ProHoster > blogg > administration > Check Point Gaia 80.40 kr. Vad är nytt?

Check Point Gaia 80.40 kr. Vad är nytt?

Check Point Gaia 80.40 kr. Vad är nytt?

Nästa version av operativsystemet närmar sig Gaia 80.40 kr. Några veckor sedan Early Access-programmet startade, där du kan komma åt för att testa distributionen. Som vanligt publicerar vi information om vad som är nytt och lyfter även fram de punkter som är mest intressanta ur vår synvinkel. När jag blickar framåt kan jag säga att innovationerna verkligen är betydande. Därför är det värt att förbereda sig för en tidig uppdateringsprocedur. Tidigare har vi redan publicerat en artikel om hur du gör detta (för mer information, besök kontakta här). Låt oss komma till ämnet...

Vad är nytt

Låt oss titta på de officiellt tillkännagivna innovationerna här. Information hämtad från sajten Kolla kompisar (officiell Check Point-gemenskap). Med din tillåtelse kommer jag inte att översätta denna text, lyckligtvis tillåter Habr-publiken det. Istället lämnar jag mina kommentarer till nästa kapitel.

1. IoT-säkerhet. Nya funktioner relaterade till Internet of Things

  • Samla IoT-enheter och trafikattribut från certifierade IoT-upptäckningsmotorer (stöder för närvarande Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM och Armis).
  • Konfigurera ett nytt IoT-dedikerat policylager i policyhantering.
  • Konfigurera och hantera säkerhetsregler som är baserade på IoT-enheternas attribut.

2.TLS-inspektionHTTP / 2:

  • HTTP/2 är en uppdatering av HTTP-protokollet. Uppdateringen ger förbättringar av hastighet, effektivitet och säkerhet och resultat med en bättre användarupplevelse.
  • Check Points Security Gateway stöder nu HTTP/2 och ger bättre hastighet och effektivitet samtidigt som den får full säkerhet, med alla Threat Prevention och Access Control-blad, samt nya skydd för HTTP/2-protokollet.
  • Stödet är för både tydlig och SSL-krypterad trafik och är helt integrerat med HTTPS/TLS
  • Inspektionsförmåga.

TLS Inspektionslager. Innovationer angående HTTPS-inspektion:

  • Ett nytt policylager i SmartConsole dedikerat till TLS Inspection.
  • Olika TLS Inspection-lager kan användas i olika policypaket.
  • Dela ett TLS-inspektionslager över flera policypaket.
  • API för TLS-operationer.

3. Hotförebyggande

  • Övergripande effektivitetsförbättring för hotförebyggande processer och uppdateringar.
  • Automatiska uppdateringar av Threat Extraction Engine.
  • Dynamiska, domän- och uppdateringsbara objekt kan nu användas i policyer för hotförebyggande och TLS-inspektion. Uppdaterbara objekt är nätverksobjekt som representerar en extern tjänst eller en känd dynamisk lista med IP-adresser, till exempel - Office365 / Google / Azure / AWS IP-adresser och Geo-objekt.
  • Antivirus använder nu SHA-1 och SHA-256 hotindikationer för att blockera filer baserat på deras hash. Importera de nya indikatorerna från SmartConsole Threat Indicators-vyn eller Custom Intelligence Feed CLI.
  • Antivirus och SandBlast Threat Emulation stöder nu inspektion av e-posttrafik över POP3-protokollet, samt förbättrad inspektion av e-posttrafik över IMAP-protokollet.
  • Antivirus och SandBlast Threat Emulation använder nu den nyligen introducerade SSH-inspektionsfunktionen för att inspektera filer som överförts över SCP- och SFTP-protokollen.
  • Antivirus och SandBlast Threat Emulation ger nu ett förbättrat stöd för SMBv3-inspektion (3.0, 3.0.2, 3.1.1), vilket inkluderar inspektion av flerkanalsanslutningar. Check Point är nu den enda leverantören som stödjer inspektion av en filöverföring via flera kanaler (en funktion som är aktiverad som standard i alla Windows-miljöer). Detta gör att kunderna kan vara säkra medan de arbetar med denna prestandaförbättrande funktion.

4. Identitetsmedvetenhet

  • Stöd för Captive Portal-integrering med SAML 2.0 och tredje parts identitetsleverantörer.
  • Stöd för Identity Broker för skalbar och granulär delning av identitetsinformation mellan PDP:er, samt delning över flera domäner.
  • Förbättringar av Terminal Servers Agent för bättre skalning och kompatibilitet.

5. IPsec VPN

  • Konfigurera olika VPN-krypteringsdomäner på en Security Gateway som är medlem i flera VPN-gemenskaper. Detta ger:
  • Förbättrad integritet – Interna nätverk avslöjas inte i IKE-protokollförhandlingar.
  • Förbättrad säkerhet och granularitet — Ange vilka nätverk som är tillgängliga i en angiven VPN-gemenskap.
  • Förbättrad interoperabilitet — Förenklade ruttbaserade VPN-definitioner (rekommenderas när du arbetar med en tom VPN-krypteringsdomän).
  • Skapa och arbeta sömlöst med en storskalig VPN-miljö (LSV) med hjälp av LSV-profiler.

