BIULETYN INFORMACYJNY Rozwiązanie MSSP

Transkrypt

1 BIULETYN INFORMACYJNY Rozwiązanie MSSP 1. Znaczenie skrótów MSS i MSSP Na początku należy dokładnie zdefiniować znaczenie skrótów MSS i MSSP. W niniejszym dokumencie MSS oznacza Managed Security Service (zarządzana usługa bezpieczeństwa), a MSSP odnosi się do Managed Security Service Provider (dostawca zarządzanych usług bezpieczeństwa). Wikipedia zawiera następującą definicję MSS: W branży informatycznej zarządzane usługi zabezpieczające (MSS) to usługi związane z zabezpieczeniami sieciowymi, które są świadczone przez zewnętrznych dostawców. Firma, która zapewnia takie usługi jest określana mianem dostawcy zarządzanych usług zabezpieczających (MSSP). Zarządzane usługi zabezpieczające (MSS) to także systematyczny model zarządzania wymogami związanymi z zabezpieczeniami w ramach firmy. Usługi mogą być świadczone w firmie lub przez zewnętrznego dostawcę, który nadzoruje zabezpieczenia sieci i systemów informatycznych swoich klientów. Do funkcji zarządzanych usług zabezpieczających należą: całodobowe monitorowanie systemów wykrywania włamań i zapór oraz zarządzanie nimi, nadzorowanie poprawek i aktualizacji, przeprowadzanie ocen i audytów zabezpieczeń oraz reagowanie na sytuacje awaryjne. Dostępne są produkty różnych firm umożliwiające organizowanie i usprawnianie wymaganych procedur. Dzięki temu administratorzy nie muszą wykonywać tych często czasochłonnych prac ręcznie. Wyróżnia się sześć kategorii zarządzanych usług zabezpieczających: 1. Doradztwo u klienta. Jest to dostosowane do potrzeb wsparcie w zakresie oceniania ryzyka biznesowego, kluczowych wymogów firmy pod względem bezpieczeństwa oraz opracowywania procesów i polityk związanych z zabezpieczeniami. Może obejmować złożone oceny i projekty architektury zabezpieczeń (w tym technologii, ryzyka biznesowego, ryzyka technicznego i procedur). Doradztwo może także obejmować integrację produktów zabezpieczających oraz reagowanie na zdarzenia związane z bezpieczeństwem w lokalizacji klienta, włącznie z prowadzeniem dochodzeń. 2. Zdalne zarządzanie lokalizacją. Ta usługa umożliwia instalowanie i aktualizowanie zapory, VPN oraz oprogramowania i sprzętu wykrywającego włamania. Zmiany konfiguracyjne są często przeprowadzane w imieniu klienta. 3. Sprzedaż produktów. Nie jest to oczywiście usługa zarządzana, ale może stanowić ważny czynnik generujący zyski dla wielu dostawców MSS. Kategoria ta zapewnia sprzęt i oprogramowanie o wartości dodanej na potrzeby wielu zadań powiązanych z zabezpieczeniami. 4. Zarządzany monitoring zabezpieczeń. Jest to codzienny monitoring i interpretacja ważnych zdarzeń systemowych w ramach sieci, do których zaliczać się mogą nieautoryzowane zachowania, złośliwe ataki hakerskie i te typu Denial of Service (DoS, odmowa usługi), anomalie oraz analiza trendów. Jest to pierwszy krok w procesie reagowania na niepożądane zdarzenia.

2 5. Testy penetracyjne i podatności na zagrożenia. Obejmuje jednorazowe lub okresowe operacje skanowania oprogramowania i przeprowadzanie prób ataków hakerskich mających na celu znalezienie luk w lokalizacjach technicznych i logicznych. Zazwyczaj nie ocenia poziomu zabezpieczenia sieci ani nie odzwierciedla precyzyjnie zagrożeń personalnych związanych z niezadowolonymi pracownikami, inżynierią społeczną itp. 6. Monitorowanie zgodności. Obejmuje monitorowanie dzienników zdarzeń, ale nie pod kątem włamań, a zmian związanych z zarządzaniem. Usługa ta identyfikuje zmiany w systemie, które naruszają przyjętą politykę zabezpieczeń, jeśli przykładowo niezdyscyplinowany administrator przyzna sobie zbyt wiele uprawnień dostępu do systemu. W skrócie, bada zgodność z technicznym modelem ryzyka. Kryteria związane z podejmowaniem decyzji o zakupie usług MSSP są takie same, jak w przypadku wszystkich innych form outsourcingu niskie koszty w porównaniu do własnych rozwiązań, koncentracja na najważniejszych umiejętnościach, zapotrzebowanie na całodobowe usługi oraz aktualność tych usług. Ważnym czynnikiem typowym dla MSS jest fakt, że outsourcing bezpieczeństwa sieci jest równoznaczny z przekazaniem infrastruktury firmy stronie niezależnej, czyli MSSP, przy jednoczesnym zachowaniu odpowiedzialności za błędy. Klient MSSP jest nadal odpowiedzialny za własne bezpieczeństwo i musi być przygotowany do zarządzania i monitorowania działań MSSP, wymagając od dostawcy odpowiedzialności za opłacone usługi. Klient nie może od razu, bez przygotowania, skorzystać z gotowej usługi oferowanej przez MSSP. MSSP może oferować dowolne usługi z poniższej listy: Regularne testy penetracji i oceny podatności na zagrożenia, z których raporty są przedstawiane klientom. Zarządzanie zaporą sieciową klienta, łącznie z monitorowaniem, obsługą reguł trasowania, pasma zapory i regularnym generowaniem raportów dotyczących pasma i zarządzania. Zarządzanie wykrywaniem włamań na poziomie sieci lub poszczególnych hostów, zapewnianie klientom alertów na temat włamań, aktualizacja zabezpieczeń przeciw włamaniom i regularne raporty dotyczące prób włamań i niepożądanej aktywności. Wsparcie i ochrona po wystąpieniu włamania, włącznie z reagowaniem na sytuacje awaryjne i analizami dochodzeniowymi. Usługi filtrowania zawartości w zakresie poczty elektronicznej (tzn. filtrowanie ) oraz archiwizacji innych danych pasma. MSS - Zarządzane usługi zabezpieczające dla małych i średnich firm Model biznesowy zarządzanych usług zabezpieczających jest popularny wśród firm będących przedsiębiorstwami. Usługi te są dostarczane przez duże firmy informatyczne specjalizujące się w zabezpieczeniach. Model ten został później zaadaptowany dla potrzeb małych i średnich firm (organizacje zatrudniające do 500 pracowników lub niezatrudniające więcej niż 100 pracowników w poszczególnych siedzibach) przez społeczność organizacji dodających wartość do sprzedawanych systemów (ang. Value added reseller, VAR) specjalizujących się w zarządzanych zabezpieczeniach lub oferujących zabezpieczenia jako rozszerzenie zarządzanych usług informatycznych. Małe i średnie firmy coraz częściej decydują się na zarządzane usługi zabezpieczające z kilku powodów. Należą do nich przede wszystkim wyspecjalizowana, złożona i bardzo dynamiczna natura zabezpieczeń informatycznych oraz rosnąca liczba wymagań prawnych zmuszających firmy do zabezpieczania danych cyfrowych oraz integralności danych osobowych i finansowych przechowywanych i przesyłanych za pośrednictwem firmowych sieci komputerowych. Duże firmy mogą pozwolić sobie na zatrudnienie informatyków lub działów informatycznych. Mniejsze organizacje, takie jak firmy o rozproszonych siedzibach, gabinety medyczne lub dentystyczne, kancelarie prawnicze, dostawcy usług lub sklepy detaliczne, z reguły nie zatrudniają na pełny etat specjalistów od zabezpieczeń, ale często korzystają z usług informatyków i zewnętrznych konsultantów. Wiele z tych organizacji musi liczyć się z ograniczeniami budżetowymi. Kategoria dostawców zarządzanych usług zabezpieczających dla małych i średnich firm powstała właśnie z myślą o rozwiązaniu problemu braku wiedzy, czasu i zasobów finansowych. Dostawcy usług tej kategorii oferują złożone usługi zabezpieczające w postaci zarządzanych zdalnie urządzeń, które łatwo jest zainstalować i które działają w tle. Ceny są zazwyczaj bardzo atrakcyjne z uwagi na ograniczenia finansowe klientów i nalicza się je raz na miesiąc według stałej stawki, co zapewnia przewidywalność kosztów. Dostawcy usług składają raporty dziennie, tygodniowe, miesięczne lub oparte na wyjątkach, w zależności od wymagań klientów. Dzięki powyższym wyjaśnieniom widać, że MSSP to biznes związany z outsourcingiem zabezpieczeń. Osoby prywatne oraz mniejsze firmy, których pracownikom brakuje specjalistycznej wiedzy, umiejętności oraz czasu przekazują bezpieczeństwo w ręce pojedynczej osoby lub małej firmy (niezależnie od tego, co w tym kontekście oznacza mała ). Kryteria związane z podejmowaniem decyzji o zakupie usług MSSP są takie same, jak w przypadku wszelkich innych form outsourcingu niskie koszty w porównaniu do własnych rozwiązań, koncentracja na najważniejszych umiejętnościach, zapotrzebowanie na całodobowe usługi oraz aktualność tych usług. Ważnym czynnikiem typowym dla MSS jest fakt, że outsourcing bezpieczeństwa sieci jest równoznaczny z przekazaniem infrastruktury firmy stronie niezależnej, czyli MSSP, przy jednoczesnym zachowaniu odpowiedzialności za błędy. Klient MSSP jest nadal odpowiedzialny za własne bezpieczeństwo. Musi być przygotowany do zarządzania działaniami MSSP i monitorowania ich, wymagając od dostawcy odpowiedzialności za opłacone usługi. Klient nie może od razu, bez przygotowania, skorzystać z gotowej usługi oferowanej przez MSSP. 2

