В ноябре 2022 года компания Check Point представила релиз новой версии операционной системы Gaia OS, которая получила название R81.20 Titan.
Помимо всех функций и исправлений предыдущих версий, операционная система обзавелась новыми возможностями, которые сочетают в себе использование технологии Deep Learning и Cloud Computing. Также в ОС повысили общую производительность для шлюзов Quantum Security.
Далее будут рассмотрены основные, наиболее интересные возможности и изменения Gaia OS.
AI Deep Learning blocks zero-day DNS, phishing & IoT attacks
Такой заголовок размещен на главной странице релиза. Рассмотрим подробнее каждую из функций. Согласно листу релиза, использование технологии AI Deep Learning позволяет в режиме реального времени увеличить количество блокировок DNS атак в 5 раз. Кроме того, технология дает возможность блокировать подключения к типу зараженных доменов, созданных посредством Domain Generation Algorithms (DGA), а также предотвращать Command and Control соединения и похищение данных с использованием ДНС туннелирования.
Zero-Day phishing
Firewall-based защита от фишинга, собственное решение Check Point, которое позволяет блокировать в 4 раза больше 0-day фишинговых атак, в том числе, предотвращает кражу учетных данных и защищает от программ-вымогателей. Также использует технологию AI Deep Learning. Нет необходимости устанавливать отдельные клиенты для защиты хостов. Работает как в Custom Threat Prevention, так и в Autonomous Threat Prevention.
Quantum IoT Protect
Защита интернета вещей реализована в виде отдельной функции подключения шлюза к облачному сервису. Это позволяет автоматически обнаруживать устройства, применять к ним zero-trust профили защиты и затем присваивать уровень риска для каждого IoT девайса. Процедура выполняется в среднем за 5 минут. Благодаря системе внесения виртуальных исправлений, реализуется блокировка сетевых атак на новые устройства, которые могут быть подвержены уязвимостям.
Network Security Management
Одно из нововведений в разделе управления политиками безопасности — это новая вкладка Infinity Cloud Services в SmartConsole. Она отвечает за взаимодействие облачных сервисов CheckPoint с политиками на менеджмент сервере.
Еще одним интересным нововведением является возможность создавать и использовать Network Feed Objects, изменения которых сразу автоматически применяются в политике безопасности, без необходимости установки. Это удобно использовать, например, DevOps специалистам.
SmartWorkflow – функция, позволяющая смотреть изменения в политике до ее публикации на менеджмент сервере. Реализована в виде отдельной кнопки, которая располагается в верхней части SmartConsole рядом с кнопкой Publish. Показывает все изменения, которые внесены в политику безопасности в рамках одной сессии.
Performance Acceleration for Quantum Security Gateways
В рамках релиза были сделаны различные улучшения в производительности шлюзов безопасности. Рассмотрим основные изменения.Maestro Auto-Scaling — технология, которая обеспечивает динамическое масштабирование производительности шлюзов для критически важных приложений и высоконагруженных сред. Позволяет автоматически распределять ресурсы шлюза безопасности в конкретную группу безопасности, а также убирать их по мере изменения требований к пропускной способности и вычислительным ресурсам.
Также интересно решение Maestro Fastforward, позволяющее обеспечить высокую пропускную способность у конкретных приложений с помощью 100G cut‑through режима, который используется для доверенных соединений.
Последним нововведением в рамках повышения производительности является технология Quantum HyperFlow, которая может оптимизировать очень длинные соединения (elephant flows), имеющие высокие требования пропускной способности. При обнаружении таких соединений шлюз безопасности выделяет дополнительные ядра ЦП, что позволяет увеличить скорость обработки.
Выше были рассмотрены основные нововведения, добавленные в рамках релиза R81.20. Далее будут перечислены различные небольшие изменения.
Quantum Security Gateway
Наиболее интересные дополнения в этом разделе — это: улучшение функций централизованного управления для устройств Quantum Spark, поддержка CoreXL Dynamic Balancing для масштабируемых платформ и добавление различных функций маршрутизации.
Threat Prevention
Повышение производительности IPS CIFS до 50 %.
Каналы IoC теперь поддерживают значительно большее количество URL-адресов, доменов, IP-адресов и хэшей — 2 миллиона и более (только в файловой системе XFS), в зависимости от аппаратных характеристик шлюза безопасности.
В файловой системе EXT3 поток IoC ограничен максимум 250 000 индикаторами.
ICAP Server теперь поддерживает ICAP через TLS.
Maestro Hyperscale
Поддержка ускоренной установки политик для групп безопасности Maestro.
Добавлена возможность контроля использования ресурсов NAT в CPView и SNMP.
Поддержка постепенного обновления в режиме Multi-Version Cluster(MVC).
Масштабируемые платформы получили возможность поддержки динамического распределения ядер CoreXL. В зависимости от текущей нагрузки на трафик группа безопасности автоматически изменяет количество SND ядер CoreXL, экземпляров Firewall ядер CoreXL и конфигурацию с Multi-Queue.
Масштабируемые платформы теперь поддерживают Management Data Plane (разделение на плоскость управления и плоскость данных).
VSX
Добавлена возможность Настройки DHCP-сервера в каждой виртуальной системе с помощью Gaia Clish.
