【Check Point R80】リリースノートを確認する

ネットワーク
スポンサーリンク

R80

What’s New

■Unified Policy

●Unified Console

SmartConsole アプリケーションは R80 に統合されているため、管理者は、ゲートウェイの構成と監視、すべてのログとイベントの側面など、システムの側面を制御できます。

  • [ゲートウェイとサーバー] タブを使用すると、管理者は管理対象ゲートウェイの全体像を確認し、それらのステータスを監視し、メンテナンス操作を実行できます
  • [ログと監視] タブを使用すると、管理者は、セキュリティポリシーが構成されているのと同じコンソールからログまたはイベントを表示および操作できます

●Unified Security Policies

R80は、アクセス制御と脅威防止のための統一されたポリシーを提供し、管理者が単一のポリシーで複数のセキュリティ面を制御できるようにします。

  • アクセス制御ポリシーは、ファイアウォール、アプリケーション制御と URL フィルタリング、データ認識、およびモバイルアクセスのソフトウェアブレードのポリシーを統合します
    • 注-R80.10 セキュリティゲートウェイおよびマネジメントでのみサポートされます
  • 脅威防止ポリシーは、IPS、アンチウイルス、アンチボット、および Threat Emulation のソフトウェアブレードのポリシーを統合します。保護はタグに従ってアクティブ化できるため、特定のコンポーネント(Apacheなど)や脆弱性の種類に関連する保護など、関連する保護をアクティブ化できます

●Policy Layers & Sub Policies

R80 には、セキュリティポリシーの動作を柔軟に制御できるポリシーレイヤーと、セキュリティポリシー内でシームレスなネットワークセグメンテーションを可能にするサブポリシーが導入されています。
注-R80.10 セキュリティゲートウェイおよびマネジメントでのみサポートされます

  • ルールベースは、各セキュリティルールのセットを含むレイヤーで構築できます。レイヤーは、定義された順序で検査されるため、ルールベースフローとどのセキュリティ機能が優先されるかを制御できます。レイヤーで「承認」アクションが実行された場合、検査は次のレイヤーで続行されます
  • サブポリシーは、作成して特定のルールに添付できるルールのセットです。ルールが一致した場合、検査は次のルールではなく、それに添付されたサブポリシーで続行されます。たとえば、サブポリシーはネットワークセグメントまたはブランチオフィスを管理できます
  • サブポリシーは、権限プロファイルに従って特定の管理者が管理できるため、チーム内での責任の委任が容易になります

●Multi-Domain Security Management Enhancements

  • ブレードのグローバルポリシーと設定
  • 単一ドメインのセキュリティ管理を備えた統合アーキテクチャと統合クライアント
  • ドメインプロビジョニングとグローバル構成の新しい改善されたビュー

■Efficient and Automated Operations

●Role-based & Concurrent Administration

R80 を使用すると、複数の管理者が同じセキュリティポリシーで並行して作業できると同時に、各管理者に非常にきめ細かく柔軟な特権の委任を提供できます。

  • 複数の管理者は、お互いの作業を中断することなく、同じセキュリティポリシーでログインして読み取り/書き込みモードで作業できます
  • 新しい高度なロックメカニズムが導入され、同時管理が可能になりました
  • 1 人の管理者が管理するオブジェクトは、他の管理者による上書きや競合からロックできます
  • 豊富な管理者プロファイルは、特定のポリシーまたはネットワークセグメントの管理、特定のログの表示、ポリシーのインストールなどのセキュリティ操作の実行など、各管理者が持つ正確な特権を決定できます

●Secured Automation and Orchestration (CLI & API)

セキュリティ管理のための完全な CLI および API インターフェースにより、サードパーティシステムとの完全な統合と日常業務の自動化が可能になります。自動化と SmartConsole の管理操作は、同じ特権プロファイルに基づいて許可されます。

●Faster Day to Day Operations

R80 には、管理者の作業効率を向上させる次のような複数の機能が導入されています。

  • 統合ログにより、管理者はルールに関連するすべてのログを同じ画面で表示できます
  • 詳細なルール情報が保存され、誰がいつルールを作成したか、ヒット数、およびチケット番号などの他のユーザー定義情報を可視化します
  • 強化された検索機能により、管理者はシステム内のルールまたはオブジェクトをすぐに見つけることができます
  • 管理の高可用性が強化され、サーバー間の変更のみが同期されるため、効率が大幅に向上します

■Integrated Threat Management

●Next Generation Logs, Events and Reports

  • 単一の視覚的なダッシュボードからセキュリティ環境を管理および監視します
  • 1 日あたり数億のログを分析します
  • セキュリティのニーズに対応する豊富なグラフィカルビューとレポート
  • 特定の要件に対応するためにビューとレポートをカスタマイズする機能
  • R80 SmartConsole のログ、監視、およびレポートの側面は、Web ベースのインターフェイスからも利用できます
  • 自動提案とお気に入りを使用したログとイベントのフリーテキスト検索-結果は数秒です

●New Licensing Experience

新しいライセンスの可視性と同期により、ユーザーエクスペリエンスが向上します。

  • 可視性メカニズム
    • Check Point のソフトウェアブレードライセンスステータス、アラート、およびユーザーセンターの詳細情報の可視性が向上しました
    • 統合ライセンスステータスレポート
  • 同期メカニズム
    • アプライアンスのライセンスの自動アクティブ化
    • Check Point のユーザーセンターとのシームレスな製品ライセンスの同期
    • プロキシ構成。Check Point のゲートウェイと管理サーバーの間接的なユーザーセンターライセンスの同期を有効にします

サポートされているブレードのライセンスの可視性については、サポートされているブレードを参照してください。

■Improved Security for SIC and VPN certificates

SHA-256 ベースの証明書はデフォルトで発行されます。 詳細については、sk103840 を参照してください。

Changes in R80 Behavior

  • Logging and Monitoring ビューは SmartLog を統合し、SmartView Tracker に取って代わります
  • SmartEvent は、SmartReporter および SmartEvent Intro に代わるものです

Known Limitations

このリリースに適用される既知の制限の完全なリストについては、http://supportcontent.checkpoint.com/solutions?id=sk108624 を参照してください。

以下のソフトウェアブレードは、このリリースではサポートされませんが、R80 以降のリリースの短期ロードマップで対処されます。

  • SmartLSM and Provisioning
  • SmartWorkflow

R80.10

What’s New

■Security Policy New Architecture

Policy Layers and Sub-Policies

セキュリティポリシーの動作を柔軟に制御できるようにします。

  • それぞれがセキュリティルールのセットを持つレイヤーを使用してルールベースを構築します。 レイヤーは、定義された順序で検査され、ルールベースフローとセキュリティ機能の優先順位を制御します。 レイヤーで「許可」アクションが実行された場合、検査は次のレイヤーで続行されます
  • サブポリシー(インラインレイヤー)は、特定のルールに添付するルールのセットです。 ルールが一致した場合、ルールに添付されたサブポリシーで検査が続行されます。 ルールが一致しない場合、サブポリシーはスキップされます
    • 例えば、サブポリシーはネットワークセグメントまたはブランチオフィスを管理できます
  • ポリシーレイヤーとサブポリシーは、権限プロファイルに従って特定の管理者が管理できるため、チーム内での責任の委任が容易になります

