ProHoster > Blog > yönetim > Kontrol Noktası Gaia R80.40. Ne var ne yok?

Kontrol Noktası Gaia R80.40. Ne var ne yok?

Kontrol Noktası Gaia R80.40. Ne var ne yok?

İşletim sisteminin bir sonraki sürümü yaklaşıyor GaiaR80.40. Birkaç hafta önce Erken Erişim programı başladıDağıtımı test etmek için erişebileceğiniz yer. Her zamanki gibi yenilikler hakkında bilgi yayınlıyoruz ve aynı zamanda bizim bakış açımıza göre en ilgi çekici noktaları vurguluyoruz. Geleceğe baktığımızda yeniliklerin gerçekten önemli olduğunu söyleyebilirim. Bu nedenle erken güncelleme prosedürüne hazırlanmaya değer. Daha önce zaten bir makale yayınladı bunun nasıl yapılacağı hakkında (daha fazla bilgi için lütfen şu adresi ziyaret edin: buradan iletişime geçin). Gelelim konumuza...

Ne var ne yok

Gelin resmi olarak duyurulan yeniliklere burada bakalım. Siteden alınan bilgiler Montaj İlişkilerini Kontrol Et (resmi Check Point topluluğu). İzninizle bu metni tercüme etmeyeceğim, çok şükür Habr dinleyicisi buna izin veriyor. Bunun yerine yorumlarımı bir sonraki bölüme bırakacağım.

1. Nesnelerin İnterneti Güvenliği. Nesnelerin İnterneti ile ilgili yeni özellikler

  • Sertifikalı IoT keşif motorlarından IoT cihazlarını ve trafik özelliklerini toplayın (şu anda Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM ve Armis'i desteklemektedir).
  • İlke yönetiminde yeni bir IoT'ye ayrılmış İlke Katmanı yapılandırın.
  • IoT cihazlarının niteliklerini temel alan güvenlik kurallarını yapılandırın ve yönetin.

2.TLS DenetimiHTTP / 2:

  • HTTP/2, HTTP protokolünün bir güncellemesidir. Güncelleme hız, verimlilik ve güvenlikte iyileştirmeler sağlıyor ve daha iyi bir kullanıcı deneyimi sağlıyor.
  • Check Point'in Güvenlik Ağ Geçidi artık HTTP/2'yi destekliyor ve tüm Tehdit Önleme ve Erişim Kontrolü sunucularının yanı sıra HTTP/2 protokolü için yeni korumalarla tam güvenlik elde ederken daha iyi hız ve verimlilikten yararlanıyor.
  • Destek hem açık hem de SSL şifreli trafik içindir ve HTTPS/TLS ile tamamen entegredir
  • Denetim yetenekleri.

TLS Denetim Katmanı. HTTPS denetimiyle ilgili yenilikler:

  • SmartConsole'da TLS Denetimine ayrılmış yeni bir Politika Katmanı.
  • Farklı politika paketlerinde farklı TLS Denetimi katmanları kullanılabilir.
  • TLS Denetim katmanının birden çok politika paketinde paylaşılması.
  • TLS işlemleri için API.

3. Tehdit Önleme

  • Tehdit Önleme süreçleri ve güncellemeleri için genel verimlilik artışı.
  • Tehdit Çıkarma Motorunda otomatik güncellemeler.
  • Dinamik, Etki Alanı ve Güncellenebilir Nesneler artık Tehdit Önleme ve TLS Denetimi politikalarında kullanılabilir. Güncellenebilir nesneler, harici bir hizmeti veya bilinen bir dinamik IP adresi listesini temsil eden ağ nesneleridir; örneğin Office365 / Google / Azure / AWS IP adresleri ve Geo nesneleri.
  • Anti-Virus artık dosyaları karma değerlerine göre engellemek için SHA-1 ve SHA-256 tehdit göstergelerini kullanıyor. Yeni göstergeleri SmartConsole Tehdit Göstergeleri görünümünden veya Özel İstihbarat Akışı CLI'sından içe aktarın.
  • Anti-Virus ve SandBlast Tehdit Emülasyonu artık POP3 protokolü üzerinden e-posta trafiğinin denetlenmesini ve ayrıca IMAP protokolü üzerinden e-posta trafiğinin daha iyi denetlenmesini destekliyor.
  • Anti-Virus ve SandBlast Tehdit Emülasyonu artık SCP ve SFTP protokolleri üzerinden aktarılan dosyaları incelemek için yeni tanıtılan SSH inceleme özelliğini kullanıyor.
  • Anti-Virus ve SandBlast Tehdit Emülasyonu artık çok kanallı bağlantıların incelenmesini de içeren SMBv3 denetimi (3.0, 3.0.2, 3.1.1) için geliştirilmiş bir destek sağlıyor. Check Point artık birden fazla kanal üzerinden dosya aktarımının incelenmesini destekleyen tek satıcıdır (tüm Windows ortamlarında varsayılan olarak açık olan bir özellik). Bu, müşterilerin bu performans artırıcı özellik ile çalışırken güvende kalmalarını sağlar.

