ProHoster > Блог > адміністрування > Check Point Gaia R80.40 Що буде нового?

Check Point Gaia R80.40 Що буде нового?

Check Point Gaia R80.40 Що буде нового?

Наближається черговий реліз операційної системи Gaia R80.40. Декілька тижнів тому стартувала програма Early Access, через яку можна отримати доступ для тестування дистрибутива. Ми, як завжди, публікуємо інформацію про те, що буде нового, а також виділимо моменти, які найцікавіші на наш погляд. Забігаючи наперед, можу сказати, що нововведення справді значущі. Тому варто готуватися до швидкої процедури поновлення. Раніше ми вже публікували статтю про те, як це робити (за додатковою інформацією можна звернутися сюди). Перейдемо до теми.

Що нового

Розглянемо тут офіційно заявлені новації. Інформація взята із сайту Check Mates (Офіційне співтовариство Check Point). З вашого дозволу, я не перекладатиму цей текст, благо аудиторія хабра це дозволяє. Натомість я залишу свої коментарі в наступному розділі.

1. IoT Security. Нові функції, які стосуються інтернету речей

  • Створює IoT пристроїв і комерційних атрибутів з відомих IoT discovery engines (currently supports Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM and Armis).
  • Configure a new IoT dedicated Policy Layer in policy management.
  • Конфігурація та управління технічних правил, які базуються на IoT devices' atributes.

2. TLS InspectionHTTP/2:

  • HTTP/2 is update to the HTTP protocol. Удосконалені реалізують додатки до швидкості, ефективності та надійності і результатів з більшим користувачем досвіду.
  • Check Point's Security Gateway зараз підтримує HTTP/2 і benefits better speed and efficiency while get full security, with all Threat Prevention and Access Control blades, as well as new protections for the HTTP/2 protocol.
  • Support is for both clear and SSL encrypted traffic and is fully integrated with HTTPS/TLS
  • Inspection capabilities.

TLS Inspection Layer. Нововведення щодо HTTPS інспекції:

  • Нові Policy Layer в SmartConsole, присвячені TLS Inspection.
  • Різні TLS Inspection layers можуть бути використані в різних політиках пакетів.
  • Sharing of a TLS Inspection layer across multiple policy packages.
  • API для операцій TLS.

3. Threat Prevention

  • Надзвичайні ефективні сприяння для Threat Prevention processes and updates.
  • Automatic updates to Threat Extraction Engine.
  • Dynamic, Domain and Updatable Objects може бути використана в Threat Prevention and TLS Inspection policies. Додаткові об'єкти є мережними об'єктами, які становлять зовнішню службу або відомі динамічні дані IP-адрес, для прикладу — Office365 / Google / Azure / AWS IP-адреси та географічні об'єкти.
  • Anti-Virus now uses SHA-1 and SHA-256 threat indications to block files based on their hashes. Використовуйте нові цифри від SmartConsole Threat Indicators view або Custom Intelligence Feed CLI.
  • Anti-Virus і SandBlast Threat Emulation зараз підтримує електронну поштову спроможність через POP3-протокол, як добре, що не вдасться догляду за електронною поштою через IMAP-протокол.
  • Anti-Virus і SandBlast Threat Emulation тепер використовує нову встановлену SSH inspection feature до inspect files transferred через SCP і SFTP protocols.
  • Anti-Virus і SandBlast Threat Emulation зараз забезпечує безпідставний support для SMBv3 inspection (3.0, 3.0.2, 3.1.1), які включають в себе inspection of multi-channel connections. Check Point є новим новим новатором для підтримки інструкції з файлу передачі через кілька каналів (показник того, що є на будь-якому рівні в усіх Windows сферах). Це сприяють customers для того, щоб захистити, коли працює з цією продуктивністю, що призвело до характеру.

4. Identity Awareness

  • Додаткова інформація для Captive Portal integration with SAML 2.0 і XNUMXD Party Identity Providers.
  • Спосіб для Identity Broker для строгого і грандіозного sharing identity information між PDPs, як добре, як cross-domain sharing.
  • Впливи на Terminal Servers Agent для більшої швидкості та надійності.

5. IPsec VPN

  • Налагоджено різні VPN записи доменів на Security Gateway, що є членом різних VPN комунікацій. This provides:
  • Improved privacy — Міжнародні мережі не розрізняються в IKE protocol negotiations.
  • Improved security and granularity — Specify які мережі є accessible in a specified VPN community.
  • Improved interoperability — Simplified route-based VPN definitions (залежить коли ви працюєте з empty VPN encryption domain).
  • Створюйте і швидко працює з великою шкалою VPN (LSV) сфера навколишнього середовища з допомогою LSV profiles.