3 2. Ewolucja od dostawcy usług internetowych, dostawcy hostingu lub dostawcy publicznego centrum danych w kierunku MSSP Początkowo dostawcy usług hostingowych oferowali swą infrastrukturę użytkownikom prywatnym i małym firmom, których nie było stać na obsługę 24 godziny na dobę i 7 dni w tygodniu. Mówiąc najogólniej, była to usługa całodobowego podłączenia do Internetu. Bazowała ona, a nawet nadal bazuje, na serwerach należących do dostawcy usług internetowych, wypożyczanych za określoną kwotę. Dostawcy usług hostingowych lub usług internetowych instalowali wielkie centra danych składające się z dużej liczby serwerów, magazynów danych oraz wymaganej infrastruktury (funkcje DHCP, DNS, FTP, AAA itp.). Do współczesnej oferty dostawców usług hostingowych należą: zestaw do tworzenia stron domowych (dla osób prywatnych, małych i średnich firm, przedsiębiorstw, sklepów internetowych itp.); nazwy domen dla stron internetowych i kont ; usługi hostingowe (podstawowe dla osób prywatnych, zaawansowane dla małych i średnich firm, eksperckie dla przedsiębiorstw); oferty sklepów internetowych, w tym narzędzia marketingowe, szablony dla różnych branży; miejsce przechowywania danych online, na przykład dokumentów, zdjęć muzyki dla osób prywatnych lub do udostępniania plików i tworzenia kopii zapasowych dla małych i średnich firm oraz przedsiębiorstw; moc obliczeniowa na potrzeby zewnętrznego przetwarzania plików lub innych zastosowań wymagających dodatkowych zasobów CPU. Powyższe opcje można łączyć w pakiety odpowiednie dla konkretnych zadań i przypadków. Wykorzystanie opcji przechowywania danych online i mocy obliczeniowej od dostawcy usług hostingowych lub dostawcy usług internetowych przypomina technologię przetwarzania w chmurze (ang. Cloud Computing), a zwłaszcza funkcjonalność typu infrastruktura jako usługa (ang. Infrastructure-as-a-Service, IaaS). Wykorzystanie oferty sklepu internetowego lub usługi hostingowej (w której skład mogą wchodzić np. Outlook na potrzeby usług pocztowych lub usługa telefoniczna oparta na serwerach Asterisk lub SER) zapewnianej przez dostawcę usług hostingowych lub dostawcę usług internetowych przypomina także technologię przetwarzania w chmurze, a zwłaszcza funkcjonalność typu oprogramowanie jako usługa (ang. Software-as-a-Service, SaaS). A w świetle definicji przetwarzania w chmurze wg Narodowego Instytutu Standaryzacji i Technologii (NIST), usługi te można określić mianem cokolwiek jako usługa (ang. Everything-as-a-Service, XaaS). Definicja technologii Cloud Computing wg NIST: Przetwarzanie w chmurze to model dający na żądanie wygodny dostęp sieciowy do współdzielonego zbioru możliwych do konfigurowania zasobów komputerowych (np. sieci, serwerów, magazynów danych, aplikacji i usług). Zasoby te można bardzo szybko udostępnić przy bardzo niskim nakładzie działań organizacyjnych i minimalnej interakcji z dostawcą usług. Model promuje dostępność i składa się z pięciu podstawowych cech, trzech modeli usług i czterech modeli wdrożeniowych. Do tego typu pakietów można dodać jeszcze opcje zabezpieczające, co w znacznym stopniu zwiększa ich atrakcyjność rynkową. Tego typu pakiety określa się czasem mianem bezpieczeństwo jako usługa (ang. Security-as-s-Service, Sec-aaS). Większość dostawców usług hostingowych oferuje obecnie zasoby CPU (serwer oparty na systemie Unix, Linux, Windows lub na innych). Są to zasoby współdzielone lub dedykowane. Zasoby współdzielone to sposób na podział serwera pomiędzy wielu użytkowników (np. użytkownik 1, 2, 3 lub rdzenie CPU powiązane z 2/4, 3/6 lub 4/8 GB RAM (gwarantowane/maks.) oraz 50, 100 lub 150 GB miejsca na dysku twardym (czasem jako RAID x). Zasoby dedykowane nie są współdzielone przez użytkowników. W takim przypadku zasobu używa tylko jeden klient lub użytkownik. W skład oferty może wchodzić większa liczba adresów IP, kopie zapasowe, odzyskiwanie danych, monitoring oraz kontrola pasma. Na atrakcyjność oferty może też wpływać liczba administratorów, poziomów użytkowników itp. Usługi tego typu zapewniają dość dużo swobody w zakresie definiowania własnych zasobów sieciowych lub nawet zdalnych biur internetowych. 3. Rozwiązania oferowane przez MSSP Dostawca zarządzanych usług zabezpieczających (MSSP), podobnie jak dostawca usług hostingowych (WHSP), oferuje użytkownikom internetowym zasoby CPU i magazynowanie danych. WHSP oferuje klientom sprzęt lub oprogramowanie włącznie z obsługą tych zasobów. MSSP oferuje zabezpieczenia zasobów w formie sprzętu lub oprogramowania oraz ich obsługę. Różnica tkwi jedynie w typie oferty WHSP zapewnia przetwarzanie, magazynowanie danych i inne rodzaje infrastruktury, a MSSP oferuje zabezpieczenia (różnica między IaaS a Sec-aaS). Można więc postrzegać MSSP jako niezależną ofertę dodatkową względem WHSP lub jako naturalną drogę ewolucji od WHSP do dostawcy kompleksowych usług (ang. Full Service Provider, FSP). Bezpieczeńśtwo IT to zupełnie inna branża niż oferowanie mocy obliczeniowej lub magazynów danych. WHSP to branża dążąca do uzyskania wysokiej wydajności, a MSSP to branża szybkiego reagowania. Właśnie z tego powodu usługi MSSP rozwijają się tak szybko. Osoby prywatne, małe i średnie firmy oraz przedsiębiorstwa nie mogą nadążyć za szybkością ewolucji w świecie zabezpieczeń. Stale rośnie niekończąca się lista zagadnień związanych z bezpieczeństwem, takich jak wzorce ataków, wirusy, robaki, konie trojańskie, metody wykrywania i zapobiegania atakom, sygnatury, inspekcja komponen- 3

