18, июль 2019  — 

Алексей Андрияшин - технический директор Fortinet в регионе Россия/СНГ.

SN . Какие изменения происходят в ИТ-архитектуре в эпоху индустриальной революции 4.0?

А.А. Одна из ключевых особенностей — это возрастание доли инфраструктур EDGE COMPUTE наряду с существующими инфраструктурами DATA CENTER COMPUTE и CLOUD COMPUTE. Другими словами - все большее значение начинает приобретать обработка данных на конечных устройствах в условиях повсеместного использования беспроводных подключений на базе WiFi и технологий мобильной связи 5 G (рис. 1). А это качественно меняет требования к построению, управлению и обеспечению безопасности ИТ-инфраструктуры с количеством устройств до десятков и сотен тысяч.

Среди ключевых требований:

• надежность на всех уровнях;
• преемственность пользовательского опыта;
• простота обслуживания, максимальная автоматизация управления;
• максимальная безопасность с использованием протоколов нового поколения с шифрованием (в частности, WiFi 6.0).

Среди факторов, стимулирующих развитие и распространение технологий 5G и EDGE COMPUTE (рис. 2):

• необходимость поддержки сервисов в реальном времени;
• практически отсутствие задержек при использовании 5G;
• бурный рост интереса к IoT-решениям;
• необходимость развития новых "умных" сервисов;
• взрывной рост объема данных, требующих максимальной их обработки в точке возникновения в целях предотвращения перегрузки сети.

SN . Как цифровая трансформация влияет на безопасность ИТ-инфраструктуры?

А.А. Распространение гибридных сетей требует поддержания различных уровней доверия между физическими, виртуальные, интегрированными ( API ) устройствами и встроенными модулями ИТ-инфраструктуры и, что, в ряде случаев, может приводить к появлению "слепых" зон в процессе цифровой трансформации (рис. 3). С учетом того, что ландшафт угроз постоянно расширяется и усложняется (рис. 4), при обеспечении безопасности современной ИТ-инфраструктуры требуются новые комплексные решения, учитывающие все многообразие уровней и компонент входящих в ИТ-инфраструктуру.

SN . Расскажите о ключевых особенностях новой версии ОС FortiOS 6.2, анонсированной в начале апреля 2019 г.

А.А. Новый релиз FortiOS 6.2 продолжает эволюцию решений Security Fabric и содержит более 300 новых инноваций (рис. 5), охватывающих все портфолио продуктов и решений Forinet и помогающих организациям строить сети на основе принципов безопасности, что является необходимым условием периферийных и мультиоблачных окружений, ставших результатом цифровой трансформации.

«Продолжение цифровой трансформации означает, что для бизнеса становится все более важной вся периферия, а не только облачные окружения. - комментирует Кен Кси (Ken Xie), основатель, председатель совета директоров и главный исполнительный директор Fortinet. - Самая сложная задача заключается в том, чтобы защитить сеть в условиях, когда поверхность атаки растет экспоненциальными темпами из-за резкого увеличения числа периферийных устройств. Поскольку успех бизнеса фактически измеряется в микросекундах, организации не могут поступиться производительностью из соображений защиты. И чтобы реализовать такую защиту, организациям следует воспользоваться комплексным cтруктурным подходом (fabric-based approach) к обеспечению безопасности, который не ограничивается отдельными устройствами и платформами безопасности, а охватывает одновременно всю сеть, даже в процессе ее изменений. Для этого необходима комплексная, интегрированная и автоматизированная защита» (рис. 6).

Ключевые особенности ОС FortiOS 6.2:

• расширенная прозрачность для всей поверхности атак. Fortinet повышает прозрачность и упрощает внедрение и управление в масштабах всех решений безопасности Security Fabric за счет более глубокой интеграции между решениями Fortinet и решениями более 70 партнеров Альянса. FortiGate NGFW , лучшее в своем классе решение FortiGate Secure SD-WAN и большое портфолио нативных облачных платформ получили новую функциональность, в том числе возможность сегментации в зависимости от намерений (intent-based segmentation). Заказчики могут теперь в полной мере воспользоваться всеми преимуществами прозрачности, реализованной в FortiOS 6.2, за счет пакетов сервисов Fortinet 360 Protection , включающих в себя большой перечень профессиональных сервисов;