Unified Security Policies

  • アクセス制御ポリシーは、ファイアウォール、アプリケーション制御と URL フィルタリング、コンテンツ認識、およびモバイルアクセスのソフトウェアブレードのポリシーを統合します
  • 脅威防止ポリシーは、IPS、アンチウイルス、アンチボット、脅威抽出、および Threat Emulation のソフトウェアブレードのポリシーを統合します

●Access Control Policy

  • 新しいコンテンツ認識ソフトウェアブレードは、コンテンツ、ファイルタイプ、および方向に基づくデータタイプを使用して、ネットワークトラフィックのデータ転送に対する可視性と制御を追加します
  • アプリケーション制御の機能強化
    • 統合ポリシーの構成を容易にするために、アプリケーションに推奨サービスを追加しました
    • 推奨サービス、カスタマイズされた一連のサービス、または任意のサービスに一致するアプリケーション
    • ポリシーマッチングのセキュリティと粒度を強化するために、サービスオブジェクトに新しいプロトコル署名が追加されました
  • モバイルアクセスポリシールールは、メインの統合アクセス制御ポリシーで定義できます
    • 統一されたルールは、異なるクライアントタイプから同じリソースへのアクセスを定義できます
    • 明示的なルールは、指定されたモバイルアクセストラフィックをブロックできます
    • 指定されたクライアントタイプからのリソースへのアクセスのみを定義する機能
  • セキュリティゾーン:新しい送信元と宛先の定義のために、セキュリティゲートウェイのインターフェイスをセキュリティゾーンにグループ化します
  • 完全修飾ドメイン名(FQDN):ドメインオブジェクトの追加モード。完全修飾ドメイン名を前方 DNS ルックアップと照合します。
  • ドメインオブジェクト、動的オブジェクト、および時間オブジェクトのアクセラレーション
  • 統合ルールベースの新しい追跡オプション
  • ポリシーのインストール時間の改善

●Threat Prevention Policy

  • きめ細かい脅威防止ポリシーを適用するための、セキュリティゲートウェイごとの複数のプロファイル
  • より高速な脅威防止ポリシーのインストール
  • IPS は、脅威防止ポリシーのルールベースとポリシーのインストールに統合されています
  • 脅威防止プロファイルは、プロパティタグに基づく IPS 保護のアクティブ化をサポートします

■Significant Improvements and New Features

  • 新しい Check Point Labs を使用すると、新しい機能を体験し、Check Point にフィードバックを送信できます。 最初の Check Point Labs 機能を使用すると、公開する前にセッションの変更に関する情報を確認できます
  • VPN およびモバイルアクセスの機能強化
    • 次世代ファイアウォール、次世代脅威防止、および次世代脅威抽出ソフトウェアブレードによって検査される VPN トラフィック用の CoreXL マルチコアスケーラビリティを備えたVPN マルチコアパフォーマンス
    • サイト間 VPN の NAT-T サポート
    • モバイルアクセスとポータルの TLS1.2 サポート
    • さまざまなクライアントおよびポータルのユーザー向けの多要素認証スキームを備えた複数のログインオプション。 複数ログインオプションのサポートを参照してください
    • モバイルアクセス透過リバースプロキシ。モバイルアクセスポータルなしで、外部ユーザーが内部リソースにアクセスできるようにします
  • アイデンティティ認識の強化
    • Security Gateway ごとに最大 200,000 の ID セッション
    • サードパーティまたはカスタマイズされたシステムからの ID を管理するためのゲートウェイ REST API
    • Identity Collector: 大規模な環境スケーラビリティのために、さまざまなソース(AD および ISE)から ID 情報を収集する新しいエージェント
    • 新しい RADIUS アカウンティング属性の解析と IPv6 のサポート
    • LDAPv3 を使用した ADLDAP のネストされたユーザーグループの処理の強化
    • アクセスロールにリモートアクセスクライアントタイプを適用します
    • アクセス制御ポリシーレイヤーごとに X-Forward-For ヘッダーの粒度を使用して、HTTP プロキシの背後にいるユーザーを検出します
  • 脅威防止の機能強化
    • VSX での脅威エミュレーション MTA(メール転送エージェント)のサポート。 仮想システムごとに MTA を実行できます
    • VSX ゲートウェイの脅威抽出のサポート
    • Snort ルールは SmartConsole からインポートできます
    • SmartConsole からのカスタムインジケーター(IoC)のインポートがサポートされています
  • NAT の機能強化
    • ハイエンドマルチコアゲートウェイでの Hide NAT のスケーラビリティの向上
    • IP プール NAT パフォーマンスの強化: IP プール NAT 接続用の CoreXL マルチコアスケーラビリティ
  • Gaia の機能強化
    • IPFIX の Netflow サポート(NAT および IPv6 フローレコードを使用)
    • ClusterXL を使用した IPv6 DHCPリレー(ゲートウェイおよび VSX モード)
  • 動的ルーティングの機能強化
    • VRRPv2 を使用した RIPng
    • ルーティングの SNMP 拡張
    • BGP 4-Byte AS およびローカル AS
  • VSX の機能強化
    • VSX ゲートウェイの 64 ビットサポート、同時接続容量の増加
    • VSX ゲートウェイのコンテンツ認識
  • ClusterXL の機能強化
    • MAC Magic 値は自動的に取得され、以前のバージョンで手動で構成されたゲートウェイとの下位互換性があります
    • 仮想システムロードシェアリング(VSLS)の VSX クラスターの場合、バックアップメンバーは、アクティブメンバーとスタンバイメンバーに加えて、外部ネットワークと通信して更新を受信できます
    • 接続のアップグレードで、動的ルーティングの同期がサポートされるようになりました

■Management Enhancements

以下の拡張機能は、R80 で最初に導入されました。

  • マルチドメインセキュリティ管理
    • セキュリティ管理とマルチドメインセキュリティ管理のための統合アーキテクチャと管理コンソール
    • ドメイン管理とグローバル割り当ての新しく改善されたビュー
  • 役割ベースの同時管理: 複数の管理者が同じセキュリティポリシーで並行して作業でき、各管理者にきめ細かく柔軟な特権を委任できます
    • 新しい高度なロックメカニズムにより、管理者は互いの作業を上書きしません
    • 特定のポリシーまたはネットワークセグメントの管理、特定のログの表示、ポリシーのインストールなどのセキュリティ操作の実行など、各管理者が持つ正確な特権に関する豊富な管理者プロファイル
  • 安全な自動化とオーケストレーション: セキュリティ管理のための CLI と API により、サードパーティシステムとの完全な統合と日常業務の自動化が可能になります。 自動化と SmartConsole の管理操作は、同じ特権プロファイルに基づいて許可されます
  • より高速な日常業務
    • ルールに関連するすべてのログを同じ画面に表示する統合ログ
    • 誰がいつルールを作成したか、ヒット数、およびチケット番号などのユーザー定義データの詳細なルール情報
    • システム内のルールまたはオブジェクトをすばやく見つけるための拡張検索機能
    • 拡張管理高可用性は、サーバー間の変更のみを同期し、効率を大幅に向上させます
  • 次世代のログ、イベント、レポート
    • 特定の要件に対応するようにカスタマイズされたグラフィカルビューとレポートを使用して、1 日あたり数億のログを分析します
    • ロギング、モニタリング、およびレポートの側面は、Web ベースのインターフェイスでも利用できます
    • 自動提案とお気に入りを使用したログとイベントのフリーテキスト検索。結果は数秒で表示されます
  • 新しく強化されたリビジョン管理機能
    • 組み込みの自動ポリシー改訂
    • 特定のバージョンのポリシーをインストールします
    • IPS パッケージの特定のバージョンに変更します
  • クラウドデモ: 任意のコンピューターで R80.10 管理シナリオを体験してください。 sk103431 を参照してください
  • CloudGuard Controller: 主要なプライベートおよびパブリッククラウドプラットフォーム(VMware vCenter&NSX、CISCO ACI、Amazon Web Services(AWS)、Microsoft Azure、OpenStack)とネイティブに統合します。CloudGuard Controller は、動的なセキュリティポリシーと可視性を提供し、クラウド環境の変化に自動的に適応します。 これにより、単一の統合管理ソリューションから、物理環境、仮想環境、およびクラウド環境全体でシンプルな自動セキュリティが提供されます

