Przewodnik wdrożenia rozwiązania Secure Access w chmurze Rozwiązanie do zabezpieczania bezprzewodowych sieci LAN zarządzanych w chmurze

Transkrypt

1 PRZEWODNIK WDROŻENIA Przewodnik wdrożenia rozwiązania Secure Access w chmurze Rozwiązanie do zabezpieczania bezprzewodowych sieci LAN zarządzanych w chmurze Informacje ogólne Przedsiębiorstwa o rozproszonej strukturze, w których tradycyjne rozwiązania bezprzewodowych sieci lokalnych WLAN oparte na kontrolerze są zbyt złożone i generują zbyt duże koszty, ze względów praktycznych przekształcają swoje systemy na sieci Wi-Fi zarządzane w chmurze. Jednak większość takich rozwiązań ma niski stopień zabezpieczeń danych i aplikacji, co powoduje, że firmy mogą stać się podatne na cyberzagrożenia. Rozwiązanie chmurowe Secure Access firmy Fortinet całkowicie eliminuje tę wadę. Ewolucja sieci Wi-Fi w chmurze Przedsiębiorstwom o rozproszonej strukturze, z sektorów takich jak handel detaliczny, hotelarstwo oraz centra medyczne i ośrodki zarządzania opieką zdrowotną, dostawcy sieci WLAN oferowali wcześniej usługi niskiej jakości. Tradycyjne rozwiązania oparte na kontrolerze są zwykle zbyt złożone i kosztowne dla firm małych lub mających kilka siedzib wymagających tylko kilku punktów dostępowych w każdej z nich. Aby odpowiedzieć na potrzeby tego rozwijającego się rynku, dostawcy sieci WLAN w przedsiębiorstwach przenieśli kwestie zarządzania i kontrolerów do chmury, upraszczając w ten sposób zarządzanie i zmniejszając wydatki kapitałowe. W architekturze sieci Wi-Fi zarządzanych w chmurze klienci kupują tylko punkty dostępowe i je konfigurują. Kontrolery i serwery zarządzania są już niepotrzebne. Jednak oczywiste uproszczenie zarządzania w chmurze wpłynęło na obniżenie poziomu zabezpieczeń, które wyraźnie cechuje rozwiązania bez standardowej kontroli dostępu do sieci Wi-Fi. W dużych przedsiębiorstwach bezpieczeństwo zawartości i aplikacji zapewniane jest dzięki specjalistycznym urządzeniom zabezpieczającym, na których opiera się system ochrony przed włamaniami (IPS), kategoryzacja i filtrowanie stron WWW, ochrona antywirusowa itp. Natomiast w większości rozwiązań chmurowych Wi-Fi takie funkcje są niedostępne. Dlatego też sieć Wi-Fi zarządzana w chmurze jest z natury mniej bezpieczna niż sieć Wi-Fi oparta na kontrolerze. Secure Access Architecture Rozwiązanie Secure Access Architecture firmy Fortinet oferuje najlepsze funkcje zapór najnowszej generacji oraz bezpieczny dostęp do sieci przedsiębiorstwa. Rozwiązania dostępowe firmy Fortinet zapewniają takie same, sprawdzone w praktyce zabezpieczenia w kontekście każdego typu wdrożenia (w przypadku pojedynczych punktów dostępowych w odizolowanych biurach przez kilkanaście punktów dostępowych w sklepach detalicznych do tysięcy takich punktów w dużych przedsiębiorstwach). 1

2 Wzrost bezpieczeństwa sieci Wi-Fi Dzisiejsze standardy uwierzytelniania i szyfrowania w sieciach Wi-Fi (np. WPA2, 802.1X) są powszechnie uznawane za silne mechanizmy kontroli dostępu do sieci bezprzewodowej. Dlaczego więc poszukiwać rozwiązań zapewniających jeszcze większe bezpieczeństwo? Poprzeczkę wymagań podnosi ciągle zmieniający się świat zagrożeń. Nasza rosnąca zależność od Internetu i usług chmurowych oraz korzystanie z urządzeń prywatnych do celów służbowych spowodowały gwałtowne rozszerzenie zakresu potencjalnych wektorów i celów ataku. Zagrożenia mogą dostać się do sieci przez powszechnie używane aplikacje, takie jak programy do obsługi poczty elektronicznej, przeglądarki internetowe i narzędzia do