IPsec VPN
Scalable VPN performance — ускорение обработки одновременных подключений для Remote Access и Site-to-Site VPN.
Значительное улучшение производительности и стабильности для Remote Access и Site-to-Site VPN позволяет обеспечить большую пропускную способность для VPN-туннелей.
Расширенные возможности проверки сертификата шлюза безопасности для более быстрой аутентификации.
Отказоустойчивая архитектура VPN — мультипроцессная архитектура для обработки согласования IKE в выделенных масштабируемых демонах.
Clustering
Добавлена функция “Same VMAC”
Access Control
Динамическая политика. Добавлен объект Network Feed, который можно использовать для настройки и определения частного веб-сервера по IP-адресам или доменам. Объекты автоматически обновляются в шлюзе безопасности без необходимости установки политики.
Advanced Routing
Поддержка протокола маршрутизации Intermediate System (IS-IS).
Поддержка параметра DHCP Relay Agent Information Option 82 для решения ряда проблем масштабирования и безопасности, возникающих при общедоступном использовании DHCP.
Поддержка OSPFv3 NSSA.
Поддержка статического кэша MFC IPv6 для обеспечения пересылки многоадресных данных без настройки PIM.
Поддержка триггеров событий маршрутизации для аварийного переключения ClusterXL и разрыва соединений BGP через отслеживаемые сеансы BGP и BFD.
История протокола маршрутизации для BFD. Дает возможность удобного мониторинга.
Gaia Operating System
Настройка логического “next hop” шлюза в статических маршрутах IPv6 для отправки трафика через указанный интерфейс.
Используйте команды Gaia Clish для мониторинга трансиверов NIC в устройстве: температуры модуля, напряжения питания, напряжения смещения TX, оптической мощности Rx и оптической мощности TX.
Автоматическое обновление прошивки сетевой карты во время процесса установки ISO для устройств с картами 40GbE, 100/25GbE и NVIDIA ConnectX 100G.
CoreXL
HyperFlow обеспечивает автоматическое распределение системных ресурсов за счет правильной приоритизации задач на высоко загруженных ядрах ЦП и реализует динамическую балансировку.
В режиме User-Space Firewall (USFW) количество экземпляров ядер IPv6 CoreXL больше не ограничено. Можно увеличить до количества экземпляров Firewall ядер IPv4.
Mobile Access
Добавлена поддержка OAuth 2.0 для Capsule Workspace and Office 365.
Quantum Spark
Функцию Central Deployment теперь можно использовать для обновления устройств Quantum Spark и Quantum Edge.
Устройства Quantum Spark теперь поддерживают Identity Collector.
Используйте SmartUpdate и SmartProvisioning (LSM) для управления устройствами Quantum Spark, работающими под управлением R81.10.
Устройства Quantum Spark теперь поддерживают транзитные подключения к серверу Active Directory во внутренней сети (устройства работают как прокси-сервер AD).
Quantum Security Management
В данном разделе стоит обратить внимание на интеграцию локального менеджмент сервера с облачными функциями чекпоинт, а также различные улучшения API и возможностей обновления.
Cloud Services Integration
Интеграция между локальным сервером управления безопасностью и Infinity Portal.
Возможность Запуска облачных служб, которыми управляет Infinity Portal, на объектах Security Management Server.
Единое логирование для всех ваших продуктов Check Point: как локальных, так и облачных.
Возможность использовать Management API на локальном сервере управления из любой точки мира через Infinity Portal.
SmartConsole
SmartConsole может использовать SAML 2.0 для аутентификации администраторов с помощью поставщика удостоверений.
SmartWorkflow
Возможность отправки изменений политики и конфигураций на проверку и утверждение другому администратору.
SmartTasks
Новые триггеры — до и после работы над сеансом, требующим утверждения, а также для критических событий CloudGuard Controller.
Новое действие — отправить электронное письмо с подробным отчетом об изменениях после публикации сеанса, после установки политики и т. д.
Management REST API
Поддержка API управления для:
Конфигурация Identity Awareness на шлюзах безопасности и кластерах.
Конфигурация outbound certificate HTTPS Inspection.
Конфигурация шлюзов SmartLSM.
Настройка параметров VPN на шлюзах SmartLSM.
Upgrades
Функция Central Deployment пакетов CPUSE теперь доступна для Quantum Spark и Quantum Edge.
Результаты Pre-Upgrade Verifier теперь представлены в отчете об обновлении.
Более простая миграция из Standalone среды в Distributed.
Значительное повышение производительности обновлений Multi-Domain серверов за счет одновременного импорта вместо поочередного.
Заключение
Релиз Gaia R81.20 принес много различных изменений, улучшений производительности и новых функций. Интеграция облачных решений в отдельный раздел SmartConsole позволила еще на шаг приблизиться к концепции управления всеми политиками и конфигурациями в одном месте. Также отдельно стоит выделить добавление поддержки различных технологий управления производительностью для гипермасштабируемых платформ и повышение удобства управления политиками для администратора ИБ.Полный список изменений можно посмотреть в sk173903.
Автор статьи: Жемчужников Феодор, инженер TS Solution