•  интегрированная защита и обнаружение сложных угроз. Fortinet активно поддерживает новейшие отраслевые стандарты, в том числе обеспечивая интегрированную поддержку TLS 1.3 для защиты интернет-трафика, предлагая новые технологии на основе маскировки (deception-based) для противодействия вторжениям, а также возможности сегментации на основе доверия (trust-based segmentation), которые тесно интегрированы во все решения Security Fabric, от ядра до периферии и в облаке. Технология Fortinet FortiDeceptor обеспечивает лучшую в своем классе оборону и механизмы защиты, при этом «ловушки» автоматически срабатывают при обнаружения вредоносного кода, а также при попытке получения доступа или обращении к сетевым ресурсам со стороны неавторизованных пользователей;

•  автоматизированная эксплуатация, оркестрирование и реагирование. Глубокая интеграция и расширенные возможности автоматизации в Security Fabric позволяют заказчикам снизить нагрузку за счет единого интерфейса контроля и управления (single- pane-of-glass) во всех решениях, интегрированных в Security Fabric. Использование автоматизации и функций машинного обучения для снижения сложности, расширения возможностей управления и автоматизации критических функций позволяют реагировать на появление угроз с высокой скоростью. При этом непрерывный поток обновленных данных и аналитики об угрозах, который подготавливается специалистами FortiGuard Labs с применением искусственного интеллекта, позволяет повысить скорость и точность обнаружения угроз и оптимизировать автоматизацию реагирования.

Портфолио Fortinet Security Fabric представляет собой самый полный пакет решений безопасности в отрасли, которые представлены в различных форм-факторах и нативно доступны на самых различных платформах. Улучшения в   FortiOS 6.2 расширяют передовые возможности решений Fortinet Security Fabric за счет оптимизации сквозной защиты от продвинутых угроз, и в то же время значительно снижают сложности, традиционно возникающие при проектировании, внедрении, управлении и обновлении большинства архитектур безопаности. Среди основных моментов (рис. 7):

Рис. 7. Расширение возможностей фабрики.

Расширение структуры

• FortiOS 6.2 включает в себя следующие улучшения элементов Security Fabric :
  • FortiADC — контроллер доставки приложений
  • FortiToken — инструмент для аутентификации пользователей и устройств
  • FortiCASB-cloud — брокер безопасности облачного доступа для публичных облаков
  • FortiDDoS — защита от распределенных атак типа «отказ в обслуживании»
  • FortiNAC — управление сетевым доступом
  • VDOM — виртуальные домены

Защита SD-WAN

• Реализованные в Fortinet Security Fabric возможности SD-WAN теперь включают в себя новый набор лучших в своем классе функций и сервисов для защиты WAN. Благодаря этим новым функциям заказчики могут повышать производительность критически важных приложений, используя экономически эффективные подключения к филиалам. Среди преимуществ:
  • Восстановление WAN-линка с помощью механизма Forward Error Correction для работы с неустойчивыми WAN-соединениями в приложениях унифицированных коммуникаций
  • Измерение пропускной способности WAN по требованию
  • Оверлейный контроллер ( Overlay controller ) позволяет лучше управлять сложными проблемами подключения
  • Возможность разделения агрегированной пропускной способности оверлейной сети между различными соединениями с целью улучшения производительности и минимизации проблем с задержками
  • Высокоскоростное распознавание приложений для ускорения управления пакетами, что позволяет конечным пользователям получить максимально качественный опыт и добиться максимальной производительности приложений в любой момент времени