korzystania z sieci społecznościowych, a także poprzez niewzbudzające podejrzeń aplikacje i gry na urządzeniach przenośnych należących do pracowników i klientów. Robaki i wirusy mogą przedostać się z zainfekowanego urządzenia przenośnego do innych urządzeń podłączonych do sieci Wi-Fi, nawet jeśli żadne z nich nie ma dostępu do Internetu. Do zabezpieczenia komunikacji biznesowej, danych osobowych, transakcji finansowych i urządzeń przenośnych użytkowników nie wystarczy jedynie kontrola dostępu do sieci Wi-Fi. Potrzebne są bowiem mechanizmy skanowania antywirusowego, blokowania dostępu do złośliwych witryn internetowych oraz kontroli korzystania z aplikacji. Typowe rozwiązania chmurowe sieci Wi-Fi nie oferują jednak powyższych mechanizmów. Wypracowane przez Fortinet innowacyjne podejście usuwa natomiast całkowicie wspomniane braki istniejących rozwiązań chmurowych sieci bezprzewodowej. Fortinet Secure Access Architecture Nie ma uniwersalnego rozwiązania dla sieci WLAN różne przypadki zastosowań wymagają innych modeli wdrożenia. Natomiast produkt Secure Access Architecture firmy Fortinet oferuje przedsiębiorstwom dowolnej wielkości i branży możliwość wyboru topologii i modelu zarządzania siecią najlepiej dopasowanych do ich własnej sieci i struktury organizacyjnej, dzięki czemu w każdym przypadku mogą korzystać z takich samych światowej klasy cyberzabezpieczeń. Rozwiązanie Secure Access w chmurze, polecane do małych i średnich firm oraz przedsiębiorstw o rozproszonej strukturze, jest jednym z trzech zupełnie różnych rozwiązań dla sieci WLAN zaprojektowanych tak, aby zaoferować firmom pełną elastyczność w kwestii wyboru preferowanego modelu wdrożenia bez obniżania poziomu bezpieczeństwa. Rozwiązanie chmurowe Secure Access Oferowane przez Fortinet rozwiązanie chmurowe Secure Access nie jest podobne do żadnych innych rozwiązań z obsługą Wi-Fi w chmurze. Za pośrednictwem portalu zarządzania i przydzielania zasobów FortiCloud oraz nowej klasy punktów dostępowych seria rozwiązań FortiAP-S łączy w sobie funkcje zabezpieczeń sieciowych, dostępne zwykle tylko w korporacyjnych rozwiązaniach WLAN opartych na kontrolerze, z uzupełniającymi usługami zabezpieczeń. Zazwyczaj do wdrożenia kompleksowych zabezpieczeń wszystkich typów ruchu sieciowego z punktów dostępowych w odległych oddziałach konieczne jest tunelowanie ruchu przez centralne urządzenia zabezpieczające w firmowej sieci LAN, a następnie rozdzielanie go z powrotem do źródeł. Powoduje to zwiększenie opóźnienia i zmniejszenie przepustowości łącz sieciowych, wymuszając przyspieszone, kosztowne aktualizacje. Jest to nie tylko skomplikowane, ale także maskuje widoczność zachowań klientów i użytkowników. Wymaga mapowania całych sieci VLAN (nie tylko unikatowych sesji) z jednego urządzenia zabezpieczającego do następnego w celu przetworzenia zabezpieczeń w wielu przepływach danych przez różne urządzenia. Jest to wysoce nieefektywne. W sieciach firmowych przedsiębiorstw o rozproszonej strukturze, z sektorów takich jak hotelarstwo, handel detaliczny czy opieka zdrowotna, obsługujących dużą liczbę gości czy pacjentów, nie tunelowano raczej inicjowanego przez nich ruchu materiałów wideo, gier czy innej zawartości wymagającej wysokiej przepustowości. Ale kiedy pojawiała się potrzeba kontroli korzystania z aplikacji, na przykład uniemożliwienie gościowi obejrzenia nieodpowiedniej zawartości w kawiarni, lub pełnego zabezpieczenia urządzeń przed cyberzagrożeniami, brakowało do dziś alternatywnego rozwiązania. Wiele rozwiązań WLAN