Безопасность сети
FortiGate полный обзор - ICORE

FortiGate: полный обзор

Защищать сеть компании от атак становится сложнее с каждым годом:
• Усложняется инфраструктура сетей, появляются новые сервисы и технологии. Пользователей и их действия в сети приходится больше контролировать
• Меняется количество и структура кибератак, поэтому необходимо постоянно обновлять методы поиска и устранения уязвимостей

Угрозы компании растут как снаружи сети, так и внутри неё. Поэтому, производители решений по ИБ постоянно модернизируют продукты и выпускают на рынок новые. В статье рассмотрим межсетевой экран FortiGate от компании Fortinet.

Что такое NGFW FortiGate

FortiGate от компании Fortinet — межсетевой экран нового поколения, по-английски — Next Generation Firewall (NGFW). Он становится ядром информационной безопасности компании и включает в себя большинство традиционных сервисов, таких как проверка трафика, антивирус, VPN и т. д.

В 2000-х годах подход к ИБ был фрагментарным. Новые технологии рождали новые уязвимости в сетях и кибератаки, которые их эксплуатировали. Происходила вирусная эпидемия в мире — рос рынок антивирусов. Под DDoS-атаками отключались крупные сайты — проектировались новые средства защиты от DDoS.

Информационная безопасность компании выстраивалась по такому же принципу: каждую проблему чинили собственным инструментом, чаще всего от разных разработчиков. Антивирусы, маршрутизаторы, VPN-клиенты, спам-фильтры, фаерволы и прокси-серверы устанавливались и интегрировались в инфраструктуру по отдельности.

У подхода «каждой проблеме — свое решение» несколько минусов:
• каждый сервис ИБ требовал настройки и обслуживания;
• инфраструктуру было сложно обновить и модернизировать целиком;
• информация об инцидентах ИБ хранилась каждым сервисом отдельно. Данные не визуализировались, и, чтобы их вытащить, требовалось читать логи. Появились системы SIEM, которые решают проблему и собирают информацию по ИБ с разных источников, но они стали еще одним единичным решением.

Чтобы решить эти проблемы, производители сетевых устройств стали интегрировать всё больше сервисов внутрь продуктов. Так появились универсальные устройства сетевой безопасности, по-английски — Unified Threat Management (UTM).

В их основу лег фаервол, так как через него проходит весь трафик компании. Центральный процессор обрабатывал трафик последовательно, и первые образцы UTM не справлялись с одновременной маршрутизацией и функциями безопасности. Их пропускная способность падала меньше 10 % от заявленной производителем, и при росте нагрузке функции безопасности просто отключались.

Различия между UTM и NGFW

Развитие UTM достаточно банально: разработчики убрали узкие места в производительности и спроектировали одновременную работу большого количества функций ИБ. Так появились решения NGFW.

До сих пор нет четкого ответа о различиях между UTM и NGFW. Маркетологи компаний заявляют, что это разные продукты с четко прописанной областью применения: UTM подходит для малого и среднего бизнеса, NGFW — для больших компаний.

Разные названия в даташитах и одинаковые функции в реальности. Если функция безопасности не указана напрямую, она предоставляется по подписке через облачные сервисы производителя в рамках единой инфраструктуры.

По производительности текущие решения UTM и NGFW используют схожий принцип: одновременная обработка трафика на нескольких сопроцессорах.

Еще одним различием между UTM и NGFW называют возможность NGFW создавать правила для приложений: Skype, Word и т. д. Поскольку UTM-решения появились раньше, некоторые из них создают правила маршрутизации на более низких уровнях модели OSI.

Поэтому для организации ИБ в сети можно выбирать решение по характеристикам конкретной модели, не обращая внимания на названия UTM и NGFW.

Рассмотрим самые частые сценарии применения.

