ProHoster > BLOG > administrare > Check Point Gaia R80.40. Ce mai e nou?

Check Point Gaia R80.40. Ce mai e nou?

Check Point Gaia R80.40. Ce mai e nou?

Următoarea versiune a sistemului de operare se apropie Gaia R80.40. Acum cateva saptamani Programul Early Access a început, unde puteți accesa pentru a testa distribuția. Ca de obicei, publicăm informații despre noutăți și, de asemenea, evidențiem punctele care sunt cele mai interesante din punctul nostru de vedere. Privind în perspectivă, pot spune că inovațiile sunt cu adevărat semnificative. Prin urmare, merită să vă pregătiți pentru o procedură de actualizare timpurie. Avem deja a publicat un articol despre cum să faceți acest lucru (pentru mai multe informații, vă rugăm să vizitați contactați aici). Sa trecem la subiect...

Ce mai e nou

Să ne uităm la inovațiile anunțate oficial aici. Informatii preluate de pe site Verificați Matei (comunitatea oficială Check Point). Cu permisiunea dumneavoastră, nu voi traduce acest text, din fericire publicul Habr o permite. În schimb, voi lăsa comentariile mele pentru următorul capitol.

1. Securitate IoT. Caracteristici noi legate de Internetul lucrurilor

  • Colectați dispozitive IoT și atribute de trafic din motoarele de descoperire certificate IoT (acceptă în prezent Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM și Armis).
  • Configurați un nou Strat de politici dedicat IoT în managementul politicilor.
  • Configurați și gestionați regulile de securitate care se bazează pe atributele dispozitivelor IoT.

2. Inspecție TLSHTTP/2:

  • HTTP/2 este o actualizare a protocolului HTTP. Actualizarea oferă îmbunătățiri ale vitezei, eficienței și securității și oferă rezultate cu o experiență mai bună pentru utilizator.
  • Gateway-ul de securitate Check Point acceptă acum HTTP/2 și beneficiază de o viteză și eficiență mai bună, în timp ce obține securitate deplină, cu toate bladele de prevenire a amenințărilor și controlul accesului, precum și de noi protecții pentru protocolul HTTP/2.
  • Suportul este atât pentru trafic clar, cât și pentru trafic criptat SSL și este complet integrat cu HTTPS/TLS
  • Capabilitati de inspectie.

Stratul de inspecție TLS. Inovații în ceea ce privește inspecția HTTPS:

  • Un nou strat de politică în SmartConsole dedicat inspecției TLS.
  • Diferite straturi de inspecție TLS pot fi utilizate în diferite pachete de politici.
  • Partajarea unui nivel de inspecție TLS în mai multe pachete de politici.
  • API pentru operațiuni TLS.

3. Prevenirea amenințărilor

  • Creșterea eficienței generale pentru procesele și actualizările de prevenire a amenințărilor.
  • Actualizări automate pentru Threat Extraction Engine.
  • Obiectele dinamice, de domeniu și actualizabile pot fi acum utilizate în politicile de prevenire a amenințărilor și inspecție TLS. Obiectele actualizabile sunt obiecte de rețea care reprezintă un serviciu extern sau o listă dinamică cunoscută de adrese IP, de exemplu - adrese IP Office365 / Google / Azure / AWS și obiecte Geo.
  • Anti-Virus folosește acum indicațiile de amenințare SHA-1 și SHA-256 pentru a bloca fișierele pe baza hashurilor lor. Importați indicatorii noi din vizualizarea Indicatori de amenințare SmartConsole sau din CLI Custom Intelligence Feed.
  • Emularea antivirus și SandBlast Threat acceptă acum inspecția traficului de e-mail prin protocolul POP3, precum și inspecția îmbunătățită a traficului de e-mail prin protocolul IMAP.
  • Anti-Virus și SandBlast Threat Emulation folosesc acum caracteristica de inspecție SSH recent introdusă pentru a inspecta fișierele transferate prin protocoalele SCP și SFTP.
  • Anti-Virus și SandBlast Threat Emulation oferă acum un suport îmbunătățit pentru inspecția SMBv3 (3.0, 3.0.2, 3.1.1), care include inspecția conexiunilor multicanal. Check Point este acum singurul furnizor care acceptă inspecția unui transfer de fișiere prin mai multe canale (o funcție care este activată implicit în toate mediile Windows). Acest lucru permite clienților să rămână în siguranță în timp ce lucrează cu această funcție de îmbunătățire a performanței.

