TroutTrout
All docs

v26.3 Release Notes

What is new in the March 2026 release.

5 min read · Last updated 2026-04-22

v26.3.1 apporte de nouvelles fonctionnalités en matière d'accès distant, d'identité et de classification, ainsi qu'un grand nombre de correctifs de stabilité sur les enclaves, la mise en réseau en superposition et les écrans d'accès.

Points forts

Gestion des accès à privilèges (PAM)

Access Gate intègre désormais une couche d'accès distant basée sur un proxy, offrant aux opérateurs un accès SSH, RDP et VNC par navigateur aux actifs protégés, sans installation de client ni hôte de rebond supplémentaire. Les sessions héritent des mêmes règles d'identité, d'autorisation et d'audit que toutes les autres sessions Access Gate.

Bootstrap TLS sans PKI préexistante

Le service pki peut désormais créer et gérer une autorité de certification racine auto-signée couvrant tous les domaines vnet de l'appliance. Cela supprime le problème de l'œuf et de la poule : avoir besoin de TLS (pour les écrans d'accès, les superpositions chiffrées, l'interface d'administration) avant qu'une PKI client existe. La clé de l'autorité de certification racine est protégée par mot de passe ; l'administrateur saisit ce mot de passe après un redémarrage du système — le mot de passe n'est jamais stocké sur le disque.

Les clients disposant d'une PKI existante peuvent continuer à l'utiliser. L'autorité de certification bootstrap est une option, pas un remplacement.

Expiration de session personnalisée

Les sessions d'administration et d'écran d'accès ont désormais leur propre durée de vie configurable, découplée de la durée de vie du jeton du fournisseur OIDC. Cela s'avère utile lorsque la politique de session du fournisseur d'identité est trop permissive ou insuffisamment granulaire (par exemple, les sessions à durée fixe d'Entra ID). Les jetons OAuth sont toujours utilisés pour la négociation OIDC, mais la durée de vie de la session Access Gate est définie localement.

Classification et étiquettes des sous-réseaux

Les réseaux peuvent désormais être étiquetés avec un type (VPN, IT, OT, Guest, Vendor, Public) et un mode d'implémentation (Twin ou Direct). Des champs supplémentaires capturent la classification Purdue et le niveau d'impact en cas d'attaque. Ces étiquettes alimentent les politiques, les tableaux de bord et les rapports de conformité.

Prise en charge du protocole DHCP dans l'inventaire des actifs

Les actifs peuvent désormais être découverts et suivis via le trafic DHCP, en complément des canaux d'observation passive existants. Cela comble une lacune pour les environnements où DHCP est la principale source de vérité sur les adresses IP des équipements.

Modèle de classification d'URL (aperçu)

Un nouveau modèle de classification est disponible pour détecter l'exfiltration de données HTTP obfusquée par correspondance de motifs sur les URL de requêtes. Il est entraîné sur les différences structurelles entre le trafic HTTP légitime et les charges utiles des info-stealers.

Renforcement de l'identité et de la cybersécurité

Les utilisateurs disposent désormais d'une liste explicite d'AssignedAssets — des actifs personnels qu'aucun autre utilisateur ne peut revendiquer. Cela remplace l'ancienne liste d'adresses IP en champ libre du profil utilisateur, corrige un cas limite de contournement des ACL et rend le mappage utilisateur-actif auditable.

Ajouts de fonctionnalités

  • Recherche dans la table ACL — recherche dans la table ACL par utilisateur, actif ou texte de règle.
  • Filtrage et recherche sur de grands ensembles d'enclaves — la barre de recherche et les filtres de la page des enclaves fonctionnent désormais sur de grands volumes d'entités sans blocage.
  • Mises à jour des permissions des écrans d'accès enregistrées dans l'historique des enclaves — les modifications des permissions des écrans d'accès apparaissent désormais dans la piste d'audit de l'enclave.
  • Composant de liste déroulante à sélection multiple — widget de sélection multiple réutilisable sur plusieurs interfaces.
  • Commande d'administration pour supprimer des certificats — les administrateurs peuvent supprimer des certificats depuis la CLI.
  • Délai d'expiration de session personnalisé — voir Points forts.
  • Étiquettes de sous-réseau et champs d'impact — voir Points forts.

Correctifs

Correctifs de stabilité, d'interface et de comportement sur l'ensemble de la plateforme :

Écrans d'accès

  • Les sauts de ligne dans le contenu des écrans d'accès sont désormais conservés sur la page d'accueil.
  • L'étiquette d'enclave n'est plus dupliquée dans l'en-tête de l'écran d'accès.
  • L'éditeur de texte répond correctement lors de l'édition.
  • Le serveur ne plante plus lorsqu'un écran d'accès est déclenché dans certaines conditions.
  • L'alignement du logo, du texte et des boutons est stabilisé.

Enclaves

  • Les entrées d'audit de modification d'actif ne restent plus bloquées en attente.
  • Les mises à jour des permissions des écrans d'accès sont capturées dans l'historique des enclaves.
  • L'ajout de groupes M365 à une enclave réussit sans nécessiter de rechargement de page.
  • La recherche d'actifs conserve la sélection précédente.
  • La table ACL ne signale plus de modifications fantômes à l'ouverture.

Mise en réseau en superposition

  • L'interface du bloc d'adresses IP virtuelles valide les adresses réseau.
  • Les pings émis depuis l'interface de superposition sortent par la même interface d'entrée.
  • Les traductions dans CDNS sont corrigées.
  • Un message de journal répétitif et parasite est supprimé.

Visibilité

  • L'ordre de chargement des plugins est corrigé.
  • Le décodeur NetFlow ne plante plus sur des données malformées.

Conformité

  • Le nettoyage des adresses IP s'effectue désormais selon le calendrier de 24 heures.
  • Le forwarder traite les requêtes d'applications inconnues sans planter.
  • Snort démarre correctement lorsque le module CIP est configuré comme protocole.

Notes de mise à niveau

  • L'autorité de certification bootstrap pki est optionnelle ; les déploiements existants avec une PKI client ne sont pas affectés.
  • Les valeurs par défaut d'expiration de session sont conservées lors de la mise à niveau ; configurez de nouvelles valeurs dans les paramètres d'administration uniquement si la nouvelle durée de vie découplée est requise.
  • L'écran des collections a été réorganisé ; les règles créées par les clients continuent de fonctionner, mais la navigation principale est désormais orientée vers la surveillance des événements de sécurité.
Next
Notes de version v25.12