7 декабря 2021
Fortinet Security Fabric
Часть 1. Общий обзор
Содержание статьи
Введение
Понятие Fortinet Security Fabric нельзя назвать новым - оно фигурирует на рынке уже более пяти лет, если не дольше. Но на практике мы до сих порой сталкиваемся с множеством вопросов по поводу того, что она из себя представляет и как работает. Поэтому, мы решили выпустить небольшой цикл статей, рассказывающий об одном из вариантов внедрения так называемой фабрики безопасности (заметим, данный перевод неверен, но уже плотно вошел в обиход, правильнее будет - ткань безопасности) в корпоративную сеть.
Почему один вариант? Вариантов на самом деле великое множество, каждый продукт Fortinet добавляет свои преимущества в фабрику, а продуктов у них очень много. Мы решили рассмотреть вариант из основных продуктов, которые, взаимодействуя между собой, обеспечивают широкую видимость сети и позволяют автоматизировать как рутинную работу, так и реакцию на различные угрозы.
Почему один вариант? Вариантов на самом деле великое множество, каждый продукт Fortinet добавляет свои преимущества в фабрику, а продуктов у них очень много. Мы решили рассмотреть вариант из основных продуктов, которые, взаимодействуя между собой, обеспечивают широкую видимость сети и позволяют автоматизировать как рутинную работу, так и реакцию на различные угрозы.
Продукты Fortinet
В ходе данного цикла мы рассмотрим взаимодействие следующих продуктов:
FortiGate — межсетевой экран нового поколения (NGFW), позволяющий защищать периметр сети (или ее сегменты) от различных угроз. Является ядром фабрики безопасности и флагманским продуктом компании Fortinet. Отдельно мы данный продукт уже рассматривали, если вы с ним не знакомы, советуем посмотреть данный курс.
FortiGate — межсетевой экран нового поколения (NGFW), позволяющий защищать периметр сети (или ее сегменты) от различных угроз. Является ядром фабрики безопасности и флагманским продуктом компании Fortinet. Отдельно мы данный продукт уже рассматривали, если вы с ним не знакомы, советуем посмотреть данный курс.
FortiAnalyzer — устройство для сбора и анализа логов с различных устройств Fortinet. Также является неотъемлемой частью фабрики безопасности. Его мы также рассматривали на этом курсе.
В целом, FortiGate и FortiAnalyzer уже образуют своеобразную фабрику безопасности: FortiGate защищает сеть от угроз, тем самым генерирует логи и отправляет их на FortiAnalyzer. FortiAnalyzer анализирует эти логи и позволяет строить по ним отчеты, а также автоматизировать различные процессы, зависящие от поступления тех или иных логов.
В целом, FortiGate и FortiAnalyzer уже образуют своеобразную фабрику безопасности: FortiGate защищает сеть от угроз, тем самым генерирует логи и отправляет их на FortiAnalyzer. FortiAnalyzer анализирует эти логи и позволяет строить по ним отчеты, а также автоматизировать различные процессы, зависящие от поступления тех или иных логов.
Но на этот раз данного функционала нам недостаточно, поэтому мы также рассмотрим следующие продукты:
FortiClient EMS — решение для централизованного управления и защиты конечных точек. Позволяет собирать с пользовательских устройств различную телеметрию и на ее основе управлять доступом устройств в различные сети. Также эта телеметрия позволяет расширить видимость сети. Как и стандартные клиенты, обладает функционалом антивируса, веб фильтрации, контроля приложений, сканера уязвимостей, контроля USB подключений и т.д.
В совокупности с FortiGate и FortiAnalyzer позволяет автоматизировать поведение при обнаружении угроз. Про установку и начальную конфигурацию FortiClient EMS мы уже писали здесь.
FortiClient EMS — решение для централизованного управления и защиты конечных точек. Позволяет собирать с пользовательских устройств различную телеметрию и на ее основе управлять доступом устройств в различные сети. Также эта телеметрия позволяет расширить видимость сети. Как и стандартные клиенты, обладает функционалом антивируса, веб фильтрации, контроля приложений, сканера уязвимостей, контроля USB подключений и т.д.