Behavior Changes

  • 管理
    • 管理 API コマンドと SmartView Web ベースのインターフェイスが管理ポータルに取って代わります。 API コマンドを使用してポリシーをインストールし、ゲートウェイとサーバーのリストを表示します。 SmartView を使用してログを表示します
    • オブジェクトの新しいタグは、オブジェクトの色の名前変更に置き換わるものです。 色に応じてタグに名前を付けることができます。 タグを使用すると、SmartConsole でオブジェクトを簡単に管理できます
    • 新しく改善された管理機能は、データベース改訂機能に取って代わります。 R80 以降で強化されたリビジョン管理については、sk113615 を参照してください
    • マルチドメインサーバーの mdsstop コマンドと mdsstart コマンドは、ドメイン管理サーバーの機能を開始および停止する唯一の方法です。 ほとんどのドメイン管理サーバーコンポーネントは、1 つのプロセスで処理されます。 これにより、メモリ消費量と CPU 使用率が削減されます
    • ポリシーをインストールする際のルールベースの検証プロセスが改善されました。 したがって、アップグレード前に検証プロセスに合格したセキュリティポリシーは、アップグレード後に失敗する可能性があります。 アップグレード後に検証エラーメッセージが表示された場合は、ルールを手動で修正してください
    • 注 – R80.10 アップグレード検証および環境シミュレーションサービスを使用して、アップグレードシミュレーションを実行できます。 このサービスは、ポリシー検証の失敗の可能性について通知します
  • ログ、イベント、レポート
    • SmartConsole Logs&Monitor ビューの Logs タブは、SmartLog および SmartView Tracker に置き換わるものです。 [ログ]タブでは、簡単で高速な検索でログを検索できます。 検索結果は高速で、すぐにログレコードが表示されます
    • SmartEvent は、SmartReporter および SmartEvent Intro に代わるものです
    • スケジュールされたレポートは SmartConsole に統合され、SmartEvent のレガシー GUI からは利用できなくなりました
  • 脅威防止と IPS
    • 新しい IPS 最適化プロファイルは、推奨プロファイルを優れたセキュリティと改善されたセキュリティゲートウェイパフォーマンスに置き換えます。 推奨プロファイルでアップグレードする場合は、最適化プロファイルに変更することをお勧めします
    • 脅威防止権限プロファイルの追加の粒度: IPS アップデートの権限を設定します
    • ユーザーセンター認証は管理サーバーと同期され、ユーザーセンターに明示的にログインしなくても IPS および脅威防止の更新を許可します。 これは、更新を実行する権限を持つユーザーにのみ適用されます
    • 新しい IPS 保護は、デフォルトで「ステージング」としてマークされています。 ステージング構成は、Threat Prevention プロファイル > IPS から変更できます。 [保護] ビューからステージング保護を検索およびフィルタリングし、対応するログを表示できます。 これはフォローアップフラグに置き換わるものです
  • ソフトウェアブレード
    • Session Authentication と UserAuthority は、Identity Awareness に置き換えられました
    • R77 バージョンの [脅威の防止] タブと [アプリケーション制御] タブの一部であった概要が、[ログと監視] ビューに表示されるようになりました。 これには、SmartEvent のアクティブ化とライセンスが必要です
    • VPN トラディショナルモードは、VPN 簡易モードに置き換えられました

Known Limitations

Check Point R80.10 Known Limitations

Resolved Issues

Check Point R80.10 Resolved Issues

R80.20

What’s New

■パフォーマンスの向上

  • HTTPS 検査のパフォーマンスの向上
  • ハイエンドアプライアンス(13000、15000、21000、および 23000 セキュリティゲートウェイモデル)でのセッションレートの向上
  • ポリシーのインストール中、アクセラレーションはアクティブなままであり、SecurityGateway のパフォーマンスに影響を与えることはありません

●VSXゲートウェイ

  • 仮想システムごとに最大 32 の CoreXLFW インスタンスを利用して、仮想システムのパフォーマンスを大幅に向上させます
  • 動的ディスパッチャー: パケットは、現在のインスタンスの負荷に基づいて、さまざまな FW ワーカー(FWK)インスタンスによって処理されます
  • VSLS セットアップでの FW ワーカーインスタンス(FWK)の数を変更しても、ダウンタイムは必要ありません
  • SecureXL Penalty Box は、各仮想システムのコンテキストをサポートします。sk74520 を参照してください

■重要な改善と新機能

●高度な脅威防止

  • Threat Emulation は完全にサポートされています
  • 悪意のあるメールを処理するための SmartConsole のメール転送エージェント(MTA)の構成と監視機能が強化されました
  • SmartConsole での脅威エミュレーションとアンチウイルスディープスキャンを使用した ICAP サーバーの構成
  • SecurityGateway による IPS アップデートの自動ダウンロード
  • 複数の Threat Emulation プライベートクラウドアプライアンスに対する SmartConsole のサポート
  • 禁止されているファイルタイプを含むアーカイブをブロックするための SmartConsole サポート
  • Threat Extraction
    • ClusterXL HA の完全同期、フェイルオーバー後に元のファイルへのアクセスが可能になります
    • 外部ストレージのサポート
  • Advanced Threat Prevention Indicators (IoC) API
    • Advanced Threat Prevention Indicators(IoC)の管理 API サポート
    • 管理 API を介してインジケーターを追加、削除、および表示します
  • Advanced Threat Prevention Layers
    • Advanced Threat Prevention ポリシー内のレイヤー共有をサポートします
    • Advanced Threat Prevention レイヤーごとに異なる管理者権限の設定をサポートします
  • MTA (Mail Transfer Agent)
    • MTA 監視、電子メール履歴ビューと統計、現在の電子メールキューのステータス、およびキュー内の電子メールに対して実行されたアクション
  • MTA 構成の機能強化
    • ドメインオブジェクトをネクストホップとして設定します
    • セキュリティゲートウェイへの SMTP トラフィックを許可するアクセスルールを作成する機能
    • MTA 専用の Advanced Threat Prevention ルールを作成します
  • MTA enforcement の機能強化
    • 電子メール内の悪意のあるリンクを構成可能なテンプレートに置き換える
    • テキストの添付ファイルを置き換えるための構成可能な形式
    • 悪意のある電子メールの本文または件名にカスタマイズされたテキストを追加する機能
    • X ヘッダーを使用した悪意のあるメールのタグ付け
    • 悪意のある電子メールのコピーを事前定義された受信者リストに送信する
  • IPS を使用した R80.10 以降のセキュリティゲートウェイでのポリシーインストールパフォーマンスの改善
  • アンチボットの「疑わしいメールアクティビティ」保護のパフォーマンスへの影響が「」に変更され、デフォルトでオフになりました

