ProHoster > Blog > Administrácia > Check Point Gaia R80.40. Čo je nové?

Check Point Gaia R80.40. Čo je nové?

Check Point Gaia R80.40. Čo je nové?

Ďalšie vydanie operačného systému sa blíži Gaia R80.40. Pred pár týždnami Spustil sa program prednostného prístupu, kde máte prístup na testovanie distribúcie. Ako obvykle zverejňujeme informácie o novinkách a tiež upozorňujeme na body, ktoré sú z nášho pohľadu najzaujímavejšie. Pri pohľade do budúcnosti môžem povedať, že inovácie sú skutočne významné. Preto sa oplatí pripraviť sa na postup včasnej aktualizácie. Predtým sme už mali uverejnil článok ako to urobiť (ďalšie informácie nájdete na stránke kontakt tu). Poďme k téme...

Čo je nové

Pozrime sa tu na oficiálne oznámené novinky. Informácie prevzaté zo stránky Skontrolujte Matesa (oficiálna komunita Check Point). S vaším dovolením tento text nebudem prekladať, našťastie to habrovské publikum umožňuje. Namiesto toho nechám komentáre do ďalšej kapitoly.

1. Bezpečnosť internetu vecí. Nové funkcie súvisiace s internetom vecí

  • Zbierajte zariadenia IoT a atribúty návštevnosti z certifikovaných vyhľadávacích nástrojov IoT (v súčasnosti podporuje Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM a Armis).
  • Nakonfigurujte novú vrstvu politiky vyhradenú pre internet vecí v správe politík.
  • Konfigurujte a spravujte pravidlá zabezpečenia, ktoré sú založené na atribútoch zariadení internetu vecí.

2. Inšpekcia TLSHTTP / 2:

  • HTTP/2 je aktualizácia protokolu HTTP. Aktualizácia poskytuje vylepšenia rýchlosti, efektívnosti a zabezpečenia a prináša lepšiu používateľskú skúsenosť.
  • Bezpečnostná brána Check Point teraz podporuje HTTP/2 a prináša vyššiu rýchlosť a efektivitu pri súčasnom získaní plného zabezpečenia so všetkými čepeľami Threat Prevention a Access Control, ako aj novými ochranami pre protokol HTTP/2.
  • Podpora je pre jasný aj SSL šifrovaný prenos a je plne integrovaná s HTTPS/TLS
  • Inšpekčné schopnosti.

Inšpekčná vrstva TLS. Inovácie týkajúce sa kontroly HTTPS:

  • Nová politická vrstva v SmartConsole venovaná kontrole TLS.
  • V rôznych balíkoch politík možno použiť rôzne vrstvy inšpekcie TLS.
  • Zdieľanie vrstvy inšpekcie TLS v rámci viacerých balíkov politík.
  • API pre operácie TLS.

3. Prevencia hrozieb

  • Celkové zvýšenie efektivity procesov a aktualizácií Threat Prevention.
  • Automatické aktualizácie Threat Extraction Engine.
  • Dynamické, doménové a aktualizovateľné objekty je teraz možné použiť v politikách prevencie hrozieb a kontroly TLS. Aktualizovateľné objekty sú sieťové objekty, ktoré predstavujú externú službu alebo známy dynamický zoznam IP adries, napríklad - Office365 / Google / Azure / AWS IP adresy a Geo objekty.
  • Anti-Virus teraz používa indikácie hrozieb SHA-1 a SHA-256 na blokovanie súborov na základe ich hash. Importujte nové indikátory zo zobrazenia indikátorov hrozieb SmartConsole alebo z CLI vlastného informačného kanála.
  • Anti-Virus a SandBlast Threat Emulation teraz podporujú kontrolu e-mailovej prevádzky cez protokol POP3, ako aj vylepšenú kontrolu e-mailovej prevádzky cez protokol IMAP.
  • Anti-Virus a SandBlast Threat Emulation teraz využívajú novo zavedenú funkciu kontroly SSH na kontrolu súborov prenášaných cez protokoly SCP a SFTP.
  • Anti-Virus a SandBlast Threat Emulation teraz poskytujú vylepšenú podporu pre kontrolu SMBv3 (3.0, 3.0.2, 3.1.1), ktorá zahŕňa kontrolu viackanálových pripojení. Check Point je teraz jediným dodávateľom, ktorý podporuje kontrolu prenosu súborov cez viacero kanálov (funkcia, ktorá je štandardne zapnutá vo všetkých prostrediach Windows). To umožňuje zákazníkom zostať v bezpečí pri práci s touto funkciou zvyšujúcou výkon.

