v26.3.1 incorpora nuevas capacidades en acceso remoto, identidad y clasificación, además de un amplio conjunto de correcciones de estabilidad en enclaves, redes superpuestas y pantallas de acceso.
Aspectos destacados
Gestión de acceso privilegiado (PAM)
Access Gate ahora incluye una capa de acceso remoto integrada basada en proxy, que permite a los operadores acceder por navegador mediante SSH, RDP y VNC a activos protegidos sin necesidad de instalar un cliente ni un host de salto adicional. Las sesiones heredan las mismas reglas de identidad, autorización y auditoría que cualquier otra sesión de Access Gate.
Bootstrap TLS sin PKI preexistente
El servicio pki puede ahora crear y gestionar una CA raíz autofirmada que cubre todos los dominios vnet del appliance. Esto elimina el problema del huevo y la gallina de necesitar TLS (para pantallas de acceso, overlays cifrados, interfaz de administración) antes de que exista una PKI del cliente. La clave de la CA raíz está protegida por contraseña; el administrador introduce la contraseña tras un reinicio del sistema — la contraseña nunca se almacena en disco.
Los clientes con una PKI existente pueden seguir utilizándola. La CA de bootstrap es una opción, no un reemplazo.
Expiración de sesión personalizada
Las sesiones de administración y de pantalla de acceso tienen ahora su propio tiempo de vida configurable, desacoplado del tiempo de vida del token del proveedor OIDC. Esto resulta relevante cuando la política de sesión del proveedor de identidad es demasiado permisiva o no tiene la granularidad suficiente (p. ej., sesiones de duración fija en Entra ID). Los tokens OAuth siguen utilizándose para el handshake OIDC, pero el tiempo de vida de la sesión de Access Gate se configura localmente.
Clasificación y etiquetas de subredes
Las redes pueden etiquetarse ahora con un tipo (VPN, IT, OT, Guest, Vendor, Public) y un modo de implementación (Twin o Direct). Campos adicionales recogen la clasificación Purdue y el nivel de impacto en caso de ataque. Estas etiquetas alimentan políticas, paneles de control e informes de cumplimiento.
Soporte del protocolo DHCP en el inventario de activos
Los activos pueden descubrirse y rastrearse ahora mediante tráfico DHCP, además de los canales de observación pasiva existentes. Esto cierra una brecha en entornos donde DHCP es la fuente principal de referencia sobre las IPs de los endpoints.
Modelo clasificador de URLs (vista previa)
Hay disponible un nuevo modelo clasificador para detectar exfiltración de datos HTTP ofuscada mediante coincidencia de patrones en URLs de solicitudes. Entrenado sobre las diferencias estructurales entre tráfico HTTP legítimo y payloads de info-stealers.
Refuerzo de identidad y ciberseguridad
Los usuarios tienen ahora una lista explícita de AssignedAssets — activos personales que ningún otro usuario puede reclamar. Esto reemplaza la lista de IPs en formato libre del perfil de usuario, cierra un caso límite de bypass de ACL y hace auditable la asignación usuario-activo.
Adiciones de funcionalidades
- Búsqueda en la tabla ACL — búsqueda en la tabla ACL por usuario, activo o texto de regla.
- Filtrado y búsqueda en conjuntos grandes de enclaves — la barra de búsqueda y los filtros de la página de enclaves operan ahora sobre grandes volúmenes de entidades sin bloquearse.
- Actualizaciones de permisos de Access Screen registradas en el historial del enclave — los cambios en los permisos de pantallas de acceso aparecen ahora en el registro de auditoría del enclave.
- Componente de selección múltiple — widget de selección múltiple reutilizable en varias superficies.
- Comando de administración para eliminar certificados — los administradores pueden eliminar certificados desde la CLI.
- Tiempo de espera de expiración de sesión personalizado — véase Aspectos destacados.
- Etiquetas de subred y campos de impacto — véase Aspectos destacados.
Correcciones de errores
Correcciones de estabilidad, interfaz y comportamiento en toda la plataforma:
Access Screens
- Los saltos de línea en el contenido de las pantallas de acceso se trasladan correctamente a la página de bienvenida.
- La etiqueta del enclave ya no se duplica en la cabecera de la pantalla de acceso.
- El editor de texto responde correctamente durante la edición.
- El servidor ya no se bloquea cuando se activa una pantalla de acceso bajo condiciones específicas.
- Se ha estabilizado la alineación del logotipo, el texto y los botones.
Enclaves
- Las entradas de auditoría de activos modificados ya no quedan bloqueadas en estado pendiente.
- Las actualizaciones de permisos de pantallas de acceso se registran en el historial del enclave.
- Añadir grupos de M365 a un enclave funciona correctamente sin necesidad de recargar la página.
- La búsqueda de activos conserva la selección anterior.
- La tabla ACL ya no notifica cambios fantasma al abrirse.
Redes superpuestas
- La interfaz del bloque de IP virtual valida las direcciones de red.
- Los pings originados en la interfaz overlay salen por la misma interfaz de entrada.
- Se han corregido las traducciones en CDNS.
- Se ha suprimido un mensaje de log repetitivo.
Visibilidad
- Se ha corregido el orden de carga de plugins.
- El decodificador NetFlow ya no se bloquea con datos malformados.
Cumplimiento
- La limpieza de IPs se completa ahora según el ciclo de 24 horas.
- El forwarder gestiona solicitudes de aplicaciones desconocidas sin bloquearse.
- Snort se inicia correctamente cuando el módulo CIP está configurado como protocolo.
Notas de actualización
- La CA de bootstrap
pkies opcional; los despliegues existentes con una PKI de cliente no se ven afectados. - Los valores predeterminados de expiración de sesión se conservan tras la actualización; configure nuevos valores en los ajustes de administración solo si se requiere el nuevo tiempo de vida desacoplado.
- La pantalla de colecciones ha sido reorientada; las reglas creadas por el cliente siguen funcionando, pero la navegación principal se ha orientado hacia la monitorización de eventos de seguridad.