Обзор Gaia Embedded R81.10.10 для SMB шлюзов CheckPoint
В последнем обновлении для Gaia Embedded R81.10.10 были представлены значительные инновации. Узнайте о ключевых функциях и улучшениях, которые помогут защитить вашу инфраструктуру, в этом обзоре.
Gaia Embedded представляет собой упрощенную операционную систему, разработанную для шлюзов Small and Medium Business от Check Point, также известных как Quantum Spark. Управление такими устройствами может осуществляться как локально, так и централизованно.
В данном обзоре мы сфокусируемся на нововведениях, касающихся локального управления.
К слову, совсем недавно ассортимент этих шлюзов пополнился новыми моделями. Подробнее о них мы говорили в статье «Quantum Force — новая серия шлюзов безопасности Check Point» (вы можете прочитать её по ссылке). На TS University вы также можете изучить курс Getting Started для понимания специфики локального управления шлюзами Quantum Spark (материалы основаны на версии R80.20.X).
Для плавного перехода к обсуждению версии R81.10.10 давайте кратко рассмотрим ключевые нововведения предыдущих версий (R81.10.05, R81.10.07, и R81.10.08):
1. Smart Accel -это новый метод ускорения трафика на устройствах Quantum Spark, позволяющий значительно улучшить производительность шлюза;
2. Двухфакторная аутентификация для Remote Access VPN при локальном управлении стала доступна «из коробки», предлагая два варианта второго фактора: SMS/email и Google Authenticator:
В данном обзоре мы сфокусируемся на нововведениях, касающихся локального управления.
К слову, совсем недавно ассортимент этих шлюзов пополнился новыми моделями. Подробнее о них мы говорили в статье «Quantum Force — новая серия шлюзов безопасности Check Point» (вы можете прочитать её по ссылке). На TS University вы также можете изучить курс Getting Started для понимания специфики локального управления шлюзами Quantum Spark (материалы основаны на версии R80.20.X).
Для плавного перехода к обсуждению версии R81.10.10 давайте кратко рассмотрим ключевые нововведения предыдущих версий (R81.10.05, R81.10.07, и R81.10.08):
1. Smart Accel -это новый метод ускорения трафика на устройствах Quantum Spark, позволяющий значительно улучшить производительность шлюза;
2. Двухфакторная аутентификация для Remote Access VPN при локальном управлении стала доступна «из коробки», предлагая два варианта второго фактора: SMS/email и Google Authenticator:
Рис. 1 — Настройки второго фактора для RA VPN
Особенно стоит выделить, что для SMS и email теперь можно использовать сервисы самого Check Point в качестве провайдера второго фактора (упрощая при этом интеграцию и избегая трудностей с подключением сторонних сервисов). При выборе Google Authenticator пользователи получают QR-код, который можно активировать с помощью Яндекс. Ключа;
3. Появляется интеграция с Identity Collector, позволяющая улучшить управление идентификацией пользователей;
4. При централизованном управлении становится доступным функционал IoT и SD-WAN. Для этого понадобится настроить интеграцию вашего Security Management сервера с Infinity Portal;
5. StrongSwan становится официально поддерживаемым клиентом для Remote Access VPN, расширяя выбор инструментов для обеспечения безопасного доступа к локальной сети.
Теперь давайте рассмотрим, какие возможности открываются перед нами после обновления до версии R81.10.10.
3. Появляется интеграция с Identity Collector, позволяющая улучшить управление идентификацией пользователей;
4. При централизованном управлении становится доступным функционал IoT и SD-WAN. Для этого понадобится настроить интеграцию вашего Security Management сервера с Infinity Portal;
5. StrongSwan становится официально поддерживаемым клиентом для Remote Access VPN, расширяя выбор инструментов для обеспечения безопасного доступа к локальной сети.
Теперь давайте рассмотрим, какие возможности открываются перед нами после обновления до версии R81.10.10.
Интерфейс
В новой версии можно отметить заметные изменения в дизайне, делающие его более современным и удобным для пользователя:
Было (R81.10.08):
Было (R81.10.08):
Рис. 2 — Окно логина
Рис. 3 — Вкладка overview
Стало (R81.10.10):
Рис. 4 — Окно логина
Рис. 5 — Вкладка overview
Особое внимание стоит уделить двум новым блейдам: SD-WAN и IoT, которые становятся доступным сразу после установки обновления. Эти инструменты предлагаются «из коробки» и не требуют дополнительных покупок или подписок (при наличии подписки не ниже NGTP на шлюзе).
Важно не путать эти блейды с отдельными продуктами CheckPoint SD-WAN и IoT, доступными на Infinity Portal.
Важно не путать эти блейды с отдельными продуктами CheckPoint SD-WAN и IoT, доступными на Infinity Portal.
SD-WAN
Функционал SD-WAN в новой версии фокусируется на направлении трафика для выбранных приложений через определенный внешний интерфейс. В текущий момент использование SD-WAN для тюнинга VPN не поддерживается.
