OMÓWIENIE ROZWIĄZANIA. Connect & Secure. Bezpieczny, opłacalny i jednolity dostęp do sieci w przedsiębiorstwach rozproszonych.

Transkrypt

1 OMÓWIENIE ROZWIĄZANIA Connect & Secure Bezpieczny, opłacalny i jednolity dostęp do sieci w przedsiębiorstwach rozproszonych.

2 Streszczenie W ostatnich latach prawdziwym wyzwaniem w dziedzinie bezpieczeństwa stała się kwestia dostępu do sieci przedsiębiorstwa realizowanego z urządzeń przenośnych. Upowszechnianie się smartfonów, któremu towarzyszył rozwój bezprzewodowych sieci lokalnych opartych na standardzie xx, doprowadził do coraz szerszego korzystania z technologii bezprzewodowych w przedsiębiorstwach. W efekcie zaczęły powstawać tam nakładające się na siebie sieci, w przypadku których zasady dostępu do infrastruktury bezprzewodowej różniły się od zasad dostępu do infrastruktury przewodowej. Taka sytuacja nie tylko skomplikowała zarządzanie całym tym systemem, ale również przyczyniła się do powstania nowych luk w zabezpieczeniach, narażając na szwank bezpieczeństwo całej sieci. Jednocześnie dało się zaobserwować, prawdopodobnie najbardziej w sektorze sprzedaży detalicznej, niepokojący wzrost liczby nagłośnionych przypadków kradzieży danych, który wynikał z coraz lepszego wykorzystywania takich luk przez cyberprzestępców. W efekcie tradycyjne, centralnie wdrożone mechanizmy zabezpieczeń nie są już odpowiednie, a replikacja tych mechanizmów w setkach lub tysiącach zdalnych lokalizacji nie tylko jest kosztowna, ale również istotnie komplikuje zarządzanie całą infrastrukturą. Rozwiązaniem tych problemów jest Connect and Secure ściśle zintegrowane, centralnie zarządzane jednolite rozwiązanie dostępowe Fortinet, w ramach którego kompleksowe, wielowarstwowe zabezpieczenia są automatycznie rozszerzane na każde nowe przewodowe lub bezprzewodowe połączenie sieciowe. Connect & Secure korzysta z architektury Fortinet Secure Access Architecture, która integruje kompleksowe mechanizmy zabezpieczeń z jednolitą warstwą dostępową. 2

