Geekly articles weekly

Periksa Point Gaia R80.40. Apa yang baru?



Rilis berikutnya dari sistem operasi Gaia R80.40 semakin dekat . Beberapa minggu yang lalu , program Akses Awal diluncurkan , yang menurutnya Anda dapat memperoleh akses untuk menguji distribusi. Kami, seperti biasa, mempublikasikan informasi tentang apa yang akan menjadi baru, dan juga menyoroti poin-poin yang paling menarik dari sudut pandang kami. Ke depan, saya dapat mengatakan bahwa inovasi sangat penting. Karena itu, ada baiknya mempersiapkan prosedur pembaruan awal. Kami sebelumnya menerbitkan artikel tentang cara melakukan ini (untuk informasi lebih lanjut, silakan klik di sini ). Mari beralih ke topik ...

Apa yang baru?


Pertimbangkan inovasi yang diumumkan secara resmi di sini. Informasi diambil dari situs web Check Mates (komunitas Titik Pemeriksaan resmi). Dengan izin Anda, saya tidak akan menerjemahkan teks ini, karena audiens mengizinkannya. Sebagai gantinya, saya akan meninggalkan komentar saya di bab berikutnya.

1. Keamanan IoT. Fitur-fitur baru yang berhubungan dengan internet
  • Kumpulkan perangkat IoT dan atribut lalu lintas dari mesin penemuan IoT bersertifikat (saat ini mendukung Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM dan Armis).
  • Mengkonfigurasi Lapisan Kebijakan khusus IoT dalam manajemen kebijakan.
  • Konfigurasikan dan kelola aturan keamanan yang didasarkan pada atribut perangkat IoT.


2. Inspeksi TLS
HTTP / 2:

  • HTTP / 2 adalah pembaruan untuk protokol HTTP. Pembaruan ini memberikan peningkatan kecepatan, efisiensi dan keamanan dan hasil dengan pengalaman pengguna yang lebih baik.
  • Gateway Keamanan Check Point sekarang mendukung HTTP / 2 dan memberi manfaat kecepatan dan efisiensi yang lebih baik sambil mendapatkan keamanan penuh, dengan semua bilah Pencegahan Ancaman dan Kontrol Akses, serta perlindungan baru untuk protokol HTTP / 2.
  • Dukungan untuk lalu lintas terenkripsi yang jelas dan SSL dan sepenuhnya terintegrasi dengan HTTPS / TLS
  • Kemampuan inspeksi.

Lapisan Inspeksi TLS . Inovasi terkait inspeksi HTTPS:

  • Lapisan Kebijakan baru di SmartConsole yang didedikasikan untuk Inspeksi TLS.
  • Lapisan Inspeksi TLS yang berbeda dapat digunakan dalam paket kebijakan yang berbeda.
  • Berbagi lapisan Inspeksi TLS di berbagai paket kebijakan.
  • API untuk operasi TLS.


3. Pencegahan Ancaman
  • Peningkatan efisiensi keseluruhan untuk proses dan pembaruan Pencegahan Ancaman.
  • Pembaruan otomatis untuk Mesin Ekstraksi Ancaman.
  • Objek Dinamis, Domain, dan yang Dapat Diupdate kini dapat digunakan dalam kebijakan Pencegahan Ancaman dan Inspeksi TLS. Objek yang dapat diperbarui adalah objek jaringan yang mewakili layanan eksternal atau daftar dinamis dari alamat IP yang dikenal, misalnya - Office365 / Google / Azure / AWS alamat IP dan objek Geo.
  • Anti-Virus sekarang menggunakan indikasi ancaman SHA-1 dan SHA-256 untuk memblokir file berdasarkan hash mereka. Impor indikator baru dari tampilan Indikator Ancaman SmartConsole atau CLI Feed Intelejensi Kustom.
  • Anti-Virus dan Emulasi Ancaman SandBlast sekarang mendukung inspeksi lalu lintas email melalui protokol POP3, serta peningkatan pemeriksaan lalu lintas email melalui protokol IMAP.
  • Anti-Virus dan Emulasi Ancaman SandBlast sekarang menggunakan fitur inspeksi SSH yang baru diperkenalkan untuk memeriksa file yang ditransfer melalui protokol SCP dan SFTP.
  • Anti-Virus dan Emulasi Ancaman SandBlast sekarang menyediakan dukungan yang ditingkatkan untuk inspeksi SMBv3 (3.0, 3.0.2, 3.1.1), yang mencakup pemeriksaan koneksi multi-saluran. Check Point sekarang adalah satu-satunya vendor yang mendukung pemeriksaan transfer file melalui beberapa saluran (fitur yang on-by-default di semua lingkungan Windows). Ini memungkinkan pelanggan untuk tetap aman saat bekerja dengan fitur peningkatan kinerja ini.


