Geekly articles weekly

Verifique o ponto Gaia R80.40. O que será novo?



A próxima versão do sistema operacional Gaia R80.40 está chegando . Algumas semanas atrás , o programa Early Access foi lançado , de acordo com o qual você pode obter acesso para testar a distribuição. Como sempre, publicamos informações sobre o que será novo e também destacamos os pontos mais interessantes do nosso ponto de vista. No futuro, posso dizer que as inovações são realmente significativas. Portanto, vale a pena se preparar para um procedimento de atualização antecipada. Publicamos anteriormente um artigo sobre como fazer isso (para mais informações, clique aqui ). Vamos para o tópico ...

Novidades


Considere as inovações anunciadas oficialmente aqui. Informações retiradas do site da Check Mates (comunidade oficial da Check Point). Com sua permissão, não vou traduzir este texto, pois a audiência permite isso. Em vez disso, deixarei meus comentários no próximo capítulo.

1. Segurança da Internet das coisas. Novos recursos relacionados à Internet das coisas
  • Colete dispositivos de IoT e atributos de tráfego de mecanismos de descoberta de IoT certificados (atualmente suporta Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM e Armis).
  • Configure uma nova camada de política dedicada à IoT no gerenciamento de políticas.
  • Configure e gerencie regras de segurança baseadas nos atributos dos dispositivos IoT.


2. Inspeção TLS
HTTP / 2:

  • HTTP / 2 é uma atualização para o protocolo HTTP. A atualização fornece melhorias de velocidade, eficiência e segurança e resultados com uma melhor experiência do usuário.
  • O Gateway de Segurança da Check Point agora suporta HTTP / 2 e beneficia de melhor velocidade e eficiência, obtendo segurança total, com todos os blades de Prevenção de Ameaças e Controle de Acesso, além de novas proteções para o protocolo HTTP / 2.
  • O suporte é para tráfego criptografado claro e SSL e é totalmente integrado ao HTTPS / TLS
  • Recursos de inspeção.

Camada de inspeção TLS . Inovações relacionadas à inspeção HTTPS:

  • Uma nova camada de política no SmartConsole dedicada à inspeção TLS.
  • Diferentes camadas de inspeção TLS podem ser usadas em diferentes pacotes de políticas.
  • Compartilhamento de uma camada de inspeção TLS entre vários pacotes de políticas.
  • API para operações TLS.


3. Prevenção de Ameaças
  • Aprimoramento geral da eficiência para processos e atualizações de prevenção de ameaças.
  • Atualizações automáticas no mecanismo de extração de ameaças.
  • Objetos dinâmicos, de domínio e atualizáveis ​​agora podem ser usados ​​nas políticas de prevenção de ameaças e inspeção de TLS. Objetos atualizáveis ​​são objetos de rede que representam um serviço externo ou uma lista dinâmica conhecida de endereços IP, por exemplo - endereços IP do Office365 / Google / Azure / AWS e objetos geográficos.
  • O Antivírus agora usa as indicações de ameaça SHA-1 e SHA-256 para bloquear arquivos com base em seus hashes. Importe os novos indicadores da visualização SmartConsole Threat Indicators ou da CLI do Custom Intelligence Feed.
  • A emulação de ameaças antivírus e SandBlast agora oferece suporte à inspeção do tráfego de email pelo protocolo POP3, bem como à inspeção aprimorada do tráfego de email pelo protocolo IMAP.
  • A emulação de ameaças antivírus e SandBlast agora usa o recém-introduzido recurso de inspeção SSH para inspecionar arquivos transferidos pelos protocolos SCP e SFTP.
  • A emulação de ameaças antivírus e SandBlast agora oferece um suporte aprimorado à inspeção SMBv3 (3.0, 3.0.2, 3.1.1), que inclui a inspeção de conexões multicanais. Agora, o Check Point é o único fornecedor que oferece suporte à inspeção de uma transferência de arquivos por meio de vários canais (um recurso padrão por padrão em todos os ambientes Windows). Isso permite que os clientes permaneçam seguros enquanto trabalham com esse recurso de aprimoramento de desempenho.


4. Consciência da identidade
  • Suporte para integração do Captive Portal com SAML 2.0 e provedores de identidade de terceiros.
  • Suporte ao Identity Broker para compartilhamento escalável e granular de informações de identidade entre PDPs, bem como compartilhamento entre domínios.
  • Aprimoramentos no Terminal Servers Agent para melhor dimensionamento e compatibilidade.


5. VPN IPsec
  • Configure diferentes domínios de criptografia VPN em um Gateway de Segurança que seja membro de várias comunidades VPN. Isso fornece:
  • Privacidade aprimorada - As redes internas não são divulgadas nas negociações do protocolo IKE.
  • Segurança e granularidade aprimoradas - especifique quais redes estão acessíveis em uma comunidade VPN especificada.
  • Interoperabilidade aprimorada - Definições simplificadas de VPN baseada em rota (recomendadas quando você trabalha com um domínio de criptografia VPN vazio).
  • Crie e trabalhe perfeitamente com um ambiente VPN de grande escala (LSV) com a ajuda de perfis LSV.