1. Упрощение структуры сети

FortiGate объединяет в себе большинство служб и сервисов ИБ, которые по отдельности требуют управления через разные интерфейсы. Инциденты по ИБ попадают в единое информационное поле, и среди всех событий алгоритмы выделяют связанные друг с другом.

Например, сотрудник компании стал чаще задерживаться на работе вечером. Одно это событие ни о чём не говорит. Но если система безопасности увидит, что он пытался скопировать данные на флешку и вечером использует личные мессенджеры с рабочего компьютера, то это повод для проверки специалиста по ИБ.

Информация о проблемах и угрозах ИБ будет доступна администратору сети или специалисту по ИБ сразу после обнаружения. У специалистов становится больше времени среагировать и свести к минимуму ущерб для компании

2. Шифрование трафика до облаков

Если компания использует мощности Microsoft Azure, Amazon AWS или других облачных сервисов, FortiGate шифрует трафик между внутренней сетью предприятия и облаками с помощью SSL/TLS.

Помимо этого, фаервол будет использовать необходимые сервисы ИБ:

• находить вторжения и нейтрализовать атаки ботнетов и хакеров (IPS);
• управлять доступом и личными удостоверениями сотрудников (АА);
• защищать инфраструктуру компании на уровне ОС и web-приложений (web-application firewall).

Для самых распространенных облаков компания Fortinet разработала комплексные решения информационной безопасности на основе Security Fabric и FortiWeb Cloud.

Так чувствительные данные и внутренняя структура сети компании становятся дважды защищенными: облачный сервис использует собственные механизмы ИБ, а компании — систему безопасности Fortinet.

3. Повышение прозрачности сети и сквозная аналитика инцидентов ИБ

Видимость сети будет выше, потому что трафик проходит через FortiGate, а другие сетевые устройства интегрируются с ним напрямую. Wi-Fi-точки доступа будут защищены, как и остальная сеть, поскольку подключены и управляются FortiGate.

Инциденты доступны из интерфейса FortiGate и с помощью отдельного сервиса FortiAnalyzer для больших сетей с сотнями устройств.

4. Уменьшение поверхности атаки

Злоумышленнику легче атаковать сеть, если ее внутренняя структура однородна: каждому отделу и серверу назначены единые права и сегмент.

FortiGate поддерживает микросегментацию сети, т. е. устройства объединяются в кластеры по функциям бизнеса. Каждому сегменту устанавливаются собственные права доступа, и он становится изолированным. Невозможно получить доступ к другому сегменту, если это специально не разрешено правилами фаервола.

При такой реализации возможные точки входа в сеть, например гостевой Wi-Fi, обладают ограниченными правами. Это затрудняет реализацию атаки на критически важные компоненты сети.

Исследовательская лаборатория FortiGuard Labs

FortiGate использует решения и сигнатурные базы угроз, которые создает и разрабатывает научно-исследовательская лаборатория при Fortinet.

Ежедневно лаборатория обрабатывает 100 млрд сигналов об угрозах с устройств Fortinet по всему миру. Вместе с искусственным интеллектом и алгоритмами машинного обучения эта информация превращается в сигнатуры и правила безопасности, которые получают устройства Fortinet.

FortiGuard Labs работает совместно с другими объединениями по ИБ и международными государственными службами, которые занимаются информационной безопасностью.

Если новая угроза возникает в одном месте сети, в течении часа обновляются устройства безопасности Fortinet по всему миру:

• список вредоносных хэшей/URL/IP/доменов обновляется каждые 15 минут;
• базы антивирусных сигнатур обновляются раз в 60 минут;
• уязвимости «нулевого дня» для песочницы обновляются раз в 15 минут;
• подписи IPS обновляются каждые 42 часа.

Таким образом, сеть на устройствах Fortinet будет защищена как от старых, так и от самых новых киберугроз.

4. Фабрика безопасности Fortinet

FortiGate — ядро информационной безопасности компании. С усложнением задач безопасности защиту можно усилить с помощью других устройств и сервисов Fortinet.