4. Kesadaran Identitas
  • Dukungan untuk integrasi Captive Portal dengan SAML 2.0 dan Penyedia Identitas pihak ketiga.
  • Dukungan untuk Pialang Identitas untuk berbagi informasi identitas yang dapat diskalakan dan terperinci antara PDP, serta berbagi lintas domain.
  • Peningkatan ke Terminal Server Agen untuk penskalaan dan kompatibilitas yang lebih baik.


5. IPsec VPN
  • Konfigurasikan berbagai domain enkripsi VPN di Security Gateway yang merupakan anggota dari beberapa komunitas VPN. Ini memberikan:
  • Privasi yang ditingkatkan - Jaringan internal tidak diungkapkan dalam negosiasi protokol IKE.
  • Keamanan dan granularitas yang ditingkatkan - Menentukan jaringan mana yang dapat diakses dalam komunitas VPN tertentu.
  • Interoperabilitas yang ditingkatkan - Definisi VPN berbasis rute yang disederhanakan (disarankan saat Anda bekerja dengan domain enkripsi VPN kosong).
  • Membuat dan bekerja mulus dengan lingkungan Large Scale VPN (LSV) dengan bantuan profil LSV.


6. Penyaringan URL
  • Peningkatan skalabilitas dan ketahanan.
  • Kemampuan pemecahan masalah yang diperluas.


7. NAT
  • Mekanisme alokasi port NAT yang ditingkatkan - di Gateway Keamanan dengan 6 atau lebih instance CoreXL Firewall, semua instance menggunakan kumpulan port NAT yang sama, yang mengoptimalkan pemanfaatan dan penggunaan kembali port.
  • Pemantauan pemanfaatan port NAT di CPView dan dengan SNMP.


8. Voice over IP (VoIP)
Beberapa instance Firewall CoreXL menangani protokol SIP untuk meningkatkan kinerja.

9. Akses Remote VPN
Gunakan sertifikat mesin untuk membedakan antara aset perusahaan dan non-perusahaan dan untuk menetapkan kebijakan yang menegakkan penggunaan aset perusahaan saja. Penegakan dapat berupa pra-masuk (hanya otentikasi perangkat) atau pasca-masuk (otentikasi perangkat dan pengguna).

10. Agen Portal Akses Seluler
Keamanan Endpoint yang Ditingkatkan berdasarkan Permintaan dalam Agen Portal Akses Mobile untuk mendukung semua browser web utama. Untuk informasi lebih lanjut, lihat sk113410.

11. CoreXL dan Multi-Antrian
  • Dukungan untuk alokasi otomatis CoreXL SND dan instance Firewall yang tidak memerlukan reboot Gateway Keamanan.
  • Peningkatan pengalaman di luar kotak - Security Gateway secara otomatis mengubah jumlah SND CoreXL dan instance Firewall dan konfigurasi Multi-Antrian berdasarkan beban lalu lintas saat ini.


12. Clustering
  • Dukungan untuk Protokol Kontrol Cluster dalam mode Unicast yang menghilangkan kebutuhan untuk CCP

Mode siaran atau Multicast:
  • Enkripsi Protokol Kontrol Cluster sekarang diaktifkan secara default.
  • Mode ClusterXL baru -Aktif / Aktif, yang mendukung Anggota Cluster di lokasi geografis yang berbeda yang terletak di subnet yang berbeda dan memiliki alamat IP yang berbeda.
  • Dukungan untuk Anggota ClusterXL Cluster yang menjalankan versi perangkat lunak yang berbeda.
  • Menghilangkan kebutuhan untuk konfigurasi MAC Magic ketika beberapa cluster terhubung ke subnet yang sama.