6. URL Filtering

  • Впроваджено стійкість і обмеження.
  • Розширені вимогипроникнення можливостей.

7. НАЦ

  • Доступний NAT port allocation mechanism — на Security Gateways with 6 or more CoreXL Firewall instances, all instances use the same pool of NAT ports, which optimizes the port utilization and reuse.
  • NAT port використання monitoring in CPView and with SNMP.

8. Voice over IP (VoIP)Multiple CoreXL Firewall instances handle SIP protocol to enhance performance.

9. VPN віддаленого доступуВикористовуйте лінію, яка відрізняється від міжнародного та неорганізованого персоналу і налаштовує політику, щоб скористатися використанням корпоративного персоналу тільки. Посилання може бути pre-logon (device authentication only) або post-logon (device and user authentication).

10. Mobile Access Portal AgentДосить активний бізнес-контакт під час роботи з Mobile Access Portal Agent для підтримки всіх основних веб-браузеров. For more information, see sk113410.

11. CoreXL and Multi-Queue

  • Додаткова інформація для автоматичного розповсюдження CoreXL SNDs і Firewall instances that does no require a Security Gateway reboot.
  • Improved out of the box experience — Security Gateway автоматично змінює номер CoreXL SNDs and Firewall instances and the Multi-Queue configuration based on the current traffic load.

12. Кластеризація

  • Support for Cluster Control Protocol в Unicast режимі, що виключає потреби для CCP

Broadcast або Multicast modes:

  • Cluster Control Protocol encryption is now enabled by default.
  • Новий ClusterXL mode -Active/Active, які підтримують Cluster Members в різних географічних місцях, які знаходяться на різних subnets і мають різні IP-адреси.
  • Support for ClusterXL Cluster Members що run different software versions.
  • Усунення потреби в MAC Magic configuration when several clusters є connected to same subnet.

13. VSX

  • Спосіб для VSX upgrade with CPUSE in Gaia Portal.
  • Support for Active Up mode in VSLS.
  • Support for CPView статистичні повідомлення для кожного Virtual System

14. Zero TouchДодаткові Plug & Play Setup process for installing an appliance — elimination the need for technical expertise and connect to the appliance for initial configuration.

15. Gaia REST APIGaia REST API забезпечує новий спосіб читати і отримувати інформацію про сервери, які ведуть Gaia Operating System. See sk143612.

16. Advanced Routing

  • Збільшення до OSPF і BGP дозволить відновити і перезапустити OSPF підтримувати для всіх CoreXL Firewall instance без потреби до запуску routed daemon.
  • Збільшення зв'язку рішучості для несприятливого руху BGP routing inconsistencies.

17. New kernel capabilities

  • Upgraded Linux kernel
  • New partitioning system (gpt):
  • Supports more than 2TB physical/logical drives
  • Faster file system (xfs)
  • Supporting larger system storage (up to 48TB tested)
  • I/O related performance improvements
  • Multi-Queue:
  • Full Gaia Clish support for Multi-Queue commands
  • Automatic "on by default" configuration
  • SMB v2/3 mount support in Mobile Access blade
  • Added NFSv4 (client) support (NFS v4.2 is the default NFS version used)
  • Support of new system tools for debugging, monitoring і configuring the system

18. CloudGuard Controller

  • Performance enhancements for connections до external Data Centers.
  • Integration with VMware NSX-T.
  • Support for additional API commands to create and edit Data Center Server objects.

19. Multi-Domain Server

  • Натисніть кнопку Back up and restore an individual Domain Management Server on Multi-Domain Server.
  • Migrate a Domain Management Server на одному Multi-Domain Server для різних Multi-Domain Security Management.
  • Migrate a Security Management Server на базі Domain Management Server на Multi-Domain Server.
  • Migrate a Domain Management Server перейти до Security Management Server.
  • Перетворення на домашній сервер на Multi-Domain Server, або на Security Management Server на попередній перегляд для попереднього налаштування.

20. SmartTasks and API

  • New Management API authentication method that uses an auto-generated API Key.
  • New Management API commands to create cluster objects.
  • Центральна розробка Jumbo Hotfix Accumulator and Hotfixes від SmartConsole або з API дозволяє встановлювати або upgrade multiple Security Gateways and Clusters in parallel.
  • SmartTasks — Налаштування автоматичних scripts або HTTPS повідомлень, які керуються administrator tasks, таким чином, щоб публікувати session або installing a policy.