3 Wyzwania Przedsiębiorstwa wymagają szybkiego, przejrzystego dostępu z dowolnego miejsca do najważniejszych aplikacji i danych za pośrednictwem różnych urządzeń, nad którymi administratorzy nie mają już pełnej kontroli. Klienci, partnerzy biznesowi, udziałowcy i ustawodawca wymagają odpowiedniego zabezpieczenia danych i aplikacji biznesowych przed nieuprawnionym dostępem. Liczba, złożoność i ryzyko wynikające z zagrożeń dla bezpieczeństwa rośnie bardzo szybko. Nakłady inwestycyjne i dostępne do dyspozycji budżety nie rosną proporcjonalnie do wspomnianych powyżej zagrożeń. W przypadku dużych rozproszonych przedsiębiorstw, które mają bezpośrednią styczność z klientem (na przykład przedsiębiorstw z sektora handlu detalicznego, hotelarstwa lub gastronomii), wyzwania te stają się jeszcze bardziej złożone w związku z koniecznością zapewnienia klientom lub gościom dostępu do usług sieciowych, w tym do Internetu. W efekcie każdy oddział przedsiębiorstwa rozproszonego musi być obecnie uznawany za punkt, przez który do sieci wewnętrznej może przedostać się potencjalny złośliwy atak. Preferowanymi celami takich ataków są nadal centralnie zlokalizowane zasoby (na przykład bazy danych klientów, do których nieuprawniony dostęp uzyskuje się w ramach znanych metod takich jak zastrzyk SQL ), wyniki analizy ostatnich nagłośnionych ataków często jednak wskazują, że początkiem drogi dotarcia do luk w zabezpieczeniach są często urządzenia przenośne lub bezprzewodowe. W przypadku sektora handlu detalicznego takimi urządzeniami mogą być nawet podłączone do sieci terminale POS, z których wiele korzysta z systemu Microsoft Windows i jest obecnie bezpośrednimi celami coraz większej liczby nowych odmian złośliwego oprogramowania utworzonych specjalnie pod kątem kradzieży danych kart kredytowych klientów. Jedną z metod obrony przed takimi atakami jest nadal replikacja centralnych warstw zabezpieczeń w poszczególnych oddziałach, ale takie podejście również obarczone jest problemami. Nie tylko bowiem może być niewspółmiernie kosztowne w kontekście konieczności zakupu kolejnych licencji na sprzęt i oprogramowanie, ale również sama konfiguracja i utrzymanie takich rozwiązań wymaga od lokalnych informatyków określonych umiejętności technicznych, którymi do tej pory dysponowali zazwyczaj jedynie specjaliści z centrali przedsiębiorstwa. Znacznie lepszym rozwiązaniem jest wbudowanie zabezpieczeń w samej infrastrukturze sieciowej, aby w przypadku rozszerzenia sieci o nowe przewodowe lub bezprzewodowe punkty dostępowe zabezpieczenia były wdrażane automatycznie w odniesieniu do wszystkich nowych połączeń sieciowych. Pięć podstawowych problemów do rozwiązania Zabezpieczenia Efektywna ochrona danych i aplikacji przedsiębiorstwa obejmuje wiele mechanizmów zabezpieczeń: Najpierw użytkownik musi zostać zidentyfikowany, uwierzytelniony (najlepiej w ramach dwuetapowego procesu obejmującego podanie hasła i użycie tokena) i zweryfikowany pod kątem posiadania odpowiednich uprawnień, aby uzyskać dostęp do określonych danych, aplikacji lub adresów URL. W ramach wspomnianej sesji wzorzec zachowania użytkownika powinien być sprawdzony po kątem znanych metod ochrony przed włamaniami, przy czym wszelkie odstępstwa powinny być oznaczone flagami lub zarejestrowane na potrzeby ewentualnej późniejszej analizy. Cyberprzestępcy wykorzystują różne metody, w tym programy wykorzystujące luki w systemie (ataki typu zero-day), inżynierię społeczną i wirusy polimorficzne, aby spenetrować sieć wewnętrzną. Jeśli to nastąpi, należy jak najszybciej takie zagrożenie wykryć i wyeliminować. Ponadto administrator sieci musi znać charakter i potencjalne oddziaływanie każdego wykrytego złośliwego oprogramowania, a każdy zaatakowany system musi być poddany kwarantannie i oczyszczony z zagrożeń. 3

