ProHoster > Blog > Uprava > Check Point Gaia R80.40. Kaj je novega?

Check Point Gaia R80.40. Kaj je novega?

Check Point Gaia R80.40. Kaj je novega?

Bliža se naslednja izdaja operacijskega sistema Gaia 80.40 €. Pred nekaj tedni Program zgodnjega dostopa se je začel, kjer lahko dostopate in preizkusite distribucijo. Kot običajno objavljamo informacije o novostih in izpostavljamo točke, ki so z našega vidika najbolj zanimive. Za naprej lahko rečem, da so novosti res pomembne. Zato se je vredno pripraviti na zgodnji postopek posodobitve. Prej smo že objavil članek o tem, kako to storiti (za več informacij obiščite kontaktirajte tukaj). Pa pojdimo k temi...

Kaj je novega

Tukaj si poglejmo uradno objavljene novosti. Informacije povzete s strani Preverite Mates (uradna skupnost Check Point). Z vašim dovoljenjem tega besedila ne bom prevajal, na srečo občinstvo Habra to dovoljuje. Namesto tega bom svoje komentarje pustil za naslednje poglavje.

1. Varnost interneta stvari. Nove funkcije, povezane z internetom stvari

  • Zbirajte naprave IoT in prometne atribute iz certificiranih mehanizmov za odkrivanje IoT (trenutno podpira Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM in Armis).
  • Konfigurirajte novo IoT namensko plast pravilnika v upravljanju pravilnika.
  • Konfigurirajte in upravljajte varnostna pravila, ki temeljijo na atributih naprav IoT.

2. TLS pregledHTTP/2:

  • HTTP/2 je posodobitev protokola HTTP. Posodobitev zagotavlja izboljšave hitrosti, učinkovitosti in varnosti ter rezultate z boljšo uporabniško izkušnjo.
  • Check Point's Security Gateway zdaj podpira HTTP/2 in ima koristi od boljše hitrosti in učinkovitosti, hkrati pa zagotavlja popolno varnost z vsemi rezinami za preprečevanje groženj in nadzor dostopa ter nove zaščite za protokol HTTP/2.
  • Podpora je za jasen in šifriran SSL promet ter je popolnoma integrirana s HTTPS/TLS
  • Inšpekcijske zmogljivosti.

Inšpekcijski sloj TLS. Novosti pri pregledu HTTPS:

  • Nova plast pravilnika v SmartConsole, namenjena pregledu TLS.
  • V različnih paketih pravilnikov je mogoče uporabiti različne plasti TLS Inspection.
  • Skupna raba sloja pregleda TLS v več paketih pravilnikov.
  • API za operacije TLS.

3. Preprečevanje groženj

  • Splošna izboljšava učinkovitosti za procese in posodobitve za preprečevanje groženj.
  • Samodejne posodobitve mehanizma za ekstrakcijo groženj.
  • Dinamične objekte, objekte domene in objekte, ki jih je mogoče posodobiti, je zdaj mogoče uporabiti v pravilnikih za preprečevanje groženj in pregledovanje TLS. Objekti, ki jih je mogoče posodobiti, so omrežni objekti, ki predstavljajo zunanjo storitev ali znani dinamični seznam naslovov IP, na primer naslovi IP Office365 / Google / Azure / AWS in Geo objekti.
  • Protivirusni program zdaj uporablja znake groženj SHA-1 in SHA-256 za blokiranje datotek na podlagi njihovih zgoščenj. Uvozite nove indikatorje iz pogleda SmartConsole Threat Indicators ali CLI Custom Intelligence Feed.
  • Anti-Virus in SandBlast Threat Emulation zdaj podpirata pregled e-poštnega prometa prek protokola POP3, kot tudi izboljšan pregled e-poštnega prometa prek protokola IMAP.
  • Protivirusna programska oprema in emulacija groženj SandBlast zdaj uporabljata novo uvedeno funkcijo pregleda SSH za pregledovanje datotek, prenesenih prek protokolov SCP in SFTP.
  • Anti-Virus in SandBlast Threat Emulation zdaj nudita izboljšano podporo za inšpekcijo SMBv3 (3.0, 3.0.2, 3.1.1), ki vključuje inšpekcijo večkanalnih povezav. Check Point je zdaj edini prodajalec, ki podpira pregled prenosa datotek prek več kanalov (funkcija, ki je privzeto vklopljena v vseh okoljih Windows). To strankam omogoča, da ostanejo varne med delom s to funkcijo za izboljšanje zmogljivosti.

