۳ سال پیش

بررسی پلتفرم Fortinet’s SASE

فهرست مطالب

پلتفرم Fortinet’s SASE علیرغم پایه‌های امنیتی قوی‌اش، فاقد استراتژی Cloud-native است و همین امر، تیم‌ها را ملزم می‌کند تا معماری‌های مختلف را به هم پیوند دهند. با گسترش حملات سایبری در سراسر جهان، بسیاری از کسب‌وکارها به یک معماری امنیتی قوی برای شبکه‌های سازمانی خود نیاز دارند. Fortinet در ارائه محصولات شبکه مبتنی بر امنیت پیشرو است. این شرکت به‌واسطه معماری محصولات امنیتی یکپارچه‌اش که سطح گسترده‌ای از حملات دیجیتال را در بر می‌گیرد یعنی Fortinet Security Fabric، شناخته شده است. در مرکز Security Fabric، سیستم‌عامل FortiOS قرار دارد که با پشتیبانی از طیف وسیعی از محصولات و پلاگین‌ها به مشتریان کمک می‌کند نیازهای شبکه و امنیت خاص خود را برآورده کنند. فایروال نسل بعدی FortiGate بر روی Security Fabric نصب می‌شود.

SASE چیست؟

برای درک بهتر استراتژی Fortinet’s SASE، باید ابتدا SASE را درک کنید. SASE خدمات شبکه و نقاط امنیتی را به یک سرویس Cloud-native یکپارچه و جهانی تبدیل می‌کند. این تحولی بزرگ برای معماری شبکه‌های سازمانی و امنیت است که تیم‌های فناوری اطلاعات را قادر می‌سازد تا خدماتی جامع و سازگار با تجارت دیجیتال را ارائه دهند.

تلاش‌هایی که در راستای رفع چالش‌های تجاری نوظهور صورت می‌گیرد، منجر به ایجاد سیلوهای فنی شده که مالکیت و مدیریت آن‌ها پیچیده و پرهزینه است. پیچیدگی، سرعت رشد فناوری اطلاعات و پاسخ‌گویی به نیازهای تجاری را کند می‌کند. SASE این مشکلات را از طریق یک پلتفرم امنیت شبکه تغییر می‌دهد که هویت محور، Cloud-native، توزیع‌شده و ایمن برای همه Edgeها، از جمله WAN، Cloud، موبایل و اینترنت اشیا است.

یک پلتفرم SASE، برای برآورده کردن معیارهای گارتنر باید ویژگی‌های زیر را داشته باشد:

بر اساس معماری بومی و مبتنی بر ابر ساخته شده باشد.
به‌صورت سرتاسری و در تمام Pop site توزیع‌شده باشد.
از تمام Edgeها، از جمله موقعیت‌های جغرافیایی، کاربران، ابرها و برنامه‌ها پشتیبانی کند.

رویکرد Fortinet’s SASE: گسترش بافت امنیتی

از سال ۲۰۱۹ که گارتنر، SASE را به عنوان آینده شبکه و امنیت معرفی کرد، بسیاری از فروشندگان با هشیاری و اقدام موثر، سعی کردند موقعیت خود را در این رقابت حفظ کنند. Fortinet با معرفی معماری FortiSASE یکی از این شرکتها بوده است. Fortinet در وبسایت خود نحوه برخورد با SASE را به‌طور کامل نشان داده است، اما در ادامه گزیده‌ای از آن را مشاهده خواهید کرد.

«FortiSASE به‌جای یک رویکرد منزوی و صرفا ابری، خدمات SASE را به‌عنوان توسعه‌ای از Fortinet Security Fabric برای گسترش و استفاده از قدرت FortiOS، SASE را با کل مجموعه راه‌حل‌های امنیتی Fortinet پیوند می‌دهد.»

به عبارت دیگر، Fortinet تمام سخت‌افزار و نرم‌افزاری را که در ۲۱ سال گذشته توسعه داده، استفاده می‌کند تا همه چیز را در مدل SASE جمع‌آوری کند. این در حالی است که رویکرد ابری را کم اهمیت جلوه می‌دهد. این رویکرد با آنچه که گارتنر برای SASE ارائه شده در فضای ابری اعلام کرده در تضاد است.