Многооблачная безопасность

• Решение Fortinet FortiGate NGFW теперь интегрировано с Kubernetes посредством FortiOS 6.2 Fabric Connectors, что открывает новые возможности для защиты контейнеров. Благодаря этому заказчики теперь могут обеспечить безопасность любого внешнего трафика, приходящего или уходящего из их контейнерных кластеров, за счет логического определения политик на основе меток и мета-данных от контейнеров и облачных ресурсов. 
• FortiMail теперь интегрирован с O365 Exchange, что позволяет заказчикам с легкостью применять самую свежую аналитику FortiGuard об угрозах для более качественной защиты электронной почты, проходящей через O365 Exchange. Интеграция не требует какой-либо реконфигурации сети или почтовых настроек, и непосредственно подключается к API O365. Это обеспечивает организациям расширенную защиту от угроз и позволяет защитить свою электронную почту.
• Новая виртуальная архитектура SPU FortiGate–VM поддерживает работу с высокопроизводительными вычислениями в облаке. Виртуальный процессор системы безопасности FortiGate VM (vSPU) повышает производительность как в частном, так и в публичном облаке, позволяя закачзкиам с уверенностью осуществлять миграцию своих высокопроизводительных приложений в облако. Используя эту архитектуру, FortiGate VM по-прежнему остается самым быстрым решением на рынке, обеспечивающим поддержку технологий виртуализации высокопроизводительных приложений, например, типов AWS C5n Instance, Intel QAT, Oracle Native Acceleration и других.

Открытые экосистемы

• FortiOS 6.2 улучшает уже имеющуюся в Fortinet панель контроля и управления для всего растущего пакета продуктов безопасности Fortinet, сторонних решений от сообщества партнеров Fortinet Fabric-Ready и нативных сторонних API (connectors). Интеграция в Security Fabric новых возможностей безопасности и функция автоматизации позволяет:
  • осуществлять автоматическую оценку угроз и реализовывать целостный подход к реагированию; 
  • обеспечить соблюдение регуляторных требований за счет расширеного анализа рисков в соответствии с отраслевыми стандартами.

Автоматизация и оркестрация

• FortiOS 6.2 значительно расширяет комплексные возможности автоматизации, оркестрирования и реагирования во всех решениях Security Fabric с FortiManager и FortiAnalyzer, в том числе обеспечивая:
  • Единый инструмент оркестрирования: выделение ресурсов и управление конфигурациями упрощается во всех решениях Fortinet Security Fabric. Среди основных улучшений – автоматическое выделение ресурсов для FortiGates, FortiSwitches, FortiAPs, защищенные SD-WAN и Fabric Connectors для более оптимального оркестрирования сервисов и облака.
  • Автоматизация: возможность комплексной автоматизации ручных, ресурсоемких процессов позволяют сделать операции менее сложными. Сюда относится сканирование истории IOC для отслеживания угроз, а также хронология инцидентов и панели SOC для анализа инцидентов и управления приоритетами.
  • Реагирование: используются данные об активах и сущностях для обнаружения и сопоставления продвинутых угроз, а также их быстрого устранния. Интеграция с Scripts, Webhooks, ServiceNow и многими другими инструментами позволяет быстро реагировать на инциденты.

Обеспечение безопасности с использованием искусственного интеллекта (рис. 8).

• FortiGuard Labs разработала систему обнаружения и анализа угроз FortiGuard AI . Лежащая в ее основе нейронная сеть состоит более чем из 9 миллиардов взаимосвязанных узлов и способна не только выявлять и классифицировать угрозы с беспрецедентной скоростью, FortiGuard Labs публикует высокоточную аналитику об угрозах, которая активно используется решениями Fortinet.
• Разработанная FortiGuard Labs Система обнаружения угроз на базе искусственного интеллекта поддерживает новые улучшенные технологии обнаружения утечек и интегрирована в FortiGate NGFW, FortiWeb, FortiMail, FortiClient, FortiSandbox и FortiSIEM, что позволяет ускорить выявление угроз и реагирование на них.
• Автоматизированное оркестрирование использует аналитику из самых различных источников, в том числе из сервиса аналитики угроз FortiGuard Labs, сторонних источников и собственной аналитики, получаемой посредством решений Security Fabric. Кроме того, эта функция осуществляет необходимые действия после обнаружения угроз средствами UEBA в FortiSIEM.