13. VSX
  • Dukungan untuk peningkatan VSX dengan CPUSE di Gaia Portal.
  • Dukungan untuk mode Aktif di VSLS.
  • Dukungan untuk laporan statistik CPView untuk setiap Sistem Virtual


14. Zero Touch
Proses pengaturan Plug & Play yang sederhana untuk memasang alat - menghilangkan kebutuhan akan keahlian teknis dan harus terhubung ke alat untuk konfigurasi awal.

15. Gaia REST API
Gaia REST API menyediakan cara baru untuk membaca dan mengirim informasi ke server yang menjalankan Sistem Operasi Gaia. Lihat sk143612.

16. Routing Tingkat Lanjut
  • Perangkat tambahan untuk OSPF dan BGP memungkinkan untuk mereset dan memulai ulang OSPF yang berdekatan untuk setiap instance Firewall CoreXL tanpa perlu memulai ulang daemon yang dirutekan.
  • Meningkatkan penyegaran rute untuk penanganan yang lebih baik dari inkonsistensi rute BGP.


17. Kemampuan kernel baru
  • Kernel Linux yang ditingkatkan
  • Sistem partisi baru (gpt):
  • Mendukung lebih dari 2TB drive fisik / logis
  • Sistem file lebih cepat (xfs)
  • Mendukung penyimpanan sistem yang lebih besar (hingga 48TB diuji)
  • I / O terkait peningkatan kinerja
  • Multi-Antrian:
  • Dukungan Gaia Clish penuh untuk perintah Multi-Antrian
  • Konfigurasi "aktif secara default"
  • Dukungan pemasangan SMB v2 / 3 di blade Akses Mobile
  • Menambahkan dukungan NFSv4 (klien) (NFS v4.2 adalah versi NFS default yang digunakan)
  • Dukungan alat sistem baru untuk debugging, pemantauan dan konfigurasi sistem


18. Pengendali CloudGuard
  • Peningkatan kinerja untuk koneksi ke Pusat Data eksternal.
  • Integrasi dengan VMware NSX-T.
  • Dukungan untuk perintah API tambahan untuk membuat dan mengedit objek Server Pusat Data.


19. Server Multi-Domain
  • Cadangkan dan pulihkan Server Manajemen Domain individual di Server Multi-Domain.
  • Bermigrasi Server Manajemen Domain pada satu Server Multi-Domain ke Manajemen Keamanan Multi-Domain yang berbeda.
  • Bermigrasi Server Manajemen Keamanan untuk menjadi Server Manajemen Domain di Server Multi-Domain.
  • Bermigrasi Server Manajemen Domain untuk menjadi Server Manajemen Keamanan.
  • Kembalikan Domain di Server Multi-Domain, atau Server Manajemen Keamanan ke revisi sebelumnya untuk pengeditan lebih lanjut.


20. SmartTasks dan API
  • Metode otentikasi API Manajemen baru yang menggunakan Kunci API yang dibuat secara otomatis.
  • Perintah API Manajemen baru untuk membuat objek cluster.
  • Penyebaran Pusat Akumulator Hotfix Jumbo dan Hotfix dari SmartConsole atau dengan API memungkinkan untuk menginstal atau meningkatkan beberapa Gateway Gateway dan Cluster secara paralel.
  • SmartTasks - Mengkonfigurasi skrip otomatis atau permintaan HTTPS yang dipicu oleh tugas administrator, seperti menerbitkan sesi atau menginstal kebijakan.


21. Penempatan
Penyebaran Pusat Akumulator Hotfix Jumbo dan Hotfix dari SmartConsole atau dengan API memungkinkan untuk menginstal atau meningkatkan beberapa Gateway Gateway dan Cluster secara paralel.

22. SmartEvent
Bagikan tampilan dan laporan SmartView dengan administrator lain.

23. Eksportir Log
Log ekspor difilter menurut nilai bidang.

24. Keamanan Titik Akhir
  • Dukungan untuk enkripsi BitLocker untuk Enkripsi Disk Penuh.
  • Dukungan untuk sertifikat Otoritas Sertifikat eksternal untuk klien Endpoint Security
  • otentikasi dan komunikasi dengan Server Manajemen Keamanan Endpoint.
  • Dukungan untuk ukuran dinamis dari paket Klien Endpoint Security berdasarkan pada yang dipilih
  • fitur untuk penyebaran.
  • Kebijakan sekarang dapat mengontrol tingkat pemberitahuan kepada pengguna akhir.
  • Dukungan untuk lingkungan VDI Persisten dalam Manajemen Kebijakan Endpoint.


