Вы находитесь на странице: 1из 40

Алексей Мальцев, amaltsev@fortinet.

com
Ренат Ильяшев, rilyashev@fortinet.com

По общим вопросам: cis@fortinet.com


По техническим вопросам: cis_se@fortinet.com
Содержание

Рынок SD-WAN, тренды и требования заказчиков Алексей Мальцев

Общая информация о Fortinet Secure SD-WAN + FortiSASE Алексей Мальцев

Ключевые особенности и преимущества Fortinet Secure


SD-WAN:
1. FortiOS, FortiASIC, FortiGuard
2. Расширение сервисов в филиале SD-Branch Алексей Мальцев
3. Приложения и QoS
4. Управление, ZTP и мониторинг
5. Аналитика, тесты и отчёты

Практическая демонстрация Fortinet Secure SD-WAN Ренат Ильяшев


© Fortinet Inc. All Rights Reserved. 2
SD-WAN
Развитие рынка, тренды и требования заказчиков
Основные причины перехода на SD-WAN
Типовые требования современных организаций при построении WAN-сети

Развитие бизнеса Сокращение Высокая Гибкость и Масштабируемость


Новые филиалы расходов WAN эффективность безопасность Простое и удобное
(слияния / поглощения). Как OPEX, так и Улучшение Переход в облака. управление всей сетью и
Увеличение клиентской CAPEX. производительности филиалами.
Повышение уровня
базы (для MSSP). MPLS дорог => и качества работы защищённости при Возможность
Internet. бизнес-приложений. доступе к сети предоставление
Контроль качества Интернет. дополнительных сервисов.
Старое
оборудование. каналов и видимость.
Снижаем затраты
на поддержку
© Fortinet Inc. All Rights Reserved. 4
“…в первый раз за долгое время новая технология сразу
позволяет уменьшить накладные расходы и сократить
операционные затраты в течении 12 месяцев…”
Беспрецедентный Операционная SD-WAN обеспечивает операционную
глобальный рост эффективность эффективность, сокращая количество используемых
продуктов, одновременно консолидируя управление
SD-WAN
Сокращения Решения SD-WAN позволяют быстро окупать
Почему? расходов и расходы за счёт множества факторов, где
затрат важнейшую роль играет сокращения затрат на WAN

“…два канала (dual broadband) могут обеспечить экономию до 84% в сравнении с


сетями MPLS. Что может сократить расходы на сеть в 4 раза …”
https://blog.telegeography.com/wan-mythbusters-is-it-true-that-sd-wan-can-cut-your-network-spend-in-half (May,2020)

© Fortinet Inc. All Rights Reserved. 5


Информационная безопасность и SD-WAN
Обеспечение мер защиты – основное препятствие для внедрения и перехода к SD-WAN
Первый ответ Второй Третий Сумма трёх опций

Обеспечение безопасности 36% 21% 15% 72%

Производительность 16% 22% 19% 58%

Стоимость 12% 15% 47% 47%

Управление: видимость, мониторинг и диагностика 11% 12% 12% 34%

Обеспечение высокой доступности 12% 12% 10% 34%

Наличие и поддержка облачных платформ 10% 10% 12% 31%

Отсутствие гибкости 4% 9% 10% 22%

0% 40% 80%
Процент опрошенных
Base: Total, excluding no specific concerns; n = 303
Q07: What the top three biggest concerns (if any) with your overall WAN today?
ID: 355369

Информационная безопасность вызывает наибольшую обеспокоенность (72%) в


проектах SD-WAN, наряду с производительностью (58%) и стоимостью (47%)
Gartner Survey Analysis: Address Security and Digital Concerns to Maintain Rapid SD-WAN Growth, Naresh Singh, 12 November 2018

© Fortinet Inc. All Rights Reserved. 6


Архитектуры безопасности для SD-WAN
Возможные варианты повышения защищённости в филиалах WAN-сети
Вариант-1. Вариант-4. NGFW с
SD-WAN и NGFW интегрированным
как отдельные SD-WAN
решения (“Thick Edge”)
Fortinet
Secure
Функциональность SD-WAN
мер защиты
Вариант-3. SD-WAN с Вариант 2.
облачными SD-WAN с
сервисами NGFW интегрированным
(“Thin Edge”) МСЭ

FortiSASE

Простота интеграции
© Fortinet Inc. All Rights Reserved. 7
Fortinet Secure SD-WAN
Введение, общая информация о решении, текущее состояние
и направления развития
Secure SD-WAN от Fortinet одним слайдом

✓ Включён в состав FortiOS ✓ Отслеживание SLA (джиттер, задержки, потери и др.)