В совокупности с FortiGate и FortiAnalyzer позволяет автоматизировать поведение при обнаружении угроз. Про установку и начальную конфигурацию FortiClient EMS мы уже писали здесь.
FortiSwitch — коммутаторы от Fortinet. Могут работать как отдельные устройства, так и управляться с самого FortiGate с помощью проприетарного протокола FortiLink. В таком случае они являются расширениями портов FortiGate. Это расширяет видимость сети, а также дает возможность автоматизировать поведение при обнаружении угрозы. Например, поместить отдельное устройство в карантинный VLAN. Устройство получит минимально необходимый доступ (это можно настроить), а все возможные коммуникации с другими устройствами в сети будут прекращены для предотвращения распространения угрозы.
Подробнее FortiSwitch мы рассмотрим в одной из статей данного цикла.
Подробнее FortiSwitch мы рассмотрим в одной из статей данного цикла.
FortiAP — беспроводная точка доступа от Fortinet. Позволяет обеспечить безопасность пользователей, подключающихся к сети по WiFi. Через точку доступа также расширяется видимость сети и появляются возможности автоматизации, аналогично с FortiSwitch.
Подробнее FortiAP мы также рассмотрим в одной из статей данного цикла.
Подробнее FortiAP мы также рассмотрим в одной из статей данного цикла.
В итоге мы получим сеть, построенную на продуктах компании Fortinet. Выглядеть она будет примерно так:
Вместе с инфраструктурой мы получаем защиту на разных уровнях - защиту на уровне доступа с помощью FortiSwitch и FortiAP, защиту на уровне конечных устройств с помощью FortiClient EMS и ПО FortiClient, установленного на устройства, а также защиту периметра сети с помощью межсетевого экрана FortiGate. Помимо этого, обеспечивается полная видимость всех устройств в сети и появляется возможность автоматизации процессов ИБ с помощью функционала устройства FortiAnalyzer.
Построение схем
Перейдем к построению схем. Поскольку в нашем случае все будет разворачиваться на макете, схемы получатся упрощенными. Однако, их концепция все равно будет совпадать с тем, что встречается в реальных сетях.
Как правило, разработка проекта интеграции начинается с построения L2 схемы. Нам необходимо разграничить несколько VLAN'ов: пользовательский (в реальных случаях может делиться на множество других VLAN'ов), гостевой и сервисный (здесь у нас будут располагаться необходимые сервера - FortiAnalyzer, FortiClient EMS, контроллер домена). Пусть гостевой VLAN имеет номер 50, пользовательский - 100, а сервисный - 150. FortiGate и FortiSwitch в данном случае представляют собой единое устройство, на котором терминируются данные VLAN'ы. Итоговая схема представлена на рисунке ниже:
Как правило, разработка проекта интеграции начинается с построения L2 схемы. Нам необходимо разграничить несколько VLAN'ов: пользовательский (в реальных случаях может делиться на множество других VLAN'ов), гостевой и сервисный (здесь у нас будут располагаться необходимые сервера - FortiAnalyzer, FortiClient EMS, контроллер домена). Пусть гостевой VLAN имеет номер 50, пользовательский - 100, а сервисный - 150. FortiGate и FortiSwitch в данном случае представляют собой единое устройство, на котором терминируются данные VLAN'ы. Итоговая схема представлена на рисунке ниже:
Теперь перенесем все это на L3. Выглядеть это будет примерно так: три подсети, одна из них пользовательская, вторая - гостевая, третья - сервисная. Все подсети терминируются на FortiGate и FortiSwitch, объединенных в единое устройство с помощью FortiLink. В итоге схема выглядит следующим образом:
Заключение
На этом мы хотим закончить первую статью данного цикла. В дальнейшем мы отдельно рассмотрим продукты FortiSwitch и FortiAP, интеграцию и настройку всех вышеперечисленных продуктов, а также их возможности в составе Fortinet Security Fabric.
Автор статьи: Алексей Никулин, инженер TS Solution.
Автор статьи: Алексей Никулин, инженер TS Solution.
Пройти сертификацию
Пройдите тест по содержанию данного курса (рекомендуется после полного прохождения) и получите сертификат, подтверждающий полученные знания.