4. Conștientizarea identității

  • Suport pentru integrarea portalului captiv cu SAML 2.0 și furnizori de identitate terți.
  • Suport pentru Identity Broker pentru partajarea scalabilă și granulară a informațiilor de identitate între PDP-uri, precum și partajarea pe mai multe domenii.
  • Îmbunătățiri la Terminal Servers Agent pentru o mai bună scalare și compatibilitate.

5. VPN IPsec

  • Configurați diferite domenii de criptare VPN pe un Security Gateway care este membru al mai multor comunități VPN. Aceasta oferă:
  • Confidențialitate îmbunătățită — Rețelele interne nu sunt dezvăluite în negocierile protocolului IKE.
  • Securitate și granularitate îmbunătățite — Specificați ce rețele sunt accesibile într-o comunitate VPN specificată.
  • Interoperabilitate îmbunătățită — Definiții VPN bazate pe rute simplificate (recomandat atunci când lucrați cu un domeniu de criptare VPN gol).
  • Creați și lucrați fără probleme cu un mediu VPN la scară largă (LSV) cu ajutorul profilurilor LSV.

6. Filtrare URL

  • Scalabilitate și rezistență îmbunătățite.
  • Capacități extinse de depanare.

7.NAT

  • Mecanism îmbunătățit de alocare a portului NAT — pe Gateway-uri de securitate cu 6 sau mai multe instanțe CoreXL Firewall, toate instanțele folosesc același grup de porturi NAT, ceea ce optimizează utilizarea și reutilizarea portului.
  • Monitorizarea utilizării portului NAT în CPView și cu SNMP.

8. Voce peste IP (VoIP)Mai multe instanțe CoreXL Firewall gestionează protocolul SIP pentru a îmbunătăți performanța.

9. VPN de acces la distanțăUtilizați certificatul de mașină pentru a distinge între activele corporative și cele non-corporate și pentru a stabili o politică care impune utilizarea numai a activelor corporative. Aplicarea poate fi pre-logon (doar autentificarea dispozitivului) sau post-logon (autentificarea dispozitivului și a utilizatorului).

10. Agent de portal de acces mobilEnhanced Endpoint Security on Demand în cadrul Mobile Access Portal Agent pentru a suporta toate browserele web majore. Pentru mai multe informații, consultați sk113410.

11.CoreXL și Multi-Queue

  • Suport pentru alocarea automată a SND-urilor CoreXL și a instanțelor Firewall care nu necesită o repornire a Security Gateway.
  • Experiență îmbunătățită imediată — Security Gateway modifică automat numărul de coreXL SND și instanțe de firewall și configurația Multi-Queue pe baza încărcării curente de trafic.

12. Clustering

  • Suport pentru protocolul de control al clusterului în modul Unicast care elimină necesitatea CCP

Moduri Broadcast sau Multicast:

  • Criptarea Cluster Control Protocol este acum activată implicit.
  • Noul mod ClusterXL -Activ/Activ, care acceptă Membrii Clusterului din diferite locații geografice care sunt situate pe subrețele diferite și au adrese IP diferite.
  • Suport pentru membrii ClusterXL Cluster care rulează diferite versiuni de software.
  • A eliminat necesitatea configurației MAC Magic atunci când mai multe clustere sunt conectate la aceeași subrețea.