●CloudGuard IaaS の機能強化

  • アマゾンウェブサービス(AWS)の自動セキュリティトランジット VPC: アマゾンウェブサービスで安全なスケーラブルなアーキテクチャを自動的にデプロイして維持します
  • Google Cloud Platform との統合
  • Cisco ISE との統合
  • Nuage Networks との統合
  • CloudGuard IaaS セントラルライセンスユーティリティによる自動ライセンス管理
  • SmartView に統合された監視機能
  • データセンターオブジェクトは、41000、44000、61000、および 64000 スケーラブルプラットフォームにインストールされたアクセスポリシールールで使用できるようになりました

●アクセスポリシー

  • 更新可能なオブジェクト – Office 365、Amazon Web Services、Azure GEO の場所などの外部サービスを表す新しいタイプのネットワークオブジェクトであり、アクセス制御ポリシーの [ソース]列と [宛先] 列で使用できます。 これらのオブジェクトは、ポリシーをインストールしなくても、Security Gateway によって動的に更新され、最新の状態に保たれます
  • 順次ではない一連の IP アドレスを表すアクセス制御のワイルドカードネットワークオブジェクト
  • マルチドメインサーバーの場合のみ:クロスドメインインストールターゲット(セキュリティゲートウェイまたはポリシーパッケージ)を使用したスケジュールされたポリシーインストールのサポート
  • ルールベースのナビゲーションとスクロールを強化するためのルールベースのパフォーマンスの向上
  • グローバル VPN コミュニティ(以前は R77.30 でサポートされていました)
  • アクセス制御ポリシーでの NAT64 および NAT46 オブジェクトの使用のサポート

●アイデンティティの認識

  • ID タグは、外部ソースによって定義されたタグの使用をサポートして、アクセスロールの一致でユーザー、グループ、またはマシンを強制します
  • Identity Agent の SSO 透過 Kerberos 認証の改善。LDAP グループは Kerberos チケットから抽出されます
  • ブラウザベースの認証のための 2 要素認証(キャプティブポータルでの RADIUS チャレンジ/レスポンスと RSA SecurID の次のトークン/次の PIN モードのサポート)
  • Identity Collector
    • Syslog メッセージのサポート: syslog 通知から ID を抽出する機能
    • NetIQ eDirectory LDAP サーバーのサポート
    • 追加のフィルターオプション:セキュリティゲートウェイごとのフィルター」および「ドメインによるフィルター
    • Identity Collector と Web API に関連する改善と安定性の修正
  • ターミナルサーバー ID エージェントの新しい構成コンテナー
  • ターミナルサーバーエージェントの Active Directory クロスフォレスト信頼サポート
  • 優先順位が付けられた PDP ゲートウェイへの Identity Agent の自動再接続
  • Security Management Server が Active Directory 環境に接続しておらず、Security Gateway が接続している場合、Security Management Server は Security Gateway を介して Active Directory に安全に接続できます

●HTTPS 検査

  • ハードウェアセキュリティモジュール(HSM)のサポート – アウトバウンド HTTPS 検査は、SSL キーと証明書をサードパーティの専用アプライアンスに保存します
  • HTTPS 検査の追加の暗号サポート(詳細については、sk104562 を参照してください)

●ミラーリングと復号化

  • HTTP および HTTPS トラフィックの復号化と複製
  • ミラーリングの目的で、指定されたインターフェイスにトラフィックを転送します

●クラスタリング

  • 新しい CCP ユニキャストモード: クラスタメンバーが CCP パケットをピアメンバーのユニキャストアドレスに送信する新しいモード
  • 新しい自動 CCP モード: CCP モードはネットワークの変更に適応し、ユニキャスト、マルチキャスト、またはブロードキャストモードはネットワークの状態に応じて自動的に適用されます
  • 強化されたクラスター監視機能
  • 強化されたクラスター統計およびデバッグ機能
  • 強化されたアクティブ/バックアップボンド
  • ボンドインターフェースを介した同期ネットワークのより多くのトポロジーのサポート
  • 改善されたクラスター同期とポリシーインストールメカニズム
  • 安定性を向上させるためのクラスターフェイルオーバーの新しい猶予メカニズム
  • Gaia Clish の新しいクラスターコマンド
  • RouteD(動的ルーティング)通信用の改善されたクラスタリングインフラストラクチャ

●Gaia OS

アップグレードされた Linux カーネル(3.10): セキュリティ管理サーバーにのみ適用されます。

  • 新しいファイルシステム(xfs)
    • 単一のストレージデバイスあたり 2TB 以上のサポート
    • 拡張されたシステムストレージ(最大 48TB)
  • I/O 関連のパフォーマンスの向上
  • システムのデバッグ、監視、構成のための新しいシステムツールのサポート
    • iotop(I/O ランタイム統計を提供します)
    • lsusb(USBに接続されているすべてのデバイスに関する情報を提供します)
    • lshw(すべてのハードウェアに関する詳細情報を提供します)
    • lsscsi(ストレージに関する情報を提供します)
    • ps(新しいバージョン、より多くのカウンター)
    • top(新しいバージョン、より多くのカウンター)
    • iostat(新しいバージョン、より多くのカウンター)

●高度なルーティング

  • AS-in-count を許可します
  • BGP 用の IPv6 MD5
  • IPv4 および IPv6 OSPF 複数インスタンス
  • IP 到達可能性検出と BFD マルチホップを含むゲートウェイと VSX の双方向フォワーディング検出(BFD)
  • OSPFv2 HMAC-SHA 認証(OSPFv2 MD5 認証に加えて)

●ICAP クライアント

  • 統合された ICAP クライアント機能

■セキュリティ管理の機能強化

●SmartConsole

  • SmartConsole での複数の同時セッション: 1人の管理者は、他のセッションとは関係なく、複数の SmartConsole プライベートセッションを公開または破棄できます
  • SmartConsole のアクセシビリティ機能
    • キーボードナビゲーション: キーボードのみを使用して、さまざまな SmartConsole フィールド間を移動する機能
    • すべての SmartConsole ウィンドウで、視覚障害者の色反転のエクスペリエンスが向上しました
    • 必須フィールドが強調表示されます

●ログと監視

  • Log Exporter: 標準のプロトコルと形式を使用して、Syslog を介して Check Point ログを任意のSIEM ベンダーにエクスポートするための簡単で安全な方法
  • セキュリティゲートウェイから直接ログをエクスポートする機能(以前はR77.30でサポートされていました)
  • 簡素化されたログ調査のための Security Gateway、SandBlast Agent、および SandBlast Mobile の統合ログ
  • ブラウザの拡張 SmartView
    • ログカード、列プロファイル、および統計を備えたログビューア
    • カスタムフィールドまたはすべてのフィールドを使用してログをエクスポートします
    • ビューの自動更新
    • 相対的な時間枠のサポート
    • カード、プロファイル、統計、フィルターを備えたログビューアーの改善
    • 6 つの言語(英語、フランス語、スペイン語、日本語、中国語、ロシア語)の I18N サポート
  • アクセシビリティのサポート: キーボードナビゲーションとハイコントラストテーマ

●SmartProvisioning

  • SmartProvisioning との統合(以前はR77.30でサポートされていました)
  • 1400 シリーズアプライアンスのサポート
  • 管理者は、SmartConsole と並行して SmartProvisioning を使用できるようになりました