4 tów, zabezpieczenia przed wyciekiem danych, monitorowanie zabezpieczeń itp. Rozwiązanie zabezpieczające, takie jak urządzenie UTM (ang. Unified Threat Management, zintegrowane zarządzanie zagrożeniami), będzie tak skuteczne, jak jego konfiguracja. Strach przed wadliwą, błędną lub zdezaktualizowaną konfiguracją sprawia, że ludzie boją się o bezpieczeństwo swoich zasobów. Inwestycje w najnowsze, aktualne i najlepsze w swej klasie produkty zabezpieczające są bardzo skomplikowane i powinny być przeprowadzane przez ekspertów, którzy mają styczność z tą branżą na co dzień. Oferta MSSP może obejmować: ochronę lokalizacji, w tym usługi zarządzane związane z zaporami, systemami wykrywania i zapobiegania włamaniom (IDPS) i wirtualnymi sieciami prywatnymi (VPN), na przykład IPSec i SSL; monitorowanie usługi zabezpieczającej; zarządzanie zdarzeniami niepożądanymi, włącznie z reagowaniem na sytuacje awaryjne i analizami dochodzeniowymi; wstępna i częściowo stała analiza podatności na zagrożenia i testy penetracyjne; usługi antyspamowe, antywirusowe i filtrowania zawartości; zarządzanie pasmem; kontrola aplikacji w celu określenia, jakie dane są przesyłane za pośrednictwem portu 80 TCP; filtrowanie sieci Web, niedopuszczanie do otwierania niektórych stron; zapobieganie wyciekom danych, zatrzymywanie wrażliwych danych na wewnętrznej granicy sieci; ocena ryzyka związanego z bezpieczeństwem informacji; optymalizacja sieci WAN i buforowanie sieci Web; zabezpieczenia VoIP; archiwizacja i odzyskiwanie danych; doradztwo u klienta. Istnieją dwa podejścia do modelu MSSP: jedno z nich nosi nazwę MSSP CO, a drugie MSSP CPE. Na czym polega różnica? W podejściu CO (ang. Central Office, biuro centralne) urządzenie zabezpieczające znajduje się w siedzibie dostawcy i jest obsługiwane przez zespół operatorów MSSP. Klienci łączą się za pośrednictwem dedykowanej linii (dowolny rodzaj VPN) z urządzeniem UTM lub zaporą znajdującymi się w lokalizacji CO. Widać to na poniższym rysunku. W przypadku podejścia CPE (ang. Customer Premise Equipment, sprzęt w lokalizacji klienta) urządzenia zabezpieczające są montowane u klienta i obsługiwane przez zespół operatorów zabezpieczające MSSP. Klienci są montowane łączą się bezpośrednio u klienta i obsługiwane z urządzeniem przez zespół UTM operatorów lub zaporą, MSSP. które Klienci są łączą zamontowane się w ich placówkach (model W przypadku podejścia CPE (ang. Customer Premise Equipment, sprzęt w lokalizacji klienta) urządzenia widoczny na poniższym rysunku). W bezpośrednio przypadku podejścia z urządzeniem CPE (ang. UTM Customer lub zaporą, Premise które Equipment, są zamontowane sprzęt w ich lokalizacji placówkach klienta) (model urządzenia widoczny zabezpieczające na poniższym rysunku). są montowane u klienta i obsługiwane przez zespół operatorów MSSP. Klienci łączą się bezpośrednio z urządzeniem UTM lub zaporą, które są zamontowane w ich placówkach (model widoczny na poniższym rysunku). Zaletami usług zarządzanych centralnie (dotyczy to zarówno modelu CO, jak i CPE) są: Zaletami usług zarządzanych centralnie (dotyczy to zarówno modelu CO, jak i CPE) są: 4

5 Zaletami usług zarządzanych centralnie (dotyczy to zarówno modelu CO, jak i CPE) są: stała aktualność, dopasowana konfiguracja, profilaktyczne monitorowanie przez ekspertów dostawcy (znacznie większe umiejętności), skonsolidowane i jednocześnie szczegółowe raporty, wysoka dostępność i infrastruktura udostępniająca redundancję, zoptymalizowane wykorzystanie infrastruktury i sieci, niższe całkowite koszty eksploatacji (w porównaniu do rozwiązań dedykowanych). Do tego dochodzą zalety instalowanej lokalnie, dedykowanej zapory: kontrola i ograniczenie możliwości surfowania użytkowników, możliwości dopasowywania, dostępna strefa DMZ. Ewolucja sieci od podstawowej łączności aż po inteligentną platformę usługową jest reakcją na wymagania klientów. Rozwój będzie szedł w kierunku od usług infrastrukturalnych (wszelkie rodzaje dostępu i centrów danych, o ile są oparte na technologii IP), usług zabezpieczających (np. VPN, zapora, antyspam, antywirus, antyspyware, zabezpieczenia poczty ), usług kolaboracyjnych (np. VoIP, poczta i komunikacja, wideokonferencje, komunikacja ujednolicona), aż po usługi aplikacyjne (np. śledzenie przesyłek, płatności). Połączenie operatora obsługującego przedsiębiorstwa z operatorem mobilnym dodatkowo zwiększa wartość konwergentnych usług opartych na technologii IP. Kombinacja jakości usług (ang. Quality of Service, QoS) i wbudowanych zabezpieczeń sprawia, że oferta jest niezwykle atrakcyjna. Osiągnięcie elastyczności i przejrzystości to doskonała propozycja wartości. 4. Uzasadnienie korzystania z usług MSSP Koszt zatrudnienia w firmie wykwalifikowanego eksperta na pełen etat jest zazwyczaj wyższy niż w przypadku zastosowania rozwiązania MSSP. Jest to właściwie najważniejsze uzasadnienie wyboru MSSP. I tu właśnie ujawnia się przewaga MSSP. Duża organizacja ma wystarczającą liczbę wykwalifikowanych pracowników, którzy mogą oceniać rynek zabezpieczeń, podejmować najlepsze decyzje i obsługiwać produkty zabezpieczające. W przypadku małych i średnich firm outsourcing funkcji zabezpieczających do MSSP jest uzasadniony pod względem biznesowym. Koszt zatrudnienia wykwalifikowanego eksperta ds. zabezpieczeń to nie tylko jego pensja za obsługę infrastruktury. Do jego dodatkowych zadań należą: ocena rynku zabezpieczeń, śledzenie zagrożeń (zrozumienie, jak wpływają one na daną sieć i jakie trzeba podjąć w związku z tym kroki), tworzenie co 2 lub 3 lata zleceń otrzymania informacji, zleceń otrzymania ofert oraz ich analiza. Po wybraniu dostawcy, zadaniami eksperta są: przeprowadzenie porównania, obliczenie kosztów, oszacowanie zwrotu z inwestycji i inne działania administracyjne. Do podstawowych zadań należą: szkolenie, wycena wymaganych części zamiennych, projektowanie nowych (a czasami dodatkowych) elementów infrastruktury w ramach pełnej sieci (np. planowanie adresów IP, okablowanie, przestrzeń w szafach rackowych, chłodzenie). A ostatecznie obsługa sieci. W przypadku zdecydowania się na usługi MSSP wystarczy podpisać umowę i gotowe. Oczywiście należy dokładnie zapoznać się z umową Service Level Agreement i kluczowymi wskaźnikami efektywności. MSSP może oferować usługi zabezpieczające w postaci pojedynczej usługi lub w oparciu o zdefiniowane pakiety (poniżej zostały opisane 2 przykłady): 1. Pakiety mogą być podzielone na pojedyncze pozycje, np. zapora, IDPS, VPN, antyspam, antywirus, filtrowanie zawartości, kontrola aplikacji, filtrowanie sieci Web, zapobieganie wyciekowi danych, optymalizacja sieci WAN i buforowanie sieci Web. 2. Pakiety mogą być podzielone na zestawy 2. Pakiety przeznaczone mogą być podzielone do określonych na zestawy przeznaczone celów, np. do określonych usługa , celów, usługa np. usługa sklepu e- internetowego, hosting, usługi telekomunikacyjne. Inny rodzaj tego podziału 2. mail, Pakiety to usługa przykładowo mogą sklepu być podzielone internetowego, pakiety na zestawy podstawowe, hosting, przeznaczone usługi telekomunikacyjne. zaawansowane do określonych Inny celów, i kompleksowe. rodzaj np. usługa tego e- podziału mail, usługa to przykładowo sklepu internetowego, pakiety podstawowe, hosting, usługi zaawansowane telekomunikacyjne. i kompleksowe. Inny rodzaj tego podziału to przykładowo pakiety podstawowe, zaawansowane i kompleksowe. MSSP może zaoferować połączenie MSSP zapory, może IDPS zaoferować i VPN połączenie w formie zapory, pakietu IDPS i VPN podstawowego. w formie pakietu W podstawowego. ramach pakietu W ramach klient otrzymuje blokowanie i kontrolowanie niższych warstw pasma (IP, TCP, UDP), MSSP pakietu ale może klient pomija zaoferować otrzymuje warstwy połączenie blokowanie wyższe. zapory, i kontrolowanie Cena IDPS i tego VPN niższych w pakietu formie warstw pakietu to 5,99 pasma podstawowego. euro (IP, TCP, na UDP), miesiąc. W ramach ale pomija warstwy pakietu klient wyższe. otrzymuje Cena tego blokowanie pakietu to i kontrolowanie 5,99 euro na miesiąc. niższych warstw pasma (IP, TCP, UDP), ale pomija warstwy wyższe. Cena tego pakietu to 5,99 euro na miesiąc. Kolejnym przykładowym pakietem jest zabezpieczenie poczty . W jego skład wchodzą funkcje Kolejnym przykładowym pakietem jest zabezpieczenie poczty . W jego skład wchodzą funkcje antywirusowe i antyspamowe. Oferta ta jest przeznaczona dla serwerów poczty w technologii Cloud Kolejnym antywirusowe przykładowym i antyspamowe. pakietem Oferta jest ta zabezpieczenie jest przeznaczona poczty dla . serwerów W jego poczty skład wchodzą w technologii funkcje antywirusowe Computing. Cloud i antyspamowe. Umożliwia Computing. blokowanie Oferta Umożliwia ta jest i kontrolę przeznaczona pasma blokowanie w dla ramach serwerów i kilku kontrolę poczty protokołów pasma (SMTP, w technologii w ramach IMAP, kilku protokołów (SMTP, IMAP, POP3). Cena tego pakietu to 6,99 euro na miesiąc. POP3). Cloud Computing. Cena tego pakietu Umożliwia to 6,99 blokowanie euro na i miesiąc. kontrolę pasma w ramach kilku protokołów (SMTP, IMAP, POP3). Cena tego pakietu to 6,99 euro na miesiąc. Innym przykładem może być pakiet zabezpieczeń sklepu internetowego. Składa się on z funkcji Innym optymalizacji przykładem sieci WAN, może buforowania być pakiet zabezpieczeń sieci Web i sieciowego sklepu internetowego. proxy. W ramach Składa pakietu się on z nie funkcji są kontrolowane optymalizacji sieci niższe WAN, warstwy buforowania pasma (IP, sieci TCP, Web UDP), i sieciowego ale optymalizowane proxy. W ramach działanie pakietu sieci nie w wyższych są warstwach. kontrolowane Cena niższe tego warstwy pakietu pasma to 8,99 (IP, euro TCP, na UDP), miesiąc. ale optymalizowane działanie sieci w wyższych 5