opartych na kontrolerze oferowanych przez dostawców (w tym także rozwiązania własne Fortinet) umożliwia podział routingu w odległych oddziałach firmy, gdzie ruch firmowy jest tunelowany przez sieć WAN i przechodzi przetwarzanie pod kątem bezpieczeństwa w centrali lub centrum danych. Natomiast ruch internetowy kierowany jest bezpośrednio do sieci Internet, jednak nie jest już chroniony przez firmowe urządzenia zapewniające system ochrony przed włamaniami (IPS), ochronę antywirusową oraz kategoryzację i filtrowanie stron WWW. Cały ruch inicjowany przez uwierzytelnionych użytkowników w firmie może być także tunelowany przez sieć WAN, a ruch inicjowany przez gości bezpośrednio do Internetu. W tym przypadku tylko ruch pochodzący od gości jest niechroniony i niekontrolowany. Jednak żadne podejście z przedstawionych nie jest idealne. W serii rozwiązań FortiAP-S cały ruch, firmowy czy internetowy, inicjowany przez użytkowników dowolnego typu, może być objęty zabezpieczeniami i kontrolą, bez tunelowania przepływu wszystkich danych przez firmową sieć WAN. Jest to opcja nie tylko efektywna i ekonomiczna, ale także najbezpieczniejsza i najmniej skomplikowana ze wszystkich. Wyjątkową cechą punktów dostępowych z serii FortiAP-S są zaawansowane funkcje zabezpieczeń wbudowane w sprzęt dostępowy. Ta nowa klasa punktów dostępowych jest wyposażona w dodatkową pamięć i moc obliczeniową dwukrotnie wyższą niż w typowych, lekkich punktach dostępowych. W efekcie mogą one przetwarzać w czasie rzeczywistym dane dotyczące zabezpieczeń na brzegu dostępu do sieci, a nie w chmurze czy w firmowej sieci LAN. Ponadto przetwarzanie zabezpieczeń L2-L7 w punkcie dostępowym w ramach jednego przepływu jest rozwiązaniem efektywnym. Dodatkowo można skonfigurować wyjątkowo granularne zasady zabezpieczeń dotyczące użytkowników i urządzeń, a przy tym zachować pełną widoczność zachowań użytkowników na poziomie sesji. 2

3 Tradycyjna sieć Wi-Fi w chmurze Połączenie Wyszukiwanie poświadczeń Uwierzytelnianie Luka w ochronie przed zagrożeniami Kontynuacja podłączania do sieci Rozwiązanie chmurowe Fortinet Secure Access Połączenie Wyszukiwanie poświadczeń Uwierzytelnianie IPS, AV, Botnet Filtr adresów URL, kontrola aplikacji Kontynuacja podłączania do sieci Rysunek 1. Egzekwowanie bezpieczeństwa sieci Wi-Fi i aplikacji w chmurze z zastosowaniem rozwiązań Fortinet Usługa przydzielania zasobów i zarządzania FortiCloud FortiCloud to usługa chmurowa służąca do przydzielania zasobów, zarządzania konfiguracjami i wykonywania analiz w liniach produktów serii FortiGate, FortiWiFi, FortiAP i FortiAP-S. Umożliwia ona szybkie inicjowanie, a następnie obsługę centralnej kontroli i widoczności sieci bezprzewodowej z poziomu chmury, co pozwala uniknąć kosztów kontrolera i sprzętu do zarządzania siecią WLAN. Serwis ten, udostępniany przez firmę Fortinet, zapewnia przedsiębiorstwom jeden pulpit do zarządzania infrastrukturą i zabezpieczeniami całej sieci oraz oferuje nieograniczoną skalowalność sieci z zachowaniem wszystkich korzyści wynikających z centralnego zarządzania. Oddział przedsiębiorstwa FortiAP-S FortiCloud Internet FortiAP-S Odległe biuro Rysunek 2. Zabezpieczanie odległych biur i oddziałów przy użyciu produktów z serii FortiAP-S Platforma FortiCloud upraszcza dostarczanie punktów dostępowych i innych urządzeń zabezpieczających w odległych siedzibach, co do których brakuje wiedzy o lokalnych uwarunkowaniach IT. Punkty dostępowe z serii FortiAP-S zawierają w oprogramowaniu sprzętowym funkcję rejestracji w