6. Filtragem de URL
  • Escalabilidade e resiliência aprimoradas.
  • Recursos estendidos para solução de problemas.


7. NAT
  • Mecanismo aprimorado de alocação de porta NAT - em Security Gateways com 6 ou mais instâncias do CoreXL Firewall, todas as instâncias usam o mesmo pool de portas NAT, o que otimiza a utilização e a reutilização de portas.
  • Monitoramento da utilização da porta NAT no CPView e com SNMP.


8. Voz sobre IP (VoIP)
Várias instâncias do CoreXL Firewall manipulam o protocolo SIP para aprimorar o desempenho.

9. VPN de acesso remoto
Use o certificado da máquina para distinguir entre ativos corporativos e não corporativos e para definir uma política que imponha apenas o uso de ativos corporativos. A imposição pode ser pré-logon (somente autenticação de dispositivo) ou pós-logon (autenticação de dispositivo e usuário).

10. Agente de Portal de Acesso Móvel
Segurança aprimorada do Endpoint Security on Demand no Mobile Access Portal Agent para suportar todos os principais navegadores da web. Para mais informações, consulte sk113410.

11. CoreXL e multi-fila
  • Suporte para alocação automática de instâncias de SNDs e firewall CoreXL que não requerem reinicialização do Gateway de segurança.
  • Experiência aprimorada e pronta para uso - o Security Gateway altera automaticamente o número de instâncias de SNDs e firewall CoreXL e a configuração de várias filas com base na carga de tráfego atual.


12. Clustering
  • Suporte ao Protocolo de Controle de Cluster no modo Unicast que elimina a necessidade de CCP

Modos de transmissão ou multicast:
  • Agora, a criptografia do Protocolo de Controle de Cluster está ativada por padrão.
  • Novo modo ClusterXL - Ativo / Ativo, que suporta Membros de Cluster em diferentes localizações geográficas localizadas em sub-redes diferentes e com endereços IP diferentes.
  • Suporte para membros do cluster ClusterXL que executam diferentes versões de software.
  • Eliminou a necessidade de configuração do MAC Magic quando vários clusters estão conectados à mesma sub-rede.


13. VSX
  • Suporte para atualização do VSX com CPUSE no Gaia Portal.
  • Suporte para o modo Ativo ativo no VSLS.
  • Suporte para relatórios estatísticos do CPView para cada sistema virtual


14. Zero Touch
Um processo simples de instalação Plug & Play para instalar um dispositivo - eliminando a necessidade de conhecimento técnico e precisando se conectar ao dispositivo para a configuração inicial.

15. API REST do Gaia
A API REST do Gaia fornece uma nova maneira de ler e enviar informações aos servidores que executam o Gaia Operating System. Veja sk143612.

16. Roteamento Avançado
  • Os aprimoramentos no OSPF e no BGP permitem redefinir e reiniciar o OSPF adjacente a cada instância do CoreXL Firewall sem a necessidade de reiniciar o daemon roteado.
  • Aprimorando a atualização de rota para lidar melhor com as inconsistências de roteamento BGP.


17. Novos recursos do kernel
  • Kernel Linux atualizado
  • Novo sistema de particionamento (gpt):
  • Suporta mais de 2 TB de unidades físicas / lógicas
  • Sistema de arquivos mais rápido (xfs)
  • Suporte para armazenamento de sistema maior (até 48 TB testado)
  • Melhorias de desempenho relacionadas à E / S
  • Fila múltipla:
  • Suporte completo ao Gaia Clish para comandos de várias filas
  • Configuração automática "por padrão"
  • Suporte de montagem SMB v2 / 3 no blade Mobile Access
  • Adicionado suporte ao NFSv4 (cliente) (o NFS v4.2 é a versão padrão do NFS usada)
  • Suporte de novas ferramentas de sistema para depuração, monitoramento e configuração do sistema


18. CloudGuard Controller
  • Aprimoramentos de desempenho para conexões com Data Centers externos.
  • Integração com o VMware NSX-T.
  • Suporte para comandos API adicionais para criar e editar objetos do Data Center Server.


19. servidor com vários domínios
  • Faça backup e restaure um servidor de gerenciamento de domínio individual em um servidor com vários domínios.
  • Migrar um servidor de gerenciamento de domínio em um servidor com vários domínios para um gerenciamento de segurança com vários domínios diferente.
  • Migrar um servidor de gerenciamento de segurança para se tornar um servidor de gerenciamento de domínio em um servidor com vários domínios.
  • Migrar um servidor de gerenciamento de domínio para se tornar um servidor de gerenciamento de segurança.
  • Reverta um domínio em um servidor com vários domínios ou um servidor de gerenciamento de segurança para uma revisão anterior para edição posterior.