4. Zavedanje identitete

  • Podpora za integracijo prestreznega portala s SAML 2.0 in tretjimi ponudniki identitete.
  • Podpora za Identity Broker za razširljivo in granularno skupno rabo informacij o identiteti med PDP-ji, kot tudi za skupno rabo med domenami.
  • Izboljšave agenta terminalskih strežnikov za boljše skaliranje in združljivost.

5. IPsec VPN

  • Konfigurirajte različne šifrirne domene VPN na varnostnem prehodu, ki je član več skupnosti VPN. To zagotavlja:
  • Izboljšana zasebnost — Notranja omrežja niso razkrita v pogajanjih o protokolu IKE.
  • Izboljšana varnost in razdrobljenost — Določite, katera omrežja so dostopna v določeni skupnosti VPN.
  • Izboljšana interoperabilnost — Poenostavljene definicije VPN na podlagi poti (priporočeno, ko delate s prazno domeno šifriranja VPN).
  • Ustvarite in nemoteno delajte z okoljem Large Scale VPN (LSV) s pomočjo profilov LSV.

6. Filtriranje URL-jev

  • Izboljšana razširljivost in odpornost.
  • Razširjene zmožnosti odpravljanja težav.

7.NAT

  • Izboljšan mehanizem za dodeljevanje vrat NAT — na varnostnih prehodih s 6 ali več instancami požarnega zidu CoreXL vse instance uporabljajo isto skupino vrat NAT, kar optimizira uporabo in ponovno uporabo vrat.
  • Nadzor uporabe vrat NAT v CPView in s SNMP.

8. Glas prek IP (VoIP)Več primerkov požarnega zidu CoreXL obravnava protokol SIP za izboljšanje zmogljivosti.

9. Oddaljeni dostop VPNUporabite strojno potrdilo za razlikovanje med korporativnimi in nekorporacijskimi sredstvi ter nastavite pravilnik, ki uveljavlja uporabo samo korporativnih sredstev. Uveljavljanje je lahko pred prijavo (samo preverjanje pristnosti naprave) ali po prijavi (avtentikacija naprave in uporabnika).

10. Agent portala za mobilni dostopIzboljšana varnost končne točke na zahtevo znotraj agenta portala za mobilni dostop za podporo vsem večjim spletnim brskalnikom. Za več informacij glejte sk113410.

11.CoreXL in več čakalnih vrst

  • Podpora za samodejno dodeljevanje CoreXL SND-jev in primerkov požarnega zidu, ki ne zahteva ponovnega zagona varnostnega prehoda.
  • Izboljšana izkušnja takoj po namestitvi — Varnostni prehod samodejno spremeni število CoreXL SND-jev in instanc požarnega zidu ter konfiguracijo več čakalnih vrst glede na trenutno prometno obremenitev.

12. Združevanje v skupine

  • Podpora za protokol za nadzor gruče v načinu Unicast, ki odpravlja potrebo po CCP

Načini oddajanja ali večoddajanja:

  • Šifriranje Cluster Control Protocol je zdaj privzeto omogočeno.
  • Nov način ClusterXL -Active/Active, ki podpira člane gruče na različnih geografskih lokacijah, ki se nahajajo v različnih podomrežjih in imajo različne naslove IP.
  • Podpora za člane gruče ClusterXL, ki izvajajo različne različice programske opreme.
  • Odpravljena je potreba po konfiguraciji MAC Magic, ko je več gruč povezanih v isto podomrežje.