قدم‌به‌قدم با ساخت یک معماری Fortinet

اتصال

برای استقرار معماری Fortinet، کسب‌وکارها با اتصال کار را شروع می‌کنند. تیم‌های شبکه، تجهیزات فیزیکی یا مجازی FortiGate را در Data center سازمانی (FortiGate 2500E)، ابری (FortiGate-VM) و دفاتر شعبه (FortiGate 60E) مستقر می‌کنند. ویژگی‌های FortiGate SD-WAN، همان ستون‌های اصلی SD-WAN هستند. در مرحله بعد، تیم‌ها FortiClient را روی دستگاه‌های کاربران راه دور مستقر می‌کنند تا آن‌ها را هم به شبکه متصل کنند. Fortinet محصولی برای ایجاد اتصال سرتاسری ندارد. WAN فقط برای موارد استفاده منطقه‌ای به کار می‌آید و بهینه‌سازی SaaS را ارائه نمی‌کند.

SD-WAN

تیم‌های‌ فناوری اطلاعات، در مرحله بعدی باید کیفیت خدمات را پیکربندی کنند تا مطمئن شوند برنامه‌ها اولویت مناسبی در سراسر شبکه دارند. آن‌ها باید یک محصول دیگر Fortinet به نام SD-WAN Orchestrator را تهیه و راه‌اندازی کنند تا SD-WAN را به عنوان یک پوشش مجازی در Hubها، Spoke‌ها و شبکه‌های مجازی مشاهده کنند و شبکه‌های Mesh کاملی را برای برنامه‌های مختلف ایجاد کنند. در غیر این صورت، تیم‌ها باید در هر دستگاه به‌طور جداگانه SD-WAN را مدیریت کنند.

SD-WAN Orchestrator به شبکه با دید کلی نگاه می‌کند، اما محدودیت‌هایی هم دارد. یکی از این محدودیت‌ها، به اختصاص نام‌های پیچیده‌ای مثل AAAAA ، AAAAB و AAAAC به تونل‌های VPN و سایر موارد پیکربندی بر می‌گردد. این قرارداد نام‌گذاری، ارتباط نام‌ها با یک سایت فیزیکی را برای مهندسان دشوار و در نتیجه، عیب‌یابی را پیچیده می‌کند.

مقاله پیشنهادی“راهکار امن SD-WAN و چالش‎ امنیت سازمان‌های خدماتی”

امنیت و مدیریت

در مورد امنیت، Fortinet همگرایی بالایی دارد. تجهیزات FortiGate امنیت پیشرفته‌ای را ارائه می‌دهند، اما باید در همه مکان‌ها و ترجیحا با استفاده از FortiManager پیکربندی شوند. در مورد کاربران راه دور FortiClient، بدون امنیت مبتنی بر ابر، تیم‌ها باید ترافیک را از طریق ابزار فیزیکی یا مجازی در Data center، نقش VPN را ایفا کنند تا ترافیک را از پشته امنیتی عبور دهند. برای مدیریت کاربران راه دور FortiClient، تیم‌ها باید نرم‌افزار Enterprise Management Server را در محل نصب کنند تا ارتباط با عوامل راه دور را از طریق اینترنت امکان‌پذیر کنند.

محصولات دیگری از Fortinet هم هستند که به مدیریت بهتر کمک می‌کنند؛ FortiManager به مدیریت شبکه جامع‌تر کمک می‌کند تا سیاست‌ها و پیکربندی‌ها را به شیوه‌ای موثر به دستگاه‌ها اعمال کند. همچنین تونل‌های VPN و خط‌مشی‌های SD-WAN را ایجاد می‌کند که به دستگاه‌های FortiGate منتقل می‌شوند. FortiManager قابلیت‌های تجزیه و تحلیل را شامل نمی‌شود، بنابراین محصول دیگری به نام FortiAnalyzer تجزیه و تحلیل شبکه را انجام می‌دهد. FortiSIEM برای جمع‌آوری گزارش‌ها و نرمال‌سازی اطلاعات بلوک‌ها مورد نیاز است. اگر قصد اضافه کردن احراز هویت چند عاملی را برای محیط Fortinet داشته باشید، به FortiAuthenticator هم نیاز دارند تا به عنوان میان‌افزاری برای همه اجزای Fortinet عمل کند.