✓ Работает на всех FortiGate ✓ Гибкие правила управления трафиком
✓ Отдельно не лицензируется ✓ Учёт качества в реальном времени

Это функциональность FortiGate для интеллектуальной балансировки


сервисов, приложений на основании их критичности и требований к QoS
по оверлейной сети с применением безопасности NGFW.
✓ Очереди,
приоритезация и
✓ Любой тип WAN подключений шейпирование
✓ Ускорение на чипах ASIC ✓ Гарантирование
✓ Мобильные сети 3G/4G полосы
✓ Туннели VPN, GRE…
✓ Протоколы и сервисы ✓ Функции безопасности NGFW от
✓ База интернет-ресурсов (ISDB) FortiGate
✓ Видимость, управления на уровне ✓ Инспекция SSL (включая TLS 1.3)
приложений L7 и FQDN (Application awareness)

© Fortinet Inc. All Rights Reserved. 9


Fortinet Secure SD-WAN и SD-Branch
Путь к лидерству SD-WAN Лидер!
управляемый
на основании
Самый
анализа данных
быстрорастущий
Выделенный поставщик
Первый в инструмент
индустрии SD-WAN
оркестрации
процессор для SD-WAN
SD-WAN Архитектура Подключение
(SPU SoC4 => SD-Branch к облакам
новая линейка (Cloud On-Ramp)
ПАК)
Решение
Secure SD-WAN

© Fortinet Inc. All Rights Reserved. 10


Fortinet Secure SD-WAN – результаты и признание

Заказчики & Самый быстрый Инвестиции и Признан в


Партнёры рост на рынке инновации индустрии

Решение в Top 3 Специализированные Gartner WAN Edge


Более 30,000+ поставщиков
клиентов и для SD-WAN SPU. MQ.
SD-WAN. Тест NSS Labs SD-
операторов
глобально. FortiOS - 100+ WAN.
Более 100% от года к улучшений. Номинация «Gartner
году. Customer Choice».
© Fortinet Inc. All Rights Reserved. 11
Направления развития решения в FortiOS 7

Повышение
качества работы Конвергенция
приложений Эффективность

Механизмы WAN (“Thin”) Edge = Пассивный мониторинг


Forward Error Correction FortiExtender приложений в WAN

Механизмы
“Thick” Edge = FortiGate Полный цикл ZTP
Packet Duplication

По WiFi6 (FortiAP) + Продвинутая аналитика


Адаптивное
сервисам 5G (FortiExtender) и отчётность SD-WAN

Продвинутые сценарии для Поддержка QAT/DPDK для


Упрощенное управление
ADVPN облаков

© Fortinet Inc. All Rights Reserved. 12


FortiSASE
Защищённый SD-WAN и технологии SASE от Fortinet: лучше
вместе
Множество периметров должны быть защищены
Всегда и везде
Удалённая работа Единая защита Миграция в облака
70% положительно относятся к Единые сервисы безопасности 93% организаций готовы к
удалённой работе для пользователей и устройств, переходу в облака
как в сети, так и за её пределами
2020 State of Remote Work, Buffer 2020 FortiGuard Threat Report, Fortinet 2020 State of the Cloud Report, Flexera

Campus
Периметр Периметр
пользователя WAN Частные
Branch
облака

Пользователи
Factory
В сети Периметр
ЦОД

Home Публичные
облака
Периметр Облачный
устройств периметр
Travel

Устройства
За пределами сети
© Fortinet Inc. All Rights Reserved. 14
SASE (Secure Access Service Edge) – термин Gartner
К 2024 году до 40% заказчиков примут стратегии применения технологий SASE


Сеть-как-Сервис Безопасность-как-Сервис

Клиенты предъявляют
требования к простоте,
масштабируемости, гибкости, Подключить Защитить