13. VSX

  • Podpora za nadgradnjo VSX s CPUSE na portalu Gaia.
  • Podpora za način Active Up v VSLS.
  • Podpora za statistična poročila CPView za vsak virtualni sistem

14. Zero TouchPreprost postopek namestitve Plug & Play za namestitev naprave – odpravlja potrebo po tehničnem znanju in povezovanju z napravo za začetno konfiguracijo.

15. Gaia REST APIAPI Gaia REST ponuja nov način za branje in pošiljanje informacij strežnikom, ki poganjajo operacijski sistem Gaia. Glej sk143612.

16. Napredno usmerjanje

  • Izboljšave OSPF in BGP omogočajo ponastavitev in ponovni zagon sosednjega OSPF za vsak primerek požarnega zidu CoreXL, ne da bi bilo treba znova zagnati usmerjeni demon.
  • Izboljšanje osveževanja poti za izboljšano obravnavanje nedoslednosti pri usmerjanju BGP.

17. Nove zmožnosti jedra

  • Nadgrajeno jedro Linuxa
  • Nov particijski sistem (gpt):
  • Podpira več kot 2TB fizičnih/logičnih pogonov
  • Hitrejši datotečni sistem (xfs)
  • Podpira večji sistemski pomnilnik (preizkušeno do 48 TB)
  • Izboljšave zmogljivosti, povezane z V/I
  • Več čakalnih vrst:
  • Popolna podpora za Gaia Clish za ukaze Multi-Queue
  • Samodejna konfiguracija »privzeto vklopljeno«.
  • Podpora za namestitev SMB v2/3 v rezini Mobile Access
  • Dodana podpora za NFSv4 (odjemalec) (NFS v4.2 je privzeta uporabljena različica NFS)
  • Podpora novih sistemskih orodij za odpravljanje napak, nadzor in konfiguracijo sistema

18. Krmilnik CloudGuard

  • Izboljšave zmogljivosti za povezave z zunanjimi podatkovnimi centri.
  • Integracija z VMware NSX-T.
  • Podpora za dodatne ukaze API za ustvarjanje in urejanje objektov Data Center Server.

19. Večdomenski strežnik

  • Varnostno kopirajte in obnovite posamezni strežnik za upravljanje domene na strežniku z več domenami.
  • Preselite strežnik za upravljanje domene na enem strežniku z več domenami na drugo upravljanje varnosti z več domenami.
  • Preselite strežnik za upravljanje varnosti, da postane strežnik za upravljanje domene na strežniku z več domenami.
  • Preselite strežnik za upravljanje domene, da postane strežnik za upravljanje varnosti.
  • Povrnite domeno na strežniku z več domenami ali strežniku za upravljanje varnosti na prejšnjo revizijo za nadaljnje urejanje.

20. SmartTasks in API

  • Nova metoda preverjanja pristnosti API-ja za upravljanje, ki uporablja samodejno ustvarjen ključ API-ja.
  • Novi ukazi API za upravljanje za ustvarjanje objektov gruče.
  • Osrednja namestitev zbiralnika hitrih popravkov Jumbo in hitrih popravkov iz SmartConsole ali z API-jem omogoča vzporedno namestitev ali nadgradnjo več varnostnih prehodov in gruč.
  • SmartTasks — Konfigurirajte samodejne skripte ali zahteve HTTPS, ki jih sprožijo skrbniške naloge, kot je objava seje ali namestitev pravilnika.

21. NamestitevOsrednja namestitev zbiralnika hitrih popravkov Jumbo in hitrih popravkov iz SmartConsole ali z API-jem omogoča vzporedno namestitev ali nadgradnjo več varnostnih prehodov in gruč.

22. SmartEventDelite poglede in poročila SmartView z drugimi skrbniki.

23. Izvoznik hlodovIzvozi dnevnike, filtrirane glede na vrednosti polja.

24. Varnost končne točke

  • Podpora za šifriranje BitLocker za šifriranje celotnega diska.
  • Podpora za zunanja potrdila overitelja potrdil za odjemalca Endpoint Security
  • avtentikacijo in komunikacijo s strežnikom za upravljanje Endpoint Security.
  • Podpora za dinamično velikost paketov Endpoint Security Client glede na izbrano
  • funkcije za uvajanje.
  • Pravilnik lahko zdaj nadzoruje raven obvestil končnim uporabnikom.
  • Podpora za okolje Persistent VDI v upravljanju pravilnika končne točke.

