Geekly articles weekly

Check Point Gaia R80.40. Qu'est-ce qui sera nouveau?



La prochaine version du système d'exploitation Gaia R80.40 approche . Il y a quelques semaines , le programme Early Access a été lancé , selon lequel vous pouvez avoir accès pour tester la distribution. Comme d'habitude, nous publions des informations sur ce qui sera nouveau et soulignons également les points les plus intéressants de notre point de vue. Pour l'avenir, je peux dire que les innovations sont vraiment importantes. Par conséquent, il vaut la peine de se préparer à une procédure de mise à jour précoce. Nous avons précédemment publié un article sur la façon de procéder (pour plus d'informations, veuillez cliquer ici ). Passons au sujet ...

Quoi de neuf


Considérez les innovations officiellement annoncées ici. Informations tirées du site Web Check Mates (communauté officielle Check Point). Avec votre permission, je ne traduirai pas ce texte, car le public le permet. Au lieu de cela, je laisserai mes commentaires dans le chapitre suivant.

1. Sécurité IoT. Nouvelles fonctionnalités liées à l'Internet des objets
  • Collectez des appareils IoT et des attributs de trafic Ă  partir de moteurs de dĂ©couverte IoT certifiĂ©s (prend actuellement en charge Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM et Armis).
  • Configurez une nouvelle couche de politique dĂ©diĂ©e Ă  l'IoT dans la gestion des politiques.
  • Configurez et gĂ©rez des règles de sĂ©curitĂ© basĂ©es sur les attributs des appareils IoT.


2. Inspection TLS
HTTP / 2:

  • HTTP / 2 est une mise Ă  jour du protocole HTTP. La mise Ă  jour amĂ©liore la vitesse, l'efficacitĂ© et la sĂ©curitĂ© et offre des rĂ©sultats avec une meilleure expĂ©rience utilisateur.
  • La passerelle de sĂ©curitĂ© de Check Point prend dĂ©sormais en charge HTTP / 2 et bĂ©nĂ©ficie d'une meilleure vitesse et efficacitĂ© tout en bĂ©nĂ©ficiant d'une sĂ©curitĂ© complète, avec toutes les lames de prĂ©vention des menaces et de contrĂ´le d'accès, ainsi que de nouvelles protections pour le protocole HTTP / 2.
  • La prise en charge concerne Ă  la fois le trafic clair et cryptĂ© SSL et est entièrement intĂ©grĂ©e Ă  HTTPS / TLS
  • CapacitĂ©s d'inspection.

Couche d'inspection TLS . Innovations concernant l'inspection HTTPS:

  • Une nouvelle couche de stratĂ©gie dans SmartConsole dĂ©diĂ©e Ă  l'inspection TLS.
  • DiffĂ©rentes couches d'inspection TLS peuvent ĂŞtre utilisĂ©es dans diffĂ©rents packages de règles.
  • Partage d'une couche d'inspection TLS sur plusieurs packages de règles.
  • API pour les opĂ©rations TLS.


3. Prévention des menaces
  • AmĂ©lioration de l'efficacitĂ© globale des processus et des mises Ă  jour de la prĂ©vention des menaces.
  • Mises Ă  jour automatiques du moteur d'extraction des menaces.
  • Les objets dynamiques, de domaine et pouvant ĂŞtre mis Ă  jour peuvent dĂ©sormais ĂŞtre utilisĂ©s dans les stratĂ©gies de prĂ©vention des menaces et d'inspection TLS. Les objets pouvant ĂŞtre mis Ă  jour sont des objets rĂ©seau qui reprĂ©sentent un service externe ou une liste dynamique connue d'adresses IP, par exemple - les adresses IP et les objets gĂ©ographiques Office365 / Google / Azure / AWS.
  • Anti-Virus utilise dĂ©sormais les indications de menace SHA-1 et SHA-256 pour bloquer les fichiers en fonction de leurs hachages. Importez les nouveaux indicateurs Ă  partir de la vue Indicateurs de menace SmartConsole ou de la CLI du flux de renseignement personnalisĂ©.
  • L'anti-virus et l'Ă©mulation de menaces SandBlast prennent dĂ©sormais en charge l'inspection du trafic de messagerie via le protocole POP3, ainsi qu'une meilleure inspection du trafic de messagerie via le protocole IMAP.
  • Anti-Virus et SandBlast Threat Emulation utilisent dĂ©sormais la nouvelle fonction d'inspection SSH pour inspecter les fichiers transfĂ©rĂ©s via les protocoles SCP et SFTP.
  • L'Ă©mulation d'antivirus et de menace SandBlast offre dĂ©sormais une prise en charge amĂ©liorĂ©e de l'inspection SMBv3 (3.0, 3.0.2, 3.1.1), qui comprend l'inspection des connexions multicanaux. Check Point est dĂ©sormais le seul fournisseur Ă  prendre en charge l'inspection d'un transfert de fichiers via plusieurs canaux (une fonctionnalitĂ© activĂ©e par dĂ©faut dans tous les environnements Windows). Cela permet aux clients de rester en sĂ©curitĂ© tout en travaillant avec cette fonction d'amĂ©lioration des performances.


