隨著規(guī)模更大、更嚴(yán)重的網(wǎng)絡(luò)攻擊在全球范圍內(nèi)蔓延，很多企業(yè)需要為其網(wǎng)絡(luò)提供強(qiáng)大的安全架構(gòu)。Fortinet在提供安全驅(qū)動(dòng)的網(wǎng)絡(luò)產(chǎn)品方面處于領(lǐng)先地位。

該公司以其Fortinet Security Fabric而聞名，這是一種集成安全產(chǎn)品架構(gòu)，跨越廣泛的數(shù)字攻擊面和生命周期。Security Fabric的核心是FortiOS操作系統(tǒng)，它支持一系列插件產(chǎn)品，幫助客戶滿足其特定的網(wǎng)絡(luò)和安全需求。FortiGate下一代防火墻是Security Fabric的基礎(chǔ)。

[[421398]]

這個(gè)插件策略是Fortinet提供其所謂的安全訪問服務(wù)邊緣產(chǎn)品FortiSASE的方式。雖然FortiSASE可能有助于實(shí)現(xiàn)全面的軟件定義廣域網(wǎng) (SD-WAN)，但它其實(shí)并不完全是SASE。

Gartner如何定義SASE

為了更好地理解Fortinet的SASE策略，客戶首先應(yīng)該了解SASE，它將網(wǎng)絡(luò)和安全點(diǎn)服務(wù)融合為統(tǒng)一的全球云原生服務(wù)。它是企業(yè)網(wǎng)絡(luò)和安全的架構(gòu)轉(zhuǎn)型，使IT能夠?yàn)閿?shù)字業(yè)務(wù)提供全面且適應(yīng)性強(qiáng)的服務(wù)。

在嘗試通過點(diǎn)服務(wù)解決新興業(yè)務(wù)挑戰(zhàn)時(shí)，這通常會(huì)導(dǎo)致技術(shù)孤島，管理復(fù)雜且成本高昂。復(fù)雜性會(huì)降低IT及其對(duì)業(yè)務(wù)需求的響應(yīng)速度。而SASE通過網(wǎng)絡(luò)和安全平臺(tái)改變了這種模式，該平臺(tái)是身份驅(qū)動(dòng)、云原生、全球分布且安全連接到所有邊緣，包括WAN、云計(jì)算、移動(dòng)和物聯(lián)網(wǎng)。

為了滿足Gartner的標(biāo)準(zhǔn)，SASE平臺(tái)必須具有以下屬性：

• 建立在云原生和基于云的架構(gòu)之上;
• 分布在全球多個(gè)接入點(diǎn)(PoP)中;
• 支持所有邊緣，包括位置、用戶、云和應(yīng)用程序。

雖然我們SD-WAN專家認(rèn)識(shí)到供應(yīng)商可能需要時(shí)間來實(shí)施SASE，但我們也相信云端安全和網(wǎng)絡(luò)融合是將平臺(tái)視為SASE必要因素。

Fortinet的SASE方法：擴(kuò)展安全架構(gòu)

自2019年Gartner宣布SASE為網(wǎng)絡(luò)和安全的未來以來，很多供應(yīng)商已經(jīng)在競爭中占據(jù)了一席之地。Fortinet 通過推出其FortiSASE架構(gòu)成為其中之一。

Fortinet在其網(wǎng)站上說明了他們的SASE做法。下面是關(guān)鍵的摘錄：

不是孤立的、僅限云的方法，F(xiàn)ortiSASE提供SASE服務(wù)作為Fortinet Security Fabric的擴(kuò)展，以擴(kuò)展和利用FortiOS的強(qiáng)大功能，F(xiàn)ortiOS是連接整個(gè)Fortinet安全解決方案組合的通用操作系統(tǒng)。

換句話說，F(xiàn)ortinet 在利用其過去21年開發(fā)的所有硬件和軟件以組裝成SASE模型，同時(shí)淡化云方法。這種方法與Gartner對(duì)云交付SASE的定義形成對(duì)比。

一次構(gòu)建一個(gè)Fortinet架構(gòu)

連接性

為了部署Fortinet架構(gòu)，企業(yè)需要從連接性開始。網(wǎng)絡(luò)團(tuán)隊(duì)在企業(yè)數(shù)據(jù)中心 (FortiGate 2500E)、云數(shù)據(jù)中心 (FortiGate-VM) 和分支機(jī)構(gòu) (FortiGate 60E) 中部署物理或虛擬 FortiGate設(shè)備。FortiGate SD-WAN功能是SD-WAN的主要構(gòu)建塊。接下來，團(tuán)隊(duì)在遠(yuǎn)程用戶的設(shè)備上部署FortiClient以將他們連接到網(wǎng)絡(luò)。

Fortinet沒有用于全球連接的產(chǎn)品。WAN僅適用于區(qū)域用例，不提供SaaS優(yōu)化。

SD-WAN

然后，團(tuán)隊(duì)?wèi)?yīng)該配置服務(wù)質(zhì)量，以確保應(yīng)用程序在整個(gè)網(wǎng)絡(luò)中獲得正確的優(yōu)先級(jí)。他們將需要購買另一種Fortinet產(chǎn)品SD-WAN Orchestrator，以將SD-WAN視為跨集線器、組網(wǎng)和虛擬網(wǎng)絡(luò)的虛擬覆蓋，并為不同的應(yīng)用程序構(gòu)建全網(wǎng)狀網(wǎng)絡(luò)。否則，團(tuán)隊(duì)必須為每個(gè)設(shè)備逐個(gè)管理不同的SD-WAN隧道。