13. VSX

  • Suport pentru upgrade VSX cu CPUSE în Gaia Portal.
  • Suport pentru modul Active Up în VSLS.
  • Suport pentru rapoarte statistice CPView pentru fiecare sistem virtual

14. Zero TouchUn proces simplu de configurare Plug & Play pentru instalarea unui aparat — eliminând nevoia de expertiză tehnică și trebuie să vă conectați la aparat pentru configurarea inițială.

15. Gaia REST APIGaia REST API oferă o nouă modalitate de a citi și trimite informații către serverele care rulează sistemul de operare Gaia. Vezi sk143612.

16. Rutare avansată

  • Îmbunătățirile la OSPF și BGP permit resetarea și repornirea OSPF vecină pentru fiecare instanță CoreXL Firewall fără a fi nevoie să reporniți demonul rutat.
  • Îmbunătățirea reîmprospătării rutei pentru o gestionare îmbunătățită a inconsecvențelor de rutare BGP.

17. Noi capabilități ale nucleului

  • Nucleu Linux actualizat
  • Sistem nou de partiționare (gpt):
  • Suportă unități fizice/logice de peste 2 TB
  • Sistem de fișiere mai rapid (xfs)
  • Sprijină stocare de sistem mai mare (până la 48 TB testat)
  • Îmbunătățiri ale performanței legate de I/O
  • Multi-Queue:
  • Suport complet Gaia Clish pentru comenzi Multi-Queue
  • Configurare automată „pornit implicit”.
  • Suport de montare SMB v2/3 în blade Mobile Access
  • S-a adăugat suport NFSv4 (client) (NFS v4.2 este versiunea NFS implicită utilizată)
  • Suport de noi instrumente de sistem pentru depanare, monitorizare și configurare a sistemului

18. Controler CloudGuard

  • Îmbunătățiri de performanță pentru conexiunile la centre de date externe.
  • Integrare cu VMware NSX-T.
  • Suport pentru comenzi API suplimentare pentru a crea și edita obiecte Data Center Server.

19. Server cu mai multe domenii

  • Faceți copii de rezervă și restaurați un server de management al domeniului individual pe un server cu mai multe domenii.
  • Migrați un server de gestionare a domeniului pe un server cu mai multe domenii la un alt server de gestionare a securității cu mai multe domenii.
  • Migrați un server de gestionare a securității pentru a deveni un server de gestionare a domeniilor pe un server cu mai multe domenii.
  • Migrați un server de gestionare a domeniului pentru a deveni un server de gestionare a securității.
  • Reveniți un domeniu pe un server cu mai multe domenii sau un server de gestionare a securității la o versiune anterioară pentru editare ulterioară.

20. SmartTasks și API

  • Nouă metodă de autentificare API de management care utilizează o cheie API generată automat.
  • Noi comenzi API de management pentru a crea obiecte cluster.
  • Implementarea centrală a Jumbo Hotfix Accumulator și Hotfix-urilor din SmartConsole sau cu un API permite instalarea sau actualizarea mai multor Gateway-uri și Clustere de securitate în paralel.
  • SmartTasks — Configurați scripturi automate sau solicitări HTTPS declanșate de sarcinile administratorului, cum ar fi publicarea unei sesiuni sau instalarea unei politici.

21. DesfășurareImplementarea centrală a Jumbo Hotfix Accumulator și Hotfix-urilor din SmartConsole sau cu un API permite instalarea sau actualizarea mai multor Gateway-uri și Clustere de securitate în paralel.

22. SmartEventPartajați vizualizări și rapoarte SmartView cu alți administratori.

23.Exportator de jurnalExportați jurnalele filtrate în funcție de valorile câmpului.

24.Securitate endpoint

  • Suport pentru criptarea BitLocker pentru criptarea completă a discului.
  • Suport pentru certificatele de autoritate de certificare externe pentru clientul Endpoint Security
  • autentificare și comunicare cu Endpoint Security Management Server.
  • Suport pentru dimensiunea dinamică a pachetelor Endpoint Security Client pe baza celor selectate
  • caracteristici pentru implementare.
  • Politica poate controla acum nivelul notificărilor pentru utilizatorii finali.
  • Suport pentru mediul persistent VDI în Endpoint Policy Management.