●Mobile Access

  • reCAPTCHA のサポートにより、不正な自動ソフトウェアアクティビティが通常のポータル操作に干渉しないようにします
  • ハードウェアトークンなしのワンタイムパスワード(OTP)のサポート

●Endpoint Security Management Server

Endpoint Security Server は現在メイントレインの一部です。

  • SandBlast Agent、Anti-Exploit、Behavioral Guard ポリシーのサポート
  • 検疫からファイルを移動/復元するための SandBlast Agent プッシュ操作
  • ディレクトリスキャナーの初期スキャンと完全な再スキャンにかかる時間は大幅に短縮されます
  • オンライン自動同期(高可用性)の安定性とパフォーマンスの強化

Endpoint Security Management R77.30.03 リリース以降の次の機能が含まれています。

  • 新しいソフトウェアブレードの管理
    • SandBlast Agent Anti-Bot
    • SandBlast Agent Threat Emulation and Anti-Exploit
    • SandBlast Agent Forensics and Anti-Ransomware
    • Capsule Docs
  • 既存のソフトウェアブレードの新機能
    • Full Disk Encryption
      • Offline Mode
      • Self Help Portal
      • XTS-AES Encryption
      • New options for the Trusted Platform Module (TPM)
      • New options for managing Pre-boot Users
    • Media Encryption & Port Protection
      • New options to configure encrypted container
      • Optical Media Scan
    • Anti-Malware
      • Web Protection
      • Advanced Disinfection

●コンプライアンス

  • ユーザーは、スクリプトに基づいてカスタムのベストプラクティスを作成できます
  • 一般データ保護規則(GDPR)を含む 35 の規則のサポート

Known Limitations

R80.20 GA and R80.20 Management Feature Release Known Limitations

Resolved Issues

R80.20 GA and R80.20 Management Feature Release Resolved Issues
Small and Medium Business Appliances R80.20 Resolved Issues

R80.30

What’s New

■脅威の防止

●Web ダウンロードされたドキュメントの SandBlast Threat Extraction

  • 使いやすく、既存の Security Gateway で簡単に有効にでき、ネットワーク側またはクライアント側で構成を変更する必要はありません
  • Check Point のファイルサニタイズ機能である Threat Extraction を Web ダウンロードされたドキュメントに拡張します
    • サポートされているファイルの種類:Microsoft Word、Excel、PowerPoint、PDF形式
  • Threat Extraction は、アクティブなマルウェア、埋め込みコンテンツ、およびその他の潜在的に悪意のある部分をファイルからプロアクティブに削除することにより、ゼロデイ攻撃および既知の攻撃を防ぎます。 ビジネスフローを維持しながら、サニタイズされたコンテンツをユーザーに迅速に配信します
  • 安全であると判断された場合、元のファイルへのアクセスを許可します

●Web ダウンロードされたドキュメントの Endpoint Security Threat Extraction

  • エンドポイントとネットワークの互換性には、セキュリティゲートウェイまたはエンドポイントクライアントのいずれかによってファイルを 1 回だけ検査する新しいメカニズムが含まれています

●高度な Threat Prevention

  • Threat Prevention ログの高度なフォレンジックの詳細
  • カスタム CSV および Structured Threat Information Expression(STIX)を使用して、サイバーインテリジェンスフィードをセキュリティゲートウェイにインポートする機能
  • アンチウイルスおよび SandBlast Threat Emulation を使用した FTP プロトコル検査
  • SandBlast 脅威防止コンポーネントの安定性とパフォーマンスの向上
  • 統合された脅威防止ダッシュボードは、ネットワーク、モバイルデバイス、およびエンドポイント全体で脅威を完全に可視化します

●「マルウェアDNA」分析の可視性が向上

マルウェア分析がどのように実行されるか、およびファイルに悪意のあるものとしてフラグが立てられる理由についてのセキュリティ担当者の理解が向上しました。

脅威の詳細レポートには、マルウェア DNA が含まれるようになりました。これは、既知のマルウェアファミリの機能と同様の機能をさらに詳しく調査したものです。 類似性の強化された分析には、次のものが含まれます。

  • ふるまい
  • コード構造
  • ファイルの類似性
  • 悪意のある Web サイトおよび C&Cサーバーへの接続試行のパターン

●Threat Emulation の調査結果の要約レポートの完全なフェイスリフト

  • 再設計された Threat Emulation の調査結果レポートにより、よりモダンな外観になりました
  • このレポートには、世界中のマルウェアファミリーの出現の動的マップビューも含まれています
  • 詳細および可用性については、sk120357 を参照してください

●Threat Prevention API の機能強化

  • ローカルの Check Point アプライアンスでアンチウイルスによってスキャンされる API を介してファイルを送信する機能が追加されました。 この機能は、セキュリティゲートウェイと専用の Threat Emulation アプライアンスの両方でサポートされています
  • 詳細については、Threat Prevention API リファレンスガイドを参照してください

●Threat Emulation 用の新しく改善された機械学習エンジン

  • ドキュメントファイル内のマルウェア検出に焦点を当てた新しい機械学習エンジンを追加し、キャッチ率を最適に引き上げました

●障害が発生した場合の Threat Emulation と MTA アクションの動作の制御の強化

  • 管理者は、特定のエラーのさまざまな動作に対して Threat Emulation ポリシーを構成できます。管理者は、エラーの種類に基づいてファイル転送を許可するかどうかをきめ細かく決定できます
  • 管理者は、スキャンが失敗した場合に電子メールをブロックするように MTA ゲートウェイを構成すると(フェイルブロック)、特定の障害タイプの電子メールをユーザーに配信するように MTA をきめ細かく構成できるようになりました
  • 詳細および構成手順については、sk132492 および sk145552 を参照してください

●アンチウイルスサポートの機能強化

  • アンチウイルス保護は、MTA ゲートウェイを介して受信したファイルにデフォルトで適用されるようになりました。 これらの保護には、添付ファイルの署名、ハッシュ、リンクレピュテーションチェック、電子メール本文のリンクレピュテーションチェック、およびファイルタイプに基づく詳細な適用が含まれます

●追加の IOC のインポートの強化

  • MTA として構成されたゲートウェイは、外部ソースからのカスタムアンチウイルス IOC で強化できるようになりました
  • IOC は、ユーザーインターフェイスを介して手動でインポートできます
  • 自動進行中の IOC インポート用の外部フィードへのリンクは、構成の変更を介して追加できます
  • 詳細およびセットアップ手順については、sk92264 および sk132193 の記事を参照してください

●デフォルト以外の SMTP ポートのサポートの強化

  • デフォルト以外の SMTP ポート(25以外のポート)で電子メールを送受信するように MTA ゲートウェイを構成する機能が追加されました
  • 詳細および構成手順については、sk142932 を参照してください

●MTA の管理の強化

  • 電子メール内の添付ファイルまたはリンクの検査に失敗すると、すぐに失敗として扱われるようになりました
  • 以前は、これは MTA キューに電子メールを追加してアクションを再試行することで処理されていました。 検査の再試行の大部分も失敗するため、この変更によりキューのサイズが縮小され、MTA のパフォーマンスが向上します

■Security Gateway

●管理データプレーンの分離

  • セキュリティゲートウェイが管理ネットワークとデータネットワークのリソースとルーティングを分離できるようにします。 詳細については、sk138672 を参照してください

