ProHoster > Blog > Pangangasiwa > Check Point Gaia R80.40. Anong bago?

Check Point Gaia R80.40. Anong bago?

Check Point Gaia R80.40. Anong bago?

Ang susunod na release ng operating system ay papalapit na Gaia R80.40. Ilang linggo na ang nakalipas Nagsimula ang programa ng Early Access, kung saan maaari mong i-access upang subukan ang pamamahagi. Gaya ng dati, nag-publish kami ng impormasyon tungkol sa kung ano ang bago, at itinatampok din ang mga puntong pinakainteresante sa aming pananaw. Sa hinaharap, masasabi kong ang mga pagbabago ay tunay na makabuluhan. Samakatuwid, ito ay nagkakahalaga ng paghahanda para sa isang maagang pamamaraan ng pag-update. Dati meron na tayo naglathala ng isang artikulo kung paano ito gagawin (para sa karagdagang impormasyon, mangyaring bisitahin ang makipag-ugnayan dito). punta tayo sa topic...

Anong bago

Tingnan natin ang opisyal na inihayag na mga inobasyon dito. Ang impormasyon na kinuha mula sa site Suriin ang mga Kapareha (opisyal na komunidad ng Check Point). Sa iyong pahintulot, hindi ko isasalin ang tekstong ito, sa kabutihang palad ay pinapayagan ito ng madla ng Habr. Sa halip, iiwan ko ang aking mga komento para sa susunod na kabanata.

1. IoT Security. Mga bagong feature na nauugnay sa Internet of Things

  • Kolektahin ang mga IoT device at mga attribute ng trapiko mula sa mga certified IoT discovery engine (kasalukuyang sumusuporta sa Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM at Armis).
  • Mag-configure ng bagong IoT na nakatuon sa Policy Layer sa pamamahala ng patakaran.
  • I-configure at pamahalaan ang mga panuntunan sa seguridad na batay sa mga katangian ng mga IoT device.

2.TLS InspectionHTTP/2:

  • Ang HTTP/2 ay isang update sa HTTP protocol. Nagbibigay ang update ng mga pagpapahusay sa bilis, kahusayan at seguridad at mga resulta na may mas magandang karanasan ng user.
  • Sinusuportahan na ngayon ng Check Point's Security Gateway ang HTTP/2 at nakikinabang ito ng mas mahusay na bilis at kahusayan habang nakakakuha ng ganap na seguridad, kasama ang lahat ng Threat Prevention at Access Control blades, pati na rin ang mga bagong proteksyon para sa HTTP/2 protocol.
  • Ang suporta ay para sa parehong malinaw at SSL na naka-encrypt na trapiko at ganap na isinama sa HTTPS/TLS
  • Mga kakayahan sa inspeksyon.

Layer ng Inspeksyon ng TLS. Mga inobasyon tungkol sa inspeksyon ng HTTPS:

  • Isang bagong Policy Layer sa SmartConsole na nakatuon sa TLS Inspection.
  • Maaaring gamitin ang iba't ibang layer ng TLS Inspection sa iba't ibang package ng patakaran.
  • Pagbabahagi ng layer ng TLS Inspection sa maraming package ng patakaran.
  • API para sa mga pagpapatakbo ng TLS.

3. Pag-iwas sa Banta

  • Pangkalahatang pagpapahusay ng kahusayan para sa mga proseso at pag-update ng Pag-iwas sa Banta.
  • Mga awtomatikong update sa Threat Extraction Engine.
  • Magagamit na ngayon ang Dynamic, Domain at Mga Naa-update na Bagay sa mga patakaran sa Pag-iwas sa Banta at Pag-inspeksyon ng TLS. Ang mga naa-update na bagay ay mga bagay sa network na kumakatawan sa isang panlabas na serbisyo o isang kilalang dynamic na listahan ng mga IP address, halimbawa - Office365 / Google / Azure / AWS IP address at Geo object.
  • Ginagamit na ngayon ng Anti-Virus ang SHA-1 at SHA-256 na mga indikasyon ng pagbabanta upang harangan ang mga file batay sa kanilang mga hash. I-import ang mga bagong indicator mula sa SmartConsole Threat Indicators view o ang Custom Intelligence Feed CLI.
  • Sinusuportahan na ngayon ng Anti-Virus at SandBlast Threat Emulation ang inspeksyon ng trapiko ng e-mail sa protocol ng POP3, pati na rin ang pinahusay na inspeksyon ng trapiko ng e-mail sa protocol ng IMAP.
  • Ginagamit na ngayon ng Anti-Virus at SandBlast Threat Emulation ang bagong ipinakilalang feature ng SSH inspection para siyasatin ang mga file na inilipat sa mga protocol ng SCP at SFTP.
  • Ang Anti-Virus at SandBlast Threat Emulation ay nagbibigay na ngayon ng pinahusay na suporta para sa SMBv3 inspection (3.0, 3.0.2, 3.1.1), na kinabibilangan ng inspeksyon ng mga multi-channel na koneksyon. Ang Check Point na ngayon ang tanging vendor na sumusuporta sa inspeksyon ng isang paglilipat ng file sa pamamagitan ng maraming channel (isang feature na on-by-default sa lahat ng Windows environment). Nagbibigay-daan ito sa mga customer na manatiling secure habang nagtatrabaho sa feature na ito sa pagpapahusay ng performance.

