Geekly articles weekly

تحقق من نقطة Gaia R80.40. ماذا سيكون الجديد؟



الإصدار التالي من نظام التشغيل Gaia R80.40 يقترب . قبل بضعة أسابيع ، تم إطلاق برنامج الوصول المبكر ، والذي يمكنك من خلاله الوصول إلى اختبار التوزيع. نحن ، كالعادة ، ننشر معلومات حول ما سيكون جديدًا ، ونبرز أيضًا النقاط الأكثر إثارة للاهتمام من وجهة نظرنا. في المستقبل ، أستطيع أن أقول إن الابتكارات مهمة حقًا. لذلك ، يجدر الإعداد لإجراء تحديث مبكر. سبق أن نشرنا مقالًا عن كيفية القيام بذلك (لمزيد من المعلومات ، يرجى النقر هنا ). دعنا ننتقل إلى الموضوع ...

ما الجديد؟


النظر في الابتكارات المعلن عنها رسميا هنا. المعلومات مأخوذة من موقع Check Mates (مجتمع Check Point الرسمي). بعد إذنكم ، لن أترجم هذا النص ، لأن الجمهور يسمح بذلك. بدلاً من ذلك ، سأترك تعليقاتي في الفصل التالي.

1. إنترنت الأشياء الأمن. ميزات جديدة تتعلق بإنترنت الأشياء
  • جمع أجهزة إنترنت الأشياء وخصائص المرور من محركات اكتشاف IoT المعتمدة (تدعم حاليًا Medigate و CyberMDX و Cynerio و Claroty و Indegy و SAM و Armis).
  • قم بتكوين طبقة سياسة مخصصة لإنترنت الأشياء في إدارة السياسة.
  • قم بتكوين وإدارة قواعد الأمان التي تستند إلى سمات أجهزة إنترنت الأشياء.


2. التفتيش TLS
HTTP / 2:

  • HTTP / 2 هو تحديث لبروتوكول HTTP. يوفر التحديث تحسينات على السرعة والكفاءة والأمان والنتائج من خلال تجربة مستخدم أفضل.
  • تدعم Check Point's Security Gateway الآن HTTP / 2 وتستفيد من سرعة وكفاءة أفضل مع الحصول على أمان كامل ، مع جميع شفرات منع التهديدات والتحكم في الوصول ، بالإضافة إلى حماية جديدة لبروتوكول HTTP / 2.
  • الدعم لكل من حركة المرور الواضحة والمشفرة باستخدام طبقة المقابس الآمنة وهو متكامل تمامًا مع HTTPS / TLS
  • قدرات التفتيش.

طبقة فحص TLS . الابتكارات المتعلقة بتفتيش HTTPS:

  • طبقة سياسة جديدة في SmartConsole مخصصة لفحص TLS.
  • يمكن استخدام طبقات معاينة TLS المختلفة في حزم سياسة مختلفة.
  • مشاركة طبقة معاينة TLS عبر حزم سياسة متعددة.
  • API لعمليات TLS.


3. منع التهديد
  • تحسين الكفاءة بشكل عام لعمليات وتحديثات منع التهديدات.
  • التحديثات التلقائية لمحرك استخراج التهديد.
  • يمكن الآن استخدام الكائنات الديناميكية والمجالات والكائنات القابلة للتحديث في سياسات منع التهديدات وتفتيش TLS. الكائنات القابلة للتحديث هي كائنات شبكة تمثل خدمة خارجية أو قائمة ديناميكية معروفة لعناوين IP ، على سبيل المثال - عناوين IP Office365 / Google / Azure / AWS وكائنات جغرافية.
  • يستخدم Anti-Virus الآن مؤشرات التهديد SHA-1 و SHA-256 لحظر الملفات استنادًا إلى التجزئة. قم باستيراد المؤشرات الجديدة من طريقة العرض SmartConsole Threat Indicators أو Custom Intelligence Feed CLI.
  • تدعم مضادات الفيروسات ومضادات تهديد SandBlast الآن فحص حركة مرور البريد الإلكتروني عبر بروتوكول POP3 ، بالإضافة إلى تحسين فحص حركة مرور البريد الإلكتروني عبر بروتوكول IMAP.
  • تستخدم مضادات الفيروسات ومضادات تهديد SandBlast الآن ميزة فحص SSH المقدمة حديثًا لفحص الملفات المنقولة عبر بروتوكولي SCP و SFTP.
  • توفر مضادات الفيروسات ومضادات تهديد SandBlast الآن دعمًا محسنًا لفحص SMBv3 (3.0 ، 3.0.2 ، 3.1.1) ، والذي يتضمن فحص الاتصالات متعددة القنوات. تعد Check Point الآن البائع الوحيد الذي يدعم فحص نقل الملفات عبر قنوات متعددة (ميزة تعمل افتراضيًا في جميع بيئات Windows). يتيح ذلك للعملاء الحفاظ على أمانهم أثناء العمل مع ميزة تحسين الأداء هذه.


