Эволюция решений защиты

филиальной ИТ инфраструктуры
Алексей Мальцев
системный инженер Fortinet

1
SD-WAN от Fortinet одним слайдом

✓ Включён в состав FortiOS ✓ Отслеживание SLA (джиттер, задержки, потери и др.)

✓ Работает на всех FortiGate ✓ Гибкие правила управления трафиком
✓ Не лицензируется ✓ Учёт качества в реальном времени

Это функциональность FortiGate для интеллектуальной балансировки

сервисов, приложений на основании их критичности и требований к QoS
по оверлейной сети с применением безопасности NGFW.
✓ Очереди,
приоритезация и
✓ Любой тип WAN подключений шейпирование
✓ Ускорение на чипах ASIC ✓ Гарантирование
✓ Мобильные сети 3G/4G полосы
✓ Туннели VPN, GRE…
✓ Протоколы и сервисы ✓ Функции безопасности NGFW от
✓ База интернет-ресурсов (ISDB) FortiGate
✓ Видимость и управления на уровне ✓ Инспекция SSL (включая TLS 1.3)
приложений L7 (Application awareness)
2
Организации с распределённой структурой

Образовательные Финансовый сектор

Ритейл учреждения

Организации
Сфера обслуживания здравоохранения

Государственные
Сети ресторанов организации
3
Цифровая экономика формируется под влиянием
ускоряющихся волн инноваций

4
Облака и приложения SaaS

70% 37% 30%

Процент приложений Считают, что SaaS удобнее в Активно используют

уже доступны в облаках развёртывании и использовании приложения SaaS
по сравнению с локальными
сервисами

5
Влияние цифровой трансформации на SD-WAN
>50% 62 ↑
Организаций планируют Среднее количество
использовать технологии SD- облачных приложений.
WAN в ближайшее время1 Значительный рост
использования
приложений SaaS и IaaS2

$8 млрд. 70%↑
Оценка роста рынка SD-WAN Заказчиков отмечают, что
решений к 2022 году. 83% существующие WAN-сети
роста за 2017 год3 медленные, дорогие и
неэффективны для
облачных приложений4
Источники информации:
1. Отчёт “NSS Labs 2017 Survey. 2. Отчёт “Fortinet Threat Landscape Report Q1 2017”. 6
3. Отчёт “IDC Worldwide SD-WAN Forecast”. 4. Отчёт “Market Guide for SD-WAN edge infrastructure by Gartner – March 2017“.
 Пример миграции из MPLS в SD-WAN
Традиционные WAN
MPLS
Дорогие, негибкие,
качественный QoS

MPLS
Private Cloud

Branch

Трафик инспектируется в
Бизнес-приложения
облаке MPLS от провайдера
Весь трафик
Весь трафик заворачивается в
маршрутизируется через
облако.
MPLS-сети.
QoS применяется для Public Cloud
бизнес-приложений.

Internet

7
 Пример миграции из MPLS в SD-WAN
Пример 1. Резервирование MPLS
Критичные приложения (Voice & Video) Лучший
маршрут выбирается в зависимости от задержки,
джиттера и потери пакетов.

MPLS
Частное облако

Критичные приложения (Voice & Video)

Филиал
Перенаправляются в новые туннель в
Бизнес-приложения IPSec VPN случае ухудшения качества в основном
Балансируются через WAN.
различные линии,
таким образом Широкополосный доступ в сеть
полоса Интернет (SaaS и IaaS приложения)
оптимизирована. Балансировка, если требуется.
Публичные облака
При доступе в Интернет, необходимы
меры информационной безопасности! Internet

8
Пример миграции из MPLS в SD-WAN
Пример 2. Замена MPLS
Замена дорогих выделенных
MPLS линий на
широкополосные Интернет-
каналы

IPSec VPN
Частное облако

Филиал
IPSec VPN

Публичное облако

При доступе в Интернет, необходимы меры

Интернет
информационной безопасности!
9
 WAN vs. SD-WAN
▪ WAN (Wide Area Network)
» Традиционно используются для подключения
HQ/Datacenter удалённых площадок, филиалов и ЦОД
» На основе дорогих выделенных каналов MPLS
Public Cloud

» Фиксированные скорости и сложности при

SaaS
росте скоростей
» Выделенное оборудование

▪ SD-WAN (Software-Defined WAN)

» Создают оверлей (overlay)
» Не зависят от вида транспорта
» Отделяют Management, Data, Control Plane
» Позволяет строить эффективные WAN-
соединения через каналы Интернет
Branch Office » Ориентируются на бизнес-приложения
10
Мотиваторы развития технологии SD-WAN

Заказчики Сервис-провайдеры
Enterprise MSSP / MSP
Предоставление
Сокращение расходов
дополнительных
(OPEX, CAPEX)
сервисов и услуг