4. Kamalayan sa Pagkakakilanlan

  • Suporta para sa pagsasama ng Captive Portal sa SAML 2.0 at mga third party na Identity Provider.
  • Suporta para sa Identity Broker para sa scalable at granular na pagbabahagi ng impormasyon ng pagkakakilanlan sa pagitan ng mga PDP, pati na rin ang pagbabahagi ng cross-domain.
  • Mga pagpapahusay sa Terminal Servers Agent para sa mas mahusay na scaling at compatibility.

5. IPsec VPN

  • I-configure ang iba't ibang mga domain ng pag-encrypt ng VPN sa isang Security Gateway na miyembro ng maraming komunidad ng VPN. Nagbibigay ito ng:
  • Pinahusay na privacy β€” Ang mga panloob na network ay hindi isiwalat sa IKE protocol negotiations.
  • Pinahusay na seguridad at granularity β€” Tukuyin kung aling mga network ang maa-access sa isang partikular na komunidad ng VPN.
  • Pinahusay na interoperability β€” Pinasimple na mga kahulugan ng VPN na nakabatay sa ruta (inirerekomenda kapag nagtatrabaho ka sa isang walang laman na domain ng pag-encrypt ng VPN).
  • Lumikha at walang putol na gumana sa isang Large Scale VPN (LSV) na kapaligiran sa tulong ng mga LSV profile.

6. Pag-filter ng URL

  • Pinahusay na scalability at resilience.
  • Pinalawak na mga kakayahan sa pag-troubleshoot.

7.NAT

  • Pinahusay na mekanismo ng paglalaan ng NAT port β€” sa Mga Security Gateway na may 6 o higit pang mga instance ng CoreXL Firewall, ang lahat ng mga instance ay gumagamit ng parehong pool ng mga NAT port, na nag-o-optimize sa paggamit ng port at muling paggamit.
  • Pagsubaybay sa paggamit ng NAT port sa CPView at sa SNMP.

8. Voice over IP (VoIP)Maramihang CoreXL Firewall instance ang humahawak sa SIP protocol para mapahusay ang performance.

9. Remote Access VPNGumamit ng machine certificate para makilala ang pagitan ng corporate at non-corporate asset at para magtakda ng patakarang nagpapatupad ng paggamit ng corporate asset lang. Ang pagpapatupad ay maaaring pre-logon (device authentication lang) o post-logon (device at user authentication).

10. Ahente ng Mobile Access PortalPinahusay na Endpoint Security on Demand sa loob ng Mobile Access Portal Agent upang suportahan ang lahat ng pangunahing web browser. Para sa karagdagang impormasyon, tingnan ang sk113410.

11.CoreXL at Multi-Queue

  • Suporta para sa awtomatikong paglalaan ng mga CoreXL SND at mga instance ng Firewall na hindi nangangailangan ng reboot ng Security Gateway.
  • Pinahusay na out of the box na karanasan β€” Awtomatikong binabago ng Security Gateway ang bilang ng mga CoreXL SND at Firewall instance at ang configuration ng Multi-Queue batay sa kasalukuyang pagkarga ng trapiko.

12. Clustering

  • Suporta para sa Cluster Control Protocol sa Unicast mode na nag-aalis ng pangangailangan para sa CCP

Mga mode ng broadcast o Multicast:

  • Ang Cluster Control Protocol encryption ay pinagana na ngayon bilang default.
  • Bagong ClusterXL mode -Active/Active, na sumusuporta sa Cluster Members sa iba't ibang heyograpikong lokasyon na matatagpuan sa iba't ibang subnet at may iba't ibang IP address.
  • Suporta para sa Mga Miyembro ng ClusterXL Cluster na nagpapatakbo ng iba't ibang bersyon ng software.
  • Inalis ang pangangailangan para sa MAC Magic configuration kapag maraming cluster ang nakakonekta sa parehong subnet.