6 Innym przykładem może być pakiet zabezpieczeń sklepu internetowego. Składa się on z funkcji optymalizacji sieci WAN, buforowania sieci Web i sieciowego proxy. W ramach pakietu nie są Innym przykładem może być pakiet zabezpieczeń kontrolowane sklepu niższe internetowego. warstwy pasma Składa (IP, TCP, się UDP), on z ale funkcji optymalizowane optymalizacji działanie sieci sieci WAN, w wyższych buforowania sieci Web i sieciowego warstwach. Cena tego pakietu to 8,99 euro na miesiąc. proxy. W ramach pakietu nie są kontrolowane niższe warstwy pasma (IP, TCP, UDP), ale optymalizowane działanie sieci w wyższych warstwach. Cena tego pakietu to 8,99 euro na miesiąc. Kolejna oferta to pakiet zabezpieczeń sieciowych, na który składają się zapora, IDPS i VPN (jak w pakiecie Kolejna oferta to pakiet zabezpieczeń sieciowych, 1) oraz antywirus na który i antyspam składają (jak się w zapora, pakiecie IDPS 2). Dzięki i VPN temu (jak są możliwe w pakiecie blokowanie 1) oraz i kontrola antywirus niższych i antyspam (jak w pakiecie 2). Dzięki temu są możliwe blokowanie i kontrola warstw niższych pasma (IP, warstw TCP, UDP) pasma oraz inspekcja (IP, TCP, pasma UDP) . oraz Cena inspekcja tego pakietu pasma to 10,99 . euro Cena miesiąc. tego pakietu to 10,99 euro na miesiąc. Następny przykład to kompletny pakiet zabezpieczający, który składa się z zapory, IDPS i VPN (jak w Następny przykład to kompletny pakiet zabezpieczający, pakiecie który składa się z zapory, IDPS i VPN (jak w pakiecie 1), antywirusa i antyspamu (jak w pakiecie 2) oraz Następny 1), przykład antywirusa to kompletny i antyspamu pakiet (jak zabezpieczający, w pakiecie 2) oraz który sieciowego składa się proxy z zapory, i usługi IDPS zapobiegania i VPN (jak w sieciowego proxy i usługi zapobiegania wyciekom pakiecie 1), danych. antywirusa Umożliwia i antyspamu on on blokowanie (jak w pakiecie i kontrolowanie i 2) kontrolowanie oraz sieciowego niższych warstw niższych proxy i usługi pasma warstw zapobiegania (IP, TCP, pasma UDP) (IP, oraz TCP, UDP) oraz zapewnia inspekcję pasma i sieciowego. Cena zapewnia wyciekom tego pakietu inspekcję danych. to 13,99 Umożliwia pasma euro on na blokowanie i sieciowego. miesiąc. i kontrolowanie Cena tego pakietu niższych to 13,99 warstw euro pasma na miesiąc. (IP, TCP, UDP) oraz zapewnia inspekcję pasma i sieciowego. Cena tego pakietu to 13,99 euro na miesiąc. Ostatni przykład to samoobsługowy pakiet zabezpieczeń. Został on zaprojektowany wokół pełnego zestawu Ostatni przykład to samoobsługowy pakiet zabezpieczeń. Ostatni przykład zabezpieczeń to Został samoobsługowy urządzenia UTM. on zaprojektowany pakiet Oferuje zabezpieczeń. te same funkcje wokół pełnego Został on co zestawu zaprojektowany pakiet 5, ale jest zabezpieczeń wokół indywidualnie pełnego urządzenia UTM. Oferuje te same konfigurowany zestawu zabezpieczeń według urządzenia potrzeb klienta. UTM. Cena Oferuje tej te oferty same to funkcje 19,99 euro. co pakiet 5, ale jest indywidualnie funkcje co pakiet 5, ale jest indywidualnie konfigurowany według potrzeb klienta. Cena tej oferty to 19,99 euro. konfigurowany według potrzeb klienta. Cena tej oferty to 19,99 euro. Powyższe przykłady (pakiety od 1 do 5) to Powyższe pakiety współdzielone, przykłady (pakiety od co 1 oznacza, do 5) to pakiety że wielu współdzielone, klientów co po oznacza, prostu że zamawia wielu klientów zasoby po prostu zabezpieczające, ale nie mogą oni zmieniać ustawień. Użytkownik pakietu zamawia 6 może zasoby natomiast zabezpieczające, zmieniać jego ale nie konfigurację. mogą oni zmieniać Zaleca ustawień. się jednak, Użytkownik aby konfigurację pakietu 6 może przeprowadzali wykwalifikowani natomiast zmieniać jego konfigurację. Zaleca się jednak, aby konfigurację przeprowadzali wykwalifikowani użytkownicy lub administratorzy. użytkownicy lub administratorzy. 6 W oparciu o powyższe założenia można utworzyć uzasadnienie projektu. W tym celu należy przyjąć kilka założeń. 1. Założenie: baza klientów to klientów współdzielonych i 2000 klientów dedykowanych. 2. Założenie: po 5 miesiącach 5%, po 15 miesiącach 10%, po 15 miesiącach 20%, po 20 miesiącach 25%, po 25 miesiącach 35%, a po 30 miesiącach 40% użytkowników korzysta z oferty MSSP. 3. Założenie: 95% użytkowników korzysta z zabezpieczeń współdzielonych, a 5% z zabezpieczeń dedykowanych. 4. Założenie: 30% użytkowników korzysta z pakietu 1, 20% korzysta z pakietu 2, 10% korzysta z pakietu 3, 20% korzysta z pakietu 4, 15% korzysta z pakietu 5, a 5% korzysta z pakietu 6. Po 2,5 roku (30 miesięcy) 40% spośród klientów korzysta z oferty zabezpieczającej, co