Улучшение
Быстрый запуск
производительности
филиала
сети и приложений

Повышение уровня Сокращение оттока

защищённости клиентов

Уменьшение
Улучшение контроля и количества
видимости оборудования
11
Безопасность – основное препятствие для SD-WAN
Первый ответ Второй Третий Сумма трёх опций

Безопасность 36% 21% 15% 72%

Производительность 16% 22% 19% 58%

Стоимость 12% 15% 47% 47%

Управление: видимость, мониторинг и диагностика 11% 12% 12% 34%

Обеспечение высокой доступности 12% 12% 10% 34%

Наличие и поддержка облачных платформ 10% 10% 12% 31%

Отсутствие гибкости 4% 9% 10% 22%

0% 40% 80%
Процент опрошенных
Base: Total, excluding no specific concerns; n = 303
Q07: What the top three biggest concerns (if any) with your overall WAN today?
ID: 355369

Информационная безопасность вызывает наибольшую обеспокоенность

в проектах SD-WAN, наряду с производительностью и стоимостью
Gartner Survey Analysis: Address Security and Digital Concerns to Maintain Rapid SD-WAN Growth, Naresh Singh, 12 November 2018

12
 Архитектуры безопасности для SD-WAN
SD-WAN и NGFW от
NGFW с
независимых
интегрированным
поставщиков
SD-WAN

Функциональность SD-WAN с SD-WAN со

облачными интегрированным
сервисами NGFW МСЭ

Простота 13
#1. FortiGate - это NGFW с
интегрированным SD-WAN
Функциональные возможности и безопасность
от FortiOS
#1. FortiGate NGFW с интегрированным SD-WAN

ЦОД

Internet
Облака

Филиал

Приложения
SaaS

SD-WAN – это встроенный функционал FortiGate

15
#1. FortiGate – лидерство и инновации NGFW
“Leader” - Magic Quadrant “Recommended” от NSS #1 – по количеству
от Gartner (Enterprise Labs (NGFW, DCIPS, ATP, устройств безопасности
Firewall и UTM) DCSG, NGIPS и другие) (согласно IDC)

Защищённый SD-WAN
SD-WAN NGFW

+ + + + + + + +
SD-WAN Routing and VPN App Intrusion Antivirus URL Sandboxing SSL Inspection
Traffic Control Prevention Filtering
Shaping

Высокая производительность и масштабируемость

Тесная интеграция решений и расширенная видимость

16
#1. Примеры реализации Fortinet Secure SD-WAN
Аналитика и решения для MSSP
FortiPortal FortiAnalyzer

Инструменты управления и автоматизации

Сторонний
FortiManager оркестратор
FortiDeploy
(SDWAN
контроллер)
Fortinet Secure SD-WAN Сторонняя платформа
(vCPE/uCPE)
FortiOS FortiOS FortiOS
SD-WAN SD-WAN SD-WAN

LTE

Fortinet или Partner SD-WAN

FortiExtender FortiGate FortiGate-VM (ESXi, KVM, etc)
+ FortiGate-VM security
3rd Party VMs

Выделенный шлюз (ПАК) Виртуальная машина (ESXi, KVM) Технологические партнёры

17
#2. От SD-WAN к SD-Branch
Расширение сервисов в филиале
#2. Консолидация сервисов в SD-Branch
Единая консоль управления безопасностью LAN и WAN

• Fortinet единственный вендор с

интегрированными возможностями по
управления коммутаторами и точками
доступа (Wireless & Switching)
• Не требует лицензирования в FortiOS
FortiExtender FortiSwitch FortiAP

SD-Branch
LAN
FortiPhone
FortiGate Защищённый
✓ Безопасность SD-WAN
WAN ✓ Маршрутизация
FortiCam
✓ SD-WAN

SD-WAN
SD-Branch
19
#2. FortiGate и решения Fortinet Security Fabric
Тесная интеграция решений и расширение возможностей филиала

FortiSwitch FortiPresence
FortiAuthenticator WiFi-аналитика и
Встроенный в CPE контроллер
Radius / 2FA / AAA поведение клиентов
управления коммутаторами

FortiAP FortiCAM//Voice
Встроенный в CPE FortiGate Видеонаблюдение
WiFi-контроллер и телефония

FortiExtender Модемы
Расширитель сигнала 4G Резервный
(важен для проектов SD-WAN) канал 4G/LTE

Sandbox Cloud FortiNAC !NEW

Уникальная для рынка SD-WAN Контроль доступа
интеграция с ATP-решением устройств к сети
(защита от продвинутых угроз)!

