R81
What’s New
■イントロダクション
R81 の新機能には次のものが含まれます。
- Infinity Threat Prevention は、業界初の自律型脅威防止システムであり、ポリシーを常に最新の状態に保つ、高速で自己主導のポリシー作成とワンクリックのセキュリティプロファイルを提供します
- ポリシーは数秒でインストールされ、アップグレードはワンクリックで済み、ゲートウェイは数分で同時にアップグレードできます
- TLS1.3 や HTTP/2 などの最新の標準を利用した暗号化されたトラフィックの安全な接続を特徴としています
- スケーラブルプラットフォームソフトウェアは R81 サイバーセキュリティプラットフォームと連携し、Check Point Maestro に機能の同等性をもたらします
■Infinity Threat Prevention
Infinity Threat Prevention は、次のような革新的な管理モデルです。
- ゼロデイ脅威からのゼロメンテナンス保護を提供し、継続的かつ自律的に、最新のサイバー脅威と防止テクノロジーで保護を最新の状態に保ちます
- 管理者は、ビジネスおよび IT セキュリティのニーズに基づいたすぐに使用できるポリシープロファイルを利用できます
- ゲートウェイ間でのポリシープロファイルの設定と展開を合理化します
- 組織のニーズに最適な、シンプルで強力なカスタマイズを提供します
●Threat Prevention
- Smart Console を介してカスタムインテリジェンスフィードを管理します。Security Gateway によってフェッチされた IoC フィードを追加、削除、または変更し、CSV または STIX 1.x 形式でファイルをインポートします
- Threat Emulation とアンチウイルスに加えて、Threat Extraction が ICAP サーバーモードでサポートされるようになりました
- 送信元 IPv4 および IPv6 アドレスに基づくインジケーターとしての IoC の使用が改善されました
■Security Gateway と Gaia
スケーラブルなプラットフォームは、R81 の一般提供およびジャンボホットフィックスアキュムレータと連携して、最新の拡張機能とバグ修正を提供し、R81 で導入されたほとんどの新機能をサポートします。 詳細については、sk169954 を参照してください。
●HTTPS Inspection
- HTTPS インスペクションは、アウトバウンド HTTPS インスペクションの暗号化キーと証明書を HSM サーバーに保存することにより、FutureX ハードウェアセキュリティモジュール(HSM)をサポートします
- SSL インスペクションのための TLS1.3 の実装
- TLS 1.3 はデフォルトでオフになっており、ユーザースペースファイアウォール(USFW)がアクティブな場合にのみ適用できます。USFW をサポートするアプライアンスのリストについては、Appliance Support for User Space Firewall (USFW) を参照してください
- ハードウェアセキュリティモジュール(HSM)は TLS1.3 ではサポートされていません
●Access Control
- Generic Data Center
- アクセス制御、NAT、Threat Prevention、HTTPS インスペクションルールの [送信元] 列と[宛先] 列で汎用データセンターオブジェクトを使用して、外部 Web サーバーで定義された IP アドレスへのアクセス、または IP アドレスからのアクセスを強制します
- オブジェクトで定義された IP アドレスは、ポリシーをインストールしなくても自動的に更新されます
- UserCheck オブジェクトで無制限の数の言語をサポートします
●Policy Installation
- Accelerated Policy Installation
- 一般的なユースケースを最適化し、インストールを大幅に高速化する新しいアクセス制御ポリシーのインストールフロー
- ポリシーのインストールは、最後のインストール以降にアクセス制御ポリシーに加えられた変更に基づいて加速されます
- Accelerated Policy Installation の詳細については、R81 Security Management Administration Guide を参照してください
- Concurrent Security Policy installation
- 1 人以上の管理者が、複数のゲートウェイで同時に異なるポリシーの複数のインストールタスクを実行できます
●NAT Rule Base
- ドメインオブジェクト、更新可能なオブジェクト、セキュリティゾーン、アクセスロール、およびデータセンターオブジェクトのサポート
- NAT ルールのヒットカウント
●Identity Awareness
- Identity Awareness に対する Azure Active Directory のサポート