SD-WAN Orchestrator將網(wǎng)絡(luò)視為一個(gè)整體，但它有局限性。例如，它將復(fù)雜的對(duì)象名稱(例如AAAAA、AAAAB 和 AAAAC)分配給虛擬網(wǎng)絡(luò)隧道和其他相關(guān)配置項(xiàng)。這種命名約定使工程師難以將對(duì)象名稱與物理站點(diǎn)相關(guān)聯(lián)，從而使手動(dòng)故障排除變得復(fù)雜。

安全和管理

對(duì)于安全性，F(xiàn)ortinet具有融合性。FortiGate設(shè)備提供高級(jí)安全性，但需要在所有位置進(jìn)行配置，最好使用FortiManager。如果遠(yuǎn)程FortiClient用戶沒有基于云的安全性，團(tuán)隊(duì)將需要通過數(shù)據(jù)中心的物理設(shè)備或云數(shù)據(jù)中心的虛擬設(shè)備回傳流量，作為集中器，以便通過安全堆棧傳輸流量。

為了管理遠(yuǎn)程FortiClient用戶，團(tuán)隊(duì)需要在本地安裝企業(yè)管理服務(wù)器軟件，部分安裝在隔離區(qū)，以便與互聯(lián)網(wǎng)上的遠(yuǎn)程FortiClient代理進(jìn)行通信。

其他Fortinet產(chǎn)品有助于設(shè)備管理。FortiManager幫助管理網(wǎng)絡(luò)上的一切，以有效的方式將策略和配置推送到設(shè)備。它還建立覆蓋虛擬網(wǎng)絡(luò)隧道，并且SD-WAN策略被推送到FortiGate設(shè)備。FortiManager不包括分析功能，因此另一個(gè)產(chǎn)品FortiAnalyzer提供網(wǎng)絡(luò)分析。

FortiSIEM需要聚合所有日志并將信息標(biāo)準(zhǔn)化為單個(gè)塊。如果團(tuán)隊(duì)想要為其Fortinet環(huán)境添加多因素身份驗(yàn)證，他們將需要FortiAuthenticator作為所有Fortinet組件的中間件。FortiDeploy幫助團(tuán)隊(duì)進(jìn)行零接觸部署。

運(yùn)行網(wǎng)絡(luò)

當(dāng)團(tuán)隊(duì)安裝了這種拼湊的產(chǎn)品來連接和保護(hù)網(wǎng)絡(luò)，就可以運(yùn)行它。如果團(tuán)隊(duì)想要保證高可用性，他們需要在各處將設(shè)備加倍以確保自動(dòng)故障轉(zhuǎn)移。這種方法不僅昂貴，而且也難以管理。網(wǎng)絡(luò)復(fù)雜性將要求公司在部署IT堆棧的任何地方都配備IT人員。

SASE適合的地方

2020年7月，F(xiàn)ortinet收購了Opaq Networks公司，并表示此次收購將是Fortinet進(jìn)入競爭激烈的SASE領(lǐng)域的關(guān)鍵。目前這個(gè)愿景還沒有實(shí)現(xiàn)。相反，F(xiàn)ortinet當(dāng)前的SASE方法是其傳統(tǒng)的FortiGate-FortiManager-FortiClient故事。

FortiSASE的主要云部分是安全互聯(lián)網(wǎng)訪問 (SIA)，它結(jié)合​FortiClient或稱為FortiExtender的瘦邊緣一起使用。這些產(chǎn)品尚不支持FortiOS集成。對(duì)于SIA，F(xiàn)ortinet目前有一個(gè)PoP，到2021年底計(jì)劃有四個(gè)。

FortiSASE不滿足SASE的技術(shù)定義，但它以后可能會(huì)提供更多功能。根據(jù)我的經(jīng)驗(yàn)，F(xiàn)ortinet會(huì)告訴客戶“SASE是一段旅程”。

FortiSASE優(yōu)勢

Fortinet產(chǎn)品的重要部分是Security Fabric。它具有強(qiáng)大的功能集，并在“2020年Gartner 網(wǎng)絡(luò)防火墻魔力象限”中被評(píng)為三大領(lǐng)導(dǎo)者之一。根據(jù)Gartner的說法，“在具有有高級(jí)網(wǎng)絡(luò)的集成SD-WAN功能方面，F(xiàn)ortinet防火墻是領(lǐng)導(dǎo)者，使其成為基于防火墻設(shè)備的分布式辦公用例的首選。”

FortiSASE缺點(diǎn)

從真正的SASE平臺(tái)角度來看，F(xiàn)ortinet幾乎沒有。Fortinet預(yù)計(jì)收購Opaq，這可能會(huì)有所幫助，但事實(shí)證明與Fortinet戰(zhàn)略的整合很難實(shí)現(xiàn)。

Fortinet當(dāng)前的SASE產(chǎn)品不包括任何云原生組件。它沒有私有的全球骨干網(wǎng)或簡單方法來連接和優(yōu)化 SaaS應(yīng)用程序。簡而言之，F(xiàn)ortinet的SASE選項(xiàng)是具有新營銷功能的安全SD-WAN。

需要組裝

團(tuán)隊(duì)最初可能會(huì)因?yàn)槿腴T價(jià)格低而被Fortinet吸引，但每個(gè)附加功能都會(huì)增加復(fù)雜性和價(jià)格。Fortinet的方法仍然以設(shè)備為中心，缺乏云戰(zhàn)略。如果企業(yè)已經(jīng)擁有Fortinet基礎(chǔ)設(shè)施，那么值得考慮將其作為安全SD-WAN而不是SASE。

Gartner強(qiáng)調(diào)，僅基于本地設(shè)備的服務(wù)交付模型無法滿足日益移動(dòng)化的勞動(dòng)力和對(duì)延遲敏感的應(yīng)用程序的需求。雖然Fortinet擁有令人印象深刻的功能列表，但從云邊緣提供這些功能是SASE的基礎(chǔ)。