4. Sensibilisation à l'identité
  • Prise en charge de l'intĂ©gration du portail captif avec SAML 2.0 et des fournisseurs d'identitĂ© tiers.
  • Prise en charge d'Identity Broker pour le partage Ă©volutif et granulaire des informations d'identitĂ© entre les PDP, ainsi que le partage entre domaines.
  • AmĂ©liorations apportĂ©es Ă  l'agent des serveurs Terminal Server pour une meilleure Ă©volutivitĂ© et compatibilitĂ©.


5. VPN IPsec
  • Configurez diffĂ©rents domaines de chiffrement VPN sur une passerelle de sĂ©curitĂ© qui est membre de plusieurs communautĂ©s VPN. Cela fournit:
  • ConfidentialitĂ© amĂ©liorĂ©e - Les rĂ©seaux internes ne sont pas divulguĂ©s dans les nĂ©gociations du protocole IKE.
  • SĂ©curitĂ© et granularitĂ© amĂ©liorĂ©es - SpĂ©cifiez les rĂ©seaux accessibles dans une communautĂ© VPN spĂ©cifiĂ©e.
  • InteropĂ©rabilitĂ© amĂ©liorĂ©e - DĂ©finitions VPN basĂ©es sur l'itinĂ©raire simplifiĂ©es (recommandĂ© lorsque vous travaillez avec un domaine de chiffrement VPN vide).
  • CrĂ©ez et travaillez en toute transparence avec un environnement VPN Ă  grande Ă©chelle (LSV) Ă  l'aide de profils LSV.


6. Filtrage d'URL
  • ÉvolutivitĂ© et rĂ©silience amĂ©liorĂ©es.
  • CapacitĂ©s de dĂ©pannage Ă©tendues.


7. NAT
  • MĂ©canisme d'allocation de ports NAT amĂ©liorĂ© - sur les passerelles de sĂ©curitĂ© avec 6 instances de pare-feu CoreXL ou plus, toutes les instances utilisent le mĂŞme pool de ports NAT, ce qui optimise l'utilisation et la rĂ©utilisation des ports.
  • Surveillance de l'utilisation des ports NAT dans CPView et avec SNMP.


8. Voix sur IP (VoIP)
Plusieurs instances de pare-feu CoreXL gèrent le protocole SIP pour améliorer les performances.

9. VPN d'accès à distance
Utilisez le certificat de machine pour faire la distinction entre les actifs d'entreprise et non d'entreprise et pour définir une stratégie appliquant uniquement l'utilisation des actifs d'entreprise. L'application peut être pré-ouverture de session (authentification d'appareil uniquement) ou post-ouverture de session (authentification d'appareil et d'utilisateur).

10. Agent du portail d'accès mobile
Amélioration de la sécurité des points de terminaison à la demande dans l'agent du portail d'accès mobile pour prendre en charge tous les principaux navigateurs Web Pour plus d'informations, voir sk113410.

11. CoreXL et multi-file d'attente
  • Prise en charge de l'allocation automatique des SND CoreXL et des instances de pare-feu ne nĂ©cessitant pas de redĂ©marrage de Security Gateway.
  • ExpĂ©rience amĂ©liorĂ©e prĂŞte Ă  l'emploi - Security Gateway modifie automatiquement le nombre de SND CoreXL et d'instances de pare-feu et la configuration multi-file d'attente en fonction de la charge de trafic actuelle.


12. Clustering
  • Prise en charge du protocole de contrĂ´le de cluster en mode monodiffusion qui Ă©limine le besoin de CCP

Modes de diffusion ou de multidiffusion:
  • Le chiffrement du protocole de contrĂ´le de cluster est dĂ©sormais activĂ© par dĂ©faut.
  • Nouveau mode ClusterXL - Actif / Actif, qui prend en charge les membres du cluster dans diffĂ©rents emplacements gĂ©ographiques situĂ©s sur diffĂ©rents sous-rĂ©seaux et ayant des adresses IP diffĂ©rentes.
  • Prise en charge des membres de cluster ClusterXL qui exĂ©cutent diffĂ©rentes versions de logiciel.
  • Élimine le besoin de configuration MAC Magic lorsque plusieurs clusters sont connectĂ©s au mĂŞme sous-rĂ©seau.