21. РозгортанняЦентральна розробка Jumbo Hotfix Accumulator and Hotfixes від SmartConsole або з API дозволяє встановлювати або upgrade multiple Security Gateways and Clusters in parallel.

22. SmartEventShare SmartView views and reports with other administrators.

23. Log ExporterExport logs filtered according to field values.

24. Безпека кінцевої точки

  • Support for BitLocker Encryption для Full Disk Encryption.
  • Support for external Certificate Authority Certificates for Endpoint Security Client
  • authentication and communication with the Endpoint Security Management Server.
  • Support for dynamic size of Endpoint Security Client packages based on the selected
  • Features for deployment.
  • Політика може нині контролювати рівень notifications to end users.
  • Support for Persistent VDI environment in Endpoint Policy Management.

Що найбільше сподобалося нам (на основі завдань клієнтів)

Як бачите, дуже багато новацій. Але для нас, як для системного інтегратора, є кілька дуже цікавих моментів (які також цікаві для наших клієнтів). Наш Топ-10:

  1. Зрештою з'явилася повноцінна підтримка IoT пристроїв. Вже досить важко зустріти компанію, яка б не мала таких девайсів.
  2. TLS інспекцію тепер винесено в окремий шар (Layer). Це набагато зручніше, ніж зараз (80.30). Більше не потрібно запускати стару Legasy Dashboard. Плюс, тепер у політиці HTTPS інспекції можна використовувати Updatable об'єкти, такі як Office365, Google, Azure, AWS і т.д. Це дуже зручно, коли потрібно налаштувати винятки. Однак, досі немає підтримки tls 1.3. Мабуть «наздоженуть» наступним хотфіксом.
  3. Значні зміни для Anti-Virus та SandBlast. Тепер можна перевіряти такі протоколи як SCP, SFTP та SMBv3 (до речі, цей мультиканальний протокол більше ніхто перевіряти не вміє).
  4. Дуже багато покращень, які стосуються Site-to-Site VPN. Тепер можна налаштувати кілька VPN доменів на шлюзі, який складається з декількох VPN community. Це дуже зручно та набагато безпечніше. Крім того, Check Point нарешті згадав про Route Based VPN і трохи покращив його стабільність/сумісність.
  5. З'явилася дуже потрібна функція для віддалених користувачів. Тепер можна аутентифікувати як користувача, а й девайс, з якого він підключається. Наприклад, ми хочемо дозволити підключення через VPN тільки з корпоративних пристроїв. Робиться це, звичайно, за допомогою сертифікатів. Також можна було автоматично монтувати (SMB v2/3) файлові кулі для віддалених користувачів з VPN клієнтом.
  6. Дуже багато змін у роботі кластера. Але, мабуть, одна з найцікавіших — можливість роботи кластера, де шлюзи мають різні версії Gaia. Це зручно, за планованого оновлення.
  7. Поліпшено можливості Zero Touch. Корисна штука для тих, хто часто встановлює маленькі шлюзи (наприклад для банкоматів).
  8. Для ліг тепер підтримується сховище до 48ТB.
  9. Можна "шарити" свої дашборди SmartEvent з іншими адміністраторами.
  10. Log Exporter тепер дозволяє робити передфільтрацію повідомлень, що відправляються, по потрібних полях. Тобто. на ваші SIEM системи проходитимуть лише потрібні логи та події

Оновлення

Можливо, багато хто вже подумує на рахунок оновлення. Не варто поспішати. Для початку версія 80.40 має перейти до General Availability. Але й після цього не варто одразу оновлюватись. Краще почекати хоча б першого хотфіксу.
Можливо багато хто «сидить» і на більш старих версіях. Можу сказати, що, як мінімум, вже можна (і навіть потрібно) оновлюватися до 80.30. Це вже стабільна та перевірена система!

Ви також можете передплатити наші паблики (Telegram, Facebook, VK, TS Solution Blog), де можна стежити за появою нових матеріалів щодо Check Point та інших security продуктів.

Тільки зареєстровані користувачі можуть брати участь в опитуванні. Увійдіть, будь ласка.

Яку версію Gaia ви використовуєте?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Інше

Проголосували 13 користувачів. Утрималися 6 користувачів.

Джерело: habr.com

Додати коментар або відгук