4. Uvedomenie si identity

  • Podpora integrácie Captive Portal so SAML 2.0 a poskytovateľmi identity tretích strán.
  • Podpora pre Identity Broker pre škálovateľné a granulárne zdieľanie informácií o identite medzi PDP, ako aj zdieľanie medzi doménami.
  • Vylepšenia agenta terminálových serverov pre lepšie škálovanie a kompatibilitu.

5. IPsec VPN

  • Nakonfigurujte rôzne šifrovacie domény VPN na bezpečnostnej bráne, ktorá je členom viacerých komunít VPN. Toto poskytuje:
  • Vylepšené súkromie — Interné siete nie sú zverejnené pri rokovaniach o protokole IKE.
  • Vylepšené zabezpečenie a granularita — Špecifikujte, ktoré siete sú dostupné v špecifikovanej komunite VPN.
  • Vylepšená interoperabilita — Zjednodušené definície VPN založené na smerovaní (odporúča sa, keď pracujete s prázdnou šifrovacou doménou VPN).
  • Vytvorte a bezproblémovo pracujte s prostredím LSV (Large Scale VPN) pomocou profilov LSV.

6. Filtrovanie adries URL

  • Vylepšená škálovateľnosť a odolnosť.
  • Rozšírené možnosti riešenia problémov.

7.NAT

  • Vylepšený mechanizmus prideľovania portov NAT – na bezpečnostných bránach so 6 alebo viacerými inštanciami brány CoreXL Firewall všetky inštancie používajú rovnakú skupinu portov NAT, čo optimalizuje využitie a opätovné použitie portov.
  • Monitorovanie využitia NAT portov v CPView a SNMP.

8. Voice over IP (VoIP)Viaceré inštancie CoreXL Firewall spracovávajú protokol SIP na zvýšenie výkonu.

9. Vzdialený prístup VPNPoužite certifikát stroja na rozlíšenie medzi podnikovými a nepodnikovými aktívami a na nastavenie politiky vynucujúcej používanie len podnikových aktív. Vynútenie môže byť pred prihlásením (len overenie zariadenia) alebo po prihlásení (overenie zariadenia a používateľa).

10. Mobile Access Portal AgentVylepšené zabezpečenie koncového bodu na požiadanie v rámci Mobile Access Portal Agent na podporu všetkých hlavných webových prehliadačov. Viac informácií nájdete na sk113410.

11.CoreXL a Multi-Queue

  • Podpora automatického prideľovania CoreXL SND a inštancií brány firewall, ktoré si nevyžadujú reštart bezpečnostnej brány.
  • Vylepšené hneď po vybalení — Security Gateway automaticky mení počet CoreXL SND a inštancií Firewallu a konfiguráciu Multi-Queue na základe aktuálneho prevádzkového zaťaženia.

12. Zhlukovanie

  • Podpora protokolu Cluster Control Protocol v režime Unicast, ktorý eliminuje potrebu CCP

Režimy vysielania alebo viacnásobného vysielania:

  • Šifrovanie protokolu Cluster Control Protocol je teraz predvolene povolené.
  • Nový režim ClusterXL – Active/Active, ktorý podporuje členov klastra v rôznych geografických lokalitách, ktorí sa nachádzajú v rôznych podsieťach a majú rôzne adresy IP.
  • Podpora pre členov ClusterXL Cluster Members, ktorí používajú rôzne verzie softvéru.
  • Eliminovala potrebu konfigurácie MAC Magic, keď je niekoľko klastrov pripojených k rovnakej podsieti.