13. VSX

  • Suporta para sa pag-upgrade ng VSX sa CPUSE sa Gaia Portal.
  • Suporta para sa Active Up mode sa VSLS.
  • Suporta para sa mga ulat sa istatistika ng CPView para sa bawat Virtual System

14. Zero TouchIsang simpleng proseso ng pag-setup ng Plug & Play para sa pag-install ng appliance β€” inaalis ang pangangailangan para sa teknikal na kadalubhasaan at kinakailangang kumonekta sa appliance para sa paunang configuration.

15. Gaia REST APINagbibigay ang Gaia REST API ng bagong paraan upang magbasa at magpadala ng impormasyon sa mga server na nagpapatakbo ng Gaia Operating System. Tingnan ang sk143612.

16. Advanced na Pagruruta

  • Ang mga pagpapahusay sa OSPF at BGP ay nagbibigay-daan sa pag-reset at pag-restart ng OSPF na kalapit para sa bawat halimbawa ng CoreXL Firewall nang hindi na kailangang i-restart ang naruta na daemon.
  • Pagpapahusay ng pag-refresh ng ruta para sa pinahusay na paghawak ng mga hindi pagkakapare-pareho ng pagruruta ng BGP.

17. Bagong mga kakayahan sa kernel

  • Na-upgrade na Linux kernel
  • Bagong partitioning system (gpt):
  • Sinusuportahan ang higit sa 2TB na pisikal/lohikal na mga drive
  • Mas mabilis na file system (xfs)
  • Sinusuportahan ang mas malaking storage ng system (hanggang sa 48TB na nasubok)
  • Mga pagpapahusay sa pagganap na nauugnay sa I/O
  • Multi-Queue:
  • Buong suporta ng Gaia Clish para sa mga command na Multi-Queue
  • Awtomatikong "naka-on bilang default" na configuration
  • SMB v2/3 mount support sa Mobile Access blade
  • Nagdagdag ng suporta sa NFSv4 (client) (NFS v4.2 ang ginamit na default na bersyon ng NFS)
  • Suporta ng mga bagong tool ng system para sa pag-debug, pagsubaybay at pag-configure ng system

18. CloudGuard Controller

  • Mga pagpapahusay sa pagganap para sa mga koneksyon sa mga panlabas na Data Center.
  • Pagsasama sa VMware NSX-T.
  • Suporta para sa karagdagang mga utos ng API para gumawa at mag-edit ng mga object ng Data Center Server.

19. Multi-Domain Server

  • I-back up at i-restore ang isang indibidwal na Domain Management Server sa isang Multi-Domain Server.
  • Mag-migrate ng Server ng Pamamahala ng Domain sa isang Multi-Domain Server sa ibang Pamamahala ng Seguridad ng Multi-Domain.
  • Mag-migrate ng Security Management Server para maging Domain Management Server sa Multi-Domain Server.
  • Mag-migrate ng Domain Management Server para maging Security Management Server.
  • I-revert ang isang Domain sa isang Multi-Domain Server, o isang Security Management Server sa isang nakaraang rebisyon para sa karagdagang pag-edit.

20. SmartTasks at API

  • Bagong Pamamaraan ng pagpapatunay ng API ng Pamamahala na gumagamit ng isang awtomatikong nabuong API Key.
  • Bagong Management API command para gumawa ng mga cluster object.
  • Ang Central Deployment ng Jumbo Hotfix Accumulator at Mga Hotfix mula sa SmartConsole o may API ay nagbibigay-daan sa pag-install o pag-upgrade ng maramihang Security Gateway at Cluster nang magkatulad.
  • SmartTasks β€” I-configure ang mga awtomatikong script o mga kahilingan sa HTTPS na na-trigger ng mga gawain ng administrator, gaya ng pag-publish ng session o pag-install ng patakaran.

21. Pag-deployAng Central Deployment ng Jumbo Hotfix Accumulator at Mga Hotfix mula sa SmartConsole o may API ay nagbibigay-daan sa pag-install o pag-upgrade ng maramihang Security Gateway at Cluster nang magkatulad.

22. SmartEventIbahagi ang mga view at ulat ng SmartView sa ibang mga administrator.

23.Log ExporterI-export ang mga log na na-filter ayon sa mga halaga ng field.

24.Endpoint Security

  • Suporta para sa BitLocker encryption para sa Full Disk Encryption.
  • Suporta para sa mga external na Certificate Authority certificate para sa Endpoint Security client
  • pagpapatunay at komunikasyon sa Endpoint Security Management Server.
  • Suporta para sa dynamic na laki ng mga pakete ng Endpoint Security Client batay sa napili
  • mga tampok para sa pag-deploy.
  • Maaari na ngayong kontrolin ng patakaran ang antas ng mga notification sa mga end user.
  • Suporta para sa Persistent na VDI environment sa Endpoint Policy Management.