4. Kimlik Farkındalığı

  • SAML 2.0 ve üçüncü taraf Kimlik Sağlayıcılarla Captive Portal entegrasyonu desteği.
  • Kimlik bilgilerinin PDP'ler arasında ölçeklenebilir ve ayrıntılı paylaşımının yanı sıra alanlar arası paylaşım için Identity Broker desteği.
  • Daha iyi ölçeklendirme ve uyumluluk için Terminal Sunucuları Aracısında yapılan geliştirmeler.

5. IPsec VPN'i

  • Birden çok VPN topluluğunun üyesi olan bir Güvenlik Ağ Geçidi üzerinde farklı VPN şifreleme etki alanlarını yapılandırın. Bu şunları sağlar:
  • Geliştirilmiş gizlilik — Dahili ağlar, IKE protokolü görüşmelerinde açıklanmaz.
  • Geliştirilmiş güvenlik ve ayrıntı düzeyi — Belirli bir VPN topluluğunda hangi ağlara erişilebileceğini belirtin.
  • Geliştirilmiş birlikte çalışabilirlik — Basitleştirilmiş rota tabanlı VPN tanımları (boş bir VPN şifreleme etki alanıyla çalıştığınızda önerilir).
  • LSV profillerinin yardımıyla Büyük Ölçekli bir VPN (LSV) ortamı oluşturun ve sorunsuz bir şekilde çalışın.

6. URL Filtreleme

  • Geliştirilmiş ölçeklenebilirlik ve dayanıklılık.
  • Genişletilmiş sorun giderme yetenekleri.

7.NAT

  • Gelişmiş NAT bağlantı noktası tahsis mekanizması — 6 veya daha fazla CoreXL Güvenlik Duvarı örneğine sahip Güvenlik Ağ Geçitlerinde, tüm örnekler aynı NAT bağlantı noktası havuzunu kullanır, bu da bağlantı noktası kullanımını ve yeniden kullanımını optimize eder.
  • CPView ve SNMP ile NAT bağlantı noktası kullanımının izlenmesi.

8. IP Üzerinden Ses (VoIP)Birden fazla CoreXL Güvenlik Duvarı örneği, performansı artırmak için SIP protokolünü kullanır.

9. Uzaktan Erişim VPN'iKurumsal ve kurumsal olmayan varlıklar arasında ayrım yapmak ve yalnızca kurumsal varlıkların kullanımını zorunlu kılan bir politika belirlemek için makine sertifikasını kullanın. Zorunlu kılma, oturum açma öncesi (yalnızca aygıt kimlik doğrulaması) veya oturum açma sonrası (aygıt ve kullanıcı kimlik doğrulaması) olabilir.

10. Mobil Erişim Portalı AracısıTüm önemli web tarayıcılarını desteklemek için Mobil Erişim Portalı Aracısı içindeki Gelişmiş Talep Üzerine Uç Nokta Güvenliği. Daha fazla bilgi için bkz. sk113410.

11.CoreXL ve Çoklu Kuyruk

  • Security Gateway'in yeniden başlatılmasını gerektirmeyen CoreXL SND'lerin ve Güvenlik Duvarı örneklerinin otomatik tahsisi için destek.
  • Geliştirilmiş kullanıma hazır deneyim — Security Gateway, CoreXL SND'lerin ve Güvenlik Duvarı örneklerinin sayısını ve Çoklu Kuyruk yapılandırmasını mevcut trafik yüküne göre otomatik olarak değiştirir.

12. Kümeleme

  • Tek noktaya yayın modunda CCP ihtiyacını ortadan kaldıran Küme Kontrol Protokolü desteği

Yayın veya Çoklu Yayın modları:

  • Küme Denetim Protokolü şifrelemesi artık varsayılan olarak etkindir.
  • Yeni ClusterXL modu -Aktif/Aktif, farklı alt ağlarda bulunan ve farklı IP adreslerine sahip, farklı coğrafi konumlardaki Küme Üyelerini destekler.
  • Farklı yazılım sürümlerini çalıştıran ClusterXL Küme Üyeleri için destek.
  • Aynı alt ağa birden fazla küme bağlandığında MAC Magic yapılandırmasına olan ihtiyaç ortadan kaldırıldı.