6. URL-filtrering

  • Förbättrad skalbarhet och motståndskraft.
  • Utökade felsökningsmöjligheter.

7.NAT

  • Förbättrad NAT-portallokeringsmekanism — på Security Gateways med 6 eller fler CoreXL Firewall-instanser använder alla instanser samma pool av NAT-portar, vilket optimerar portanvändningen och återanvändningen.
  • Övervakning av NAT-portanvändning i CPView och med SNMP.

8. Voice over IP (VoIP)Flera CoreXL-brandväggsinstanser hanterar SIP-protokollet för att förbättra prestandan.

9. Fjärråtkomst VPNAnvänd maskincertifikat för att skilja mellan företagstillgångar och icke-företagstillgångar och för att ange en policy som upprätthåller användningen av endast företagstillgångar. Verkställighet kan vara före inloggning (endast enhetsautentisering) eller efterinloggning (enhets- och användarautentisering).

10. Mobil åtkomstportalagentFörbättrad Endpoint Security on Demand inom Mobile Access Portal Agent för att stödja alla större webbläsare. För mer information, se sk113410.

11.CoreXL och Multi-Queue

  • Stöd för automatisk tilldelning av CoreXL SND:er och brandväggsinstanser som inte kräver en omstart av Security Gateway.
  • Förbättrad upplevelse direkt – Security Gateway ändrar automatiskt antalet CoreXL SND:er och brandväggsinstanser och Multi-Queue-konfigurationen baserat på den aktuella trafikbelastningen.

12. Klustring

  • Stöd för Cluster Control Protocol i Unicast-läge som eliminerar behovet av CCP

Broadcast eller Multicast-lägen:

  • Cluster Control Protocol-kryptering är nu aktiverad som standard.
  • Nytt ClusterXL-läge -Active/Active, som stöder klustermedlemmar på olika geografiska platser som finns på olika undernät och har olika IP-adresser.
  • Stöd för ClusterXL Cluster Members som kör olika programvaruversioner.
  • Eliminerade behovet av MAC Magic-konfiguration när flera kluster är anslutna till samma subnät.

13. VSX

  • Stöd för VSX-uppgradering med CPUSE i Gaia Portal.
  • Stöd för Active Up-läge i VSLS.
  • Stöd för CPView statistiska rapporter för varje virtuellt system

14. Zero TouchEn enkel Plug & Play-installationsprocess för att installera en apparat — eliminerar behovet av teknisk expertis och att behöva ansluta till apparaten för initial konfiguration.

15. Gaia REST APIGaia REST API ger ett nytt sätt att läsa och skicka information till servrar som kör Gaia Operating System. Se sk143612.

16. Avancerad routing

  • Förbättringar av OSPF och BGP gör det möjligt att återställa och starta om OSPF angränsande för varje CoreXL-brandväggsinstans utan att behöva starta om den dirigerade demonen.
  • Förbättrad ruttuppdatering för förbättrad hantering av BGP-routinginkonsekvenser.

17. Nya kärnfunktioner

  • Uppgraderad Linux-kärna
  • Nytt partitioneringssystem (gpt):
  • Stöder mer än 2TB fysiska/logiska enheter
  • Snabbare filsystem (xfs)
  • Stöder större systemlagring (upp till 48TB testad)
  • I/O-relaterade prestandaförbättringar
  • Multi-kö:
  • Fullständigt Gaia Clish-stöd för Multi-Queue-kommandon
  • Automatisk "på som standard"-konfiguration
  • SMB v2/3 monteringsstöd i Mobile Access blad
  • Tillagt stöd för NFSv4 (klient) (NFS v4.2 är standardversionen av NFS som används)
  • Stöd för nya systemverktyg för felsökning, övervakning och konfigurering av systemet

18. CloudGuard Controller

  • Prestandaförbättringar för anslutningar till externa datacenter.
  • Integration med VMware NSX-T.
  • Stöd för ytterligare API-kommandon för att skapa och redigera datacenterserverobjekt.

19. Server för flera domäner

  • Säkerhetskopiera och återställ en enskild domänhanteringsserver på en multidomänserver.
  • Migrera en domänhanteringsserver på en multidomänserver till en annan säkerhetshantering för flera domäner.
  • Migrera en Security Management Server för att bli en Domain Management Server på en Multi-Domain Server.
  • Migrera en Domain Management Server för att bli en Security Management Server.
  • Återställ en domän på en multidomänserver eller en säkerhetshanteringsserver till en tidigare version för ytterligare redigering.