Ang pinakanagustuhan namin (batay sa mga gawain ng customer)

Tulad ng nakikita mo, mayroong maraming mga pagbabago. Ngunit para sa amin, para sa system integrator, mayroong ilang napaka-kagiliw-giliw na mga punto (na kawili-wili din sa aming mga kliyente). Ang aming Nangungunang 10:

  1. Sa wakas, lumitaw ang buong suporta para sa mga IoT device. Medyo mahirap na makahanap ng isang kumpanya na walang ganoong mga aparato.
  2. Ang inspeksyon ng TLS ay inilalagay na ngayon sa isang hiwalay na layer (Layer). Ito ay mas maginhawa kaysa ngayon (sa 80.30). Hindi na pinapatakbo ang lumang Legasy Dashboard. Dagdag pa, maaari mo na ngayong gamitin ang mga Nai-update na bagay sa patakaran sa inspeksyon ng HTTPS, gaya ng mga serbisyo ng Office365, Google, Azure, AWS, atbp. Ito ay napaka-maginhawa kapag kailangan mong mag-set up ng mga pagbubukod. Gayunpaman, wala pa ring suporta para sa tls 1.3. Tila sila ay "maaabutan" sa susunod na hotfix.
  3. Mga makabuluhang pagbabago para sa Anti-Virus at SandBlast. Ngayon ay maaari mong suriin ang mga protocol tulad ng SCP, SFTP at SMBv3 (nga pala, wala nang makakasuri sa multi-channel na protocol na ito).
  4. Mayroong maraming mga pagpapabuti tungkol sa Site-to-Site VPN. Ngayon ay maaari mong i-configure ang ilang mga domain ng VPN sa isang gateway na bahagi ng ilang mga komunidad ng VPN. Ito ay napaka-maginhawa at mas ligtas. Bilang karagdagan, sa wakas ay naalala ng Check Point ang Route Based VPN at bahagyang pinahusay ang stability/compatibility nito.
  5. Ang isang napaka-tanyag na tampok para sa malayuang mga gumagamit ay lumitaw. Ngayon ay maaari mong patunayan hindi lamang ang gumagamit, kundi pati na rin ang aparato kung saan siya kumokonekta. Halimbawa, gusto naming payagan ang mga koneksyon sa VPN mula lang sa mga corporate device. Ginagawa ito, siyempre, sa tulong ng mga sertipiko. Posible ring awtomatikong i-mount (SMB v2/3) ang mga pagbabahagi ng file para sa mga malalayong user na may VPN client.
  6. Mayroong maraming mga pagbabago sa pagpapatakbo ng kumpol. Ngunit marahil ang isa sa mga pinaka-interesante ay ang posibilidad ng pagpapatakbo ng isang kumpol kung saan ang mga gateway ay may iba't ibang bersyon ng Gaia. Ito ay maginhawa kapag nagpaplano ng pag-update.
  7. Pinahusay na mga kakayahan ng Zero Touch. Isang kapaki-pakinabang na bagay para sa mga madalas na nag-i-install ng "maliit" na mga gateway (halimbawa, para sa mga ATM).
  8. Para sa mga log, sinusuportahan na ngayon ang storage hanggang 48TB.
  9. Maaari mong ibahagi ang iyong mga dashboard ng SmartEvent sa iba pang mga administrator.
  10. Pinapayagan ka na ngayon ng Log Exporter na i-pre-filter ang mga ipinadalang mensahe gamit ang mga kinakailangang field. Yung. Ang mga kinakailangang log at event lang ang ipapadala sa iyong mga SIEM system

I-update ang

Marahil marami na ang nag-iisip na mag-update. Hindi na kailangang magmadali. Upang magsimula sa, ang bersyon 80.40 ay dapat lumipat sa Pangkalahatang Availability. Ngunit kahit na pagkatapos nito, hindi ka dapat mag-update kaagad. Mas mahusay na maghintay para sa hindi bababa sa unang hotfix.
Marahil marami ang "nakaupo" sa mga mas lumang bersyon. Maaari kong sabihin na sa pinakamababa ay posible na (at kahit na kinakailangan) na mag-update sa 80.30. Ito ay isa nang matatag at subok na sistema!

Maaari ka ring mag-subscribe sa aming mga pampublikong pahina (Telegrama, Facebook, VK, TS Solution Blog), kung saan maaari mong sundin ang paglitaw ng mga bagong materyales sa Check Point at iba pang mga produkto ng seguridad.

Ang mga rehistradong user lamang ang maaaring lumahok sa survey. Mag-sign in, pakiusap

Anong bersyon ng Gaia ang ginagamit mo?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • iba

13 user ang bumoto. 6 na user ang umiwas.

Pinagmulan: www.habr.com

Magdagdag ng komento