7 W oparciu o powyższe założenia można utworzyć uzasadnienie projektu. W tym celu należy przyjąć kilka założeń. 1. Założenie: baza klientów to klientów współdzielonych i 2000 klientów dedykowanych. 2. Założenie: po 5 miesiącach 5%, po 15 miesiącach 10%, po 15 miesiącach 20%, po 20 miesiącach 25%, po 25 miesiącach 35%, a po 30 miesiącach 40% użytkowników korzysta z oferty MSSP. 3. Założenie: 95% użytkowników korzysta z zabezpieczeń współdzielonych, a 5% z zabezpieczeń dedykowanych. 4. Założenie: 30% użytkowników korzysta z pakietu 1, 20% korzysta z pakietu 2, 10% korzysta z pakietu 3, 20% korzysta z pakietu 4, 15% korzysta z pakietu 5, a 5% korzysta z pakietu 6. Po 2,5 roku (30 miesięcy) 40% spośród klientów korzysta z oferty zabezpieczającej, co daje 4000 klientów: W przypadku pakietu 1 30% korzysta z pakietu 1, czyli 1200 klientów. Dochód miesięczny to 6 euro. Po 30 miesiącach łączny dochód wyniesie euro. W przypadku pakietu 2 20% korzysta z pakietu 2, czyli 800 klientów. Dochód miesięczny to 7 euro. Po 30 miesiącach łączny dochód wyniesie euro. W przypadku pakietu 3 10% korzysta z pakietu 3, czyli 400 klientów. Dochód miesięczny to 9 euro. Po 30 miesiącach łączny dochód wyniesie euro. W przypadku pakietu 4 20% korzysta z pakietu 4, czyli 800 klientów. Dochód miesięczny to 11 euro. Po 30 miesiącach łączny dochód wyniesie euro. W przypadku pakietu 5 15% korzysta z pakietu 5, czyli 600 klientów. Dochód miesięczny to 14 euro. Na koszt Po takiego 30 miesiącach rozwiązania łączny dochód składają wyniesie się między innymi euro. ceny zapory, urządzenia UTM, narzędzia monitorującego, W przypadku pakietu dodatkowych 6 5% korzysta interfejsów z pakietu IP 6, ruterów czyli 200 klientów. lub przełączników, Dochód miesięczny inwestycja to 20 euro. w ocenę rozwiązania, testowanie, Po 30 wydajność miesiącach łączny urządzeń, dochód zarządzanie wyniesie 120 adresami. 000 euro. Uzasadnienie projektu otrzymujemy po porównaniu kosztów z dochodem pomniejszonym o marżę Łączny dochód i podatki. 2,5 roku wyniesie euro. Na koszt takiego rozwiązania składają się między innymi ceny zapory, urządzenia UTM, narzędzia monitorującego, dodatkowych interfejsów IP ruterów lub Przedstawione przykłady to podstawowe rozważania na temat tego, jak można łączyć pakiety. Z łatwością przełączników, inwestycja w ocenę rozwiązania, testowanie, wydajność urządzeń, zarządzanie adresami. można też tworzyć i wdrażać inne warianty. Wszystko zależy od przeanalizowania bazy klientów i ich Uzasadnienie projektu otrzymujemy po porównaniu kosztów z dochodem pomniejszonym o marżę i podatki. oczekiwań. Częściami składowymi oferty MSSP są następujące elementy: Przedstawione przykłady zapora; to podstawowe rozważania na temat tego, jak można łączyć pakiety. Z łatwością można też tworzyć i wdrażać inne warianty. Wszystko zależy od przeanalizowania VPN (IPSec bazy klientów i SSL); i ich oczekiwań. Częściami składowymi oferty MSSP są następujące elementy: zarządzanie pasmem; firewall; system zapobiegania włamaniom; VPN (IPSec i SSL); rozwiązania antywirusowe, antyspyware i przeciw złośliwemu oprogramowaniu; zarządzanie pasmem; rozwiązania antyspamowe; system zapobiegania włamaniom; optymalizacja sieci WAN i buforowanie sieci Web; rozwiązania antywirusowe, antyspyware i przeciw złośliwemu oprogramowaniu; sieciowe proxy; rozwiązania antyspamowe; zapobieganie wyciekom danych; optymalizacja sieci WAN i buforowanie sieci Web; sieciowe proxy; zabezpieczenia poczty . zapobieganie wyciekom danych; zabezpieczenia W celu zapewnienia poczty . takich opcji firma Fortinet przygotowała dedykowaną funkcję. Wirtualizacja jest kluczem czynnikiem, który umożliwia dynamiczne współdzielenie zasobów. Zamiast przyporządkowywać W celu zapewnienia jedną dedykowaną takich opcji firma zaporę Fortinet do przygotowała danego użytkownika, dedykowaną funkcję. używana Wirtualizacja jest wirtualna jest kluczem instancja czynnikiem, zapory który (stanowiąca umożliwia dynamiczne współdzielenie zasobów. tylko ułamek Zamiast przyporządkowywać zasobów sprzętowych) jedną dedykowaną dla danego zaporę klienta do lub danego danego użytkownika, użytkownika. używana Funkcjonalność jest wirtualna instancja tego zapory (stanowiąca tylko ułamek zasobów sprzętowych) dla danego klienta lub danego użytkownika. Funkcjonalność tego typu określa się mianem domeny wirtualnej (ang. Virtual typu określa się mianem domeny wirtualnej (ang. Virtual Domain, VDOM). Domain, VDOM). Każda domena wirtualna funkcjonuje tak jak pojedyncza, niezależna zapora albo nawet urządzenie UTM. Pojedyncze urządzenie UTM firmy Fortinet można podzielić na 500 domen wirtualnych. Obudowa Fortinet 7

8 Dostępne kombinacje można podzielić na 4 główne kategorie. Są to: zabezpieczenia internetowe, zabezpieczenia poczty , zabezpieczenia dostępu zdalnego oraz ochrona przed zagrożeniami. Każda domena Połączeniu wirtualna funkcjonuje różnych tak poziomów jak pojedyncza, ofert niezależna przedstawiono zapora albo w nawet poniższej urządzenie tabeli: UTM. Pojedyncze urządzenie UTM firmy Fortinet można podzielić na 500 domen wirtualnych. Obudowa Fortinet 5140 ATCA może pomieścić 14 gniazd ATCA, które można podzielić na 7000 domen wirtualnych. Dzięki temu możliwe jest podłączenie 7000 niezależnych klientów lub użytkowników w poszczególnych domenach wirtualnych albo nieograniczonej liczby domen wirtualnych w celu ich udostępniania. Podstawo Zaawansow Kompletna wa ana Dostępne kombinacje można podzielić na 4 główne kategorie. Są to: zabezpieczenia internetowe, zabezpieczenia poczty , zabezpieczenia dostępu zdalnego oraz ochrona przed zagrożeniami. Zabezpieczenia internetowe VDOM1 VDOM5 VDOM9 Zabezpieczenia poczty VDOM2 VDOM6 VDOM10 Połączeniu różnych poziomów ofert przedstawiono w poniższej tabeli: Zabezpieczenia dostępu VDOM3 VDOM7 VDOM11 zdalnego Podstawowa Zaawansowana Kompletna Ochrona przed zagrożeniami Zabezpieczenia internetowe VDOM1 VDOM4 VDOM5 VDOM8 VDOM12 VDOM9 Zabezpieczenia poczty VDOM2 VDOM6 VDOM10 W wyniku zastosowania takiego podejścia otrzymamy 12 różnych ofert zabezpieczających, czyli liczbę Zabezpieczenia dostępu zdalnego VDOM3 VDOM7 VDOM11 równą 12 używanym domenom wirtualnym. Ochrona przed zagrożeniami VDOM4 VDOM8 VDOM12 Przykładowo każdemu klientowi potrzebującemu zaawansowanej usługi zabezpieczeń internetowych zostanie przydzielona domena VDOM5. W wyniku zastosowania takiego podejścia otrzymamy 12 różnych ofert zabezpieczających, czyli liczbę równą 12 używanym domenom wirtualnym. Przykładowo każdemu klientowi potrzebującemu zaawansowanej usługi zabezpieczeń internetowych zostanie przydzielona domena VDOM5. Bardziej zaawansowanym Bardziej zaawansowanym lub wymagającym lub użytkownikom wymagającym można użytkownikom zaoferować dedykowaną można zaoferować domenę dedykowaną wirtualną. Dotyczy domenę to ofert specjalnych, w skład których wirtualną. wchodzą szkolenia Dotyczy dotyczące to ofert poprawnej specjalnych, i bezpiecznej w skład konfiguracji których wirtualnych wchodzą szkolenia domen klientów. dotyczące poprawnej i bezpiecznej konfiguracji wirtualnych domen klientów. 5. Co MSSP może zaoferować swoim klientom? 8