- Identity Awareness Access ロールピッカーを使用して、Azure AD ユーザーとグループを認証および承認します
- Identity Awareness ネストされたグループ
- 1 つのクエリで LDAP アカウントユニットで指定されたブランチからユーザーが属するすべてのグループを検出します
- ID認識のセキュリティID(SID)サポート
- アクセスロールポリシーを変更することなく、ユーザーとグループを別の LDAP 組織単位に移動します
セキュリティID(SID)機能はデフォルトでオフになっています。
●IPsec VPN
- 単一の VPN コミュニティで外部ゲートウェイ用に multiple ciphers を設定する機能。 2 つの特定の VPN ピア間で granular encryption 方式を使用します
- SHA-512 暗号化方式のサポート
●Mobile Access
- ユーザーエクスペリエンスが向上した、斬新でモダンなユーザーインターフェイス
- スキャン結果を再設計
- SNX 接続ポップアップを廃止
- 英語を話さない人のためのより優れたアクセシビリティ
- メインページウィンドウを失うことなく、すべてのアプリケーションを別々のタブで起動
- ワンクリックサインアウト
- ブランドアイデンティティを簡単に利用するための簡素化されたカスタマイズ
- すべての主要なプラットフォームで実行されるメインストリームブラウザの完全サポート
- Apache Guacamole™ ソフトウェアスイートを使用した、Mobile Access Blade のブラウザポータルを介したクライアントレス RDP および SSH アクセス
- パーソナライズされたポータルリンク表示とアクセス制御のために、エンドユーザーをオフィスのデスクトップにマッピングできるようにするカスタム AD 属性のサポート
●Clustering
- クラウド環境向けの HA モードのジオクラスター
- 同期インターフェース上のメンバー間の L3 通信を可能にしながら、異なるサブネット上のクラスター同期インターフェースの設定をサポート
- L2 接続とクラスターメンバー間の信頼できるネットワーク(まだ利用可能ですが)は必須ではなくなりました
●VSX
- VSX VSLS モードで仮想ルーターを設定
- VSX VSLS モードでマルチブリッジを設定
- VSX の標準仮想システムでブリッジインターフェイスを設定
- ブリッジインターフェイスを備えた仮想システムで Threat Emulation および Identity Awareness ソフトウェアブレードを使用
- VSX ゲートウェイと VSX を設定
- 管理 REST API を使用してオブジェクトをクラスター化
- VSX モードで仮想トンネルインターフェイス(VTI)を介して動的ルーティング VPN を設定
- 仮想システムごとに独立した QoS、DNS、およびプロキシサーバー設定
- VSX_util ツールを使用して、VSX 管理オブジェクトを以前のバージョンにダウングレード
●Acceleration
- IPsec VPN トラフィックの拡張されたマルチキュー配信
●Remote Access VPN
- ビジターモードでのリモートアクセス VPN クライアントのパフォーマンスが大幅に向上
- さまざまな Linux ディストリビューションでの strongSwan IPsec クライアントのサポート
●Gaia OS
- スケジュールされた Gaia スナップショット
- Gaia スケジュールスナップショットを使用して、設定を自動的にバックアップおよびエクスポート
- 追加サポート
- Google Compute Engine 仮想ネットワークインターフェース(gVNIC)
- 追加のトンネリングプロトコル
- Virtual Extensible LAN (VXLAN)
- Generic Routing Encapsulation (GRE)
- CLISH および GaiaPortal を介した Link Layer Discovery Protocol(LLDP)設定
- IP conflict detection
- ネットワーク内にある重複する IP アドレスを監視および検出
- 管理および同期インターフェース用のマルチキュー
●Gaia REST API
- 初期設定ウィザードでデバイスを Security Gateway / Security Management Server / Multi-Domain Server / Log Server として設定するための API
- IPv6 ステータスの制御
●Advanced Routing
- 追加の動的ルーティング機能の機能強化
- OSPFv3 プロトコルセキュリティ用の OSPFv3 AH 認証
- IPv6 ルートアグリゲーション
- パフォーマンスとスケーリングを向上させるために、隣接ルーターにアドバタイズされるプレフィックスの数を減らします