اجرای شبکه

وقتی که تیم‌ها Patchهای مورد نیاز محصولات را برای اتصال و ایمن‌سازی شبکه نصب کرده باشند، زمان اجرای شبکه فرا می‌رسد. اگر تیم‌ها بخواهند میزان دسترسی‌پذیری بالایی را تضمین کنند، باید تمام تجهزیات را بصورت HA پیاده سازی کنند تا از وجود جایگزین در صورت بروز خرابی اطمینان حاصل کنند. این رویکرد نه تنها هزینه‌بر است، بلکه مدیریت دشواری هم دارد. پیچیدگی شبکه در چنین حالتی، مستلزم حضور کارکنان فناوری اطلاعات در هر جایی است که تجهیزات مورد نظر مستقر شده‌اند.

جمع‌بندی: Fortinet’s SASE کجا قرار دارد؟

در جولای ۲۰۲۰، Fortinet شرکت Opaq Networks را تصاحب کرد و اعلام کرد که این خرید، کلید ورودش به فضای رقابتی SASE خواهد بود. این چشم‌انداز تا این لحظه به واقعیت تبدیل نشده است؛ در عوض، رویکرد فعلی Fortinet در مورد SASE، داستان سنتی FortiGate-FortiManager-FortiClient است. بخش ابری FortiSASE، اصلی‌ترین بخش آن است که دسترسی امن به اینترنت (SIA) را به‌کمک FortiClient یا FortiExtender فراهم می‌کند. این محصولات هنوز از ادغام با FortiOS پشتیبانی نمی‌کنند. FortiSASE تعریف فنی SASE را برآورده نمی‌کند، اما محصولی است که به‌مرور کامل‌تر می‌شود و موارد بیشتری ارائه خواهد داد.

نقاط قوت FortiSASE

نقطه قوت اصلی FortiSASE، ارائه Security Fabric است که دارای مجموعه‌ای از ویژگی‌های قدرتمند است و به عنوان یکی از سه پیشرو در زمینه فایروال‌های شبکه در رویداد Gartner Magic Quadrant 2020 انتخاب شد. به گفته گارتنر:

«فایروال‌های Fortinet در یکپارچه‌سازی SD-WAN با شبکه‌های پیشرفته، پیشرو هستند. همین است که آن‌ها را به کاندیدای برتر برای مصارف اداری توزیع‌شده تبدیل می‌کند.»

نقاط ضعف FortiSASE

Fortinet انتظار داشت که خرید کمپانی Opaq کمک کند تا تبدیل به یک پلتفرم کامل SASE شود، اما ادغام کردن آن با استراتژی Fortinet دشوار بود. پیشنهاد فعلی Fortinet’s SASE، هیچ‌یک از مولفه‌های Cloud-native را شامل نمی‌شود. FortiSASE راه آسانی برای اتصال و بهینه‌سازی برنامه‌های SaaS ارائه نمی‌دهد و به‌طور خلاصه، FortiSASE یک SD-WAN امن با بازاریابی جدید است.

FortiSASE به اسمبلی نیاز دارد

ممکن است تیم‌ها در ابتدای کار با قیمت ورودی پایین به سمت Fortinet کشیده شوند، اما با نیاز پیدا کردن به هر قابلیت افزودنی، پیچیدگی و هزینه افزایش پیدا خواهند کرد. رویکرد Fortinet هنوز هم فاقد استراتژی ابری است. اگر شرکت‌ها از قبل زیرساخت Fortinet دارند، ارزش آن را دارد که به عنوان یک SD-WAN ایمن در نظر گرفته شود اما نمی‌توان به عنوان SASE روی آن حساب ویژه‌ای باز کرد.

منبع