
Një tjetër version i sistemit operativ po afrohet Gaia R80.40. Disa javë më parë , për të cilin mund të aksesoni për testimin e shpërndarjes. Ne, si zakonisht, publikojmë informacione për atë që do të jetë e re, dhe gjithashtu do të nxjerrim në pah momentet që janë më interesante nga pikëpamja jonë. Për të qenë të sinqertë, mund të them se risitë janë vërtet të rëndësishme. Prandaj, duhet të përgatiteni për procedurën e shpejtë të përditësimit. Më parë ne tashmë në lidhje me se si ta bëni këtë (për informacion të mëtejshëm, mund ). Të kalojmë te tema…
Çfarë është e re
Le të shqyrtojmë këtu risitë e shpallura zyrtarisht. Informata është marrë nga faqja (komuniteti zyrtar Check Point). Me lejen tuaj, nuk do ta përkthej këtë tekst, pasi audienca e Habrës e lejon këtë. Ndaj, do të lë komentet e mia në kapitullin pasues.
1. Siguria e IoT. Funksionet e reja që lidhen me internetin e things
- Mblidhni pajisjet IoT dhe atributet e trafikut nga motorët e certifikuar të zbulimit të IoT (aktualisht mbështet Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM dhe Armis).
- Konfiguroni një Shtresë të Re të Politikave të IoT në menaxhimin e politikave.
- Konfiguroni dhe menaxhoni rregullat e sigurisë që bazohen në atributet e pajisjeve IoT.
2. Inspektimi i TLSHTTP/2:
- HTTP/2 është një përditësim i protokollit HTTP. Ky përditësim ofron përmirësime në shpejtësi, efikasitet dhe siguri dhe rezulton në një përvojë më të mirë për përdoruesit.
- Gateway-i i Sigurisë së Check Point tani mbështet HTTP/2 dhe përfiton nga shpejtësi dhe efikasitet më të mirë, duke ruajtur të gjithë sigurinë, me të gjitha blloqet e Parandalimit të Kërcënimeve dhe Kontrollit të Qasjes, si dhe mbrojtje të reja për protokollin HTTP/2.
- Mbështetje është për trafik të qartë dhe të enkriptuar SSL dhe është plotësisht i integruar me HTTPS/TLS.
- Kapacitetet e inspektimit.
Shtresa e Inspektimit TLS. Ndryshime të reja në lidhje me inspektimin HTTPS:
- Një Shtresë e Re Politike në SmartConsole e dedikuar për Inspektimin TLS.
- Shtresa të ndryshme të Inspektimit TLS mund të përdoren në paketa të ndryshme politike.
- Ndërkëmbimi i një shtrese Inspektimi TLS nëpër disa paketa politike.
- API për operacionet TLS.
3. Parandalimi i Kërcënimeve
- Përmirësimi i përgjithshëm i efikasitetit për proceset e Parandalimit të Kërcënimeve dhe përditësimeve.
- Përditësime automatike për Motorin e Ekstraktimit të Kërcënimeve.
- Objektet Dinamike, të Domenit dhe të Përditësueshme tani mund të përdoren në politikat e Parandalimit të Kërcënimeve dhe Inspektimin TLS. Objektet e përditësueshme janë objekte rrjeti që përfaqësojnë një shërbim të jashtëm ose një listë të njohur dinamikësh të adresave IP, për shembull — adresat IP të Office365 / Google / Azure / AWS dhe objektet Geo.
- Anti-Virusi tani përdor indikacione kërcënimi SHA-1 dhe SHA-256 për të bllokuar skedarët sipas hash-it të tyre. Importoni indikatorët e rinj nga pamja e Indikatorëve të Kërcënimeve në SmartConsole ose nga CLI i Fodri të Inteligjencës së Personalizuar.
- Anti-Virusi dhe SandBlast Threat Emulation tani mbështesin inspektimin e trafikut të e-mailit mbi protokollin POP3, si dhe inspektimin e përmirësuar të trafikut të e-mailit mbi protokollin IMAP.
- Anti-Virusi dhe SandBlast Threat Emulation tani përdorin funksionin e ri të inspektimit SSH për të inspektuar skedarët e transferuar mbi protokollet SCP dhe SFTP.