20. SmartTasks och API

  • Ny Management API-autentiseringsmetod som använder en automatiskt genererad API-nyckel.
  • Nya Management API-kommandon för att skapa klusterobjekt.
  • Central distribution av Jumbo Hotfix Accumulator och snabbkorrigeringar från SmartConsole eller med ett API gör det möjligt att installera eller uppgradera flera säkerhetsgateways och kluster parallellt.
  • SmartTasks — Konfigurera automatiska skript eller HTTPS-förfrågningar som utlöses av administratörsuppgifter, som att publicera en session eller installera en policy.

21. DriftsättningCentral distribution av Jumbo Hotfix Accumulator och snabbkorrigeringar från SmartConsole eller med ett API gör det möjligt att installera eller uppgradera flera säkerhetsgateways och kluster parallellt.

22. SmartEventDela SmartView-vyer och rapporter med andra administratörer.

23. LoggexportörExportloggar filtrerade enligt fältvärden.

24. Endpoint Security

  • Stöd för BitLocker-kryptering för Full Disk Encryption.
  • Stöd för externa certifikatutfärdare för Endpoint Security-klient
  • autentisering och kommunikation med Endpoint Security Management Server.
  • Stöd för dynamisk storlek på Endpoint Security Client-paket baserat på det valda
  • funktioner för distribution.
  • Policy kan nu styra nivån på meddelanden till slutanvändare.
  • Stöd för Persistent VDI-miljö i Endpoint Policy Management.

Vad vi gillade mest (baserat på kunduppgifter)

Som du kan se finns det många innovationer. Men för oss, som för system Integrator, det finns flera mycket intressanta punkter (som också är intressanta för våra kunder). Våra topp 10:

  1. Äntligen har fullt stöd för IoT-enheter dykt upp. Det är redan ganska svårt att hitta ett företag som inte har sådana enheter.
  2. TLS-inspektion är nu placerad i ett separat lager (Layer). Det är mycket bekvämare än nu (kl. 80.30). Inget mer att köra den gamla Legasy Dashboard. Dessutom kan du nu använda uppdateringsbara objekt i HTTPS-inspektionspolicyn, såsom Office365, Google, Azure, AWS, etc. tjänster. Detta är mycket praktiskt när du behöver ställa in undantag. Det finns dock fortfarande inget stöd för tls 1.3. Tydligen kommer de att "komma ikapp" med nästa snabbkorrigering.
  3. Betydande förändringar för Anti-Virus och SandBlast. Nu kan du kontrollera protokoll som SCP, SFTP och SMBv3 (förresten, ingen kan kontrollera detta flerkanalsprotokoll längre).
  4. Det finns många förbättringar när det gäller Site-to-Site VPN. Nu kan du konfigurera flera VPN-domäner på en gateway som är en del av flera VPN-gemenskaper. Det är väldigt bekvämt och mycket säkrare. Dessutom kom Check Point äntligen ihåg Route Based VPN och förbättrade dess stabilitet/kompatibilitet något.
  5. En mycket populär funktion för fjärranvändare har dykt upp. Nu kan du autentisera inte bara användaren utan också enheten från vilken han ansluter. Till exempel vill vi tillåta VPN-anslutningar endast från företagsenheter. Detta görs givetvis med hjälp av certifikat. Det är också möjligt att automatiskt montera (SMB v2/3) filresurser för fjärranvändare med en VPN-klient.
  6. Det finns många förändringar i driften av klustret. Men kanske en av de mest intressanta är möjligheten att driva ett kluster där gateways har olika versioner av Gaia. Detta är praktiskt när du planerar en uppdatering.
  7. Förbättrade Zero Touch-funktioner. En användbar sak för dem som ofta installerar "små" gateways (till exempel för bankomater).
  8. För loggar stöds nu lagring upp till 48TB.
  9. Du kan dela dina SmartEvent-instrumentpaneler med andra administratörer.
  10. Log Exporter låter dig nu förfiltrera skickade meddelanden med de obligatoriska fälten. De där. Endast nödvändiga loggar och händelser kommer att överföras till dina SIEM-system

Uppdatera

Kanske många redan funderar på att uppdatera. Det finns ingen anledning att rusa. Till att börja med måste version 80.40 flyttas till Allmän tillgänglighet. Men även efter det bör du inte uppdatera direkt. Det är bättre att vänta på åtminstone den första snabbkorrigeringen.
Kanske "sitter" många på äldre versioner. Jag kan säga att det åtminstone redan är möjligt (och till och med nödvändigt) att uppdatera till 80.30. Detta är redan ett stabilt och beprövat system!

Du kan också prenumerera på våra offentliga sidor (Telegram, Facebook, VK, TS Lösningsblogg), där du kan följa uppkomsten av nytt material på Check Point och andra säkerhetsprodukter.

Endast registrerade användare kan delta i undersökningen. Logga in, Snälla du.

Vilken version av Gaia använder du?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Övriga

13 användare röstade. 6 användare avstod från att rösta.

Källa: will.com

Lägg en kommentar