- IPv4/IPv6 NAT プールルート
- NAT プールルートを設定し、ルーティングプロトコルに再配布します
- ルーティング情報プロトコル(RIP)ルート同期
- PIM 再起動機能
- VxLAN インターフェイスの BGP サポート
- GRE インターフェイスの動的ルーティングサポート
■CloudGuard IaaS
●CloudGuard Controller
- データセンタークエリオブジェクト
- クエリを作成するときに、データセンターオブジェクトを使用してセキュリティポリシーで複数のデータセンターを表します
- これにより、データセンターを管理する責任をより簡単かつ効率的に分割できます
- 新しいデータセンターのサポート
- Kubernetes データセンター
- Kubernetes クラスターの CloudGuard コントローラーサポートが追加されました
- 管理者は、Kubernetes North-South トラフィックに対して Kubernetes 対応のセキュリティポリシーを作成できるようになりました
- VMware vCenter version 7
- Kubernetes データセンター
- CloudGuard Controller は、すべてのデータセンターへの接続にシステムプロキシを使用できます
- 「Cloud」と呼ばれる SmartConsole のオブジェクトエクスプローラーの新しいオブジェクトカテゴリは、すべてのデータセンター、データセンターオブジェクト、およびデータセンタークエリを 1 つに集約します
●CloudGuard Data Centers
- VMware NSX-T を使用したEast-West デプロイメント向けの CloudGuard IaaS の統合
■Security Management
●Central Deployment
- SmartConsole を使用して次のことを行います
- メジャーバージョン間でセキュリティゲートウェイとクラスターをアップグレード
- VSX ゲートウェイと VSX クラスターをアップグレード
- オフラインパッケージをインストール
- インストールパッケージをセキュリティ管理サーバーにインポートしてターゲットに配布するためにセキュリティゲートウェイをインターネットに接続する必要はありません
●Multi-Domain Server
- マルチドメイン管理サーバーデータベース全体でオブジェクトを検索するための Cross-Domain Management Server Search
- セキュリティ管理サーバーを使用した High Availability for Domain Management Server
- セキュリティ管理サーバーは、Management High Availability セットアップでスタンバイまたはアクティブなセキュリティ管理として動作できます
- マルチドメイン環境の個々のドメインに専用のログサーバーと専用の SmartEvent サーバーを設定
●Management REST API
- Management REST API の一般的なパフォーマンスの向上
- セキュリティ管理サーバーへの負荷を防ぐための、ログインコマンドの API スロットリング
- 新しい API コマンド
- ユーザー管理、IDタグ、マルチドメインサーバー、高可用性、自動パージなど
- 詳細については、Check Point API reference 参照
- Security Management Server を使用して、ゲートウェイ上で REST API コマンドを実行
●SmartConsole
- 管理者が SmartConsole で認証するときに冗長性を利用するための複数の TACACS サーバーのサポート
- 変更レポート
- 2 つのリビジョン間の変更を一覧表示するか、プライベートセッション中に実行された変更を一覧表示するレポートを生成します
- ライセンス管理
- 管理者は、SmartConsole を介してライセンスを表示、追加、および削除できるようになりました
- SmartConsole での CloudGuard Edge 設定のサポート
●SmartEvent
- MITER 防御モデルに従ってセキュリティ問題を調査し、緩和フローに基づいて即時アクションアイテムを抽出するための新しい MITRE ATT&CK ビュー
●Management Server Upgrade
- セキュリティ管理サーバーの R80.20 以降から R81 へのアップグレードプロセスでパフォーマンスが大幅に向上しました
●Logging and Monitoring
- API を介してログをフェッチするログクエリ用の新しい API。 単一の API 管理コマンドを使用して、ログまたは統計を照会します
- ログのインデックス作成、クエリ、SmartEvent のビューとレポートが大幅に改善されました
- ミリ秒のタイムスタンプでログをエクスポートして、イベントのチェーンをより簡単かつ効率的に構築します
