Сервисы
Managed IT
Решения
Security
Собственная разработка
Партнерам
О компании

Фабрика сетевой безопасности от Fortinet

Оборудование компании Fortinet зарекомендовало себя для защиты как корпоративных сетей (в том числе частного облака), так и виртуальной инфраструктуры облачных провайдеров, заменяя несколько устройств с одной функцией. Наличие сертификата ФСТЭК позволяет организовать работу с персональными данными в рамках услуги «Облако ФЗ-152».

2017 год был успешным для Fortinet. Во-первых, Fortinet стал лидером по данным исследовательского материала Gartner Magic Quadrant за 2017 год, посвященного корпоративным брандмауэрам. Во-вторых, программно-аппаратные комплексы FortiGate получили сертификат ФСТЭК. О том, что это такое, мы поговорим позже, а сначала выясним, почему же Fortinet стал лидером. Чтобы ответить на этот вопрос, необходимо рассмотреть, что сейчас происходит на рынке информационной безопасности и что становится драйвером развития отрасли.

Наиболее актуальными на сегодняшний день представляются следующие вызовы и угрозы безопасности:

Атаки становятся все более и более сложными, и объем их растет, поскольку злоумышленники (а обычно это высококвалифицированные специалисты) имеют высокую финансовую мотивацию для совершения атак.

Все эти угрозы, а также рост облачных вычислений и технологий приводят к тому, что границы сетей размываются, а периметр сети теперь не находится на границе с публичным интернетом. Что касается драйвера развития отрасли, то, как показали исследования аудиторской фирмы Ernst&Yang, главным драйвером передового рынка информационной безопасности стала необходимость соответствия нормативным актам и законодательству.

Раньше информационная безопасность (ИБ) в бизнесе рассматривалась как страховка — достаточно было внедрить решение и продолжать заниматься своей основной деятельностью. Впрочем, прогресс на рынке информационной безопасности, как и рост угроз привели к тому, что ИБ становится активом компании. Это характерно и для России, где большинство хороших специалистов дают положительную оценку влияния на информационную безопасность таких законов, как «О персональных данных», стандарта банка России «Обеспечение информационной безопасности организаций банковской системы РФ» и т.д.

От брандмауэра к фабрике безопасности

Для противодействия перечисленным угрозам и вызовам компания Fortinet предложила концепцию Fortinet Security Fabric (фабрика безопасности). Это уже третье поколение архитектуры сетевой безопасности после межсетевых экранов с инспекцией пакетов (Stateful Packet Inspection) и межсетевых экранов следующего поколения (NGFW).

Фабрика безопасности позволяет разным элементам обеспечения безопасности (таким как межсетевые экраны, средства анализа контента и приложений, антивирусы и прочие продукты Fortinet) объединяться и обмениваться информацией. Фабрика безопасности передает трафик на специализированные устройства и получает от них ответы. В случае, если трафик содержит вредоносный код, эти устройства могут сформировать динамическую сигнатуру, которая будет применена на шлюзе безопасности.

Три кита фабрики безопасности:

1. Всеобъемлемость

Fortinet Security Fabric защищает от всех векторов атаки. При этом администраторы видят все элементы инфраструктуры, включая устройства IoT, точки доступа, ЦОДы, облака, приложения и даже сами данные. Это позволяет защитить все сегменты сети, потому что внутренний трафик остается все время под контролем.

2. Мощность

Компоненты фабрики безопасности используют процессоры безопасности Fortinet (Security Processor Unit, SPU). Они специально разработаны для повышения производительности и масштабируемости так, чтобы пропускная способность сети не страдала от предпринимаемых мер безопасности.

3. Автоматизация

Fortinet Security Fabric реагирует на угрозы очень быстро. Фабрика безопасности автоматически определяет и динамически изолирует зараженные устройства и сегменты сети, отключает некорректные политики и правила, удаляет вредоносный код. Политики и правила безопасности автоматически применяются при добавлении новых устройств или при росте нагрузки на сегменты сети.

Флагманские продукты Fortinet — это шлюзы безопасности FortiGate, которые объединяют в себе различные функции. Линейка моделей достаточно широкая, и потребитель может выбрать устройство под свои задачи и потребности.

Шлюз безопасности FortiGate 500D

Рассмотрим одно из популярных устройств, предназначенное для защиты сети среднего размера, FortiGate 500D. Это устройство получило сертификат ФСТЭК. Мозгом FortiGate являются алгоритмы, созданные в лаборатории Fortiguard. Специалисты Fortiguard в режиме реального времени адаптируют сигнатуры и предоставляют наиболее актуальные базы данных для наших устройств. Обновление базы данных требует активной подписки, без нее устройство будет работать с той базой, которая была у устройства на момент отказа, и обеспечит функции межсетевого экрана и VPN.