13. VSX

  • Gaia Portalında CPUSE ile VSX yükseltme desteği.
  • VSLS'de Aktif Yukarı modu desteği.
  • Her Sanal Sistem için CPView istatistik raporları desteği

14. Sıfır DokunuşBir cihazın kurulumu için basit bir Tak ve Çalıştır kurulum süreci; teknik uzmanlık ihtiyacını ve ilk yapılandırma için cihaza bağlanma zorunluluğunu ortadan kaldırır.

15. Gaia REST API'siGaia REST API, Gaia İşletim Sistemini çalıştıran sunuculara bilgi okumak ve göndermek için yeni bir yol sağlar. sk143612'ye bakın.

16. Gelişmiş Yönlendirme

  • OSPF ve BGP'deki geliştirmeler, yönlendirilen arka plan programını yeniden başlatmaya gerek kalmadan her CoreXL Güvenlik Duvarı örneği için komşu OSPF'nin sıfırlanmasına ve yeniden başlatılmasına olanak tanır.
  • BGP yönlendirme tutarsızlıklarının daha iyi ele alınması için rota yenilemenin iyileştirilmesi.

17. Yeni çekirdek yetenekleri

  • Yükseltilmiş Linux çekirdeği
  • Yeni bölümleme sistemi (gpt):
  • 2 TB'tan fazla fiziksel/mantıksal sürücüyü destekler
  • Daha hızlı dosya sistemi (xfs)
  • Daha büyük sistem depolamayı destekler (48 TB'a kadar test edilmiştir)
  • G/Ç ile ilgili performans iyileştirmeleri
  • Çoklu Kuyruk:
  • Çoklu Kuyruk komutları için tam Gaia Clish desteği
  • Otomatik "varsayılan olarak açık" yapılandırması
  • Mobil Erişim blade'inde SMB v2/3 montaj desteği
  • NFSv4 (istemci) desteği eklendi (NFS v4.2, kullanılan varsayılan NFS sürümüdür)
  • Sistemde hata ayıklama, izleme ve yapılandırma için yeni sistem araçlarının desteklenmesi

18. CloudGuard Denetleyici

  • Harici Veri Merkezlerine bağlantılar için performans iyileştirmeleri.
  • VMware NSX-T ile entegrasyon.
  • Veri Merkezi Sunucusu nesneleri oluşturmak ve düzenlemek için ek API komutları desteği.

19. Çoklu Alan Sunucusu

  • Çoklu Etki Alanı Sunucusundaki tek bir Etki Alanı Yönetim Sunucusunu yedekleyin ve geri yükleyin.
  • Bir Çoklu Etki Alanı Sunucusundaki Etki Alanı Yönetim Sunucusunu farklı bir Çoklu Etki Alanı Güvenlik Yönetimine geçirin.
  • Bir Güvenlik Yönetimi Sunucusunu, Çoklu Etki Alanı Sunucusunda Etki Alanı Yönetim Sunucusu haline getirin.
  • Güvenlik Yönetimi Sunucusu olmak için Etki Alanı Yönetim Sunucusunu taşıyın.
  • Daha fazla düzenleme için Çoklu Etki Alanı Sunucusundaki veya Güvenlik Yönetimi Sunucusundaki Etki Alanını önceki bir revizyona geri döndürün.

20. Akıllı Görevler ve API

  • Otomatik olarak oluşturulan bir API Anahtarı kullanan yeni Yönetim API'si kimlik doğrulama yöntemi.
  • Küme nesneleri oluşturmaya yönelik yeni Yönetim API'si komutları.
  • Jumbo Düzeltme Akümülatörünün ve Düzeltmelerin SmartConsole'dan veya bir API ile Merkezi Dağıtımı, birden fazla Güvenlik Ağ Geçidi ve Kümesinin paralel olarak kurulmasına veya yükseltilmesine olanak tanır.
  • Akıllı Görevler — Bir oturumun yayınlanması veya bir ilkenin yüklenmesi gibi yönetici görevleri tarafından tetiklenen otomatik komut dosyalarını veya HTTPS isteklerini yapılandırın.

21. DağıtımJumbo Düzeltme Akümülatörünün ve Düzeltmelerin SmartConsole'dan veya bir API ile Merkezi Dağıtımı, birden fazla Güvenlik Ağ Geçidi ve Kümesinin paralel olarak kurulmasına veya yükseltilmesine olanak tanır.

22. Akıllı EtkinlikSmartView görünümlerini ve raporlarını diğer yöneticilerle paylaşın.

23.Günlük AktarıcıAlan değerlerine göre filtrelenen günlükleri dışa aktarın.

24. Uç Nokta Güvenliği

  • Tam Disk Şifrelemesi için BitLocker şifrelemesi desteği.
  • Endpoint Security istemcisi için harici Sertifika Yetkilisi sertifikaları desteği
  • Kimlik doğrulama ve Endpoint Security Management Server ile iletişim.
  • Seçilenlere göre Endpoint Security Client paketlerinin dinamik boyutu desteği
  • dağıtım için özellikler.
  • Politika artık son kullanıcılara gönderilen bildirimlerin düzeyini kontrol edebiliyor.
  • Uç Nokta İlkesi Yönetiminde Kalıcı VDI ortamı desteği.