13. VSX
  • Prise en charge de la mise Ă  niveau de VSX avec CPUSE dans Gaia Portal.
  • Prise en charge du mode Active Up dans VSLS.
  • Prise en charge des rapports statistiques CPView pour chaque système virtuel


14. Zero Touch
Un processus de configuration Plug & Play simple pour installer un appareil - Ă©liminant le besoin d'expertise technique et devant se connecter Ă  l'appareil pour la configuration initiale.

15. Gaia REST API
L'API Gaia REST fournit une nouvelle façon de lire et d'envoyer des informations aux serveurs qui exécutent le système d'exploitation Gaia. Voir sk143612.

16. Routage avancé
  • Les amĂ©liorations apportĂ©es Ă  OSPF et BGP permettent de rĂ©initialiser et de redĂ©marrer OSPF adjacent pour chaque instance de pare-feu CoreXL sans avoir Ă  redĂ©marrer le dĂ©mon routĂ©.
  • AmĂ©lioration de l'actualisation de l'itinĂ©raire pour une meilleure gestion des incohĂ©rences de routage BGP.


17. Nouvelles capacités du noyau
  • Noyau Linux mis Ă  niveau
  • Nouveau système de partitionnement (gpt):
  • Prend en charge plus de 2 To de disques physiques / logiques
  • Système de fichiers plus rapide (xfs)
  • Prise en charge d'un stockage système plus important (jusqu'Ă  48 To testĂ©)
  • AmĂ©liorations des performances liĂ©es aux E / S
  • Multi-file d'attente:
  • Prise en charge complète de Gaia Clish pour les commandes multi-files d'attente
  • Configuration automatique "on par dĂ©faut"
  • Prise en charge du montage SMB v2 / 3 dans la lame Mobile Access
  • Ajout de la prise en charge NFSv4 (client) (NFS v4.2 est la version NFS par dĂ©faut utilisĂ©e)
  • Prise en charge de nouveaux outils système pour le dĂ©bogage, la surveillance et la configuration du système


18. CloudGuard Controller
  • AmĂ©liorations des performances pour les connexions aux centres de donnĂ©es externes.
  • IntĂ©gration avec VMware NSX-T.
  • Prise en charge de commandes API supplĂ©mentaires pour crĂ©er et modifier des objets du serveur de centre de donnĂ©es.


19. Serveur multi-domaine
  • Sauvegardez et restaurez un serveur de gestion de domaine individuel sur un serveur multi-domaine.
  • Migrez un serveur de gestion de domaine sur un serveur multi-domaine vers une autre gestion de sĂ©curitĂ© multi-domaine.
  • Migrez un serveur de gestion de la sĂ©curitĂ© pour devenir un serveur de gestion de domaine sur un serveur multi-domaine.
  • Migrez un serveur de gestion de domaine pour devenir un serveur de gestion de la sĂ©curitĂ©.
  • RĂ©tablir un domaine sur un serveur multi-domaine ou un serveur de gestion de la sĂ©curitĂ© Ă  une rĂ©vision prĂ©cĂ©dente pour une Ă©dition ultĂ©rieure.


20. SmartTasks et API
  • Nouvelle mĂ©thode d'authentification de l'API de gestion qui utilise une clĂ© d'API gĂ©nĂ©rĂ©e automatiquement.
  • Nouvelles commandes API de gestion pour crĂ©er des objets de cluster.
  • Le dĂ©ploiement central de l'accumulateur de correctifs Jumbo et des correctifs Ă  partir de SmartConsole ou avec une API permet d'installer ou de mettre Ă  niveau plusieurs passerelles de sĂ©curitĂ© et clusters en parallèle.
  • SmartTasks - Configurez des scripts automatiques ou des requĂŞtes HTTPS dĂ©clenchĂ©es par des tâches d'administrateur, telles que la publication d'une session ou l'installation d'une stratĂ©gie.


21. DĂ©ploiement
Le déploiement central de l'accumulateur de correctifs Jumbo et des correctifs à partir de SmartConsole ou avec une API permet d'installer ou de mettre à niveau plusieurs passerelles de sécurité et clusters en parallèle.