serwisie FortiCloud, która umożliwia bezobsługową instalację. Po jej zakończeniu punkty dostępowe automatycznie wykrywają platformę FortiCloud i łączą się z nią w celu pobrania odpowiednich danych konfiguracyjnych. Serwis FortiCloud oferuje wszystko, co jest potrzebne do zarządzania punktami dostępowymi do sieci Wi-Fi oraz zapewnienia struktury zabezpieczeń w dowolnej, odległej lokalizacji: od wykrywania fałszywych punktów dostępowych po zarządzanie dostępem użytkowników i raportowanie użycia aplikacji oraz analizowanie zagrożeń. Zachowana jest przy tym pełna widoczność kondycji sieci bezprzewodowej i odpowiednia jakość usług świadczonych klientom. 3

4 Główne cechy serwisu FortiCloud Szybkie przydzielanie zasobów na poziomie centralnym: platforma FortiCloud umożliwia zdalne wdrażanie nowych punktów dostępowych w dowolnej lokalizacji na świecie, bez szczegółowej wiedzy o uwarunkowaniach w danym miejscu. Opcje konfiguracji pojedynczej i zbiorczej pozwalają na identyfikację numerów seryjnych punktów dostępowych należących do Twojej firmy. Przy pierwszym uruchomieniu punktu dostępowego jest on rejestrowany w serwisie FortiCloud. Pobierane jest także najnowsze oprogramowanie oraz profile domyślne w danej sieci. W ciągu kilku minut punkt dostępowy uruchamia się ponownie i jest w pełni gotowy do działania. Po aktywacji łatwa w obsłudze funkcja przydzielania zasobów pozwala przydzielić profile niestandardowe do dowolnych punktów dostępowych lub nadać wspólne profile wielu punktom jednocześnie. FortiPresence Analytics: rozwiązanie analityczne FortiPresence dostępne na platformie FortiCloud oferuje użytkownikom możliwość wykonywania analiz w czasie rzeczywistym opartych na lokalizacji. Konfigurację przeprowadza się na pulpicie FortiCloud, a statystyki są oparte na danych interfejsu API przesyłanych z poszczególnych punktów dostępowych. Na platformie analitycznej FortiPresence dostępna jest również funkcja określania w czasie rzeczywistym parametrów lokalizacji w całym ruchu użytkowników odwiedzających, czas ich pobytu oraz mapy natężenia ruchu z animowanymi przepływami. Dzięki tym narzędziom sprzedawcy detaliczni mogą lepiej poznać zachowania zakupowe konsumentów i odpowiednio na nie wpływać. Zaawansowane uwierzytelnianie: serwis FortiCloud obsługuje uwierzytelnianie przy użyciu standardu i z kluczem wstępnym lub standardu 802.1X. Jeśli włączono opcję 802.1X, użytkowników można uwierzytelniać względem bazy ich danych znajdującej się na platformie FortiCloud lub na podstawie danych serwera RADIUS w sieci firmowej. Roaming między punktami dostępowymi: rozwiązanie FortiCloud oferuje szybki roaming między punktami dostępowymi w danej sieci. Dzięki zastosowaniu protokołu wstępnego uwierzytelniania i nie ma potrzeby ponownego uwierzytelniania klientów podczas ruchu między punktami dostępowymi. Gwarantuje to użytkownikom niezawodną usługę roamingu bez wstrzymań i oczekiwania na ponowne połączenie się klienta z kolejnym punktem dostępowym i uzyskanie właściwych poświadczeń zabezpieczeń. Dostęp na podstawie roli/tożsamości: kontrola dostępu na podstawie roli umożliwia pracownikom działu IT skonfigurowanie oddzielnych profilów dostępu dla różnych grup w organizacji (np. kadra, studenci i goście czy personel medyczny, administratorzy i pacjenci). Do takich grup można przypisać różne zasady, co pozwala podzielić użytkowników lub urządzenia klienckie zgodnie z unikatowymi wymaganiami biznesowymi i dotyczącymi zgodności. Portal uwierzytelniania dostępu gości: w wielu przedsiębiorstwach