En çok neyi beğendik (müşteri görevlerine göre)

Gördüğünüz gibi pek çok yenilik var. Ama bizim için olduğu gibi sistem entegratörü, çok ilginç birkaç nokta var (bunlar aynı zamanda müşterilerimiz için de ilginç). İlk 10'umuz:

  1. Sonunda IoT cihazları için tam destek ortaya çıktı. Bu tür cihazlara sahip olmayan firma bulmak zaten oldukça zor.
  2. TLS denetimi artık ayrı bir katmana (Katman) yerleştirildi. Şu ana göre çok daha uygun (80.30). Artık eski Legasy Dashboard'u çalıştırmanıza gerek yok. Ayrıca artık HTTPS denetim politikasındaki Office365, Google, Azure, AWS vb. hizmetler gibi Güncellenebilir nesneleri kullanabilirsiniz. İstisnalar ayarlamanız gerektiğinde bu çok kullanışlıdır. Ancak tls 1.3 için hala bir destek yok. Görünüşe göre bir sonraki düzeltmeye "yetişecekler".
  3. Anti-Virüs ve SandBlast için önemli değişiklikler. Artık SCP, SFTP ve SMBv3 gibi protokolleri kontrol edebilirsiniz (bu arada, bu çok kanallı protokolü artık kimse kontrol edemez).
  4. Siteden Siteye VPN ile ilgili birçok iyileştirme var. Artık çeşitli VPN topluluklarının parçası olan bir ağ geçidinde birden fazla VPN etki alanı yapılandırabilirsiniz. Çok kullanışlı ve çok daha güvenli. Ek olarak, Check Point sonunda Rota Tabanlı VPN'i hatırladı ve kararlılığını/uyumluluğunu biraz geliştirdi.
  5. Uzak kullanıcılar için oldukça popüler bir özellik ortaya çıktı. Artık yalnızca kullanıcının değil, aynı zamanda bağlandığı cihazın da kimliğini doğrulayabilirsiniz. Örneğin, yalnızca kurumsal cihazlardan VPN bağlantılarına izin vermek istiyoruz. Bu elbette sertifikaların yardımıyla yapılır. Bir VPN istemcisi ile uzak kullanıcılar için (SMB v2/3) dosya paylaşımlarını otomatik olarak bağlamak da mümkündür.
  6. Kümenin işleyişinde birçok değişiklik var. Ancak belki de en ilginç olanlardan biri, ağ geçitlerinin Gaia'nın farklı versiyonlarına sahip olduğu bir kümeyi çalıştırma olasılığıdır. Bu, bir güncelleme planlarken kullanışlıdır.
  7. Geliştirilmiş Sıfır Dokunma yetenekleri. Sık sık "küçük" ağ geçitleri (örneğin ATM'ler için) kuranlar için yararlı bir şey.
  8. Günlükler için artık 48 TB'a kadar depolama desteklenmektedir.
  9. SmartEvent kontrol panellerinizi diğer yöneticilerle paylaşabilirsiniz.
  10. Günlük Aktarıcı artık gerekli alanları kullanarak gönderilen mesajları önceden filtrelemenize olanak tanıyor. Onlar. SIEM sistemlerinize yalnızca gerekli günlükler ve olaylar iletilecektir.

Güncelleştirmek

Belki de çoğu zaten güncellemeyi düşünüyor. Acele etmeye gerek yok. Başlangıç ​​olarak 80.40 sürümünün Genel Kullanılabilirliğe geçmesi gerekiyor. Ancak bundan sonra bile hemen güncelleme yapmamalısınız. En azından ilk düzeltmeyi beklemek daha iyidir.
Belki birçoğu eski versiyonlarda “oturuyor”. En azından 80.30'a güncellemenin zaten mümkün (ve hatta gerekli) olduğunu söyleyebilirim. Bu zaten istikrarlı ve kanıtlanmış bir sistemdir!

Ayrıca herkese açık sayfalarımıza da abone olabilirsiniz ( Telegram, Facebook, VK, TS Çözüm Günlüğü), Check Point ve diğer güvenlik ürünlerindeki yeni materyallerin ortaya çıkışını takip edebileceğiniz yer.

Ankete sadece kayıtlı kullanıcılar katılabilir. Giriş yapLütfen.

Gaia'nın hangi sürümünü kullanıyorsunuz?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Diğer

13 kullanıcı oy kullandı. 6 kişi çekimser kaldı.

Kaynak: habr.com

Yorum ekle