«Мы решили защитить нашу сеть с помощью Fortinet Security Fabric, что подразумевает развертывание в числе прочего решений FortiGate NGFW, FortiMail, FortiSIEM, FortiWeb, FortiClient, FortiSandbox, FortiManager и FortiAnalyzer, - комментирует Джезус Гарридо Антонио (Jesus Garrido Antonio), директор департамента информационных технологий и коммуникаций в Национальном институте аэрокосмических технологий. - В результате Институт аэрокосмических технологий (INTA) получил более полный контроль над каждым сегментом сети и устройством, независимо от того, находится ли он в локальной сети, или в облаке. Мы отметили повышение эффективности работы, а также более простое управление операциями, с учетом того, что наша архитектура безопасности развертывается через единую консоль. Мы рады увидеть нововведения и расширение возможностей Security Fabric с релизом FortiOS 6.2, которые помогут нам обеспечить комплексную защиту от продвинутых угроз на всей поверхности атаки».

SN . Расскажите о продуктах и сценариях использования специализированной микросхемы SD-WAN ASIC для ускорения и защиты периферии WAN, анонсированной в начале апреля 2019 г.

А.А. «Периферия WAN является сегодня важным элементом поверхностей цифровых атак, но периферия вашей сети никогда не должна становиться узким местом в инфраструктуре. Для филиалов способность обеспечивать наилучшую работу границы WAN , в том числе за счет SD - WAN , оптимизации WAN , решений безопасности и оркестрирования, при этом с оптимальной производительностью и защитой, является критически важным для создания качественного цифрового опыта. Специализированный процессор Fortinet SoC4 SD-WAN ASIC позволяет организациям развертывать сети на принципах безопасности, независимо от количества имеющихся филиалов – будь у них 100 или 10 000 офисов - Джон Мэддисон (John Maddison), исполнительный вице-президент по продуктам и решениям в Fortinet ».

Организации используют SD - WAN для создания более скоростных и экономически эффективных сетей, при этом обеспечение безопасности остается одной из ключевых проблем. В своем недавнем отчете Gartner сообщила: «72% респондентов утверждают, что безопасность остается для них одним из основных опасений, когда речь заходит об их  WAN сети». С учетом этого Fortinet в апреле 2019 г. анонсировала доступность инструментов, позволяющих развертывать сети на принципах безопасности, в том числе речь идет о следующих новых инновациях:

• Первая в отрасли специализированная микросхема SoC4 SD-WAN ASIC
• Устройство FortiGate 100 F Appliance , обеспечивающее десятикратный прирост производительности
• Новые функции SD - WAN в FortiOS 6.2
• Сервисы Fortinet 360 Protection Services

Эти инновации помогают решить самые насущные задачи, с которыми сталкиваются заказчики, и могут использоваться при следующих сценариях:

Сценарий #1: цифровая трансформация корпоративной WAN периферии

SaaS и мультиоблачные приложения сегодня становятся все более популярными, вместе с этим растет и необходимость адаптировать периферию WAN с учетом используемых приложений. Принимая этот фактор во внимание, Fortinet представила первую в отрасли специализированную микросхему SoC4 SD-WAN ASIC, которая дает возможность самого быстрого в индустрии распознавания приложения и способна справиться более чем с 5000 приложений. Благодаря этому пользователи смогут избежать задержек при доступе к своим приложениям, а также смогут повысить производительность оверлейной сети, обеспечивая низкий уровень сетевых задержек и максимально возможное качество работы критически важных приложений.

Кроме того, Fortinet представила устройство FortiGate 100 F Next - Generation Firewall на базе нового специализированного процессора SoC 4 SD - WAN ASIC, которое сочетает в едином предложении функциональность SD - WAN и расширенные функции безопасности. FortiGate 100 F обеспечивает в десять раз более высокую производительность по сравнению с решениями конкурентов. Кроме того, в нем используются интегрированные интерфейсы 10 G, что обеспечивает возможность дальнейшего расширения в будущем без необходимости приобретения дополнительного оборудования.

Сценарий #2: сокращение издержек на эксплуатацию WAN без снижения производительности приложений

Организации переходят от MPLS к широкополосным сетям для достижения более высокой пропускной способности и одновременного снижения издержек на WAN, однако, зачастую, этот переход приводит к снижению качества работы унифицированных коммуникаций. Новые функции SD-WAN в FortiOS 6.2 позволяют заказчикам использовать новые возможности восстановления линка (WAN Link remediation) для работы даже с самыми неустойчивыми WAN-соединениями и обеспечения максимально высокого качества работы унифицированных коммуникаций. Новые функции SD-WAN также позволяют заказчикам измерять пропускную способность WAN по требованию и агрегировать оверлейную полосу для управления пакетами (packet-based steering), чтобы всегда обеспечивать конечным пользователям максимально качественный опыт и наилучшую производительность приложений.