- Anti-Virus dhe SandBlast Threat Emulation tani ofrojnë një mbështetje të përmirësuar për inspektimin SMBv3 (3.0, 3.0.2, 3.1.1), e cila përfshin inspektimin e lidhjeve me kanale të shumta. Check Point tani është ofruesi i vetëm që mbështet inspektimin e një transferimi filesh nëpërmjet kanaleve të shumta (një veçori që është aktivizuar nga parazgjedhja në të gjitha ambientet Windows). Kjo lejon klientët të qëndrojnë të sigurt ndërsa punojnë me këtë veçori që përmirëson performancën.
4. Ndërgjegjësia e Identitetit
- Mbështetje për integrimin e Captive Portal me SAML 2.0 dhe Ofrues të Tjerë të Identitetit.
- Mbështetje për Identity Broker për një ndarjen të shkallëzuar dhe granular të informacionit të identitetit midis PDP-ve, si dhe ndarjen ndër-domain.
- Përmirësime për Agjentin e Terminal Servers për përmirësimin e shkallëzimit dhe përputhshmërisë.
5. IPsec VPN
- Konfiguro domenet e ndryshme të enkriptimit VPN në një Gateway Sigurie që është anëtar i disa komuniteteve VPN. Kjo ofron:
- Privatësinë e përmirësuar — Rrjetet e brendshme nuk zbulohet në negociatat e protokollit IKE.
- Siguri dhe granularitet të përmirësuar — Specifikoni cilat rrjete janë të arritshme në një komunitet të specifikuar VPN.
- Interoperabilitet të përmirësuar — Definicionet e thjeshta të VPN me bazë rruge (të rekomanduara kur punoni me një domen enkriptimi VPN të zbrazët).
- Krijoni dhe punoni pa ndërprerje me një ambient VPS të Shkallës të Madhe (LSV) me ndihmën e profileve LSV.
6. Filtrimi i URL-ve
- Përmirësim i shkallëzimit dhe qëndrueshmërisë.
- Zgjerim i aftësive të zgjidhjes së problemeve.
7. NAT
- Mekanizmi i përmirësuar i alokimit të portit NAT — në Gateway-t e Sigurisë me 6 ose më shumë instance të CoreXL Firewall, të gjitha instancat përdorin të njëjtin pool të porteve NAT, që optimizon shfrytëzimin dhe ripërdorimin e porteve.
- Monitorimi i shfrytëzimit të porteve NAT në CPView dhe me SNMP.
8. Zëri mbi IP (VoIP)Shumë instance të CoreXL Firewall trajtojnë protokollin SIP për të përmirësuar performancën.
9. VPN për Qasjen e LargëtPërdorni certifikatën e makinës për të ndarë asetet korporative nga ato jo-korporative dhe për të vendosur një politikë që përcakton përdorimin vetëm të aseteve korporative. Zbatimi mund të jetë para logon (autentifikimi i pajisjes vetëm) ose pas logon (autentifikimi i pajisjes dhe përdoruesit).
10. Agjenti i Portalit të Aksesit MobilSiguri e Përmirësuar e Pikës Fundore në Kërkesë brenda Agjentit të Portalit të Aksesit Mobil për të mbështetur të gjitha shfletuesit kryesorë. Për më shumë informacion, shihni sk113410.
11. CoreXL dhe Multi-Queue
- Mbështetje për alokimin automatik të SND-ve CoreXL dhe rasteve të Firewall-it që nuk kërkojnë një rindezje të Kalimtarit të Sigurisë.
- Përvojë më e mirë nga kutia — Kalimtari i Sigurisë ndryshon automatikisht numrin e SND-ve CoreXL dhe rasteve të Firewall-it dhe konfigurimi Multi-Queue në bazë të ngarkesës aktuale të trafik.
12. Klusteringu
- Mbështetje për Protokollin e Kontrollit të Klusterit në modin Unicast që eliminon nevojën për CCP.
Modet e Shpërndarjes ose Multicast:
- Enkriptimi i Protokollit të Kontrollit të Klusterit tani është aktivizuar si parazgjedhje.
- Moda e re ClusterXL - Aktiv/Aktiv, që mbështet Anëtarët e Klusterit në vendndodhje të ndryshme gjeografike që ndodhen në subnet të ndryshme dhe kanë adresa IP të ndryshme.
- Mbështetje për Anëtarët e Klusterit ClusterXL që drejtojnë versione të ndryshme të softuerit.