Экосистему информационной безопасности Fortinet называют SECURITY FABRIC, или Фабрикой безопасности. Идея фабрики заключается в использовании решений по ИБ от одного вендора с полной интеграцией и управлением из единого центра.

Если взять точки доступа от Fortinet и подключить их непосредственно к FortiGate, получится защищенная Wi-Fi-сеть. Точками можно управлять через интерфейс FortiGate и там же анализировать трафик с устройств, подключенных к Wi-Fi.

Фабрика безопасности собирает информацию об инцидентах безопасности со всех устройств Fortinet. ИИ обрабатывает их и превращает в конкретные правила безопасности и сигнатуры для устройств, входящих в фабрику.

Если FortiWeb заблокирует запрос с подозрительного адреса и такая ситуация повторится на нескольких устройствах, то этот адрес попадает в черный список для всех устройств Fortinet, в том числе экраны NGFW с включенным Application Firewall.

Сервисы технологических партнеров Fortinet обмениваются данными об угрозах с устройствами фабрики безопасности по API.

Технология виртуальных доменов VDOMs

Технология VDOMs создает на базе одного физического устройства FortiGate несколько виртуальных. Разделение полезно при обслуживании нескольких офисов или компаний на уровне провайдера или повышения отказоустойчивости сети.

Если объединить два физических устройства FortiGate в кластер, то повышается отказоустойчивость сети.

С технологией VDOM такой кластер можно организовать виртуально. От физических повреждений или отключений электричества он не защитит, однако спасет от атак и сбоев в конфигурации.

Доступ к технологии VDOМ предоставляется по подписке.

Сервисы безопасности FortiGate

• Антивирус, определение IP/доменов ботнетов, защита мобильных устройств. Определяет шпионское ПО, защищает от вирусов и других атак с помощью анализа содержимого трафика.
• Веб-фильтр. Отслеживание, контроль и блокировка доступа к вредоносным веб-сайтам.
• Облачная песочница. Файлы с нестандартным поведением анализируются алгоритмами в облаке, отделенном от сетей компании. Это позволяет обнаруживать еще неизвестные атаки с помощью шаблонов поведения и предотвращать вирусные эпидемии.
• Защита от вирусных эпидемий. Защищает от неизвестных угроз, которые появились между обновлениями антивирусных сигнатур.
• Список скомпрометированных угроз. Постоянное пополнение списка угроз ИБ на всех устройствах FortiGate.
• Служба оценки безопасности. Оценка и тестирование инфраструктуры ИБ компании и выдача рекомендаций по ее улучшению.
• Служба интернета вещей (IoT). Автоматически обнаруживает подключенные к сети компании IoT-устройства и применяет к ним политики безопасности.
• Служба промышленной безопасности. Защищает сеть и фильтрует трафик на уровне промышленных сред, протоколов и оборудования.
• Служба IPS. Обновления в реальном времени от FortiGuard Labs для противодействия сложным многокомпонентным угрозам.
• Антиспам. Фильтрация спама на периметре сети.
• Служба тестирования проникновений. Служба имитирует сценарии проникновения реальных злоумышленников и находит уязвимые места в инфраструктуре компании.

Возможности FortiGate можно расширить с помощью подключения сервисов фабрики безопасности Fortinet. Туда входят как отдельные, так и облачные решения FortiWeb, FortiMail и др.

Варианты поставки FortiGate

Аппаратное устройство – Такой вариант подойдет компаниям, для которых важна гарантированная производительность устройств из официальных даташитов. Для этого FortiGate обрабатывает трафик на CPU и SPU ASIC одновременно, поэтому виртуальная машина на собственных серверах окажется медленней. Аппаратное решение подойдет компаниям, которые строят сеть на оборудовании Fortinet. Неважно, будет это SD-WAN с сотней подсетей или развитая структура Wi-Fi, виртуальной машины недостаточно. FortiGate станет ядром безопасности сети при её апгрейде, особенно если раньше компания не использовала NGFW или UTM решения.