Ce ne-a plăcut cel mai mult (pe baza sarcinilor clienților)

După cum puteți vedea, există o mulțime de inovații. Dar pentru noi, cât pentru integrator de sistem, există câteva puncte foarte interesante (care sunt interesante și pentru clienții noștri). Topul nostru 10:

  1. În cele din urmă, a apărut suport complet pentru dispozitivele IoT. Deja este destul de greu să găsești o companie care să nu aibă astfel de dispozitive.
  2. Inspecția TLS este acum plasată într-un strat separat (Layer). Este mult mai convenabil decât acum (la 80.30). Nu mai rulați vechiul Legasy Dashboard. În plus, acum puteți utiliza obiecte actualizabile în politica de inspecție HTTPS, cum ar fi serviciile Office365, Google, Azure, AWS etc. Acest lucru este foarte convenabil atunci când trebuie să configurați excepții. Cu toate acestea, încă nu există suport pentru tls 1.3. Se pare că vor „prinde din urmă” cu următoarea remediere rapidă.
  3. Schimbări semnificative pentru Anti-Virus și SandBlast. Acum puteți verifica protocoale precum SCP, SFTP și SMBv3 (apropo, nimeni nu mai poate verifica acest protocol multicanal).
  4. Există o mulțime de îmbunătățiri în ceea ce privește VPN-ul Site-to-Site. Acum puteți configura mai multe domenii VPN pe un gateway care face parte din mai multe comunități VPN. Este foarte convenabil și mult mai sigur. În plus, Check Point și-a amintit în sfârșit Route Based VPN și și-a îmbunătățit ușor stabilitatea/compatibilitatea.
  5. A apărut o caracteristică foarte populară pentru utilizatorii de la distanță. Acum puteți autentifica nu numai utilizatorul, ci și dispozitivul de la care se conectează. De exemplu, dorim să permitem conexiuni VPN numai de pe dispozitivele corporative. Acest lucru se face, desigur, cu ajutorul certificatelor. De asemenea, este posibil să montați automat (SMB v2/3) partajări de fișiere pentru utilizatori la distanță cu un client VPN.
  6. Există o mulțime de schimbări în funcționarea clusterului. Dar poate una dintre cele mai interesante este posibilitatea de a opera un cluster în care porțile au versiuni diferite ale Gaia. Acest lucru este convenabil atunci când planificați o actualizare.
  7. Capabilități îmbunătățite Zero Touch. Un lucru util pentru cei care instalează adesea gateway-uri „mici” (de exemplu, pentru bancomate).
  8. Pentru jurnal, stocarea de până la 48 TB este acum acceptată.
  9. Puteți partaja tablourile de bord SmartEvent cu alți administratori.
  10. Log Exporter vă permite acum să prefiltrați mesajele trimise folosind câmpurile obligatorii. Acestea. Doar jurnalele și evenimentele necesare vor fi transmise sistemelor dumneavoastră SIEM

actualizare

Poate că mulți se gândesc deja la actualizare. Nu e nevoie să te grăbești. Pentru început, versiunea 80.40 trebuie să treacă la Disponibilitate generală. Dar chiar și după aceea, nu ar trebui să actualizați imediat. Este mai bine să așteptați cel puțin prima remediere rapidă.
Poate că mulți „stau” pe versiuni mai vechi. Pot spune că cel puțin este deja posibil (și chiar necesar) actualizarea la 80.30. Acesta este deja un sistem stabil și dovedit!

De asemenea, vă puteți abona la paginile noastre publice (Telegramă, Facebook, VK, TS Solution Blog), unde puteți urmări apariția de noi materiale pe Check Point și alte produse de securitate.

Numai utilizatorii înregistrați pot participa la sondaj. Loghează-te, Vă rog.

Ce versiune de Gaia folosești?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Altele

Au votat 13 utilizatori. 6 utilizatori s-au abținut.

Sursa: www.habr.com

Adauga un comentariu