9 Oferty różnią się w zależności od istniejącej bazy klientów. Poniższy schemat architektury przedstawia niektóre rodzaje dostępu klientów. Może to być dowolny 5. Co MSSP rodzaj może xdsl (ADSL, zaoferować ADSL+, ADSL2, swoim VDSL, klientom? SDSL czy SHDSL) lub HFC (Hybrid Fiber-Coaxial), EFM/ELM (Ethernet on the First/Last Mile) albo nawet sieci 2,5G (GPRS), 3G (UMTS) lub 4G (LTE/SAE). Istnieje nawet Oferty różnią się w zależności od istniejącej bazy klientów. możliwość używania technologii dostępu szerokopasmowego (WiMAX, PON lub innych). Różnica między tymi architekturami tkwi w konfiguracji sieci dostępowej i agregacyjnej. Po uzyskaniu dostępu do rdzenia (MPLS lub po prostu IP) wyszukiwane jest pasmo danych lub usług. Urządzenia końcowe są różne (smartfony, komputery osobiste), a sposoby, w jakie użytkownicy mogą uzyskiwać dostęp stale się zmieniają (mobilne lub stacjonarne urządzenia końcowe). Poniższy schemat architektury przedstawia niektóre rodzaje dostępu klientów. Może to być dowolny rodzaj xdsl (ADSL, ADSL+, ADSL2, VDSL, SDSL czy SHDSL) lub HFC (Hybrid Fiber-Coaxial), EFM/ELM (Ethernet on the First/Last Mile) albo nawet sieci 2,5G (GPRS), 3G (UMTS) lub 4G (LTE/SAE). Istnieje nawet możliwość używania technologii dostępu szerokopasmowego (WiMAX, PON lub innych). Różnica między tymi architekturami tkwi w konfiguracji sieci dostępowej i agregacyjnej. Po uzyskaniu dostępu do rdzenia (MPLS lub po prostu IP) wyszukiwane jest pasmo danych lub usług. Urządzenia końcowe są różne (smartfony, komputery osobiste), a sposoby, w jakie użytkownicy mogą uzyskiwać dostęp stale się zmieniają (mobilne lub stacjonarne urządzenia końcowe). Inna przykładowa oferta MSSP może przedstawiać się w następujący sposób: Trzy oferty złożone z: Inna typowa oferta MSSP może przedstawiać się w następujący sposób: 1. Zabezpieczeń korporacyjnych w cenie 25 euro 3 oferty złożone z: Oferta zapewnia pełną mobilność 1. Zabezpieczeń dla pracowników korporacyjnych zdalnych w cenie 25 i mobilnych euro (określanych czasem mianem Ulicznych wojowników ), co pozwala uzyskać bezpieczny dostęp Oferta zapewnia do sieci pełną firmowej mobilność niezależnie dla pracowników od miejsca zdalnych przebywania. i mobilnych W (określanych każdej chwili między zdalnymi pracownikami a siecią firmową znajduje czasem mianem się urządzenie Ulicznych zabezpieczające. wojowników ), co Ponadto pozwala uzyskać pracownicy bezpieczny są chronieni dostęp do przed sieci zagrożeniami firmowej niezależnie od miejsca przebywania. W każdej chwili między zdalnymi internetowymi. Taka ochrona przyciąga więcej dobrze wykwalifikowanych pracowników i zwiększa wartość firmy. pracownikami a siecią firmową znajduje się urządzenie zabezpieczające. Ponadto pracownicy są chronieni przed zagrożeniami internetowymi. Taka ochrona przyciąga więcej dobrze 2. Zabezpieczenia dostępu szerokopasmowego wykwalifikowanych pracowników w cenie i zwiększa 10 eurowartość firmy. Internet to doskonałe miejsce 2. Zabezpieczenia do wymiany dostępu informacji. szerokopasmowego Jednakże nie w wszystkie cenie 10 euro informacje są wartościowe, a niektóre stanowią wręcz Internet to doskonałe miejsce do wymiany informacji. Jednakże nie wszystkie informacje są zagrożenie. Internet jest więc świetnym miejscem dla hakerów, intruzów i innych osób, które chcą uzyskać dostęp do cudzych wartościowe, a niektóre stanowią wręcz zagrożenie. Internet jest więc świetnym miejscem komputerów i wykradać istotne dla informacje hakerów, i intruzów dane osobowe. i innych osób, które chcą uzyskać dostęp do cudzych komputerów i Sieć domową można zabezpieczyć wykradać dzięki istotne zaporom informacje nowej i dane generacji osobowe. (ang. next-generation Firewall, ngfw). W skład oferty wchodzi też filtrowanie sieci Web. Funkcja jest Sieć przydatna domową można dla rodziców zabezpieczyć pragnących dzięki zaporom chronić nowej dzieci generacji przed (ang. niepożądanymi next-generation treściami i może być Firewall, ngfw). W skład oferty wchodzi też filtrowanie sieci Web. Funkcja jest przydatna dla uważana za kontrolę rodzicielską. rodziców Strony pragnących internetowe chronić są oceniane dzieci przed przez niepożądanymi firmę Fortinet treściami i klasyfikowane i może być uważana według za 76 różnych zakresów (przykładowo narkotyki, okultyzm, kontrolę hakerstwo, rodzicielską. Strony nielegalne internetowe i nieetyczne są oceniane i 73 przez innych). firmę Fortinet Rodzicie i klasyfikowane są więc w stanie szczegółowo określić treści, które ich dzieci mogą według przeglądać 76 różnych i zakresów zawartość (przykładowo przeznaczoną narkotyki, do zablokowania. okultyzm, hakerstwo, nielegalne i nieetyczne i 73 innych). Rodzicie są więc w stanie szczegółowo określić treści, Oferta zawiera kompleksowy pakiet zabezpieczający pocztę . które ich dzieci mogą przeglądać i zawartość przeznaczoną do zablokowania. Oferta zawiera kompleksowy pakiet zabezpieczający pocztę Zabezpieczenia dostępu 3. szerokopasmowego Zabezpieczenia dostępu szerokopasmowego w wersji light w wersji w light cenie w 8 cenie euro 8 euro Pakiet oferuje takie same opcje jak Pakiet poprzedni, oferuje takie ale same ma kilka opcje ograniczeń jak poprzedni, ale brak ma kontroli kilka ograniczeń rodzicielskiej brak i kontroli rzadsze aktualizacje sygnatur. rodzicielskiej i rzadsze aktualizacje sygnatur. Nie zawiera więc kompletnego zestawu funkcji Nie zawiera więc kompletnego zestawu funkcji pełnej wersji. pełnej wersji. W połączeniu z systemem FortiManager, MSSP może zaoferować swoim klientom pełny zestaw funkcji. FortiManager zapewnia następującą funkcjonalność. Zcentralizowane zarządzanie: wszystkimi urządzeniami FortiGate, 9

10 W połączeniu z systemem FortiManager, MSSP może zaoferować swoim klientom pełny zestaw funkcji. FortiManager zapewnia następujące funkcjonalności: Scentralizowane zarządzanie: - wszystkimi urządzeniami FortiGate, Skalowanie do tysięcy urządzeń lub klientów. - urządzeniami FortiAnalyzer, - agentami FortiClient. Pełna integracja z FortiAnalyzer zapewnia najważniejsze zcentralizowane usługi: Skalowanie do tysięcy urządzeń funkcje lub centralnego klientów. zarządzania (wdrażanie/monitorowanie/obsługa), Pełna integracja z FortiAnalyzer provisioning zapewnia polityk, najważniejsze zcentralizowane usługi: - funkcje centralnego zarządzania zarządzanie (wdrażanie/monitorowanie/obsługa), alertami i eskalacja, - provisioning polityk, zintegrowany menedżer VPN, - zarządzanie alertami i serwer eskalacja, dystrybucji zcentralizowanych aktualizacji. - zintegrowany menedżer VPN, - serwer dystrybucji zcentralizowanych aktualizacji. Za pomocą wbudowanego interfejsu FortiManager może służyć do konfigurowania i zmieniania ustawień: Za pomocą wbudowanego interfejsu FortiManager może służyć do konfigurowania i zmieniania ustawień: wewnętrznych wewnętrznych systemów dostarczania systemów (provisioning dostarczania zindustrializowany), (provisioning zindustrializowany), użytkowników użytkowników zewnętrznych (standardowy zewnętrznych interfejs (standardowy portalu), interfejs portalu), użytkowników użytkowników zewnętrznych za zewnętrznych pośrednictwem części za pośrednictwem back-end serwera części sieciowego back-end (SDK). serwera sieciowego (SDK). Poniższy schemat Poniższy przedstawia schemat przedstawia przykłady omawianych przykłady omawianych interfejsów: interfejsów: Typowe funkcjonalności powiązane z interfejsami przedstawionymi w schemacie są następujące: Typowe funkcjonalności powiązane z interfejsami przedstawionymi na schemacie są następujące: GUI to interfejs używany zazwyczaj przez administratorów w celu zarządzania urządzeniem i GUI to interfejs używany zazwyczaj przez administratorów w celu zarządzania urządzeniem i udostępniania go (może to być pojedyncza udostępniania ngfw lub go ngfw (może VDOM). to być pojedyncza ngfw lub ngfw VDOM). MGMT to bezpieczny MGMT protokół bezpieczny wykorzystywany protokół przez wykorzystywany system FortiManager przez do system konfigurowania FortiManager urządzeń FortiGate. do konfigurowania Może obsługiwać środowiska NAT i jest własnością urządzeń firmy. FortiGate. Oprogramowanie Może on Deployment obsługiwać Manager środowiska (menedżer NAT wdrażania) i jest własnością kontroluje firmy. współbieżność aktualizacji i przechowuje lokalną bazę danych Oprogramowanie wszystkich konfiguracji. Deployment Manager (menedżer wdrażania) kontroluje współbieżność LOG/Archive/Quarantine aktualizacji (dziennik/archiwum/kwarantanna) i przechowuje lokalną bazę są danych wykorzystywane wszystkich przez konfiguracji. system FortiAnalyzer do odbierania dzienników, archiwów i elementów poddawanych LOG/Archive/Quarantine kwarantannie. (dziennik/archiwum/kwarantanna) są wykorzystywane przez system XML API to interfejs bazujący na usługach internetowych, który umożliwia pobieranie konfiguracji bram FortiGate za pośrednictwem połączenia z FortiAnalyzer do odbierania dzienników, archiwów i elementów poddawanych kwarantannie. FortiManager, wirtualnymi domenami lub ich grupami, a także pozwala na tworzenie i uruchamianie skryptów będących w rzeczywistości elementami konfiguracji. Zazwyczaj XML API używa to interfejs się go w celu bazujący wstępnego na provisioningu usługach internetowych, oprogramowania który pośredniczącego. umożliwia pobieranie konfiguracji JSON API to interfejs bram FortiGate udostępniający za pośrednictwem back-end dla MSSP połączenia chcących tworzyć z FortiManager, własne graficzne wirtualnymi interfejsy użytkownika. domenami Zapewnia lub ich on zawartość, wobec której można stosować grupami, różne a także style w pozwala celu dostosowywania na tworzenie wyglądu i uruchamianie portalu samoobsługowego. skryptów będących Sprawia też, w że rzeczywistości nie trzeba ustanawiać kłopotliwego, bezpośredniego elementami połączenia SSH konfiguracji. z urządzeniami Zazwyczaj FortiGate. używa się go w celu wstępnego provisioningu oprogramowania pośredniczącego. API usług internetowych to szybki interfejs do wstępnego provisioningu. Umożliwia szybką instalację wstępnie skonfigurowanych elementów konfiguracji, które można przygotować za pomocą oprogramowania pośredniczącego. Może być także używany do eksportowania i przechowywania plików konfiguracyjny na serwerach zapasowych. System FortiManager przechowuje w swojej bazie danych dowolne zmiany konfiguracyjne wdrożone za pośrednictwem interfejsu API. Zawsze gdy trzeba pobrać konfigurację urządzenia, kopia konfiguracji zostanie zapisana w wewnętrznej bazie danych FortiManager. JSON API ułatwia koncentrowanie się na prezentacji danych bez potrzeby kompilowania różnych zestawów wierszy poleceń w celu skonfigurowania systemu. Podobnie jak w przypadku API usług internetowych, nie wymaga części front-end do nawiązania jakiegokolwiek bezpośredniego połączenia z bramkami FortiGate. Jako że jest to usługa działająca w części back-end, umożliwia tworzenie stron internetowych w wielu językach oraz integrację z różnymi systemami uwierzytelniania. 10