13. VSX

  • Podpora upgradu VSX s CPUSE na portáli Gaia.
  • Podpora režimu Active Up vo VSLS.
  • Podpora štatistických správ CPView pre každý virtuálny systém

14. Zero TouchJednoduchý proces inštalácie zariadenia Plug & Play – eliminácia potreby technických znalostí a nutnosti pripojenia k zariadeniu na počiatočnú konfiguráciu.

15. Gaia REST APIGaia REST API poskytuje nový spôsob čítania a odosielania informácií na servery s operačným systémom Gaia. Pozri sk143612.

16. Pokročilé smerovanie

  • Vylepšenia OSPF a BGP umožňujú resetovať a reštartovať OSPF susediace pre každú inštanciu CoreXL Firewallu bez potreby reštartovať smerovaného démona.
  • Zlepšenie obnovy trasy pre lepšie zvládnutie nezrovnalostí smerovania BGP.

17. Nové možnosti jadra

  • Inovované jadro Linuxu
  • Nový systém rozdelenia (gpt):
  • Podporuje viac ako 2TB fyzické/logické disky
  • Rýchlejší súborový systém (xfs)
  • Podpora väčšieho systémového úložiska (testované až 48 TB)
  • Zlepšenia výkonu súvisiace s I/O
  • Viacnásobné poradie:
  • Plná podpora Gaia Clish pre príkazy Multi-Queue
  • Automatická konfigurácia „v predvolenom nastavení zapnutá“.
  • Podpora uchytenia SMB v2/3 v čepeli Mobile Access
  • Pridaná podpora NFSv4 (klient) (NFS v4.2 je predvolená používaná verzia NFS)
  • Podpora nových systémových nástrojov na ladenie, monitorovanie a konfiguráciu systému

18. Ovládač CloudGuard

  • Vylepšenia výkonu pre pripojenia k externým dátovým centrám.
  • Integrácia s VMware NSX-T.
  • Podpora pre ďalšie príkazy API na vytváranie a úpravu objektov Data Center Server.

19. Multidoménový server

  • Zálohujte a obnovte individuálny server správy domén na serveri s viacerými doménami.
  • Migrujte server správy domén na jednom serveri s viacerými doménami na inú správu zabezpečenia viacerých domén.
  • Migrujte server správy zabezpečenia, aby ste sa stali serverom správy domén na serveri s viacerými doménami.
  • Migrujte server správy domén, aby ste sa stali serverom správy bezpečnosti.
  • Vráťte doménu na serveri s viacerými doménami alebo serveri správy zabezpečenia na predchádzajúcu revíziu na ďalšie úpravy.

20. SmartTasks a API

  • Nová metóda overovania rozhrania Management API, ktorá používa automaticky generovaný kľúč API.
  • Nové príkazy Management API na vytváranie klastrových objektov.
  • Centrálne nasadenie Jumbo Hotfix Accumulator a Hotfix zo SmartConsole alebo s API umožňuje paralelne inštalovať alebo aktualizovať viacero bezpečnostných brán a klastrov.
  • SmartTasks — Konfigurácia automatických skriptov alebo požiadaviek HTTPS spúšťaných úlohami správcu, ako je publikovanie relácie alebo inštalácia politiky.

21. NasadenieCentrálne nasadenie Jumbo Hotfix Accumulator a Hotfix zo SmartConsole alebo s API umožňuje paralelne inštalovať alebo aktualizovať viacero bezpečnostných brán a klastrov.

22. SmartEventZdieľajte zobrazenia a zostavy SmartView s ostatnými správcami.

23.Vývozca denníkaExportujte protokoly filtrované podľa hodnôt polí.

24. Zabezpečenie koncového bodu

  • Podpora šifrovania BitLocker pre úplné šifrovanie disku.
  • Podpora pre externé certifikáty certifikačnej autority pre klienta Endpoint Security
  • autentifikáciu a komunikáciu so serverom Endpoint Security Management Server.
  • Podpora dynamickej veľkosti balíkov Endpoint Security Client na základe vybratých
  • funkcie na nasadenie.
  • Politika teraz môže ovládať úroveň upozornení pre koncových používateľov.
  • Podpora pre trvalé prostredie VDI v Endpoint Policy Management.