Сценарий #3: упрощение эксплуатации и консолидация WAN-периферии за счет SD-Branch

Многие клиенты в настоящее время вынуждены использовать сразу несколько точечных решений и консолей управления для работы с WAN-периферией. С учетом этого Fortinet сообщает о том, что новые сервисы Fortinet 360 Protection Services теперь включают в себя функции управления и оркестрирования SD-WAN, позволяющие упростить даже самые сложные сетевые проекты. Сервисы Fortinet 360 Protection Services включают в себя оркестрацию оверлейного контроллера для упрощения развертывания масштабных VPN сетей за счет единой панели управления. Кроме того, решение Fortinet FortiManager теперь доступно для любых окружений, в том числе для локальной сети и мультиоблачных окружений, что обеспечивает возможность централизованного управления WAN-периферией.

Для дальнейшего упрощения работы с WAN периферией, Fortinet продолжает углублять интеграцию функций SD-WAN с уровнем доступа в филиалах (branch access layer). Новая специализированная микросхема Fortinet SoC4 SD-WAN ASIC помогает ускорить работу сервисов безопасности в масштабах всей WAN периферии, в точках доступа и коммутаторах, позволяя тем самым реализовать SD-трансформацию филиалов.

Инновации Fortinet для развертывания защищенной сетевой инфраструктуры

Fortinet предлагает лучшие в своем классе инструменты для SD - WAN и уровень безопасности в своем решении FortiGate Secure SD - WAN , которое пользуется большим спросом у заказчиков и является единственным решением, чьи возможности безопасности получили рекомендацию SD - WAN " Recommended " в первом отчете NSS Labs . С анонсом первой в отрасли специализированной микросхемы SoC 4 SD - WAN ASIC заказчики могут реализовать полностью защищенную периферию в своих филиалах, независимо от количества подключаемых офисов. Специализированная микросхема Fortinet SD - WAN ASIC будет использоваться в новом устройстве FortiGate 100 F , которое предлагает наилучшее сочетание цены и производительности для проектов WAN -периферии. Новые сервисы Fortinet 360 Protection Services и функции SD - WAN в FortiOS 6.2 помогают еще больше снизить нагрузку на ИТ-специалистов и обеспечить максимально качественную работу приложений унифицированных коммуникаций за счет упрощенного оркестрирования.

SN . Планируется ли использование специализированной микросхемы  SoC4 SD-WAN ASIC  в других продуктах  Fortinet , помимо FortiGate  100 F Appliance . Если да, то в каких и когда ожидается их доступность?

AA . Аппаратная архитектура  FortiGate  предусматривает наличие  ASIC  в различных моделях.  FortiGAte -100/101 F  – это первое решение, в котором присутствует аппаратный модуль  SOC 4, который еще называют  SD - WAN ASIC . Предыдущее поколение модулей SOC 3 широко использовалось в различных моделях  FortiGate . Не исключено, что в новых поколениях устройств  SOC 4 будет применяться также активно. В любом случае нужно дождаться официальных сообщений на этот счет.

SN . Поддерживается ли стандарт беспроводной технологии Wi-Fi 6 (IEEE  802.11ax с технологией OFDMA) в решениях  Fortinet ? Если да, то: 1) в каких, 2) программно/аппаратно, 3) преимущества использования по пропускной способности?

Стандарт 802.11 ax  поддерживается в беспроводных точках доступа FAP-U431F/FAP-U433F. Это универсальные точки доступа управление которыми можно осуществлять как с отдельного, так и встроенного в  FortiGate  контроллера. Совокупные характеристики новых точек доступа обеспечивают пропускную способность в несколько раз превышающую характеристики точек доступа предыдущего поколения (в перспективе до 10 Gbps ).