●SSL Inspection

  • サーバー名表示(SNI)
  • TLS Inspection と分類のための改善された TLS 実装。
  • 次世代バイパス: 検証済みサブジェクト名に基づく TLS Inspection

●追加の暗号スイートに対する TLS1.2 のサポート

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • X25519 楕円曲線
  • P-521 楕円曲線
  • ECDSA の完全サポート
  • 改善されたフェールオープン/クローズメカニズム
  • 検証のための改善されたロギング
  • サポートされている暗号スイートの完全なリストについては、sk104562 を参照してください。

●IPsec VPN

  • サードパーティの VPN ピアで Dead Peer Detection(DPD)を使用した複数のエントリポイント構成の冗長性
  • トラブルシューティング機能が改善され、VPN および VPN ピアごとにのみアクセラレーションを無効にできるようになりました。 詳細については、sk151114 を参照してください

●高度なルーティング

  • Multihop Ping and Multiple ISPs in Policy-Based Routing
  • Multihop Ping in Static Routes
  • BFD in Static Routes
  • VSX VSID in Netflow

●ClusterXL

  • クラスター同期ネットワークのセキュリティを強化するためのクラスター制御プロトコル(CCP)暗号化のサポート

■Security Management Server

SMB

  • 新しい 1500 アプライアンスシリーズは、R80.30 セキュリティ管理 Jambo Hotfix Accumulator Take#107 および SmartConsole ビルド 36 で管理できます

Central Deployment Tool (CDT)

  • このリリース以降、CDT バージョン 1.6.1 が Gaia に組み込まれています。 詳細については、sk111158 を参照してください。

SmartConsole Extensions

  • 使用するツールを SmartConsole に統合するか、SmartConsole 内のパネルおよびビューとしてサードパーティのツールを追加することにより、必要に応じて Check Point の SmartConsole を拡張およびカスタマイズします。 詳細については、 『SmartConsole Extensions 開発者ガイド』を参照してください

Endpoint Security

  • エンドポイントポリシーサーバーが同期していないときに電子メールアラートを受け取る
  • エンドポイントポリシーサーバーの CPUSE アップグレード

Full Disk Encryption

  • 同じクライアントコンピューターを使用するプリブートユーザーの数が 1000 に増加しました

以下の R80.20.M2 のすべての新機能がこのリリースに統合されています:

  • CloudGuard Controller
    • VMware vCenter タグのデータセンターオブジェクトをサポートします
    • VMware NSX ユニバーサルセキュリティグループのデータセンターオブジェクトをサポートします
  • CPView
    • マルチドメインセキュリティ管理の CPView サポート
    • CPView メトリックの SNMP サポート
  • SmartConsole
    • 運用効率: オブジェクトエディタ内のグループにオブジェクトを追加およびグループから削除します
    • ロギングとモニタリング: ログを Splunk にエクスポートするための改善された、よりシンプルでより高速なユーザーエクスペリエンス
  • Advanced Threat Prevention
    • ネットワーク、モバイル、エンドポイント全体で脅威を完全に可視化する統合脅威防止ダッシュボード

Known Limitations

Check Point R80.30 Known Limitations

Resolved Issues

Check Point R80.30 Resolved Issues

R80.40

What’s New

このリリースには、次のような革新と重要な改善が含まれています。

  • SmartTasks: 事前定義またはカスタマイズ可能なアクションを使用して日常業務を自動化します
  • 専用の HTTPS ポリシーレイヤー: Gen V 攻撃からの暗号化されたトラフィックを防ぎます
  • ゼロタッチ展開: 新しいゲートウェイをインストールするために数時間から数分
  • IoT Security Manager: IoT デバイスを識別し、それらの属性を IoT セキュリティポリシーにシームレスに変換します

このリリースの新機能

■IoT セキュリティ

  • 認定された IoT 検出エンジンから IoT デバイスとトラフィック属性を収集します
    • 現在、Medigate、Cyber​​MDX、Cynerio、Claroty、Indegy、SAM、Armis をサポートしています
  • ポリシー管理で新しい IoT 専用ポリシーレイヤーを構成します
  • IoT デバイスの属性に基づくセキュリティルールを構成および管理します

■HTTPS 検査

●HTTP/2

HTTP/2は、HTTP プロトコルのアップデートです。このアップデートでは、速度、効率、セキュリティが向上し、ユーザーエクスペリエンスが向上します。

  • Check Point の Security Gateway は、HTTP/2をサポートするようになり、すべての脅威防止ブレードとアクセス制御ブレード、および HTTP/2 プロトコルの新しい保護により、完全なセキュリティを確保しながら、速度と効率を向上させることができます
  • サポートは、クリア暗号化トラフィックと SSL 暗号化トラフィックの両方をサポートし、HTTPS インスペクション機能と完全に統合されています

●HTTPS検査 レイヤー

  • HTTPS 検査専用の SmartConsole の新しいポリシーレイヤー
  • さまざまなポリシーパッケージでさまざまな HTTPS 検査レイヤーを使用できます。
  • 複数のポリシーパッケージ間での HTTPS 検査レイヤーの共有
  • HTTPS 検査操作用の API 

■脅威の防止

さまざまなモード向けに最適化されたセキュリティと生産性: Threat Extraction は Threat Emulation と連携して、セキュリティを損なうことなくユーザーの生産性を向上させます。

  • Background Mode は Rapid Delivery と呼ばれるようになり、3 秒のエミュレーションウィンドウ内でさらに多くの悪意のあるファイルを防止します
  • Hold Mode は Maximum Prevention と呼ばれるようになり、生産性が向上して、Threat Extraction でクリーンアップされたすべてのドキュメントがエンドユーザーに迅速に配信されるようになりました。Maximum Security は、セキュリティを損なうことなく、ユーザーが待機する時間を最小限に抑えます

詳細については、 『R80.40 Threat Prevention Administration Guide』の「Advanced Threat Emulation Settings」の章を参照してください。

●Threat Extraction

  • 自動エンジン更新: Threat Emulation エンジンの自動更新と同様に、ゲートウェイで Threat Extraction の更新を自動的に受信できるようになりました。ホットフィックスまたはメジャーバージョンに更新する必要はありません。セキュリティの改善、新機能などは介入を必要としません