4 W przeważającej liczbie dużych przedsiębiorstw większość wspomnianych mechanizmów zabezpieczeń jest już wdrażana centralnie, ale ze wspomnianych powyżej przyczyn, ochrona taka bywa już niewystarczająca. O ile we wszystkich nowych przewodowych i bezprzewodowych punktach dostępowych nie będą zastosowane jednolite zasady zabezpieczeń, ryzyko wystąpienia otwartej furtki do sieci wewnętrznej jest zbyt duże i nie jest do zaakceptowania. Możliwości podłączania Podstawową funkcją każdego bezpiecznego rozwiązania sieciowego jest zapewnienie elastycznych możliwości podłączania przewodowego i bezprzewodowego, które można skalować w miarę dodawania nowego sprzętu lub nowych użytkowników lub przenoszenia ich między lokalizacjami. Bez uwzględnienia kwestii uwierzytelnienia, wszystkie sieci powinny być przejrzyste dla użytkownika. Bez względu na to, czy użytkownik chce przesłać do bazy danych klienta kwerendę, czy też prowadzi rozmowę głosową przez Internet, czasy odpowiedzi w ramach sieci Wi-Fi powinny być równie krótkie, co w ramach sieci Ethernet. Przy szybkości przesyłu danych w sieci Wi-Fi na poziomie 1,3 Gb/s jest to nie tylko możliwe do osiągnięcia, ale również coraz bardziej opłacalne w przypadku nowych sieci (niektóre firmy lub instytucje całkowicie rezygnują tu z połączeń przewodowych). Ponadto większość takich firm i instytucji wdraża w mniejszym lub większym stopniu model BYOD (korzystanie do celów służbowych z urządzeń prywatnych) co oznacza, że powszechna dostępność szybkiej sieci bezprzewodowej staje się często wymogiem koniecznym. Wydajność Przewodowe i bezprzewodowe urządzenia dostępowe o dużym przepływie danych są obecnie łatwo dostępne i stosunkowo niedrogie, prawdziwe problemy zaczynają się jednak wraz z rozpoczęciem integracji z nimi wspomnianych wcześniej mechanizmów bezpieczeństwa. Wynika to z faktu, że operacje analizy tego przepływu wymagane do zapewnienia odpowiedniej ochrony mogą bardzo intensywnie korzystać z mocy obliczeniowej procesorów. Jest zatem niezbędne, aby każde bezpieczne rozwiązanie zapewniające jednolity dostęp do sieci nie tylko spełniało bieżące wymagania w zakresie przepustowości i opóźnienia, ale również mogło być skalowalne pod kątem przyszłych wymagań. Koszty Brak wydatków na bezpieczeństwo oznacza graniczące z pewnością prawdopodobieństwo wystąpienia poważnego ataku. Ustanowienie zbyt wielu barier dla dostępu użytkowników do danych i aplikacji niezbędnych w codziennej pracy również oznacza ogromne koszty w kategoriach finansowych i wydajnościowych. Uwzględnić należy wówczas nie tylko nakłady inwestycyjne i koszty operacyjne, ale również potencjalne koszty wynikające z każdego przypadku naruszenia bezpieczeństwa. W obliczu zagrożeń typu APT określony poziom ataków jest nieunikniony, ale oddziaływanie i skutki poszczególnych ataków mogą już bardzo istotnie różnić się w zależności od sposobu postępowania z danym atakiem. Im więcej czasu zajmuje wykrycie, odizolowanie i usunięcie problemu, tym większe jest jego oddziaływanie na produktywność i tym wyższe są późniejsze koszty przywracania systemu do stanu sprzed ataku. Zarządzanie W przypadku wdrożenia mechanizmów bezpieczeństwa do podstawowej warstwy zarządzania siecią w zakresie centralnej konfiguracji i monitoringu dochodzi kilka kolejnych warstw zwiększających złożoność całego systemu. Na przykład z systemem takim może być konieczne zintegrowanie zewnętrznych serwerów uwierzytelniania Radius lub ActiveX. Ponadto w przypadku naruszenia bezpieczeństwa administrator sieci nie tylko musi być o tym poinformowany, ale również musi mieć udostępniony zestaw rozwiązań danego problemu. W celu zapewnienia efektywności system taki musi być również zdolny do uczenia się na podstawie poprzednich przypadków naruszeń. W idealnej sytuacji dane, na podstawie których to uczenie się miałoby następować, powinny pochodzić nie tylko z przedmiotowej sieci, ale z tysięcy innych podobnych sieci. 4

5 Rozwiązanie Connect and Secure to zestaw produktów, które po wspólnym wdrożeniu rozwiązują wszystkie powyższe problemy oraz zapewniają niezbędny poziom ochrony i bezpieczny jednolity dostęp, który zostaje automatycznie rozszerzony na każde nowe połączenie sieciowe. Najważniejsze korzyści Zabezpieczenia Dzięki zaimplementowaniu rozwiązań zabezpieczających w ramach każdego z komponentów infrastruktury sieciowej oraz powiązaniu ich ze sobą przy użyciu scentralizowanych rozwiązań do zarządzania w punktach końcowych Skanowanie antywirusowe w punktach końcowych Skanowanie antywirusowe FortiGate, każde nowe połączenie, zarówno przewodowe, jak i bezprzewodowe, zostaje objęte wszechstronną ochroną. Filtrowanie adresów URL Filtrowanie adresów URL Ponadto za pośrednictwem świadczonych całodobowo automatycznych usług FortiGuard służą- aplikacji aplikacji Logowanie jednokrotne Bieżąca aktualizacja zabezpieczeń cych do przeciwdziałania zagrożeniom rozwiązanie Connect and Secure staje się elementem znacznie większej samouczącej się sieci zabezpieczającej przedsiębiorstwo. Sieć ta obejmuje tysiące klientów System ochrony przed włamaniami (IPS) System ochrony przed włamaniami (IPS) dostępu do portów 802.1x Silne uwierzytelnianie dwuetapowe Silne uwierzytelnianie dwuetapowe Informacje o zagrożeniach Fortinet z całego świata i pozwala na znaczne skrócenie czasu reakcji na nowe zagrożenia. FortiGate FortiWiFi FortiSwitch Forti- Authenticator FortiToken FortiGuard Możliwości podłączania Connect and Secure oferuje wiele opłacalnych opcji Power over Ethernet (PoE) Power over Ethernet (PoE) Power over Ethernet (PoE) Maksymalna wydajność sieci WLAN komunikacji przewodowej i bezprzewodowej, które zaspokoją wszystkie możliwe potrzeby. Zintegrowane porty Ethernet Zintegrowane porty Ethernet Przełączanie portów Ethernet o dużej gęstości Wewnętrzne i zewnętrzne punkty dostępowe WiFi FortiGate FortiWiFi FortiSwitch FortiAP 5