Kaj nam je bilo najbolj všeč (glede na naloge strank)

Kot lahko vidite, je veliko novosti. Ampak za nas, kot za sistemski integrator, obstaja več zelo zanimivih točk (ki so zanimive tudi za naše stranke). Naših 10 najboljših:

  1. Končno se je pojavila popolna podpora za naprave IoT. Že tako je težko najti podjetje, ki nima takšnih naprav.
  2. Pregled TLS je zdaj postavljen v ločen sloj (Layer). Je veliko bolj priročno kot zdaj (pri 80.30). Nič več izvajanja stare nadzorne plošče Legasy. Poleg tega lahko zdaj uporabljate objekte, ki jih je mogoče posodobiti, v pravilniku o preverjanju HTTPS, kot so storitve Office365, Google, Azure, AWS itd. To je zelo priročno, ko morate nastaviti izjeme. Še vedno pa ni podpore za tls 1.3. Očitno bodo "dohiteli" naslednji hitri popravek.
  3. Pomembne spremembe za Anti-Virus in SandBlast. Zdaj lahko preverite protokole, kot so SCP, SFTP in SMBv3 (mimogrede, nihče več ne more preveriti tega večkanalnega protokola).
  4. Obstaja veliko izboljšav v zvezi s VPN od mesta do mesta. Zdaj lahko konfigurirate več domen VPN na prehodu, ki je del več skupnosti VPN. Je zelo priročno in veliko varnejše. Poleg tega se je Check Point končno spomnil Route Based VPN in nekoliko izboljšal njegovo stabilnost/združljivost.
  5. Pojavila se je zelo priljubljena funkcija za oddaljene uporabnike. Zdaj lahko preverite pristnost ne samo uporabnika, ampak tudi naprave, s katere se povezuje. Na primer, želimo dovoliti povezave VPN samo iz naprav podjetja. To seveda poteka s pomočjo certifikatov. Možno je tudi samodejno namestiti (SMB v2/3) skupno rabo datotek za oddaljene uporabnike z odjemalcem VPN.
  6. V delovanju grozda je veliko sprememb. Morda pa je ena najbolj zanimivih možnost delovanja gruče, kjer imajo prehodi različne različice Gaie. To je priročno pri načrtovanju posodobitve.
  7. Izboljšane zmogljivosti Zero Touch. Uporabna stvar za tiste, ki pogosto nameščajo "majhne" prehode (na primer za bankomate).
  8. Za dnevnike je zdaj podprto shranjevanje do 48 TB.
  9. Svoje nadzorne plošče SmartEvent lahko delite z drugimi skrbniki.
  10. Log Exporter vam zdaj omogoča vnaprejšnje filtriranje poslanih sporočil z uporabo zahtevanih polj. Tisti. V vaše sisteme SIEM bodo poslani le potrebni dnevniki in dogodki

Posodobiti

Morda mnogi že razmišljajo o posodobitvi. Ni treba hiteti. Za začetek se mora različica 80.40 premakniti na splošno dostopnost. Toda tudi po tem ne bi smeli posodobiti takoj. Bolje je počakati vsaj na prvi hitri popravek.
Morda mnogi "sedijo" na starejših različicah. Lahko rečem, da je vsaj že mogoče (in celo potrebno) posodobiti na 80.30. To je že stabilen in preverjen sistem!

Lahko se tudi naročite na naše javne strani (Telegram, Facebook , VK, Spletni dnevnik rešitev TS), kjer lahko spremljate nastanek novih gradiv o Check Pointu in drugih varnostnih izdelkih.

V anketi lahko sodelujejo samo registrirani uporabniki. Prijaviti se, prosim.

Katero različico Gaie uporabljate?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Ostalo

Glasovalo je 13 uporabnikov. 6 uporabnikov se je vzdržalo.

Vir: www.habr.com

Dodaj komentar