliente) (NFS v4.2 é a versão padrão do NFS usada)
  • Suporte de novas ferramentas de sistema para depuração, monitoramento e configuração do sistema

18. Controlador CloudGuard

  • Melhorias de desempenho para conexões com data centers externos.
  • Integração com VMware NSX-T.
  • Suporte para comandos API adicionais para criar e editar objetos do Data Center Server.

19. Servidor Multi-Domínio

  • Faça backup e restaure um servidor de gerenciamento de domínio individual em um servidor multidomínio.
  • Migre um servidor de gerenciamento de domínio em um servidor multidomínio para um gerenciamento de segurança multidomínio diferente.
  • Migre um Servidor de Gerenciamento de Segurança para se tornar um Servidor de Gerenciamento de Domínio em um Servidor Multidomínio.
  • Migre um Servidor de Gerenciamento de Domínio para se tornar um Servidor de Gerenciamento de Segurança.
  • Reverta um domínio em um servidor multidomínio ou em um servidor de gerenciamento de segurança para uma revisão anterior para edição posterior.

20. SmartTasks e API

  • Novo método de autenticação da API de gerenciamento que usa uma chave de API gerada automaticamente.
  • Novos comandos da API de gerenciamento para criar objetos de cluster.
  • A implantação central do acumulador Jumbo Hotfix e hotfixes do SmartConsole ou com uma API permite instalar ou atualizar vários gateways de segurança e clusters em paralelo.
  • SmartTasks — Configure scripts automáticos ou solicitações HTTPS acionadas por tarefas do administrador, como publicar uma sessão ou instalar uma política.

21. ImplantaçãoA implantação central do acumulador Jumbo Hotfix e hotfixes do SmartConsole ou com uma API permite instalar ou atualizar vários gateways de segurança e clusters em paralelo.

22. Evento InteligenteCompartilhe visualizações e relatórios do SmartView com outros administradores.

23.Exportador de torasExporte logs filtrados de acordo com os valores dos campos.

24. Segurança de endpoint

  • Suporte para criptografia BitLocker para criptografia completa de disco.
  • Suporte para certificados de autoridade de certificação externa para cliente do Endpoint Security
  • autenticação e comunicação com o Endpoint Security Management Server.
  • Suporte para tamanho dinâmico de pacotes do Endpoint Security Client com base no selecionado
  • recursos para implantação.
  • A política agora pode controlar o nível de notificações aos usuários finais.
  • Suporte para ambiente VDI persistente no Endpoint Policy Management.

O que mais gostamos (com base nas tarefas do cliente)

Como você pode ver, há muitas inovações. Mas para nós, como para integrador de sistemas, existem vários pontos muito interessantes (que também interessam aos nossos clientes). Nossos 10 principais:

  1. Finalmente, apareceu suporte completo para dispositivos IoT. Já é bastante difícil encontrar uma empresa que não possua tais dispositivos.
  2. A inspeção TLS agora é colocada em uma camada separada (Layer). É muito mais conveniente do que agora (às 80.30h365). Chega de executar o antigo Legasy Dashboard. Além disso, agora você pode usar objetos atualizáveis ​​na política de inspeção HTTPS, como serviços Office1.3, Google, Azure, AWS, etc. Isto é muito conveniente quando você precisa configurar exceções. No entanto, ainda não há suporte para tls XNUMX. Aparentemente, eles irão “alcançar” o próximo hotfix.
  3. Mudanças significativas para Antivírus e SandBlast. Agora você pode verificar protocolos como SCP, SFTP e SMBv3 (aliás, ninguém pode mais verificar esse protocolo multicanal).
  4. Há muitas melhorias em relação à VPN site-to-site. Agora você pode configurar vários domínios VPN em um gateway que faz parte de diversas comunidades VPN. É muito conveniente e muito mais seguro. Além disso, a Check Point finalmente se lembrou da VPN baseada em rota e melhorou ligeiramente sua estabilidade/compatibilidade.
  5. Surgiu um recurso muito popular para usuários remotos. Agora você pode autenticar não apenas o usuário, mas também o dispositivo ao qual ele se conecta. Por exemplo, queremos permitir conexões VPN apenas de dispositivos corporativos. Isto é feito, claro, com a ajuda de certificados. Também é possível montar automaticamente compartilhamentos de arquivos (SMB v2/3) para usuários remotos com um cliente VPN.
  6. Há muitas mudanças na operação do cluster. Mas talvez uma das mais interessantes seja a possibilidade de operar um cluster onde os gateways possuam diferentes versões de Gaia. Isto é conveniente ao planejar uma atualização.
  7. Capacidades Zero Touch aprimoradas. Uma coisa útil para quem costuma instalar gateways “pequenos” (por exemplo, para caixas eletrônicos).
  8. Para logs, agora há suporte para armazenamento de até 48 TB.
  9. Você pode compartilhar seus painéis SmartEvent com outros administradores.
  10. O Log Exporter agora permite pré-filtrar as mensagens enviadas usando os campos obrigatórios. Aqueles. Somente os logs e eventos necessários serão transmitidos aos seus sistemas SIEM

Обновление

Talvez muitos já estejam pensando em atualizar. Não há necessidade de pressa. Para começar, a versão 80.40 deve migrar para Disponibilidade Geral. Mas mesmo depois disso, você não deve atualizar imediatamente. É melhor esperar pelo menos pelo primeiro hotfix.
Talvez muitos estejam “sentados” em versões mais antigas. Posso dizer que no mínimo já é possível (e até necessário) atualizar para 80.30. Este já é um sistema estável e comprovado!

Você também pode assinar nossas páginas públicas (Telegram, Facebook, VK, Blog da solução TS), onde você pode acompanhar o surgimento de novos materiais sobre Check Point e outros produtos de segurança.

Apenas usuários registrados podem participar da pesquisa. Entrarpor favor

Qual versão do Gaia você está usando?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Outros

13 usuários votaram. 6 usuários se abstiveram.

Fonte: habr.com

Adicionar um comentário