●アンチウイルスと SandBlast Threat Emulation

  • MITERATT&CK™ レポート: Threat Emulation フォレンジックレポートに、悪意のある実行可能ファイルごとに検出された攻撃者の戦術と手法を含む詳細な MITRE ATT&CK マトリックスが含まれるようになりました
  • アーカイブファイルのサポートの強化: アーカイブファイルの処理が大幅に改善されました
    • .7z および .rar を含む、サポートされているすべてのファイルタイプのパスワード保護のサポート。詳細については、sk112821 を参照してください
    • パスワードで保護されたアーカイブをエミュレーション用に開くときに、パスワードを自動的に「推測」するための改善されたメカニズム
    • パスワードに Unicode 文字が含まれている場合の、パスワードで保護されたアーカイブのサポートが追加されました
    • 安定性の向上
  • ファイルが埋め込まれたドキュメントのエミュレーション判定の高速配信
  • パスワードで保護されたドキュメントのサポートの強化
    • 管理者は、パスワードで保護されたドキュメントのデフォルトのアクションを構成できるようになりました。このようなファイルがエミュレートされる場合、ファイルはデフォルトで許可またはブロックされます。デフォルトのアクションを構成するには、sk132492 の指示に従います
  • 新しいファイルタイプとプロトコル
    • ネストされた MSG ファイルからの添付ファイル: Threat Emulation は、他の MSG ファイルに添付するファイルのエミュレーションをサポートするようになりました
    • 新しいアーカイブ形式のサポート: WIM、CHM、CramFS、DMG、EXT、FAT、GPT、HFS、IHEX、MBR、MSI、NSIS、NTFS、QCOW2、RPM、SquashFS、UDF、UEFI、VDI、VHD、VMDK、LZH、 ARJ、CPIO、AR
    • SCP および SFTP ファイル転送は、SSH ディープパケットインスペクションを使用してスキャンできます
    • SMBV3 マルチチャネル接続: マルチチャネルファイル転送は、すべての Windows オペレーティングシステムでデフォルトでオンになっています。Check Point Gateway は、マルチチャネル接続を介したSMBv3(3.0、3.0.2、3.1.1)を介した大きなファイル転送を検査する市場で唯一のゲートウェイです
  • エミュレートされたアーカイブファイルの拡張ログ
    • アーカイブファイルログには、内部のすべてのファイルの名前が含まれています
    • アーカイブから抽出されたファイルごとに、エミュレーション結果とともに新しいログが生成されます。このログには、アーカイブファイルの名前が含まれています。ログは、アーカイブファイルとそれに含まれるファイルのログとの間で簡単に関連付けられます
  • SHA-256 IOC のインポート-アンチウイルスは、侵入の痕跡(IOC)として SHA-256 ハッシュをサポートするようになりました。管理者は、SHA-256 IOC を手動でインポートするか、ゲートウェイを SHA-256 IOC のライブフィードに接続できます。詳細については、sk132193 を参照してください
  • Threat Emulation API 証明書の置き換え: 管理者は、Threat Emulation API 呼び出しに使用する独自の証明書を Threat Emulation アプライアンスにアップロードできるようになりました。詳細については、sk160693 を参照してください

●電子メールのセキュリティ

  • POP3 および IMAP プロトコルのサポートの強化: アンチウイルスおよび SandBlast Threat Emulation は、POP3 プロトコルを介した電子メールの検査をサポートし、IMAP プロトコルを介した電子メールの検査を改善するようになりました
  • BaseStriker に対する保護の強化: MTA ゲートウェイは、BaseStriker 技術を使用する URL を持つ悪意のある電子メールから保護するようになりました
  • バウンスメッセージの動作の変更: MTA の設定を変更して、宛先に到達したかどうかに関係なく、バウンスメッセージを1回だけ送信しようとするようにします
  • 短縮リンクの背後にあるファイルの Threat Emulation 検査の強化: 電子メールの本文には、ファイルを指すカスタマイズされた Bitly リンクが含まれる場合があります。このリリースでは、Threat Emulation がこれらのリンクの背後にあるファイルをスキャンして、ゼロデイ攻撃を検出します。この機能を使用するには、脅威エミュレーションとアンチウイルスを有効にする必要があり、セキュリティゲートウェイ用に MTA を構成する必要があります
  • [早期利用可能] クリック時の URL 保護: MTA ゲートウェイは、受信メールのリンクを書き換えることができるようになりました。ユーザーがそれらをクリックすると、リンクの背後にあるリソース(Webサイトまたはファイル)が再度検査されます。これにより、攻撃者が電子メールの配信後にリンクの背後にあるリソースを置き換える遅延攻撃を防ぎます
  • [早期利用可能]フィッシング対策エンジン: MTA ゲートウェイは、新しい最先端のフィッシング対策エンジンを導入します。この設計は、高度なフィッシング、スピアフィッシング、および標的型フィッシング攻撃を警告し、防止します

●その他の機能強化

  • 動的オブジェクト、ドメインオブジェクト、および更新可能なオブジェクトは、脅威防止およびHTTPS 検査ポリシーで使用できます
  • ドメインオブジェクトエンチャント: DNSパッシブラーニング。詳細については、sk161612 を参照してください

■アクセス制御

●アイデンティティの認識

  • SAML2.0 およびサードパーティの ID プロバイダーとのキャプティブポータル統合のサポート
  • PDP 間での ID 情報のスケーラブルで詳細な共有、およびクロスドメイン共有のためのIdentity Broker のサポート
  • スケーリングと互換性を向上させるためのターミナルサーバーエージェントの機能強化

●IPsec VPN

  • 複数の VPN コミュニティのメンバーである Security Gateway でさまざまな VPN 暗号化ドメインを構成します。これは以下を提供します:
    • プライバシーの向上: 内部ネットワークは IKE プロトコルネゴシエーションでは開示されません
    • セキュリティと粒度の向上: 指定した VPN コミュニティでアクセスできるネットワークを指定します
    • 相互運用性の向上: ルートベースの VPN 定義が簡素化されました(空の VPN 暗号化ドメインを使用する場合に推奨されます)
  • 大規模 VPN(LSV)環境: LSVプロファイルを使用すると、中央の Security Gateway で使用されるのと同じ CA 証明書を提供するだけで、外部管理 VPN ピアとサードパーティ VPN ピアをシームレスに接続できます

●URL フィルタリング

  • スケーラビリティと復元力の向上
  • 拡張されたトラブルシューティング機能

●アプリケーション制御

  • パフォーマンス、診断、および監視ツールの改善

●NAT

  • 強化された NAT ポート割り当てメカニズム: 6 つ以上の CoreXL ファイアウォールインスタンスを備えたセキュリティゲートウェイでは、すべてのインスタンスが同じ NAT ポートのプールを使用し、ポートの使用率と再利用を最適化します
  • CPView および SNMP を使用した NAT ポート使用率の監視

●ボイスオーバーIP(VoIP)

  • 複数の CoreXL ファイアウォールインスタンスが SIP プロトコルを処理して、パフォーマンスを向上させます

●リモートアクセス VPN

  • マシン証明書認証: マシン証明書を使用して、企業資産と非企業資産を区別し、企業資産のみへのアクセスを制限する機能を追加します。強制は、ログオン前(デバイス認証のみ)またはログオン後(デバイスとユーザーの認証)にすることができます

●モバイルアクセスポータルエージェント

  • モバイルアクセスポータルエージェント内のエンドポイントセキュリティオンデマンドを強化して、すべての主要な Web ブラウザをサポートします。詳細については、sk113410 を参照してください

●モバイルアクセス

  • モバイルアクセスブレードでの SMBv2/3 マウントのサポート

■Security Gateway と Gaia

●CoreXL とマルチキュー

  • Security Gateway は、現在のトラフィック負荷に基づいて、CoreXL SND とファイアウォールインスタンスの数、およびマルチキュー構成を自動的に変更します。詳細については、R80.40パフォーマンスチューニング管理ガイドをご覧ください。
  • 優先キューはデフォルトで有効になっています。詳細については、sk105762 を参照してください