Краткие технические характеристики:

Порты:

Технические характеристики

Пропускная способность IPv4, IPv6 (1518 / 512 / 64 byte, UDP) 16 Gbps
Задержка брандмауэра 3 μs
Количество параллельных секций 6 000 000
Новых сессий в секунду 250 000
Количество VPN-туннелей IPsec типа шлюз-шлюз 2 000
Количество VPN-туннелей IPsec типа клиент-шлюз 10 000
Пропускная способность SSL-VPN 400 Mbps
Максимальное количество пользователей SSL-VPN 500
Пропускная способность IPS (HTTP / Enterprise Mix) 5,7/3,5 Gbps
Проверка SSL 3 Gbps
Сервис контроля приложений 3 Gbps
NGFW 2,5 Gbps
В режиме защиты от угроз 2 Gbps
При использовании протокола CAPWAP 10 Gbps
Количество виртуальных доменов 10
Максимальное число поддерживаемых беспроводных точек доступа (общее количество / в режиме туннеля) 512/256
Максимальное число ключей FortiToken 1000
Максимальное число регистраций клиентов FortiClient 2000

Сетевая функциональность

Операционная система FortiOS поддерживает следующие сетевые технологии:

Очень часто требования по доступности является критическим для современных сетей, так как ИТ-инфраструктура тесно связана с работоспособностью бизнеса и сервисов. Операционная система FortiOS обеспечивает полный набор настроек для кластера высокой доступности (HA), в том числе:

FortiOS дает возможность не только контролировать сетевой трафик, но и повысить доступность, удобство пользователей в разрезе доступа к важным приложениям, используя WAN-оптимизацию и ограничивая поток разнообразного трафика, путем точечного снижения пропускной способности.

Система использует веб-кэширование, а также другие способы оптимизации, для осуществления чувствительных обращений к базам данных. Ширина канала и приоритетность потоков, приложений и т.д. может определяться администратором.

FortiOS включает в себя возможность создания виртуальных систем, под названием VDOM. Системы разделяют брандмауэр FortiGate на определенное количество (вплоть до двухсот пятидесяти) виртуальных блоков, где каждый работает независимо от других.

Каждый виртуальный домен способен обеспечить обособленную межсетевую защиту, маршрутизацию, VPN и next-gen серверы. Весь трафик каждого домена (как входящий, так исходящий) не зависит от остальных VDOM.

Функции безопасности

Дополнительные возможности

FortiOS предоставляет возможность расширить границы сетевой защиты, открывая доступ к управлению вспомогательными интерфейсами и периферийными программами безопасности. Это дает полезные преимущества, например, упрощение запуска систем безопасности, а также снижение издержек по содержанию. Механизмы FortiGate могут увеличивать собственный функционал и набор интерфейсов, благодаря возможностям не только коммутатора, но и беспроводного контроллера. Система FortiOS способна работать в роли контроллера доступа для точек FortiAP и свитчей FortiSwitch, обеспечивая такой набор возможностей:

FortiOS упрощает развертывание СБ для пользователей мобильных устройств. Особое ПО FortiClient Endpoint Security предлагает усиленную защиту мобильных устройств, работающих под управлением систем Mac OS, Windows 10 и способно подгружать настройки безопасности в программы пользователя, включая конфигурацию антивируса, фильтрацию сети, брандмауэр и VPN. Также поддерживается клиентское программное обеспечение для защиты мобильных устройств на базе Android и iOS.

Широкая функциональность брандмауэров от Fortinet дает крупным и средним компаниям большие возможности по управлению угрозами, обеспечению безопасности сети и построению частного облака, а облачным провайдерам — надежную защиту виртуальной инфраструктуры (IaaS) клиента. Одно устройство от Fortinet способно заменить несколько от других производителей, а полный контроль за всеми элементами инфраструктуры (включая устройства IoT, точки доступа, ЦОДы, облака, приложения и даже сами данные) позволяет администраторам эффективно управлять безопасностью локальных и облачных сред, таких как защищенный виртуальный ЦОД.

Однако список возможных пользователей данного решения не ограничен коммерческими организациями. Благодаря наличию сертификат ФСТЭК внедрять продукты Fortinet могут государственные и муниципальные организации, работающие с конфиденциальной информацией. Подробнее об этом мы расскажем во второй части статьи.