Čo sa nám najviac páčilo (na základe úloh zákazníkov)

Ako môžete vidieť, existuje veľa inovácií. Ale pre nás, ako pre systémový integrátor, existuje niekoľko veľmi zaujímavých bodov (ktoré sú zaujímavé aj pre našich klientov). Naša top 10:

  1. Konečne sa objavila plná podpora IoT zariadení. Už teraz je dosť ťažké nájsť firmu, ktorá takéto zariadenia nemá.
  2. Kontrola TLS je teraz umiestnená v samostatnej vrstve (Layer). Je to oveľa pohodlnejšie ako teraz (o 80.30). Už žiadne spustenie starého Legasy Dashboardu. Navyše teraz môžete v pravidlách kontroly HTTPS používať objekty s možnosťou aktualizácie, ako sú služby Office365, Google, Azure, AWS atď. To je veľmi výhodné, keď potrebujete nastaviť výnimky. Stále však neexistuje podpora pre tls 1.3. Zrejme to „dobehnú“ s ďalšou rýchlou opravou.
  3. Významné zmeny pre Anti-Virus a SandBlast. Teraz môžete skontrolovať protokoly ako SCP, SFTP a SMBv3 (mimochodom, tento viackanálový protokol už nikto nemôže skontrolovať).
  4. Existuje veľa vylepšení týkajúcich sa VPN typu Site-to-Site. Teraz môžete nakonfigurovať niekoľko domén VPN na bráne, ktorá je súčasťou niekoľkých komunít VPN. Je to veľmi pohodlné a oveľa bezpečnejšie. Check Point si navyše konečne spomenul na Route Based VPN a mierne zlepšil jej stabilitu/kompatibilitu.
  5. Objavila sa veľmi obľúbená funkcia pre vzdialených používateľov. Teraz môžete autentifikovať nielen používateľa, ale aj zariadenie, z ktorého sa pripája. Chceme napríklad povoliť pripojenia VPN iba z podnikových zariadení. To sa deje, samozrejme, pomocou certifikátov. Je tiež možné automaticky pripojiť (SMB v2/3) zdieľané súbory pre vzdialených používateľov pomocou klienta VPN.
  6. Vo fungovaní klastra je veľa zmien. Ale možno jednou z najzaujímavejších je možnosť prevádzky klastra, kde majú brány rôzne verzie Gaia. To je výhodné pri plánovaní aktualizácie.
  7. Vylepšené funkcie Zero Touch. Užitočná vec pre tých, ktorí často inštalujú „malé“ brány (napríklad pre bankomaty).
  8. Pre denníky je teraz podporované úložisko až do 48 TB.
  9. Svoje informačné panely SmartEvent môžete zdieľať s ostatnými správcami.
  10. Log Exporter vám teraz umožňuje predfiltrovať odoslané správy pomocou požadovaných polí. Tie. Do vašich systémov SIEM sa prenesú iba potrebné protokoly a udalosti

Aktualizovať

Možno už mnohí uvažujú o aktualizácii. Nie je potrebné sa ponáhľať. Na začiatok sa musí verzia 80.40 presunúť na Všeobecnú dostupnosť. Ale ani potom by ste nemali okamžite aktualizovať. Je lepšie počkať aspoň na prvý hotfix.
Možno mnohí „sedia“ na starších verziách. Môžem povedať, že minimálne je už možné (a dokonca potrebné) aktualizovať na 80.30. Toto je už stabilný a osvedčený systém!

Môžete sa tiež prihlásiť na odber našich verejných stránok (telegram, facebook, VK, Blog riešení TS), kde môžete sledovať vznik nových materiálov o Check Point a iných bezpečnostných produktoch.

Do prieskumu sa môžu zapojiť iba registrovaní užívatelia. Prihlásiť saProsím.

Akú verziu Gaia používate?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • ostatné

Hlasovalo 13 užívateľov. 6 užívateľov sa zdržalo hlasovania.

Zdroj: hab.com

Pridať komentár