●クラスタリング

  • マルチバージョンクラスタリング(MVC): ClusterXL は、メンバー間の冗長性と状態の同期をサポートするアップグレードシナリオ中に、異なるソフトウェアバージョンでクラスターメンバーを実行する標準クラスターのように機能します
  • 新しいClusterXLモード: アクティブ-アクティブ、アクティブ状態での複数のクラスターメンバーの実行をサポートし、各メンバーは分離されたルーティングドメインの一部であり、独自のトラフィックを処理し、フェイルオーバー中に冗長性が維持されます
  • アクティブ-アクティブモードでのジオクラスタリング: 同期インターフェイス上のメンバー間の L3 通信を可能にしながら、異なるサブネットでのクラスター同期インターフェイスの構成をサポートします。L2 接続とクラスターメンバー間の信頼できるネットワーク(アクティブ-アクティブモードでの作業中)の要件が廃止されました
  • 任意の数のクラスターメンバーに対するユニキャストモードでのクラスター制御プロトコル(CCP)のサポートにより、CCP ブロードキャスト、マルチキャスト、または自動モードが不要になります
  • VMAC の構成では、NIC を無差別モードに変更する必要はありません
  • 複数のクラスターが同じサブネットに接続されている場合の MAC マジック構成の必要性を排除しました
  • Cluster Control Protocol 暗号化がデフォルトで有効になりました

●VSX

  • GaiaPortal での CPUSE による VSX アップグレードのサポート
  • VSLS でのアクティブアップモードのサポート
  • 各仮想システムの CPView 統計レポートのサポート

●ゼロタッチ

  • アプライアンスをインストールするためのシンプルなプラグアンドプレイセットアッププロセス: 技術的な専門知識の必要性を排除し、初期構成のためにアプライアンスに接続する必要がありません

●Gaia REST API

  • Gaia REST API は、Gaia オペレーティングシステムを実行するサーバーに情報を読み取って送信するための新しい方法を提供します。sk143612 を参照してください

●CloudGuard IaaS

  • AWS データセンターの機能強化
    • ロードバランサー(ALBおよびNLB)オブジェクトがサポートされています
    • セキュリティグループは、タグの使用をサポートしています
    • サブネットオブジェクトには、関連するすべてのネットワークインターフェイスからの IP アドレスが含まれます
  • Azure データセンターの改善
    • ロードバランサー(パブリックおよび内部)オブジェクトがサポートされています
    • ロードバランサー、仮想ネットワーク、およびネットワークセキュリティグループは、タグの使用をサポートしています
    • サブネットオブジェクトには、内部ロードバランサーのフロントエンド IP アドレスが含まれます

●高度なルーティング

  • OSPF と BGP の機能強化により、OSPF インスタンスごとの OSPF ネイバー隣接関係と、ピアごとの BGP ピアリングをリセットして再起動できます
  • ルートリフレッシュを強化して、BGP ルーティングの不整合の処理を改善します

●新しいカーネル機能

  • アップグレードされた Linux カーネル
  • 新しいパーティションシステム(gpt)
    • 2TB を超える物理/論理ドライブをサポート
  • より高速なファイルシステム(xfs)
  • より大規模なシステムストレージのサポート(最大 48TB のテスト済み)
  • I/O 関連のパフォーマンスの向上
  • マルチキュー: マルチキューコマンドの完全な Gaia Clish サポート
  • NFSv4(クライアント)サポートが追加されました(NFS v4.2 が使用されるデフォルトの NFS バージョンです)
  • システムのデバッグ、監視、構成のための新しいシステムツールのサポート

■セキュリティ管理

●SMB

  • 1500 アプライアンスシリーズは、R80.40 Security Managemant Server と R80.40 SmartProvisioningで管理することができます

●アップグレード

  • 管理サーバーのアップグレードに関する新しいレポートが利用可能です
  • レポートには現在のステータスと進行状況が表示され、ターゲットマシンの
    • $ MDS_FWDIR/log/upgrade_report-<timestamp>.html
  • の下にあります。CPUSE アップグレードの場合、レポートは Gaia の WebUI の CPUSE セクションで入手できます

リビジョンに戻す

  • Security Management Server アーキテクチャは、組み込みのリビジョンをサポートします
  • 各公開操作は、前のリビジョンからのデルタのみを含む新しいリビジョンを保存し、ドメインまたは管理サーバーを既知のリビジョンに復元することにより、危機からの安全な回復を可能にします

●マルチドメインサーバー

  • マルチドメインサーバー上の個々のドメイン管理サーバーをバックアップおよび復元します
  • マルチドメインセキュリティ管理を 1 つのマルチドメインサーバーから別のマルチドメインサーバーに移行します
  • セキュリティ管理サーバーを移行して、マルチドメインサーバー上のドメイン管理サーバーになります
  • ドメイン管理サーバーを移行して、セキュリティ管理サーバーにします

●SmartTasks と API

  • DevOps チームは、セキュリティを自動化し、Ansible と Terraform を使用してセキュリティをDevSecOps ワークフローに変換できます。脅威に対するセキュリティ対応を自動化し、物理ファイアウォールと仮想化された次世代ファイアウォールの両方をプロビジョニングし、日常的な構成タスクを自動化して、時間を節約し、構成エラーを減らします
  • 自動生成された API キーを使用する新しい管理 API 認証方法
  • クラスタオブジェクトを作成するための新しい管理 API コマンド
  • SmartTasks: セッションの公開やポリシーのインストールなどの管理者タスクによってトリガーされる自動スクリプトまたは HTTPS 要求を構成します
  • Batch API を使用した複数のオブジェクトの [設定/編集/削除] コマンドのパフォーマンスが大幅に向上しました

●CloudGuard コントローラー

  • CloudGuard Controller のログとイベントに基づいてイベントと自動反応を生成します
  • 外部データセンターへの接続のパフォーマンスが向上しました
  • 統合 VMware の NSX-T
  • データセンターサーバーオブジェクトを作成および編集するための追加の API コマンドのサポート

●SmartConsole

  • SmartConsole から、または API を介したジャンボホットフィックスアキュムレータとホットフィックスの中央展開により、複数のセキュリティゲートウェイとクラスターの並行インストールが可能になります
  • オブジェクト検索: ワイルドカードを使用した部分的な単語検索のサポート
    • 例:USGlobalHost という名前の既存のホストを [* oba] で検索すると一致が返されます

●SmartEvent

  • SmartView のビューとレポートを他の管理者と共有します

●ログエクスポータ

  • フィールド値に従ってフィルタリングされたログをエクスポートします
  • SIEM 互換の脅威エミュレーションおよびフォレンジックレポートを生成します

■エンドポイントセキュリティ

  • ログの収集プッシュ操作: ログとデバッグ情報を FTP サーバーに自動的にアップロードします
  • フルディスク暗号化による BitLocker 暗号化のサポート
  • Endpoint Security クライアント認証および Endpoint Security Management Server との通信のための外部認証局証明書のサポート
  • 展開用に選択した機能に基づいた Endpoint Security Client パッケージの動的サイズのサポート
  • ポリシーは、エンドユーザーへの通知のレベルを制御できるようになりました
  • マルウェアのスキャン時間をランダム化して、すべてのコンピューターが同時にスキャンを実行しないようにします。これにより、ネットワークパフォーマンスが多数の同時スキャンの影響を受けないようになります
  • チャレンジ/レスポンスプロセスを使用して Endpoint Security クライアントをアンインストールします
  • Gaia Backup には、エンドポイント管理コンポーネントが含まれています
  • すべてのクライアント/サーバー通信は HTTPS を使用します
  • Endpoint Security クライアントは、IP アドレスに加えて FQDN を使用して Endpoint Security Management Server に接続できます。

Known Limitations

Check Point R80.40 Known Limitations

Resolved Issues

Check Point R80.40 Resolved Issues

参考資料

―――――――――――――

タイトルとURLをコピーしました