20. SmartTasks e API
  • Novo método de autenticação da API de gerenciamento que usa uma chave de API gerada automaticamente.
  • Novos comandos da API de gerenciamento para criar objetos de cluster.
  • A implantação central do Jumbo Hotfix Accumulator e hotfixes do SmartConsole ou com uma API permite instalar ou atualizar vários gateways e clusters de segurança em paralelo.
  • SmartTasks - Configure scripts automáticos ou solicitações HTTPS acionadas por tarefas de administrador, como publicar uma sessão ou instalar uma política.


21. Implantação
A implantação central do Jumbo Hotfix Accumulator e hotfixes do SmartConsole ou com uma API permite instalar ou atualizar vários gateways e clusters de segurança em paralelo.

22. SmartEvent
Compartilhe visualizações e relatórios do SmartView com outros administradores.

23. Exportador de toras
Exporte logs filtrados de acordo com os valores do campo.

24. Segurança de endpoints
  • Suporte para criptografia BitLocker para criptografia de disco completo.
  • Suporte para certificados externos da Autoridade de Certificação para o cliente do Endpoint Security
  • autenticação e comunicação com o Endpoint Security Management Server.
  • Suporte para tamanho dinâmico de pacotes do Endpoint Security Client com base no selecionado
  • recursos para implantação.
  • A política agora pode controlar o nível de notificações para usuários finais.
  • Suporte para ambiente VDI persistente no Endpoint Policy Management.


O que mais gostamos (com base nas tarefas do cliente)


Como você pode ver, existem muitas inovações. Mas para nós, como integrador de sistemas , existem alguns pontos muito interessantes (que também são de interesse de nossos clientes). Nosso Top 10:

  1. Finalmente, veio o suporte completo para dispositivos IoT. Já é bastante difícil conhecer uma empresa que não teria esses dispositivos.
  2. A inspeção TLS agora está em uma camada separada (Camada). É muito mais conveniente do que agora (em 80,30). Você não precisa mais executar o antigo Legasy Dashboard. Além disso, agora na política de inspeção HTTPS, você pode usar objetos atualizáveis, como Office365, Google, Azure, AWS, etc. Isso é muito conveniente quando você precisa configurar exceções. No entanto, ainda não há suporte para tls 1.3. Aparentemente, "atualizando" com o seguinte hotfix.
  3. Alterações significativas no Antivírus e no SandBlast. Agora você pode verificar protocolos como SCP, SFTP e SMBv3 (a propósito, ninguém pode mais verificar esse protocolo multicanal).
  4. Muitas melhorias relacionadas à VPN site a site. Agora você pode configurar vários domínios VPN no gateway, que consiste em várias comunidades VPN. É muito conveniente e muito mais seguro. Além disso, a Check Point finalmente se lembrou da VPN baseada em rota e melhorou ligeiramente sua estabilidade / compatibilidade.
  5. Um recurso muito popular apareceu para usuários remotos. Agora você pode autenticar não apenas o usuário, mas também o dispositivo ao qual ele se conecta. Por exemplo, queremos permitir conexões VPN apenas de dispositivos corporativos. Isso é feito, é claro, com a ajuda de certificados. Também se tornou possível montar automaticamente esferas de arquivos (SMB v2 / 3) para usuários remotos com um cliente VPN.
  6. Muitas mudanças na operação do cluster. Mas talvez uma das mais interessantes seja a capacidade de operar um cluster, onde os gateways têm versões diferentes de Gaia. Isso é conveniente para uma atualização planejada.
  7. Recursos aprimorados do Zero Touch. Uma coisa útil para quem costuma instalar gateways "pequenos" (por exemplo, para caixas eletrônicos).
  8. Para logs, o armazenamento agora é suportado até 48 TB.
  9. Você pode "atrapalhar" seus painéis do SmartEvent com outros administradores.
  10. O Exportador de Log agora permite pré-filtrar as mensagens enviadas por campos. I.e. somente os logs e eventos necessários serão passados ​​para seus sistemas SIEM

Update


Talvez muitos já estejam pensando em atualizar. Não se apresse. Para começar, a versão 80.40 deve ir para Disponibilidade geral. Mas mesmo depois disso, não vale a pena atualizar imediatamente. Melhor esperar pelo menos o primeiro hotfix.
Talvez muitos "se sentem" em versões mais antigas. Posso dizer que pelo menos já é possível (e até necessário) atualizar para 80,30. Este é um sistema estável e comprovado!

Você também pode se inscrever em nossos públicos ( Telegram , Facebook , VK , TS Solution Blog ), onde é possível monitorar o surgimento de novos materiais no Check Point e outros produtos de segurança.

Source: https://habr.com/ru/post/pt467723/

More articles:


All Articles