20
#3. SD-WAN и приложения
Продвинутые возможности по балансировке
приложений и отслеживанию качества
обслуживания
#3. Приоритезация и классификация приложений
NGFW БАЗА ОБЛАЧНЫХ
ОБЩАЯ БАЗА
ВИДИМОСТЬ ПРИЛОЖЕНИЙ и
ПРИЛОЖЕНИЙ
ПРИЛОЖЕНИЙ И СЕРВИСОВ
(LAYER 7)
ПОРТАЛОВ (ISDB)

Расширенная база Динамически-обновляемая Классификация и

обновляемых приложений база данных облачных направления приложений
и веб-категорий приложений (на основании IP по первым пакетам
адресов и портов)

Видимость, мониторинг и контроль приложений и порталов

22
#3. Отслеживание качества SLA
НЕСКОЛЬКО МЕТОДОВ
SLA ПО ГРУППАМ и ГИБКОЕ ЗАДАНИЕ
ОТСЛЕЖИВАНИЯ
ПРИЛОЖЕНИЯМ ПАРАМЕТРОВ
КАЧЕСТВА

Latency < 100ms ❑ Ping

Настройка интервалов
Packet Loss < 1% ❑ HTTP
Исключение flapping
Jitter < 30ms ❑ TCP Echo
❑ UDP Echo
❑ TWAMP

Traffic Shaper

Параметры QoS

Динамическое переключение

23
#4. FortiManager и ZTP
Централизованное управление SD-Branch и
Zero-Touch Provisioning
#4. FortiManager для SD-WAN – централизованное
управление и видимость
✓ SD-WAN шаблоны и виджеты для NOC
✓ Продвинутый мониторинг параметров SLA
SD-WAN-соединений, VPN-туннелей
✓ Управление политиками безопасности и
мониторинг SOC
✓ Управление SD-Branch (коммутаторы и
точки доступа)
✓ Автоматизация API
✓ Гибкость при использовании контекстов
(ADOM)
✓ Упрощение и повышение эффективности
администрирования

25
 #4. SDWAN и Zero Touch Provisioning (ZTP)
Варианты реализации задачи ZTP

Опция DHCP FortiDeploy

fgt_system.conf:
config system central-..
set type fortimanager
set fmg 192.168.194.62
set mode normal
USB- Конфигурирование
накопитель параметров
26
#5. Независимые оценки и
стоимость владения (TCO)
Отчёты, аналитика, рейтинги
#5. Выбор решений SDWAN
Производители решений
Традиционные производители безопасности
(Pure-play игроки)

SD-WAN
Около 80
решений

Производители беспроводных Поставщики решений WAN-

решений (Wireless) оптимизации трафика
28
#5. NSS Labs и SD-WAN
Первое в индустрии групповое тестирование решений SD-WAN
▪ Первый групповой тест
лидирующих решений SD-
WAN
▪ Условия испытаний:
✓ Популярная топология
подключения
✓ Трафик Business Critical
✓ Различный сценарии с плохим
качеством сетевых
соединений
✓ Оценка ZTP
29
#5. Fortinet SD-WAN – Рекомендовано NSS Labs
Наивысшая оценка QoE для VoIP
4.38 из 4.41
Лучшая оценка стоимости владения
$5@749 Mbps
Единственный вендор
безопасности со статусом Recommended
Заблокировано 100% атак

30
#5. Fortinet SD-WAN – признан Gartner
• Fortinet SD-WAN должен находиться в
списке решений для всех активностей по
теме WAN edge
• Видение рынка и планы развития
соответствуют взгляду Gartner на
возникающие потребности клиентов.
• Отмечен как “Challenger” с самым
высоким рейтингом “Completion of
Vision”

This graphic was published by Gartner, Inc. as part of a larger research document and should be
evaluated in the context of the entire document. The Gartner document is available upon request from
Fortinet.
Gartner does not endorse any vendor, product or service depicted in its research publications, and does
not advise technology users to select only those vendors with the highest ratings or other designation.
Gartner research publications consist of the opinions of Gartner's research organization and should not be
construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this 31
research, including any warranties of merchantability or fitness for a particular purpose.
Заключение: почему SD-WAN и SD-Branch от Fortinet?

Цифровая трансформация Оптимизация затрат Расширение до SD-Branch

Продвинутая Единая консоль

безопасность, широкая Лучшие в индустрии
оценки TCO управления,
поддержка облачных видимости и ZTP
сервисов и приложений

Обеспечение высокой Входит в состав

Видимость и инспекция
доступности, Fortinet Security Fabric:
трафика
качественные механизмы расширение сервисов
(SSL Deep Inspection)
балансировки в филиале

Гибкое управление Автоматизация

Высокая
доступом на уровне (помещение в карантин,
производительность
пользователей, механизмы защиты на
и масштабируемость
приложений уровне порта/устройства)

32
Спасибо за внимание!