Виртуальное исполнение – FortiGate на виртуальной машине идентичен аппаратной версии: тот же интерфейс, операционная система и функции безопасности. Однако скорость зависит от купленной виртуальной лицензии и мощности сервера. Такой вариант подойдет и для уже настроенной инфраструктуры с большим объемом свободных серверных мощностей, и для тестового использования.

Fortinet предоставляет для своих продуктов бесплатный тестовый период продолжительностью 1–3 месяца. За это время можно настроить сеть и протестировать функции безопасности на своем трафике.

После замеров администратор перенесет готовые настройки на физическое устройство, если компания решит выбрать аппаратное решение. Интеграция нового устройства произойдет быстрее, без потери работоспособности и снижения безопасности сети.

Варианты работы FortiGate в сети

Переход компании на NGFW подразумевает серьезное изменение сетевой архитектуры, настройку и интеграцию других сетевых устройств в единую систему безопасности. Но не всегда такие сильные изменения необходимы и целесообразны.

Поэтому есть 3 сценария использования FortiGate в сети:
• FortiGate как ядро безопасности NAT/Route. Этот вариант подразумевает установку на периметре сети и обработку внешнего и внутреннего сетевого трафика.
• FortiGate как устройство безопасности Transparent/Bridge. Он устанавливается за основным маршрутизатором и выполняет функцию инспекции трафика. За маршрутизацию отвечает устройство более высокого уровня.
• Такой подход применим в хорошо спроектированных сетях или в сетях, где усиление безопасности требуется в определенном сегменте. Например, если необходимо защитить серверы с личными данными пользователей приложений.
• FortiGate можно настроить как сниффер и передавать трафик без задержек сквозь него. Такой вариант установки FortiGate полезен для поиска уязвимостей и узких мест ИБ компании. Инциденты ИБ будут логироваться, анализироваться и поступать в едином окне главному администратору или специалисту по ИБ.

Отказоустойчивый кластер на FortiGate

При переходе на UTM и NGFW устройства угрозой ИБ со стороны оборудования становится единая точка отказа. Если NGFW отключится или сломается, вся сеть встает с нулевой защитой.

Решением этой проблемы стало объединение нескольких устройств NGFW в кластеры безопасности. Такой кластер понадобится при:
• потере одного из каналов связи;
• выходе из строя одного или нескольких портов;
• выходе из строя целого FortiGate.

Кластер создается штатными средствами операционной системы FortiOS, для его создания потребуется:
• FortiGate 2–4 устройства или виртуальных машин. Все они должны быть одной модели, одной версии FortiOS и функционировать в одинаковом режиме
• Heartbeat линк (минимум 1, лучше — несколько)
• Подключить порты для трафика в L2-домен

Отказоустойчивый кластер работает в двух режимах:

• Active-Passive. Трафик обрабатывает только мастер-нода, остальные устройства выступают бэкапом.
• Active-Active. Все ноды кластера обрабатывают трафик, поэтому производительность растет, но нелинейно. При подключении 4-х устройств FortiGate скорость не вырастет в 4 раза, потому что весь трафик сначала будет поступать на мастер-ноду, и уже она будет принимать решение, какое устройство его обработает.

Можно настроить наиболее важные параметры для выбора мастер ноды. Например uptime, статус интерфейсов и т. д. Подробную настройку кластера смотрите в руководстве от Fortinet: Administration Guide | FortiGate.

Заключение

FortiGate закрывает потребности компании по информационной безопасности и используется как ядро сети для расширения и модернизации. Вместе с другими решениями Fortinet, включенными в собственную экосистему компании — фабрику безопасности, FortiGate подойдет как микрокомпаниям на 10–20 человек, так и огромным корпорациям с сотнями филиалов и тысячами сетевых устройств.

Источник:
https://blog.infra-tech.ru/fortigate-review/

Авторы:
Артём Тюрин