- Eliminimi i nevojës për konfigurimin MAC Magic kur disa klustre janë të lidhura me të njëjtin subnet.
13. VSX
- Mbështetje për upgrade-n e VSX me CPUSE në Gaia Portal.
- Mbështetje për modalitetin Aktiv në VSLS.
- Mbështetje për raportet statistike CPView për çdo Sistem Virtual.
14. Zero TouchNjë proces i thjeshtë instalimi Plug & Play për instalimin e një pajisjeje — duke eliminuar nevojën për ekspertizë teknike dhe duke u lidhur me pajisjen për konfigurimin fillestar.
15. Gaia REST APIGaia REST API ofron një mënyrë të re për të lexuar dhe dërguar informacion në serverat që drejtojnë Sistemin Operativ Gaia. Shihni sk143612.
16. Ruterim i Avancuar
- Përmirësimet në OSPF dhe BGP lejojnë rresetimin dhe rinisjen e fqinjëve OSPF për secilën instancë CoreXL Firewall pa nevojën për të rinisur daemon-in e rrugës.
- Përmirësimi i rifreskimit të rrugëve për menaxhimin më të mirë të inconsistencave të BGP.
17. Aftësi të reja të kernel-it
- Kernel i përmirësuar Linux
- Sistem i ri të ndarjeve (gpt):
- Mbështet më shumë se 2TB disqe fizike/logjike
- Sistem skedari më i shpejtë (xfs)
- Mbështetje për ruajtjen e sistemit më të madhe (deri në 48TB të testuara)
- Përmirësime të performancës të lidhura me I/O
- Multi-Queue:
- Mbështetje e plotë për komandat Multi-Queue në Gaia Clish
- Konfigurim automatik «në mënyrë të paracaktuar»
- Mbështetje për montimin e SMB v2/3 në blade-in e Qasjes Mobile
- Shtuar mbështetje për NFSv4 (klient) (NFS v4.2 është versioni standard i NFS të përdorur)
- Mbështetje për mjete të reja sistemore për debug-imin, monitorimin dhe konfigurimin e sistemit
18. CloudGuard Controller
- Përmirësime të performancës për lidhjet me Qendrat e Dhënave të jashtme.
- Integrim me VMware NSX-T.
- Mbështetje për komanda shtesë të API për të krijuar dhe redaktuar objekte Server të Qendrës së Dhënave.
19. Multi-Domain Server
- Kopjoni dhe riktheni një Server të Menaxhimit të Domain-it të veçantë në një Server Multi-Domain.
- Migroni një Server të Menaxhimit të Domain-it në një Server Multi-Domain në një Menaxhim të Sigurisë të ndryshëm.
- Migroni një Server të Menaxhimit të Sigurisë për t'u bërë një Server të Menaxhimit të Domain-it në një Server Multi-Domain.
- Migroni një Server të Menaxhimit të Domain-it për t'u bërë një Server të Menaxhimit të Sigurisë.
- Riktheni një Domain në një Server Multi-Domain, ose një Server të Menaxhimit të Sigurisë në një revizion të mëparshëm për redaktim të mëtejshëm.
20. SmartTasks dhe API
- Metodë e re e autentifikimit të API të Menaxhimit që përdor një Çelës API të krijuar automatikisht.
- Komanda të reja të API të Menaxhimit për të krijuar objekte klasteri.
- Instalimi Qendror i Jumbo Hotfix Accumulator dhe Hotfix-ëve nga SmartConsole ose me një API lejon instalimin ose përmirësimin e shumë Gateways të Sigurisë dhe Klastereve në paralel.
- SmartTasks — Konfiguroni skriptet automatike ose kërkesat HTTPS të aktivizuara nga detyrat e administratorit, si publikimi i një sesioni ose instalimi i një politike.
21. DeploymentInstalimi Qendror i Jumbo Hotfix Accumulator dhe Hotfix-ëve nga SmartConsole ose me një API lejon instalimin ose përmirësimin e shumë Gateways të Sigurisë dhe Klastereve në paralel.
22. SmartEventShare SmartView views and reports with other administrators.
23. Log ExporterExport logs filtered according to field values.
24. Endpoint Security
- Support for BitLocker encryption for Full Disk Encryption.