SN . Поддерживается ли стандарт WI-FI CERTIFIED WPA3 security в решениях  Fortinet ? (преимущества, обратная совместимость с WPA2)

Протокол WPA3 поддерживается беспроводными точками доступа. Помимо прочих преимуществ, WPA3 обеспечивает более надежный механизм аутентификации клиентов, делая атаки с использованием словарного перебора намного более сложными и трудоемкими для злоумышленника, но полагаться только на  WPA 3 нельзя. Обеспечивать защиту беспроводной сети необходимо комплексными методами, включающими в себя сегментацию сети с детектированием всех типов устройств, поддерживать в актуальном состоянии и оперативно реагировать на  IOC  (индикаторы компрометации) средств мониторинга, использовать надежные средства аутентификации пользователей исключая неавторизованный доступ к сети.

SN . Как разворачивается и работает FortiGuard AI? Достижения при использовании, насколько снижаются риски, лицензирование?

FortiGuard Lab  применяет собственную технологию  SEDS  ( Self - Evolving Detection System ) которая разрабатывается и обучается более шести лет. Данный механизм успешно зарекомендовал себя при обнаружении новых угроз (в т.ч. 0- day ). В  SEDS  применяются технологии машинного обучения, искусственного интеллекта, которые непрерывным образом применяются для совершенствования и повышения эффективности определения и предотвращения угроз (см. рис. 9). Результаты работы  FortiGuard применяются во всех решениях входящих в  Security Fabric  и распространяются в реальном режиме времени по всем решениям, имеющим действующий контракт на получение обновлений. Эффективность  FortiGuard  повышается с объемом накопленной информации и возрастающим количеством подключаемых устройств, обеспечивающим устойчивую обратную связь по результатам обнаруженных угроз.

SN . Расскажите об уровнях балансировки нагрузки (при эксплуатации/масштабировании). Как происходит анализ, как выдаются рекомендации? Что такое "SDWAN –тотальная автоматизация", как она работает?

Балансировка нагрузки и повышение отказоустойчивости решений Fortinet может обеспечиваться как встроенными средствами, так и с помощью внешних балансировщиков и контроллеров. Межсетевые экраны FortiGate реализуют собственные механизмы балансировки трафика (например, FGSP - FortiGate Session Life Support Protocol) а также поддерживают независимые протоколы, такие как VRRP. Решения, выполненные в виде шасси (например модели FortiGate 5000, 7000 серии) имеют встроенные контроллеры управления и балансировкой трафиком. В некоторых случаях, особенно когда необходимо управлять трафиком и доступностью приложений, применяются специализированные решение FortiADC, выполняющие роль котроллеров доставки приложений. Если рассмотреть вопрос об обеспечении доступности сервисов в рамках компании, филиалы и подразделения которой распределены по большой географической территории, то на помощь приходит технология SD-WAN. Решения SD-WAN поддерживают управление бизнес-приложениями, обеспечивают их непрерывность и доступность, а также наиболее оптимальное распределение трафика с учетом требуемых уровней качества. Хорошим примером применимости SD-WAN являются торговые сети, финансовые компании, а также любая компания с широкой филиальной сетью. Поддержка технологий SD-WAN реализована в решения Fortinet в качестве встроенных функций, что позволяет с высоким уровнем эффективности решить как сетевые задачи, таки и вопросы повышения информационной безопасности распределенных сетей – защищенный SD-WAN.

Концепция SD - WAN реализованная Fortinet предусматривает широкие средства автоматизации и интеллектуального управления трафиком. При этом учитываются заданные характеристики качества каналов передачи данных, обеспечивается гарантированная доставка приложений и доступа к данным, балансировка нагрузки между различными каналами связи. Необходимость в решениях SD - WAN возникает при большом количестве удаленных объектов (например, филиальная сеть банка или торговой компании) и наличии различных каналов связи ( MPLS , IP VPN , Internet ). Возможности SD - WAN по оперативному развертыванию удаленной инфраструктуры, унификации решений и централизованному управлению инфраструктурой позволяет добиться максимально возможной технико-экономической эффективности (рис. 9).

Дополнительная информация:

• Презентация с ITSF -форума - Информационная безопасность в эпоху индустриальной революции 4.0
• Отраслевые тенденции: Fortinet - четыре основные концепции обеспечения безопасности облачных технологий