6 Wydajność W celu zapewnienia optymalnej przepustowości, nawet przy włączeniu wszystkich mechanizmów zabezpieczeń, stosowane są specjalne układy ASIC (ang. Application-Specific Integrated Circuit), które umożliwiają przyspieszenie sprzętowe dla kluczowych funkcji obliczeniowych sieci. Przyspieszenie sprzętowe NP6 CAPWAP Przyspieszenie sprzętowe FortiASIC Przyspieszenie sprzętowe FortiASIC Przepustowość WiFi 1,3 Gb/s w standardzie ac FortiGate FortiWiFi FortiAP Koszty Ze względu na ścisłą integrację funkcji podłączania i zabezpieczania rozwiązanie Connect and Secure wymaga mniejszej liczby urządzeń niż wymagają tego rozwiązania konkurencyjne, nie wymaga ponoszenia dodatkowych opłat licencyjnych za dostęp bezprzewodowy oraz pozwala na uzyskanie licencji tylko na wybrane funkcje potrzebne w poszczególnych lokalizacjach. Brak Brak opłat opłat licencyjnych licencyjnych za za dostęp dostęp bez- bezprzewodowy Elastyczne Elastyczne licencjonowanie licencjonowanie funkcji funkcji w za- w zależności od od potrzeb potrzeb Mniej urządzeń służących do integracji wielu warstw zabezpieczeń z wydajnymi funkcjami podłączania FortiGate Brak Brak opłat opłat licencyjnych licencyjnych za za dostęp dostęp bez- bezprzewodowy Elastyczne Elastyczne licencjonowanie licencjonowanie funkcji funkcji w za- w zależności od od potrzeb potrzeb Mniej urządzeń służących do integracji wielu warstw zabezpieczeń z wydajnymi funkcjami podłączania FortiWiFi Zarządzanie Zakres stosowania rozwiązania Connect and Secure może zostać automatycznie rozszerzony na każde nowe przewodowe lub bezprzewodowe połączenie sieciowe, rozwiązanie to może być jednak zarządzane z centralnej lokalizacji, co znacznie ogranicza konieczność wysyłania specjalistów z pomocą. Obsługa uwierzytelniania Radius i ActiveX Sieciowy graficzny interfejs użytkownika Obsługa uwierzytelniania Radius i ActiveX Sieciowy graficzny interfejs użytkownika Scentralizowane konfigurowanie i monitorowanie Scentralizowane raportowanie, rejestrowanie zdarzeń i wykonywanie analiz FortiGate FortiWiFi FortiManager Forti-Analyzer 6