- Support for external Certificate Authority certificates for Endpoint Security client
- authentication and communication with the Endpoint Security Management Server.
- Support for dynamic size of Endpoint Security Client packages based on the selected
- features for deployment.
- Policy can now control level of notifications to end users.
- Support for Persistent VDI environment in Endpoint Policy Management.
Что больше всего понравилось нам (на основе задач клиентов)
Как видите, очень много новшеств. Но для нас, как для , есть несколько весьма интересных моментов (которые также интересны нашим клиентам). Наш Топ-10:
- Наконец появилась полноценная поддержка IoT устройств. Уже довольно трудно встретить компанию, у которой не было бы таких девайсов.
- TLS инспекция теперь вынесена в отдельный слой (Layer). Это гораздо удобнее, чем сейчас (в 80.30). Больше не нужно запускать старый Legasy Dashboard. Плюс, теперь в политике HTTPS инспекции можно использовать Updatable объекты, такие как сервисы Office365, Google, Azure, AWS и т.д. Это очень удобно, когда нужно настроить исключения. Однако, все еще нет поддержки tls 1.3. Видимо «догонят» следующим хотфиксом.
- Ndryshime të rëndësishme për Anti-Virus dhe SandBlast. Tani është e mundur të kontrolloni protokollet si SCP, SFTP dhe SMBv3 (në fakt, ky protokoll multi-kanal nuk kontrollohet nga askush tjetër).
- Ka shumë përmirësime që lidhen me Site-to-Site VPN. Tani mund të konfiguroni disa VPN domain në portën që është pjesë e disa VPN community. Kjo është shumë e përshtatshme dhe shumë më e sigurt. Për më tepër, Check Point përfundimisht e kujtoi VPN-në e Bazuar në Rruga dhe e përmirësoi disi stabilitetin/kompatibilitetin e saj.
- Ka një funksion të kërkuar shumë për përdoruesit e largët. Tani është e mundur të autentifikoni jo vetëm përdoruesin, por edhe pajisjen nga e cila ai lidhet. Për shembull, ne duam të lejojmë lidhjen përmes VPN vetëm nga pajisjet korporative. Kjo bëhet sigurisht përmes certifikatave. Po ashtu është bërë e mundur të montoni automatikisht (SMB v2/3) ndarjet e skedarëve për përdoruesit e largët me klientin VPN.
- Ka shumë ndryshime në funksionimin e klasterit. Por ndoshta një nga më tërheqësit është mundësia e veprimit të klasterit, ku portat kanë versione të ndryshme Gaia. Kjo është e përshtatshme, veçanërisht gjatë përditësimeve të planifikuara.
- Funkcionalitetet Zero Touch janë përmirësuar. Një gjë e dobishme për ata që shpesh instalojnë „portat e vogla“ (p.sh. për bankomatet).
- Tani për log-et mbështetet një ruajtje deri në 48 TB.
- Mund të „ndahen“ dashboard-et tuaj SmartEvent me administratori të tjerë.
- Log Exporter tani lejon parafiltrimin e mesazheve të dërguara, sipas fushave të nevojshme. Domethënë, në sistemet tuaja SIEM do të kalojnë vetëm log-et dhe ngjarjet e nevojshme.
Përditësimi
Mund të mendojnë shumë për një përditësim. Nuk duhet të nxitohemi. Fillimisht versioni 80.40 duhet të kalojë në Disponueshmëri të Përgjithshme. Por edhe pas kësaj nuk duhet të përditësoheni menjëherë. Më mirë të pritni të paktën patch-in e parë.
Mund të them se disa ndoshta „kanë ngecur“ në versionet më të vjetra. Mund të them se së paku tashmë është e mundur (dhe madje e nevojshme) të përditësohen në 80.30. Kjo është një sistem stabil dhe i provuar!
Mund të regjistroheni gjithashtu në publikimet tona (, , , ), ku mund të ndiqni shfaqjen e materialeve të reja për Check Point dhe produkte të tjera sigurie.
Vetëm përdoruesit e regjistruar mund të marrin pjesë në anketë. , ju lutemi.
Cilin version të Gaia po përdorni?
- R77.10
- R77.30
- R80.10
- R80.20
- R80.30
- Tjetër
Kanë votuar 13 përdorues. Janë abstenuar 6 përdorues.
Burimi: habr.com