o rozproszonej strukturze istnieje potrzeba zapewnienia bezpiecznego dostępu do Internetu gościom i odwiedzającym. Rozwiązanie FortiCloud umożliwia powiązanie dowolnej liczby identyfikatorów SSID z portalem uwierzytelniania, który można w pełni dostosować do własnych potrzeb, oraz jednoczesne sterowanie portalami o wielu logotypach. Goście łączą się z pozornie otwartym identyfikatorem SSID, ale punkt dostępowy odpowiada na pierwsze żądanie HTTP klienta przy użyciu strony z prośbą o podanie nazwy użytkownika i hasła. Platforma FortiCloud obejmuje również portal uwierzytelniania mediów społecznościowych. Odwiedzający mogą łatwo połączyć się z siecią Wi-Fi przeznaczoną dla gości, logując się do swoich kont w serwisach Facebook, LinkedIn czy Twitter. Dane logowania w mediach społecznościowych w dużym stopniu upraszczają rejestrację gości. Nie trzeba generować kodów ani tymczasowych haseł logowania. Analiza kondycji i użycia sieci: pulpit FortiCloud zapewnia widoczność i kontrolę kondycji sieci bezprzewodowej. Punkty dostępowe z serii FortiAP-S mogą być rozmieszczone na globalnej mapie, która umożliwia szczegółowy przegląd ich statusu, informacji o wydajności i statystyk połączonych klientów. Serwis FortiCloud zapewnia również pełną widoczność aplikacji w warstwie 7., łącznie ze szczegółowymi informacjami o stosowanych aplikacjach i ich użytkownikach, wykorzystaniu przepustowości przez punkt dostępowy, klienta lub aplikację. W analizach FortiCloud dostępna jest funkcja przeglądu danych szczegółowych i ich filtrowania. Umożliwia ona natychmiastowe określenie wpływu wywieranego na sieć przez aplikacje, witryny internetowe, użytkowników i zagrożenia. Do wspomagania zarządzania i raportowania zgodności służą natomiast wstępnie skonfigurowane raporty niestandardowe, w tym specjalistyczne raporty zgodności ze standardem PCI-DSS. Można je uruchamiać na żądanie lub zaplanować w określonym czasie i rozesłać pocztą elektroniczną do zainteresowanych stron. Widoczność i kontrola aplikacji: w przeciwieństwie do rozwiązań chmurowych Wi-Fi innych dostawców, wyposażonych w możliwość sklasyfikowania maksymalnie tylko kilkuset aplikacji, platforma FortiCloud zawiera sygnatury ponad 3300 różnych aplikacji. Rysunek 3. Funkcja Application Control oparta na kategoriach 4

5 Rozróżniane są między innymi serwisy takie jak Netflix, Vimeo, YouTube czy YouTube HD oraz aplikacje Skype, SIP, H.323 itp. Ustawienia kontroli aplikacji są konfigurowane w chmurze, a następnie pobierane do punktów dostępowych serii FortiAP-S i egzekwowane lokalnie w czasie rzeczywistym. Zaawansowana konfiguracja punktów dostępowych: platforma FortiCloud oferuje możliwość wyboru podsieci używanej do podłączania punktu dostępowego do sieci. Za pośrednictwem powiązanych z serwisem FortiCloud usług FortiGuard można także otrzymywać najnowsze oprogramowanie FortiAP-S. Punkty dostępowe z serii FortiAP-S Seria FortiAP-S zapewnia bezpieczny dostęp bezprzewodowy wewnątrz pomieszczeń za pośrednictwem punktów dostępowych 3x3 MIMO ac wyposażonych w jeden lub dwa nadajniki radiowe. Niektóre modele mają wbudowane anteny wewnętrzne, a inne mogą obsługiwać anteny zewnętrzne. Pozwalają one elastycznie i kierunkowo sterować długością zakresu dostępności sieci wewnątrz i na zewnątrz budynków. Rysunek 4. Punkty dostępowe z serii FortiAP-S z antenami wewnętrznymi lub zewnętrznymi Podobnie jak w przypadku innych linii punktów dostępowych Fortinet wdrożenie jest bezobsługowe, dzięki czemu można szybko udostępnić sieć. Jako