11 dostosowywania wyglądu portalu samoobsługowego. Sprawia też, że nie trzeba ustanawiać kłopotliwego, bezpośredniego połączenia SSH z urządzeniami FortiGate. API usług internetowych to szybki interfejs do wstępnego provisioningu. Umożliwia szybką instalację Poniżej można zobaczyć bieżącą stronę produkcyjną, a dla porównania standardowy widget z portalu FortiManager. wstępnie skonfigurowanych elementów konfiguracji, które można przygotować za pomocą oprogramowania pośredniczącego. Może być także używany do eksportowania i przechowywania plików konfiguracyjny na serwerach zapasowych. System FortiManager przechowuje w swojej bazie danych dowolne zmiany konfiguracyjne wdrożone za pośrednictwem interfejsu API. Zawsze gdy trzeba pobrać konfigurację urządzenia, kopia konfiguracji zostanie zapisana w wewnętrznej bazie danych FortiManager. JSON API ułatwia koncentrowanie się na prezentacji danych bez potrzeby kompilowania różnych zestawów wierszy poleceń w celu skonfigurowania systemu. Podobnie jak w przypadku API usług internetowych, nie wymaga części front-end do nawiązania jakiegokolwiek bezpośredniego połączenia z bramkami FortiGate. Jako że jest to usługa działająca w części back-end, umożliwia tworzenie stron internetowych w wielu językach oraz integrację z różnymi systemami uwierzytelniania. Poniżej można zobaczyć bieżącą stronę produkcyjną, a dla porównania standardowy widget z portalu FortiManager. Standardowy portal FortiManager Standardowy portal FortiManager Standardowy portal FortiManager 11

12 Najważniejsze wymagania stawiane przed MSSP to: Uzyskiwanie dostępu do funkcjonalności za pośrednictwem nieokreślonych interfejsów API. Możliwość uzyskiwania dostępu przez domenę wirtualną. Blokowanie/odblokowanie urządzenia lub domeny wirtualnej. Skrypty, w tym polecenia GET lub SHOW. Zaawansowane filtrowanie (blokowanie Javascript, pliki Cookies jak w specjalnej kompilacji). Blokowanie wg typów plików. Zachowanie typu Oversize oprogramowania antywirusowego. Wykrywanie złośliwego oprogramowania. Blokowanie słów kluczowych za pomocą filtra sieciowego. Filtrowanie kategorii adresów URL. Statyczne białe i czarne listy adresów URL. Kontrola aplikacji. Sensory IPS. Sensory DLP dla protokołów. Bezpośrednia kontrola proxy. Właściwości grup (zastąpienia, limity czasu, profile). Polityki odczytu i zapisu. Obiekty VIP(ang. Virtual IP) i NAT. Dostawcy usług zabezpieczających mogą oferować administracyjne portale internetowe klientom, którzy muszą w pewnym zakresie zarządzać opcjami zabezpieczeń sieciowych. Portal tego rodzaju umożliwia klientom kontrolowanie własnych list użytkowników SSL VPN, filtrów sieci Web, filtrów URL i kategorii. Mogą też przeglądać polityki zapory własnego urządzenia lub domeny wirtualnej. Możliwe jest utworzenie profilu na portalu i dołączenie do niego zawartości i wyglądu portalu internetowego, a także utworzenie dodatkowych profili, jeśli klienci mają różne wymagania. Portal składa się z wybranych konfiguracji i widgetów monitorowania i zapewnia określone funkcje potrzebne administratorom do monitorowania bezpieczeństwa sieci. Dostępna jest też opcja wzbogacenia portalu internetowego o logo, schemat kolorystyczny i układy stron powiązane z daną firmą lub dopasowane do stylu korporacyjnego wybranego klienta. Za pomocą FortiManager można przyznać każdemu klientowi/administratorowi rolę użytkownika portalu, przypisać określone urządzenie lub domenę wirtualną, a także profil na portalu. Dzięki systemowi FortiManager można obsługiwać kilka jednostek FortiGate lub domen wirtualnych dla dużej liczby klientów. Tacy klienci mogą też chcieć monitorować i obsługiwać własne pasmo i polityki zapory. Dostęp do portalu internetowego uzyskują za pośrednictwem adresu IP lub URL w systemie FortiManager. Logują się w taki sam sposób jak administratorzy FortiManager, za pomocą własnej nazwy użytkownika i hasła utworzonych przez administratora FortiManager. Po zalogowaniu się klient jest prowadzony do przypisanego mu portalu internetowego. Klient nie widzi i nie może konfigurować internetowego menedżera FortiManager. Poniżej przedstawiono typowy scenariusz: Administrator systemu zarządza dużą liczbą urządzeń lub domen wirtualnych w celu wstępnej konfiguracji, rozwiązywania problemów, aktualizacji itd. Użytkownicy poszczególnych urządzeń lub domen wirtualnych zajmują się codzienną konfiguracją. Zazwyczaj normalni użytkownicy uzyskują dostęp tylko do niewielkiego zestawu konfiguracji między innymi polityk, obiektów polityk, list, użytkowników i grup. Informacje ogólne: Administrator systemu tworzy portal internetowy. Portal można dostosowywać pod względem: zawartości (widgety), układu, kolorystyki, logo, elementów markowych itp. Każdy portal można przypisać parze użytkownik + urządzenie (lub domena wirtualna). Użytkownik loguje się na portalu w celu wprowadzenia zmian w konfiguracji (np. SSL-VPN). Za pomocą interfejsu XML API administrator może w sposób efektywny konfigurować zaporę Fortinet. Interfejs API systemu FortiManager umożliwia konfigurowanie zarządzanych urządzeń FortiGate za pośrednictwem interfejsu usług internetowych. Można pobierać informacje, tworzyć i uruchamiać skrypty wiersza poleceń FortiOS w bazie danych FortiManager, a następnie instalować zmiany w ramach jednostek FortiGate. Aby móc efektywnie pracować używając jednostki FortiManager, należy pobrać z niej następujące informacje: listę domen administracyjnych (ADOM), informacje na temat zarządzanych urządzeń, informacje o poszczególnych urządzeniach, bieżące konfiguracje urządzeń według bazy danych, historię wersji urządzeń. 12

13 bieżące konfiguracje urządzeń według bazy danych, historię wersji urządzeń. System FortiManager może być także podzielony na tzw. domeny administracyjne (ang. Administrative Domain, ADOM), co opisano wcześniej w odniesieniu do zagadnienia domen wirtualnych systemu FortiGate. System FortiManager może być także podzielony na tzw. domeny administracyjne (ang. Administrative Domain, ADOM), co opisano wcześniej w odniesieniu do zagadnienia domen wirtualnych systemu Przegląd funkcjonalności wielu domen administracyjnych: FortiGate. domeny Przegląd administracyjne funkcjonalności (ADOM), wielu domen administracyjnych: zarządzanie politykami domeny według administracyjne grup klientów/urządzeń, (ADOM), generowanie raportów zarządzanie według politykami klientów/urządzeń, według grup klientów/urządzeń, obsługa grup domen generowanie wirtualnych raportów i grup urządzeń według lub ich klientów/urządzeń, połączeń. obsługa grup domen wirtualnych i grup urządzeń lub ich połączeń. Administrator Administrator systemu (MSSP) systemu daje dostęp (MSSP) pozwalając daje klientom dostęp na pozwalając logowanie klientom się i zarządzanie na logowanie częścią konfiguracji się i zarządzanie pojedynczego częścią urządzenia lub domeny wirtualnej. Administrator konfiguracji systemu pojedynczego zachowuje urządzenia globalną kontrolę lub domeny jako superużytkownik wirtualnej. nad Administrator poszczególnymi systemu urządzeniami/domenami zachowuje globalną wirtualnymi. Ogranicza to jednak elastyczność kontrolę operatora jako superużytkownik w zakresie pomocy nad klientom poszczególnymi w zmianie ustawień. urządzeniami/domenami Koncepcja portalu internetowego wirtualnymi. jest więc Ogranicza bardziej elastyczna to i daje MSSP możliwość udostępnienia jednak elastyczność klientowi tylko operatora kilku ustawień, w zakresie a nie pełnej pomocy funkcjonalności klientom UTM. w zmianie ustawień. Koncepcja portalu internetowego jest więc bardziej elastyczna i daje MSSP możliwość udostępnienia klientowi tylko kilku Oferty MSSP ustawień, dla osób a prywatnych, nie pełnej funkcjonalności małych i średnich UTM. firm oraz przedsiębiorstw mogą składać się z następujących produktów: FortiGate FortiManager FortiAnalyzer Oferty MSSP dla osób prywatnych, małych i średnich firm oraz przedsiębiorstw mogą składać się z FortiMail następujących produktów: FortiClient FortiGate FortiManager FortiAnalyzer FortiMail FortiClient 13