Для настройки SD-WAN вам потребуется добавить необходимые интерфейсы в группу SD-WAN и настроить параметры Probing. После этих шагов можно приступать к более детальной настройке политики SD-WAN.
На рисунке представлены графики, показывающие задержки, джиттеры и другие параметры:
Для настройки SD-WAN вам потребуется добавить необходимые интерфейсы в группу SD-WAN и настроить параметры Probing. После этих шагов можно приступать к более детальной настройке политики SD-WAN.
На рисунке представлены графики, показывающие задержки, джиттеры и другие параметры:
Рис. 6 — Графики состояния внешних интерфейсов
В настройках политики SD-WAN уже есть дефолтные правила для некоторых приложений с заранее заданными профилями поведения:
Рис. 7 — Дефолтные правила SD-WAN
Однако вы также можете создать свои правила и, что немаловажно, кастомные профили поведения :
Рис.8 – Кастомный профиль
Подробнее о работе с SD-WAN на устройствах Quantum Spark при локальном управлении можно прочитать здесь.
IoT
Блейд IoT предоставляет шлюзу возможность автоматически собирать информацию о подключенных устройствах, группировать их по типу и производителю, а затем автоматически назначать соответствующие политики безопасности для каждой группы.
Настройки для IoT выглядят следующим образом:
Настройки для IoT выглядят следующим образом:
Рис.9 – Настройки IoT
Для каждой группы устройств вы можете выбрать подходящую политику безопасности IoT, а также задать собственные исключения.
Более детальную информацию о работе с блейдом IoT можно найти здесь.
Более детальную информацию о работе с блейдом IoT можно найти здесь.
Двухфакторная аутентификация для доступа администраторов
В новой версии появляется поддержка второго этапа аутентификации для доступа администраторов (опять же, прямо «из коробки»). Для активации этой функции достаточно указать почту и номер телефона для каждого администратора и активировать функционал всего в несколько кликов.
Варианты второго фактора:
— SMS/Email. В роли провайдера второго фактора выступает сам CheckPoint;
— Authenticator app. Как и в случае с удаленным доступом, QR-код можно активировать в приложении Яндекс.Ключ.
Следующим образом выглядит запрос второго фактора аутентификации при логине на веб-портал и по SSH:
Варианты второго фактора:
— SMS/Email. В роли провайдера второго фактора выступает сам CheckPoint;
— Authenticator app. Как и в случае с удаленным доступом, QR-код можно активировать в приложении Яндекс.Ключ.
Следующим образом выглядит запрос второго фактора аутентификации при логине на веб-портал и по SSH:
Рис.10 – Аутентификация на веб-портале
Рис. 11 — Ssh аутентификация
Далее представлены примеры полученных по почте и SMS кодов:
Рис. 12 — Verification code, полученный через email
Рис.13 – Verification code, полученный через SMS
Итоги
В качестве итогов этого обзора можно отметить, что обновление до версии R81.10.10 предлагает не только улучшенный интерфейс, но и вводит важные функциональные новшества. Ключевым преимуществом является добавление двух новых блейдов SD-WAN и IoT, которые становятся доступными для пользователей без необходимости приобретения дополнительных лицензий (при условии наличия подписки не ниже уровня NGTP на шлюзе).
Кроме того, в R81.10.10 особое внимание уделено повышению безопасности доступа к системе для администраторов с помощью реализации возможности использования двухфакторной аутентификации «из коробки».
На момент написания данной статьи (12 марта 2024 года) версия R81.10.10 является последней из доступных версий. Однако стоит учесть, что она пока ещё не получила статус рекомендованной к использованию.
Для отслеживания статуса новых версий, а также для загрузки актуальной прошивки, вы можете воспользоваться следующей ссылкой.
Ваше мнение и обратная связь имеют большое значение, и я буду рад любым комментариям и предложениям. Если у вас остались вопросы или пожелания, вы можете связаться со мной по электронной почте: dsa@tssolution.ru
Автор статьи: Дудин Сергей, Системный инженер TS Solution
Кроме того, в R81.10.10 особое внимание уделено повышению безопасности доступа к системе для администраторов с помощью реализации возможности использования двухфакторной аутентификации «из коробки».
На момент написания данной статьи (12 марта 2024 года) версия R81.10.10 является последней из доступных версий. Однако стоит учесть, что она пока ещё не получила статус рекомендованной к использованию.
Для отслеживания статуса новых версий, а также для загрузки актуальной прошивки, вы можете воспользоваться следующей ссылкой.
Ваше мнение и обратная связь имеют большое значение, и я буду рад любым комментариям и предложениям. Если у вас остались вопросы или пожелания, вы можете связаться со мной по электронной почте: dsa@tssolution.ru
Автор статьи: Дудин Сергей, Системный инженер TS Solution
TS Solution является официальным партнером Check Point со статусом «5 Stars»