низким задержкам и объединению ➢ Сетевая безопасность


решений WAN Edge и сетевой ➢ SD-WAN
➢ WAN-оптимизация ➢ FW как сервис (FWaaS)
безопасности ➢ Маршрутизация ➢ Облачный брокер CASB
➢ Bandwidth Aggregators ➢ Облачный прокси (SWG)
➢ Networking Vendors ➢ ZTNA (Zero Trust Network
Access)
➢ VPN
Market Trends: How to Win as WAN Edge and Security Converge Into
the Secure Access Service Edge – 29 July 2019 ➢ Защита DNS
Source: Gartner ➢ RBI (Remote Browser Isolation)
Secure Access
Service Edge
© Fortinet Inc. All Rights Reserved. 15
Fortinet SD-WAN Vision
Better User-Experience with Pervasive SD-WAN and Flexible Security Consumption

AI Powered Intuitive Cloud-On


Predictive Analytics Orchestrator Ramp

SD-Branch SASE (FWaaS) SASE (FWaaS & SD-WAN )

On Network Edge On/Off Network Thin Edge Remote Users

Secure LAN/WLAN NGFW SD-WAN 5G VPN


SD-WAN

Pervasive Self-Healing SD-WAN


Data center Campus Branch Smart Factory Home

© Fortinet Inc. All Rights Reserved. 16


#1. FortiGate - это NGFW с
интегрированным SD-WAN
Функциональные возможности и безопасность от FortiOS
#1. FortiGate NGFW с интегрированным SD-WAN

ЦОД

Internet
Облака

Филиал

Приложения
SaaS
SD-WAN – это встроенная
функциональная возможность FortiGate,
которая не требует лицензии
© Fortinet Inc. All Rights Reserved. 20
#1. FortiGate – лидерство и инновации NGFW

“Leader” - Magic Quadrant “Recommended” от NSS #1 – по количеству


от Gartner (Network Security Labs (NGFW, DCIPS, ATP, устройств безопасности
Firewall) DCSG, NGIPS и другие) (согласно IDC)

Защищённый SD-WAN
SD-WAN NGFW

+ + + + + + + +
SD-WAN Routing and VPN App Intrusion Antivirus URL Sandboxing SSL Inspection
Traffic Control Prevention Filtering
Shaping

Высокая производительность и масштабируемость

Тесная интеграция решений и расширенная видимость

© Fortinet Inc. All Rights Reserved. 21


#1. Специализированный для SD-WAN чип ASIC
Процессор FortiSOC4

Спроектирован 3X
для SD-WAN и Больше
производительности
SD-Branch в сравнении с SoC3

Поддержка 20G FW
интерфейсов
12G IPSEC
10G 1G SSL

© Fortinet Inc. All Rights Reserved. 22


#2. От SD-WAN к SD-Branch
Расширение сервисов в филиале
#2. Консолидация сервисов в SD-Branch FortiSwitch - встроенный
в FortiGate (CPE)
контроллер управления FortiAP – точки доступа
коммутаторами в различном исполнении
(indoor/outdoor)
FortiNAC - контроль доступа
устройств к сети

FortiAuthenticator - управление доступом


и аутентификация пользователей
FortiToken –
двухфакторная
аутентификация (2FA)
FortiExtender - усилитель
3G/4G сигнала, модем, для
построения основных или
резервных WAN каналов.
FortiGate

Беспроводной
контроллер Точек
Доступа встроен в
FortiGate FortiCamera +
FortiVoice –
видеонаблюдение и
телефония

FortiSandbox - защита
от продвинутых угроз)!
Уникальная для рынка
SD-WAN интеграция с
ATP-решением

© Fortinet Inc. All Rights Reserved. 25


#2. Управление доступом к сети через FortiGate
FortiGate NGFW

• Простота
• Гибкая и масштабируемая архитектура FortiSwitch FortiLink

• Удобство развёртывания и управления через


интерфейс FortiGate
• Интегрированная безопасность
• FortiSwitch и FortiAP интегрируются с FortiGate, как
расширение для NGFW
FortiLink
• Сегментирование и инспекция на уровне портов,
SSID
• Низкая стоимость владения и затрат