standardowe, niewymagające dodatkowych licencji, dostarczane są wszystkie przydatne w przedsiębiorstwie funkcje, takie jak roaming, przełączanie, udostępnianie sieci gościom, system WIDS i eliminowanie fałszywych punktów dostępowych, monitorowanie fal radiowych, WMM, QoS oraz reagowanie na awarię sieci WAN. Elementem odróżniającym punkty dostępowe z serii FortiAP-S od innych linii produktów dostępowych Fortinet oraz konwencjonalnych, lekkich punktów dostępowych oferowanych przez innych dostawców sieci WLAN jest obsługa zabezpieczeń zawartości i aplikacji w czasie rzeczywistym. Po skonfigurowaniu i uruchomieniu punkty dostępowe pobierają najnowsze sygnatury zagrożeń, programów wykorzystujących luki w zabezpieczeniach i aplikacji z zasobów FortiGuard Labs do pamięci własnej. Dzięki temu można natychmiast wdrożyć kategoryzację i filtrowanie stron WWW oraz kontrolę aplikacji i w ten sposób zapewnić ochronę przed włamaniami do sieci, wirusami oraz wieloma innymi cyberzagrożeniami. Zwiększone możliwości przetwarzania w punkcie dostępowym pozwalają na wykonywanie pogłębionego przetwarzania zabezpieczeń bez opóźnień i negatywnego oddziaływania na przepustowość. Egzekwowanie zabezpieczeń w punktach dostępowych serii FortiAP-S na brzegu dostępu do sieci, a nie w chmurze, powoduje natychmiastowe wyeliminowanie pochodzących z zainfekowanych urządzeń klienckich zagrożeń, takich jak botnety, robaki i inne złośliwe oprogramowanie ze strony komputerów zombie, jeszcze przed ich dostaniem się do Internetu. Przyczynia się to do zachowania cennej przepustowości łącza internetowego dla właściwych celów, eliminuje ryzyko trafienia adresu IP na czarną listę oraz chroni inne urządzenia w sieci. Główne cechy serii FortiAP-S Bezobsługowa instalacja: przy pierwszym włączeniu punktu dostępowego z serii FortiAP-S uruchamia się zaawansowany mechanizm oparty na numerach seryjnych, dzięki któremu urządzenie zostanie automatycznie przypisane do Twojego konta. Po nawiązaniu połączenia punkt dostępowy pobiera najnowsze oprogramowanie i przypisane profile radiowe, a następnie automatycznie wybiera najlepszy kanał i ustawienia zasilania dostosowane do warunków częstotliwości radiowej. Reagowanie na awarię sieci WAN: w przypadku awarii sieci WAN produkty z serii FortiAP-S nadal zapewniają łączność i ochronę przed zagrożeniami obejmującą wszystkie uwierzytelnione klienty, nawet te, które wracają do danego punktu dostępowego po czasowym połączeniu z innym punktem. Każdy punkt dostępowy przechowuje bowiem w pamięci informacje o stanie użytkownika i sygnaturach zagrożeń, więc ma wszystko, co potrzebne do kontynuowania ochrony przed włamaniami, sprawowania kontroli nad aplikacjami i skanowania antywirusowego. Monitor fal radiowych: wszystkie modele z serii FortiAP-S mogą wykonywać skanowanie kanałów w postaci monitora fal radiowych. W przypadku aplikacji zgodnych ze standardem PCI punkty dostępowe z dwoma nadajnikami radiowymi mogą jednocześnie służyć do zapewniania dostępu do sieci urządzeniom klienckim oraz do monitorowania. System WIDS i eliminowanie fałszywych punktów dostępowych: punkty dostępowe z serii FortiAP-S umożliwiają ciągłe monitorowanie występowania fałszywych punktów dostępowych i potencjalnych włamań do sieci bezprzewodowej oraz raportowanie podejrzanych zachowań w serwisie FortiCloud, w którym generowane są odpowiednie alerty i raporty dla kierowników ds. sieci. Lista fałszywych punktów dostępowych zawiera takie dane, jak adres MAC, nazwa producenta, profil zabezpieczeń, szybkość i godzina ostatniego pojawienia się. Informacje te umożliwiają administratorom szybkie rozpoznanie zaufanych i niezaufanych punktów dostępowych, a także podjęcie działań naprawczych w celu zlokalizowania i usunięcia tych fałszywych. Łatwe przypisywanie zasad: każdy skonfigurowany identyfikator SSID jest traktowany jako wirtualny interfejs sieciowy, który może w razie 5