4. الوعي الهوية
  • دعم تكامل موقع Captive Portal مع SAML 2.0 وموفري الهوية من الجهات الخارجية.
  • دعم وسيط الهوية للمشاركة القابلة للتحجيم والحبيبي لمعلومات الهوية بين PDPs ، وكذلك المشاركة عبر المجال.
  • تحسينات لعامل الخوادم الطرفية لتحسين التحجيم والتوافق.


5. IPsec VPN
  • قم بتكوين مجالات تشفير VPN مختلفة على بوابة الأمن التي تعد عضوًا في عدة مجتمعات VPN. هذا يوفر:
  • تحسين الخصوصية - لا يتم الكشف عن الشبكات الداخلية في مفاوضات بروتوكول IKE.
  • تحسين الأمان والتحبب - حدد الشبكات التي يمكن الوصول إليها في مجتمع VPN محدد.
  • إمكانية التشغيل المتداخل المحسنة - تعريفات VPN المبسطة المستندة إلى المسار (مستحسن عند العمل مع مجال تشفير VPN فارغ).
  • يمكنك إنشاء بيئة VPN كبيرة الحجم (LSV) والعمل معها بسهولة بمساعدة ملفات تعريف LSV.


6. تصفية URL
  • تحسين قابلية التوسع والمرونة.
  • قدرات استكشاف الأخطاء وإصلاحها الموسعة.


7. NAT
  • آلية تخصيص منفذ NAT المحسنة - على بوابات الأمان مع 6 مثيلات أو أكثر من جدار حماية CoreXL ، تستخدم جميع المثيلات نفس مجموعة منافذ NAT ، مما يؤدي إلى تحسين استخدام المنفذ وإعادة استخدامه.
  • مراقبة استخدام منفذ NAT في CPView ومع SNMP.


8. نقل الصوت عبر بروتوكول الإنترنت (VoIP)
تقوم مثيلات جدار الحماية CoreXL المتعددة بمعالجة بروتوكول SIP لتحسين الأداء.

9. الوصول عن بعد VPN
استخدم شهادة الماكينة للتمييز بين أصول الشركات وغير الشركات ولتعيين سياسة تفرض استخدام أصول الشركة فقط. يمكن أن يكون التنفيذ قبل تسجيل الدخول (مصادقة الجهاز فقط) أو ما بعد تسجيل الدخول (مصادقة الجهاز والمستخدم).

10. وكيل بوابة الوصول المحمول
أمان محسّن لنقطة النهاية عند الطلب داخل وكيل بوابة الوصول للجوال لدعم جميع متصفحات الويب الرئيسية. لمزيد من المعلومات ، راجع sk113410.

11. CoreXL ومتعددة الطوابير
  • دعم للتخصيص التلقائي لمثيلات CoreXL SND وجدار الحماية التي لا تتطلب إعادة تشغيل بوابة الأمان.
  • تم تحسينه خارج نطاق التجربة - تقوم بوابة الأمان تلقائيًا بتغيير عدد مثيلات CoreXL SND وجدار الحماية وتكوين قائمة الانتظار المتعددة بناءً على تحميل حركة المرور الحالية.


12. التجميع
  • دعم بروتوكول التحكم في الكتلة في وضع الإرسال الأحادي الذي يلغي الحاجة إلى CCP

أوضاع البث أو البث المتعدد:
  • يتم الآن تمكين تشفير بروتوكول التحكم في الكتلة بشكل افتراضي.
  • وضع ClusterXL الجديد - نشط / نشط ، والذي يدعم أعضاء الكتلة في مواقع جغرافية مختلفة موجودة على شبكات فرعية مختلفة ولها عناوين IP مختلفة.
  • دعم ClusterXL أعضاء الكتلة الذين يقومون بتشغيل إصدارات برامج مختلفة.
  • ألغيت الحاجة إلى تكوين MAC Magic عند توصيل عدة مجموعات بالشبكة الفرعية نفسها.