- Log Exporter またはログ用の API を使用してログ添付ファイルを自動的に取得する Log attachment API
■Endpoint Security
- SandBlast Agent Web Management
- Endpoint Threat Prevention コンポーネント用の新しい Web ベースの管理インターフェイス
最高のユーザーエクスペリエンスを得るには、Google Chrome で SandBlast Agent Web Management を使用することをお勧めします。
- エンドポイント管理コンポーネントがアクティブ化されている場合、管理サービスとの通信はポート 4434 ではなくポート 443 のままになります
- 非永続 VDI 環境をサポートするための共有署名ロケーションのマルウェア対策サポート
- SandBlast Agent Browser Extension の URL フィルタリング機能を管理する
- アプリケーション制御ポリシーの変更
- 製品ごとにマルチバージョンをサポートし、アプリケーションを終了して WSL をブロックします(Linux 用の Windows サブシステム)
- 開発者コンピューター用の開発者保護の新しいセット
- Windows Server Update Services(WSUS)とのコンプライアンス統合
- Web リモートヘルプ(WebRH)の TACACS 認証
- メディア暗号化とポートプロテクション
- ファイルからデバイスオーバーライドをインポートします
Software Changes
このセクションでは、以前のバージョンとの動作の違いを示します。
- 2 つの Threat Prevention のデフォルトが変更され、お客様が製品から得るセキュリティの価値がさらに高まります
- Threat Emulation はデフォルトで実行可能ファイルをスキャンするようになりました
- Web の Threat Extraction がデフォルトで有効になります
これを有効にするには、関連するセキュリティゲートウェイで SandBlast Threat Emulation と Threat Extraction が有効になっていることを確認してください。
- SmartConsole を使用して、アンチウイルスおよび SandBlast Threat Emulation の SMB プロトコルインスペクションを制御する機能
- Identity Awareness
pdp ifmap
CLI コマンドは非推奨になり、R81 ではサポートされなくなりました - DNS シンクホールトラップのログの説明の変更
- ログが Detect ではなく Prevent に変更され、Security Gateway はユーザーが悪意のあるサイトにアクセスするのを防ぎます
- ユーザーデータベース(セキュリティ管理データベース)のユーザーのパスワードの長さの制限が拡張されました
- Threat Prevention
- R81 以降、従来のアンチウイルスの使用はサポートされていません
- ジオポリシーの開発サポートが終了しました。ジオポリシーで問題が発生したお客様は、代わりにネットワークオブジェクトを使用できます。 詳細については、sk126172 を参照してください
- アクセラレーションのダイナミックバランシング(以前はダイナミックスプリットと呼ばれていました)はデフォルトでオンになっています。 詳細、サポート、および制限については、sk164155 を参照してください
R81 へのアップグレード前にダイナミックバランシング設定に手動で変更が適用された場合、ダイナミックバランシングはデフォルトでオフになっています。
- 新規インストールの場合、NetFlow ではログ/アカウンティングを有効にする必要がなくなりました。 ロギングはデフォルトでオフになっています。 ログ/アカウンティングは、以前のバージョンを実行しているセキュリティゲートウェイのルールベースで設定する必要があります
- Management API は、空きメモリの量に関係なく、すべてのタイプのデバイスでデフォルトで有効になっています
- CPU Spike Detective はデフォルトでオンになっています。 CPU Spike Detective の詳細については、sk166454 を参照してください
- ログサーバーとして設定された管理サーバーの R81 へのアップグレードについて
- 過去 24 時間より古いログは、クエリに使用できません
- 外部ストレージデバイスにログを保存する管理サーバーは、sk66003 に従って既存のインデックスの場所を変更し、ログデータを保持する必要があります
ログは失われません。アップグレードプロセスの完了後にログのインデックスを再作成するようにインデックスを設定できます。
- コンプライアンスの変更と機能強化。 詳細については、sk170578 を参照してください
Known Limitations
Resolved Issues
参考資料
―――――――――――――