• Не требует дополнительного лицензирования


(контроллеры встроены в состав FortiOS) FortiAP
© Fortinet Inc. All Rights Reserved. 26
#3. SD-WAN и приложения
Продвинутые возможности по балансировке приложений и
отслеживанию качества обслуживания
#3. Приоритезация и классификация
приложений
NGFW БАЗА ОБЛАЧНЫХ
ОБЩАЯ БАЗА
ВИДИМОСТЬ ПРИЛОЖЕНИЙ и
ПРИЛОЖЕНИЙ
ПРИЛОЖЕНИЙ И СЕРВИСОВ
(LAYER 7)
ПОРТАЛОВ (ISDB)

Расширенная база Динамически-обновляемая Классификация и


обновляемых приложений база данных облачных направления приложений
и веб-категорий приложений (на основании IP по первым пакетам
адресов и портов)

Видимость, мониторинг и контроль приложений и порталов

© Fortinet Inc. All Rights Reserved. 32


#3. Отслеживание качества SLA

НЕСКОЛЬКО МЕТОДОВ
SLA ПО ГРУППАМ и ГИБКОЕ ЗАДАНИЕ
ОТСЛЕЖИВАНИЯ
ПРИЛОЖЕНИЯМ ПАРАМЕТРОВ
КАЧЕСТВА

Latency < 100ms ❑ Ping


Настройка интервалов
Packet Loss < 1% ❑ HTTP
Исключение flapping
Jitter < 30ms ❑ TCP Echo
❑ UDP Echo
❑ TWAMP

Traffic Shaper

Параметры QoS

Динамическое переключение

© Fortinet Inc. All Rights Reserved. 33


#4. Управление, видимость и
автоматизация
Централизованное управление SD-Branch, мониторинг и Zero-
Touch Provisioning
#4. SDWAN и централизованное управление
Гибкое масштабирование операций управления

• Требования бизнеса
• Минимизация ошибок на этапе
развёртывания сервисов и услуг для
снижения рисков сетевых отказов и от
киберугроз Филиал

• Упрощение и повышение
эффективности администрирования
Сторонние
• Ключевые особенности Филиал (3rd party)
инструменты
• Масштабирование до 100k+ FortiGate
• Управление SD-Branch (точками
доступа и коммутаторами) через одну
консоль Филиал

• Гибкость при использовании


контекстов ADOM (multi-tenancy)
• Ролевой доступ к управлению,
аудит действий
© Fortinet Inc. All Rights Reserved. 35
#4. Отчётность и аналитика SD-WAN
Продвинутый мониторинг

• Требования бизнеса
• Оценка и измерение состояния сети и
состояния защищённости в режиме
реального времени
• Ключевые особенности
• Видимость ключевых характеристик и
параметров сети
• Отчёты по SLA в реальном времени и
историческом разрезе
• Мониторинг VPN-туннелей
• Виджеты и отчёты по использованию
приложений, сетевых атак и др.
• Программирование обработчиков
событий
• Мониторинг NOC и SOC
© Fortinet Inc. All Rights Reserved. 36
#4. SDWAN и Zero Touch Provisioning (ZTP)
Быстрое развёртывание

• Требования бизнеса
• Повышение эффективности
управления
• Уменьшение времени на
развёртывание, оптимизация затрат
• Ключевые особенности
• Zero Touch Provisioning < 6 минут
(проверено by NSS labs)
• Шаблоны конфигураций для SD-
WAN, SD-Branch & NGFW Опция DHCP
• Сценарии автоматизации и скрипты
(Ansible, DevOps)
• Управление резервными копиями и
ревизиями конфигураций Установка с
FortiDeploy накопителя
USB
© Fortinet Inc. All Rights Reserved. 37
#5. Оценки Fortinet SD-WAN
Отчёты аналитических агентств и тестовых лабораторий,
оценки стоимости владения (TCO), рейтинги и награды
Лидерство Fortinet SD-WAN (FortiOS) в Gartner MQ
Конвергенция сетевых функций и функций безопасности в одной платформе
2020 Magic Quadrant for 2020 Magic Quadrant for 2020 Magic Quadrant for
Network Firewalls WAN Edge Infrastructure Wired & Wireless LAN Infrastructure

Fortinet Recognized as a Leader Fortinet Recognized as a Leader Fortinet Recognized as a Visionary

This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from Fortinet
Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner
research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research,
including any warranties of merchantability or fitness for a particular purpose.
© Fortinet Inc. All Rights Reserved. 40
Fortinet SD-WAN – признан Gartner
• Fortinet SD-WAN должен находиться в
списке решений для всех активностей по
теме WAN edge (SD-WAN)
• Видение рынка и планы развития
соответствуют взгляду Gartner на
потребности клиентов: продвинутые
сетевые возможности SD-WAN и
безопасность в одном решении
• Fortinet инвестирует в разработку
специализированных модулей
аппаратной обработки трафика SD-WAN
(SPU)
• Может быть основным решением как для
Enterprise, так и операторов MSP/MSSP
This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from Fortinet.
Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation.
Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to
this research, including any warranties of merchantability or fitness for a particular purpose.