13. VSX
  • دعم لترقية VSX مع CPUSE في Gaia Portal.
  • دعم الوضع النشط في VSLS.
  • دعم التقارير الإحصائية CPView لكل نظام الظاهري


14. صفر اللمس
عملية إعداد بسيطة للتوصيل والتشغيل لتثبيت جهاز ما - مما يلغي الحاجة إلى الخبرة الفنية ويتعين عليك الاتصال بالجهاز للتكوين الأولي.

15. Gaia REST API
يوفر Gaia REST API طريقة جديدة لقراءة وإرسال المعلومات إلى الخوادم التي تعمل بنظام التشغيل Gaia. انظر sk143612.

16. التوجيه المتقدمة
  • تتيح التحسينات المدخلة على OSPF و BGP إعادة تعيين OSPF وإعادة تشغيله المجاور لكل مثيل لجدار حماية CoreXL دون الحاجة إلى إعادة تشغيل البرنامج الخفي الموجّه.
  • تحسين تحديث المسار لتحسين معالجة تضارب توجيه BGP.


17. قدرات نواة جديدة
  • ترقية نواة لينكس
  • نظام التقسيم الجديد (gpt):
  • يدعم أكثر من محركات الأقراص المادية / المنطقية 2 تيرابايت
  • نظام ملفات أسرع (xfs)
  • دعم مساحة تخزين أكبر للنظام (حتى 48 تيرابايت)
  • تحسينات الأداء ذات الصلة I / O
  • متعدد قائمة الانتظار:
  • دعم Gaia Clish الكامل لأوامر Multi-Queue
  • التكوين التلقائي "على افتراضيا"
  • SMB v2 / 3 دعم جبل في نصل الوصول المحمول
  • تمت إضافة دعم NFSv4 (العميل) (NFS v4.2 هو إصدار NFS الافتراضي المستخدم)
  • دعم أدوات النظام الجديدة لتصحيح الأخطاء ومراقبتها وتكوينها


18. CloudGuard المراقب المالي
  • تحسينات الأداء للاتصالات بمراكز البيانات الخارجية.
  • التكامل مع برنامج VMware NSX-T.
  • دعم أوامر API الإضافية لإنشاء وتحرير كائنات خادم مركز البيانات.


19. خادم متعدد المجالات
  • نسخ احتياطي واستعادة خادم إدارة مجال فردي على خادم متعدد المجالات.
  • قم بترحيل خادم إدارة المجال على خادم متعدد المجالات واحد إلى إدارة أمان متعددة المجالات مختلفة.
  • قم بترحيل خادم إدارة الأمان ليصبح خادم إدارة المجال على خادم متعدد المجالات.
  • ترحيل خادم إدارة المجال ليصبح خادم إدارة الأمان.
  • العودة إلى مجال على خادم متعدد المجالات ، أو خادم إدارة الأمان إلى مراجعة سابقة لمزيد من التحرير.


20. SmartTasks و API
  • أسلوب مصادقة إدارة API جديد يستخدم مفتاح API الذي تم إنشاؤه تلقائيًا.
  • أوامر إدارة API جديدة لإنشاء كائنات نظام المجموعة.
  • يسمح النشر المركزي لمراكم الإصلاح العاجل في جامبو والإصلاحات من SmartConsole أو باستخدام واجهة برمجة التطبيقات (API) بتثبيت أو ترقية بوابات ومجموعات أمان متعددة بشكل متوازٍ.
  • SmartTasks - تكوين البرامج النصية التلقائية أو طلبات HTTPS الناتجة عن مهام المسؤول ، مثل نشر جلسة أو تثبيت سياسة.


21. النشر
يسمح النشر المركزي لمراكم الإصلاح العاجل في جامبو والإصلاحات من SmartConsole أو باستخدام واجهة برمجة التطبيقات (API) بتثبيت أو ترقية بوابات ومجموعات أمان متعددة بشكل متوازٍ.

22. SmartEvent
مشاركة طرق عرض وتقارير SmartView مع المسؤولين الآخرين.

23. سجل المصدر
سجلات التصدير التي تمت تصفيتها وفقًا لقيم الحقل.

24. نقطة النهاية الأمن
  • دعم تشفير BitLocker لتشفير القرص الكامل.
  • دعم شهادات المرجع المصدق الخارجية لعميل Endpoint Security
  • المصادقة والتواصل مع خادم إدارة أمان نقطة النهاية.
  • دعم الحجم الديناميكي لحزم عميل نقطة النهاية على أساس المحدد
  • ميزات للنشر.
  • يمكن للسياسة الآن التحكم في مستوى الإخطارات للمستخدمين النهائيين.
  • دعم بيئة VDI المستمرة في إدارة سياسة نقطة النهاية.