14 Funkcje FortiGate Firewall - Polityki zapory służą do kontroli całego pasma, które przechodzi przez jednostkę FortiGate. - Wirtualna sieć prywatna (ang. Virtual Private Network, VPN), SSL-VPN, IPSec I L2TP + IPSec oraz PPTP - Zapobieganie atakom DOS - System zapobiegania włamaniom ochrona przed ponad 4000 zagrożeń, obsługa anomalii protokołów, obsługa niestandardowych sygnatur, automatyczna aktualizacja bazy danych ataków. Antywirus - FortiOS zapewnia wybór do czterech opcji ochrony przed złośliwym oprogramowaniem i robakami. Oprócz trzech baz danych wirusów opartych na proxy system FortiOS jest wyposażony w bardzo wydajną opcję antywirusową bazującą na przepływie. Filtrowanie sieci Web i bezpieczne wyszukiwanie w Internecie - Filtrowanie sieci Web to metoda kontroli zawartości, do której użytkownik ma wgląd. - Obsługiwane jest filtrowanie HTTP/HTTPS. System FortiOS obsługuje 76 unikatowych kategorii zawartości i ponad 2 miliardy unikatowych adresów URL. Obsługiwane są też opcje blokowania adresów URL/słów kluczowych/fraz oraz zwolnienia blokady dla określonych adresów URL/kategorii. Kontrola aplikacji - Kontrola aplikacji umożliwia definiowanie i nadzorowanie polityk dla tysięcy aplikacji uruchomionych w punktach końcowych niezależnie od portu lub protokołu wykorzystywanego do komunikacji. - System FortiOS może identyfikować i kontrolować ponad 1400 aplikacji, zarządzać pasmem dla niektórych aplikacji i kontrolować popularne komunikatory internetowe i programy P2P, niezależnie od użytego portu lub protokołu. Antyspam - Obsługa funkcji antyspamowej z protokołami SMTP/SMTPS, POP3/POP3S, IMAP/IMAPS, blokowanie w czasie rzeczywistym, serwer bazy danych typu Open Relay, filtrowanie słów kluczowych i fraz. Zapobieganie utracie danych (ang. Data Loss Prevention, DLP) - DLP korzysta z zaawansowanego silnika dopasowującego wzorce, który identyfikuje i zapobiega dostępowi spoza sieci do wrażliwych danych. Oprócz ochrony kluczowych informacji zapewnia także ścieżki audytowe dla danych i plików ułatwiając zachowanie zgodności z polityką. Kontrola ruchu szyfrowanego SSL - Kontrola SSL przechwytuje zaszyfrowany ruch i sprawdza go pod kątem zagrożeń przed przekierowaniem go do ostatecznego celu. Stosuje się ją wobec ruchu SSL klienta oraz ruchu przychodzącego do sieci i serwerów aplikacji danej organizacji. Zgodność punktów końcowych - Monitoruje i kontroluje hosty, na których uruchomiono FortiClient Endpoint Security. Kształtowanie pasma - zarządzanie pasmem w oparciu o polityki, - zarządzanie pasmem oparte na aplikacjach i według IP, - przepustowość gwarantowana/maksymalna/priorytetowa. Profil dynamiczny - Profil dynamiczny działa tak jak interfejs programowania aplikacji (ang. Application Programming Interface, API) pomiędzy FortiOS Carrier a systemami księgowymi bazującymi na usłudze RADIUS. Dostawcy usług mogą dodawać dane identyfikujące klientów i nazwy grup profilów do własnych systemów księgowych. Następnie gdy klient połączy się z siecią dostawcy usług (na przykład za pośrednictwem telefonu komórkowego w celu przeglądania stron internetowych) system księgowy dostawcy może przesłać rekord Start usługi RADIUS do FortiOS Carrier. FortiOS Carrier wykorzysta konfigurację profilu dynamicznego do pobrania danych identyfikujących klienta z rekordu Start usługi RADIUS. Funkcje FortiMail Parametry każdej domeny - adres IP przychodzących wiadomości, - serwer poczty elektronicznej (MTA) na potrzeby dostarczania wiadomości, - źródłowy adres IP na potrzeby dostarczania wiadomości, - metoda weryfikacji odbiorców, - powitania SMTP, - wyłączenie odpowiedzialności, - maksymalny rozmiar wiadomości, - usuwanie nagłówków z wiadomości wychodzących, - raportowanie i harmonogramy kwarantanny użytkowników, - domyślny język aplikacji Webmail, - polityki i czynności filtrowania, - polityki szyfrowania, - protokół i serwer uwierzytelniania, - konfiguracja raportów. 14

15 Polityki ochronne według domeny - antyspam, antywirus, zawartość, szyfrowanie. Polityki uwierzytelniania według domeny - serwer uwierzytelniania SMTP, - serwer uwierzytelniania aplikacji Webmail. Alokowanie zasobów według domeny - częstotliwość nowych połączeń dla każdego źródłowego IP, - współbieżne połączenia dla każdego źródłowego IP, - liczba współbieżnych połączeń zaadresowanych do domeny klienta, - ochrona przed atakami typu DoS. Kwarantanna skrzynki odbiorczej według użytkownika - Spam może być przekierowany do kwarantanny według odbiorcy. Szyfrowanie oparte na tożsamości - Szyfrowane, bezpieczne dostarczanie poczty . bez dodatkowego sprzętu ani oprogramowania, bez provisioningu użytkowników, szyfrowanie kluczy publicznych według unikatowych identyfikatorów. - Polityki szyfrowania oparte na atrybutach wiadomości, takich jak słowa kluczowe w temacie lub treści wiadomości, adresy lub nazwy domen. - Odbiorca otrzymuje wiadomość i może ją odszyfrować niezależnie od użytkowanego środowiska; do odbioru bezpiecznych wiadomości nie są wymagane dodatkowe aplikacje ani wtyczki. Integracja LDAP - w celu weryfikacji ważności odbiorców i domen, - uwierzytelnienie użytkownika. Wielopoziomowa administracja i zarządzanie bazujące na rolach - Konta administratorów mogą być definiowane według domen. - Do kont administratorów można przypisywać różne role. Funkcje FortiManager Konfiguracja, kontrola i śledzenie; harmonogram kontroli na potrzeby wdrażania i wycofywania. Scentralizowane zarządzanie obiektami; zarządzanie wieloma urządzeniami za pomocą jednego interfejsu. Provisioning lokalnej usługi FortiGuard; optymalizacja wydajności wyszukiwania i pobierania ocen. Zarządzanie oprogramowaniem firmware i jego aktualizacje. Skryptowanie; uproszczenie wdrażania konfiguracji. Zarządzanie systemem FortiClient; zarządzanie bazą danych FortiClient i monitorowanie jej. Zapewnia zwirtualizowane portale samoobsługowe; rozwiązania FortiManager, FortiGate i FortiAnalyzer mogą być używane wspólnie w celu wyświetlenia portali użytkowników końcowych. Funkcje FortiAnalyzer Centralny serwer logowania. Centralny silnik raportowania dla: zapory, VPN, IPS, AV, WF, AS. Archiwizacja dzienników zawartości. Kwarantanna plików. Korelacja zdarzeń związanych z bezpieczeństwem (identyfikacja ataków i wirusów według hosta). Funkcje FortiClient FortiClient to jeden z najbardziej kompleksowych pakietów zabezpieczających na komputery osobiste. Zawiera pełen wybór opcji zabezpieczających firmy Fortinet dla komputerów osobistych i laptopów, nawet tych, które są wykorzystywane w zagrożonych sieciach publicznych. Zapewnia SSL, IPSec VPN, osobistą zaporę, skanowanie antywirusowe i antyspyware, zapobieganie włamaniom i filtrowanie WWW. Zaawansowana ochrona poczty elektronicznej, ochrona przed spamem i zabezpieczenie klientów . Użytkownicy systemu FortiGate uzupełniają zabezpieczenia swych sieci o kontrolę punktów końcowych i wykrywanie aplikacji. Ten kompletny pakiet świetnie współpracuje z rozwiązaniami FortiGate, FortiManager i FortiAnalyzer, zapewniając scentralizowane opcje zarządzania, wdrażanie wielu klientów, tworzenie dzienników zdarzeń i opcje raportowania. Automatyczne aktualizacje gwarantowane przez abonament usługi FortiGuard gwarantują ochronę przed najnowszymi zagrożeniami.