7 Podsumowanie Connect and Secure to bezpieczne, skalowalne i efektywne kosztowo jednolite rozwiązanie dostępowe, które zapewnia przedsiębiorstwom rozproszonym odpowiednie bezpieczeństwo i możliwości podłączania. Za pomocą tego rozwiązania przedsiębiorstwa mogą wdrażać zdecentralizowaną infrastrukturę zabezpieczeń i zapewniać w ramach swojej sieci pełny dostęp przewodowy i bezprzewodowy. Bezpieczne możliwości podłączania w sieci Ethernet i WiFi są zapewniane za pośrednictwem narzędzi FortiGate i FortiWiFi. Narzędzia te obsługują zintegrowane porty Ethernet, ale w razie konieczności utworzenia kolejnych połączeń możliwości podłączania za pośrednictwem portów Ethernet mogą być rozszerzone za pomocą szybkich przełączników FortiSwitch. W przypadku mniejszych lokalizacji bezpieczne funkcje łączności bezprzewodowej są zintegrowane w ramach narzędzi FortiWiFi, natomiast w przypadku większych lokalizacji stosowane są bezpieczne punkty dostępowe FortiAP. W obu przypadkach, ze względu na zintegrowane w ramach rozwiązania FortiGate kontrolery, zarówno narzędzia FortiSwitch, jak i FortiAP efektywnie stają się rozszerzeniami FortiGate i nie powstają przy tym żadne luki, które mogłyby zostać wykorzystane przez złośliwe oprogramowanie. Zarządzanie infrastrukturą, skonsolidowane za pomocą rozwiązania FortiGate, odbywa się za pomocą narzędzi FortiManager i FortiAnalyzer, które oferują funkcję centralnego zarządzania połączoną z funkcjami raportowania, rejestrowania zdarzeń i analizy. W efekcie powstaje kompleksowe centrum pozwalające na kontrolę i monitorowanie sieci w czasie rzeczywistym. Po bezproblemowym zintegrowaniu wszystkie te produkty zapewniają bezpieczne, opłacalne i jednolite rozwiązanie dostępowe dla przedsiębiorstw rozproszonych. Mechanizmy zabezpieczeń wbudowane w te elastyczne i skalowalne składniki infrastruktury są oparte na systemie operacyjnym FortiOS, narzędziu FortiAuthenticator, narzędziach uwierzytelniania FortiToken oraz zautomatyzowanych, samouczących się mechanizmach stałego przeciwdziałania zagrożeniom FortiGuard. 7

8 Polska ul. Złota 59/6F Budynek Lumen II (6 piętro) Warszawa Polska SIEDZIBA GŁÓWNA Fortinet Inc. 899 Kifer Road Sunnyvale, CA Stany Zjednoczone Tel.: BIURO SPRZEDAŻY REGION EMEA 120 rue Albert Caquot 06560, Sophia Antipolis, Francja Tel.: BIURO SPRZEDAŻY REGION APAC 300 Beach Road The Concourse Singapur Tel.: BIURO SPRZEDAŻY AMERYKA ŁACIŃSKA Prol. Paseo de la Reforma 115 Int. 702 Col. Lomas de Santa Fe, C.P Del. Alvaro Obregón México D.F. Tel.: (55) Copyright 2015 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate, FortiCare, FortiGuard oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi spółki Fortinet, Inc. Pozostałe nazwy związane z Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi Fortinet. Wszelkie inne nazwy produktów lub spółek mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, faktyczna wydajność może być zatem inna. Na wartość parametrów wydajności mogą mieć wpływ zmienne sieciowe, różnorodne środowiska sieciowe i inne uwarunkowania. Żadne ze stwierdzeń zawartych w tym dokumencie nie stanowi wiążącego zobowiązania ze strony Fortinet, a Fortinet odrzuca wszelkie wyraźne lub dorozumiane gwarancje i rękojmie, z wyjątkiem gwarancji udzielonych przez Fortinet na mocy wiążącej umowy z kupującym podpisanej przez głównego radcę prawnego Fortinet, w której Fortinet zagwarantuje, że określony produkt będzie działać zgodnie z wyraźnie wymienionymi w takim dokumencie parametrami wydajności, a w takim przypadku wyłącznie określone parametry wydajności wyraźnie wskazane w takiej wiążącej umowie pisemnej będą wiązać Fortinet. Wszelka tego typu gwarancja będzie dotyczyć wyłącznie wydajności uzyskiwanej w takich samych warunkach idealnych, w jakich Fortinet przeprowadza wewnętrzne testy laboratoryjne. Fortinet w całości odrzuca wszelkie wyraźne lub dorozumiane przyrzeczenia, oświadczenia i gwarancje związane z tym dokumentem. Fortinet zastrzega sobie prawo do zmieniania, modyfikowania, przenoszenia lub innego korygowania niniejszej publikacji bez powiadomienia (zastosowanie ma najnowsza wersja publikacji). 17 gru :05 PM Macintosh HD:Users:djarzabek:Documents:projekty:Fortinet:P-11327:04_final_DTP:PL:SG-Connect-and-Secure-D_PL:SG-Connect-and-Secure-D_PL