أكثر ما أعجبنا (استنادًا إلى مهام العميل)


كما ترون ، هناك الكثير من الابتكارات. لكن بالنسبة لنا ، كمُكامل للنظام ، هناك بعض النقاط المهمة جدًا (والتي تهم أيضًا عملائنا). أفضل 10 لدينا:

  1. وأخيرا جاء الدعم الكامل لأجهزة إنترنت الأشياء. من الصعب بالفعل مقابلة شركة لا تملك مثل هذه الأجهزة.
  2. أصبح فحص TLS الآن في طبقة منفصلة (طبقة). إنه أكثر ملاءمة من الآن (الساعة 80.30). لم تعد بحاجة إلى تشغيل Legacy Dashboard القديمة. بالإضافة إلى ذلك ، الآن في سياسة التفتيش HTTPS ، يمكنك استخدام كائنات قابلة للتحديث ، مثل Office365 و Google و Azure و AWS ، إلخ. هذا مريح للغاية عندما تحتاج إلى تكوين استثناءات. ومع ذلك ، لا يزال هناك دعم ل tls 1.3. يبدو "اللحاق بالركب" مع الإصلاح العاجل التالي.
  3. تغييرات كبيرة لمكافحة الفيروسات و SandBlast. يمكنك الآن التحقق من البروتوكولات مثل SCP و SFTP و SMBv3 (بالمناسبة ، لا يمكن لأحد التحقق من هذا البروتوكول متعدد القنوات بعد الآن).
  4. الكثير من التحسينات التي تتعلق بـ VPN من موقع إلى آخر. يمكنك الآن تكوين مجالات VPN متعددة على البوابة ، والتي تتكون من عدة مجتمعات VPN. أنها مريحة للغاية وأكثر أمانا. بالإضافة إلى ذلك ، تذكرت Check Point أخيرًا شبكة VPN المستندة إلى الطريق وحسنت قليلاً من ثباتها / توافقها.
  5. ظهرت ميزة شائعة جدًا للمستخدمين عن بُعد. يمكنك الآن المصادقة ليس فقط المستخدم ، ولكن أيضًا الجهاز الذي يتصل منه. على سبيل المثال ، نريد السماح باتصالات VPN فقط من أجهزة الشركة. يتم ذلك بالطبع بمساعدة الشهادات. أصبح من الممكن أيضًا تحميل كرات الملفات (SMB v2 / 3) تلقائيًا للمستخدمين عن بُعد باستخدام عميل VPN.
  6. الكثير من التغييرات في تشغيل الكتلة. ولكن ربما يكون أحد أكثرها إثارة للاهتمام هو القدرة على تشغيل مجموعة ، حيث تحتوي العبّارات على إصدارات مختلفة من Gaia. هذا مناسب للترقية المخطط لها.
  7. ميزات محسنة من Zero Touch. شيء مفيد لأولئك الذين يقومون غالبًا بتثبيت عبّارات "صغيرة" (على سبيل المثال ، لأجهزة الصراف الآلي).
  8. بالنسبة للسجلات ، أصبح التخزين مدعومًا حتى 48 تيرابايت.
  9. يمكنك "تحسس" لوحات معلومات SmartEvent الخاصة بك مع المسؤولين الآخرين.
  10. يسمح لك Log Exporter الآن بالتصفية المسبقة للرسائل المرسلة حسب الحقول. أي سيتم تمرير السجلات والأحداث الضرورية فقط إلى أنظمة SIEM

تحديث


ربما يفكر الكثيرون بالفعل في التحديث. لا تتسرع. للبدء ، يجب أن ينتقل الإصدار 80.40 إلى التوفر العام. لكن حتى بعد ذلك لا يستحق التحديث على الفور. من الأفضل الانتظار على الأقل حتى يصل الإصلاح الأول.
ربما العديد من "الجلوس" على الإصدارات القديمة. أستطيع أن أقول أنه على الأقل من الممكن بالفعل (وحتى ضروري) الترقية إلى 80.30. هذا نظام مستقر وثبت!

يمكنك أيضًا الاشتراك في جمهورنا ( Telegram و Facebook و VK و TS Solution Blog ) ، حيث يمكنك مراقبة ظهور مواد جديدة على Check Point وغيرها من منتجات الأمان.

Source: https://habr.com/ru/post/ar467723/

More articles:


All Articles