Apa yang paling kami sukai (berdasarkan tugas pelanggan)


Seperti yang Anda lihat, ada banyak inovasi. Tetapi bagi kami, sebagai integrator sistem , ada beberapa poin yang sangat menarik (yang juga menarik bagi pelanggan kami). 10 Besar Kami:

  1. Akhirnya datang dukungan penuh untuk perangkat IoT. Sudah cukup sulit untuk bertemu perusahaan yang tidak akan memiliki perangkat seperti itu.
  2. Inspeksi TLS sekarang dalam lapisan terpisah (Layer). Jauh lebih nyaman daripada sekarang (pukul 80.30). Anda tidak perlu lagi menjalankan Dashboard Legasy lama. Plus, sekarang dalam kebijakan inspeksi HTTPS Anda dapat menggunakan objek yang dapat diupdate seperti Office365, Google, Azure, AWS, dll. Ini sangat nyaman ketika Anda perlu mengkonfigurasi pengecualian. Namun, masih belum ada dukungan untuk tls 1.3. Rupanya "mengejar ketinggalan" dengan perbaikan terbaru berikut.
  3. Perubahan signifikan untuk Anti-Virus dan SandBlast. Sekarang Anda dapat memeriksa protokol seperti SCP, SFTP dan SMBv3 (omong-omong, tidak ada yang bisa memeriksa protokol multichannel ini lagi).
  4. Banyak perbaikan yang terkait dengan VPN Site-to-Site. Sekarang Anda dapat mengonfigurasi beberapa domain VPN di gateway, yang terdiri dari beberapa komunitas VPN. Sangat nyaman dan jauh lebih aman. Selain itu, Check Point akhirnya mengingat VPN Berbasis Rute dan sedikit meningkatkan stabilitas / kompatibilitasnya.
  5. Fitur yang sangat populer telah muncul untuk pengguna jarak jauh. Sekarang Anda dapat mengotentikasi tidak hanya pengguna, tetapi juga perangkat dari mana ia terhubung. Misalnya, kami ingin mengizinkan koneksi VPN hanya dari perangkat perusahaan. Ini dilakukan tentunya dengan bantuan sertifikat. Ini juga menjadi mungkin untuk memasang bola file (SMB v2 / 3) secara otomatis untuk pengguna jarak jauh dengan klien VPN.
  6. Banyak perubahan dalam operasi cluster. Tetapi mungkin salah satu yang paling menarik adalah kemampuan untuk mengoperasikan cluster, di mana gateway memiliki versi Gaia yang berbeda. Ini nyaman untuk peningkatan yang direncanakan.
  7. Fitur Zero Touch yang ditingkatkan. Suatu hal yang bermanfaat bagi mereka yang sering memasang gateway "kecil" (misalnya, untuk ATM).
  8. Untuk log, penyimpanan sekarang didukung hingga 48TB.
  9. Anda dapat "meraba-raba" dasbor SmartEvent Anda dengan administrator lain.
  10. Eksportir Log sekarang memungkinkan Anda untuk memfilter pesan yang dikirim berdasarkan bidang. Yaitu hanya log dan acara yang diperlukan yang akan diteruskan ke sistem SIEM Anda

Perbarui


Mungkin banyak yang sudah berpikir untuk memperbarui. Jangan terburu-buru. Untuk memulai, versi 80.40 harus pergi ke Ketersediaan Umum. Tetapi bahkan setelah itu tidak layak untuk segera diperbarui. Lebih baik menunggu setidaknya untuk perbaikan terbaru pertama.
Mungkin banyak "duduk" di versi yang lebih lama. Saya dapat mengatakan bahwa setidaknya sudah mungkin (dan bahkan perlu) untuk meningkatkan ke 80,30. Ini adalah sistem yang stabil dan terbukti!

Anda juga dapat berlangganan ke publik kami ( Telegram , Facebook , VK , TS Solution Blog ), di mana Anda dapat memantau kemunculan materi baru di Check Point dan produk keamanan lainnya.

Source: https://habr.com/ru/post/id467723/

More articles:


All Articles