© Fortinet Inc. All Rights Reserved. 41


https://www.fortinet.com/solutions/gartner-wan-edge.html
#5. Fortinet SD-WAN – рекомендован NSS Labs

Результаты FortiGate SD-WAN:


• Второй год подряд рейтинг
SD-WAN Recommended
• Лучшее TCO среди 8
поставщиков (~8X лучше)
• Zero Touch Deployment за 6
минут
• Высокие баллы за QoE
(Voice и Video)
© Fortinet Inc. All Rights Reserved. 43
Fortinet Secure SD-WAN
Источники дополнительной информации о решении,
материалы и ссылки на них
Главная страница: https://www.fortinet.com/products/sd-wan
Fortinet Secure SD-WAN – общая информация
Раздел документации на портале Листовка Fortinet Secure SD-WAN Data
Fortinet Document Library (руководства по Sheet (описание, сайзинг, ключевые
настройке и эксплуатации) характеристики и возможности)

https://docs.fortinet.com/sdwan https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/fortinet_secure_sdwan.pdf

© Fortinet Inc. All Rights Reserved. 46


Fortinet Secure SD-WAN – архитектура решения
Документ Solution Overview and Документ Fortinet Secure SD-WAN
Architecture Guide (о решении, подходе, Architecture (схематично основные
реализации, технологиях, настройках) компоненты, элементы и сценарии)

https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/dg-secure-sd- https://www.fortinet.com/content/dam/fortinet/assets/document-library/ra-secure-sd-wan-
wan-architecture-guide.pdf architecture-components.pdf

© Fortinet Inc. All Rights Reserved. 47


Fortinet Secure SD-WAN – практика
Лабораторная работа (различные Практические тренинги Fortinet Fast
топологии, примеры настройки через Track для партнёров и заказчиков
консоль и/или с использованием API) (знакомство, типовые сценарии)

• Generic Multi-Regional SD-WAN topology:


• Dual-Hub and Single-Hub Regions
• ADVPN within and across the Regions • Lab 1. Constructing a Secure SD-WAN Architecture
• Direct and Remote Internet Access options • Configuring SD-WAN via SD-WAN Orchestrator
• Functionality: • Configuring SD-WAN via FortiManager
• IKE Config Mode, ADVPN Shortcut Monitoring, SD-WAN Zones, Cross-Overlay • Lab 2. SD-Branch Securing Network Access Infrastructure (FortiSwitch/FortiAP/FortiLink)
Connectivity, End-to-End Segmentation using VRFs on Hubs and Spokes, Zero- • FortiSwitch Configuration
Touch Provisioning for Edge devices • FortiAP Configuration
Возможно через запрос на cis@fortinet.com под конкретный проект © Fortinet Inc. All Rights Reserved. По вопросам участия: cis@fortinet.com 48
Заключение: почему SD-WAN и SD-Branch от Fortinet

Цифровая трансформация Оптимизация затрат Расширение до SD-Branch

Продвинутая Единая консоль


безопасность, широкая Лучшие в индустрии
оценки TCO управления,
поддержка облачных видимости и ZTP
сервисов и приложений

Обеспечение высокой Входит в состав


Видимость и инспекция
доступности, Fortinet Security Fabric:
трафика
качественные механизмы расширение сервисов
(SSL Deep Inspection)
балансировки в филиале

Гибкое управление Автоматизация


Высокая
доступом на уровне (помещение в карантин,
производительность
пользователей, механизмы защиты на
и масштабируемость
приложений уровне порта/устройства)

© Fortinet Inc. All Rights Reserved. 49


Спасибо за внимание!

Контакт для общих вопросов: cis@fortinet.com


Контакт для технических вопросов: cis_se@fortinet.com