22. SmartEvent
Partagez des vues et des rapports SmartView avec d'autres administrateurs.

23. Exportateur de journaux
Exportez les journaux filtrés en fonction des valeurs des champs.

24. Endpoint Security
  • Prise en charge du cryptage BitLocker pour le cryptage de disque complet.
  • Prise en charge des certificats d'autoritĂ© de certification externes pour le client Endpoint Security
  • authentification et communication avec Endpoint Security Management Server.
  • Prise en charge de la taille dynamique des packages Endpoint Security Client en fonction de la sĂ©lection
  • fonctionnalitĂ©s de dĂ©ploiement.
  • La stratĂ©gie peut dĂ©sormais contrĂ´ler le niveau des notifications aux utilisateurs finaux.
  • Prise en charge de l'environnement VDI persistant dans Endpoint Policy Management.


Ce que nous avons aimé le plus (en fonction des tâches du client)


Comme vous pouvez le voir, il y a beaucoup d'innovations. Mais pour nous, en tant qu'intégrateur de systèmes , il y a des points très intéressants (qui intéressent également nos clients). Notre Top 10:

  1. Enfin, est venu un support complet pour les appareils IoT. Il est déjà assez difficile de rencontrer une entreprise qui ne disposerait pas de tels appareils.
  2. L'inspection TLS est désormais dans une couche distincte (couche). C'est beaucoup plus pratique que maintenant (à 80h30). Vous n'avez plus besoin d'exécuter l'ancien tableau de bord Legasy. De plus, maintenant dans la politique d'inspection HTTPS, vous pouvez utiliser des objets pouvant être mis à jour tels que Office365, Google, Azure, AWS, etc. C'est très pratique lorsque vous devez configurer des exceptions. Cependant, il n'y a toujours pas de support pour tls 1.3. Apparemment "rattraper" le correctif suivant.
  3. Changements importants pour Anti-Virus et SandBlast. Vous pouvez maintenant vérifier les protocoles tels que SCP, SFTP et SMBv3 (au fait, personne ne peut plus vérifier ce protocole multicanal).
  4. Beaucoup d'améliorations liées au VPN de site à site. Vous pouvez maintenant configurer plusieurs domaines VPN sur la passerelle, qui se compose de plusieurs communautés VPN. C'est très pratique et beaucoup plus sûr. En outre, Check Point s'est enfin souvenu du VPN basé sur l'itinéraire et a légèrement amélioré sa stabilité / compatibilité.
  5. Une fonctionnalité très populaire est apparue pour les utilisateurs distants. Vous pouvez désormais authentifier non seulement l'utilisateur, mais également l'appareil à partir duquel il se connecte. Par exemple, nous voulons autoriser les connexions VPN uniquement à partir d'appareils d'entreprise. Cela se fait bien sûr à l'aide de certificats. Il est également devenu possible de monter automatiquement (SMB v2 / 3) des boules de fichiers pour les utilisateurs distants avec un client VPN.
  6. Beaucoup de changements dans le fonctionnement du cluster. Mais l'un des plus intéressants est peut-être la possibilité de faire fonctionner un cluster, où les passerelles ont différentes versions de Gaia. Ceci est pratique pour une mise à niveau planifiée.
  7. Fonctionnalités améliorées de Zero Touch. Une chose utile pour ceux qui installent souvent de "petites" passerelles (par exemple, pour les distributeurs automatiques de billets).
  8. Pour les journaux, le stockage est désormais pris en charge jusqu'à 48 To.
  9. Vous pouvez «tâtonner» vos tableaux de bord SmartEvent avec d'autres administrateurs.
  10. L'exportateur de journaux vous permet désormais de pré-filtrer les messages envoyés par champs. C'est-à-dire seuls les journaux et événements nécessaires seront transmis à vos systèmes SIEM

Mettre Ă  jour


Beaucoup pensent peut-être déjà à la mise à jour. Ne vous précipitez pas. Pour commencer, la version 80.40 devrait aller à Disponibilité générale. Mais même après cela, cela ne vaut pas la peine d'être mis à jour immédiatement. Il vaut mieux attendre au moins le premier correctif.
Peut-être que de nombreux "assis" sur les anciennes versions. Je peux dire qu'au moins il est déjà possible (et même nécessaire) de passer à 80.30. Il s'agit d'un système stable et éprouvé!

Vous pouvez également vous abonner à nos publics ( Telegram , Facebook , VK , TS Solution Blog ), où vous pouvez surveiller l'émergence de nouveaux matériaux sur Check Point et d'autres produits de sécurité.

Source: https://habr.com/ru/post/fr467723/

More articles:


All Articles