6 potrzeby podlegać kontrolom systemu ochrony przed włamaniami, skanowaniu antywirusowemu, kategoryzacji i filtrowaniu stron WWW oraz kontroli aplikacji. W ten sposób można łatwo zastosować zasady zabezpieczeń, zarówno w formie jednego zestawu zasad dla wszystkich identyfikatorów SSID, jaki i unikatowych zasad stosowanych osobno do poszczególnych identyfikatorów SSID. System ochrony przed włamaniami (IPS): system ochrony przed włamaniami (IPS) firmy Fortinet wbudowany w punktach dostępowych z serii FortiAP-S chroni sieć przed znanymi i nieznanymi zagrożeniami, blokując ataki wykorzystujące luki w zabezpieczeniach urządzeń, sieci i systemów. System IPS zabezpiecza przed atakami urządzenia klienckie, serwery lokalne i najważniejsze aplikacje biznesowe w chmurze. Oprogramowanie chroniące przed złośliwym kodem (antymalware): dzięki wykorzystaniu wydajnego procesora do szczegółowej inspekcji pakietów w warstwie 7., punkt dostępowy z serii FortiAP-S zapewnia ochronę w czasie rzeczywistym przed zagrożeniami, takimi jak wirusy, botnety, programy wykorzystujące luki w zabezpieczeniach internetowych, konie trojańskie i inne warianty złośliwego oprogramowania. Dodatkowo regularne aktualizacje pochodzące z zasobów FortiGuard Labs zapewniają natychmiastową ochronę przed nowo odkrytymi zagrożeniami typu zero-day. Kategoryzacja i filtrowanie adresów URL stron WWW: punkt dostępowy może zablokować dostęp do znanych, szkodliwych witryn internetowych, które mogą zawierać złośliwe oprogramowanie lub powodować ataki typu phishing lub pharming. Poza zmniejszeniem narażenia na złośliwe oprogramowanie funkcja ta może również służyć do kontrolowania dostępu do zawartości nieodpowiedniej dla osób w określonym wieku, na przykład w szkołach, lub do zapobiegania wyświetlaniu potencjalnie nieodpowiedniej zawartości w miejscach publicznych, takich jak hotele, sklepy czy ośrodki zdrowia. Kategoryzacja i filtrowanie adresów URL stron WWW umożliwia również ograniczenie spędzania czasu w miejscu pracy na korzystaniu z urządzeń do celów prywatnych. Application Control: dysponując sygnaturami ponad 4000 aplikacji, punkty dostępowe z serii FortiAP-S oferują niezrównaną kontrolę w zakresie priorytetów aplikacji i zarządzania przepustowością. Umożliwiają rozróżnianie unikatowych aplikacji i traktowanie każdej z nich w inny sposób. Rozwiązanie to ma znacznie szerszy zakres, niż podstawowe klasy priorytetów w sieci Wi-Fi. Kiedy przepustowość jest niewielka, można ustawić pierwszeństwo działania aplikacji o znaczeniu krytycznym oraz tłumienie aplikacji o niższym priorytecie. Wyjątkowa wartość kompleksowych zabezpieczeń Kolejną z zalet sieci Wi-Fi w chmurze poza uproszczonym wdrażaniem i zarządzaniem jest zmiana wydatków kapitałowych na koszty operacyjne. Choć wydaje się to atrakcyjną propozycją, niektórzy dostawcy pobierają opłatę w wysokości od 15 do 20 proc. ceny sprzętu dostępowego za roczną subskrypcję zarządzania w chmurze za każdy uwzględniony punkt dostępowy. Jest to wysoka stawka do zapłaty za usługi związane z zarządzaniem, które nie zmieniają się znacznie z roku na rok. W odróżnieniu od takich ofert zarządzanie w chmurze za pośrednictwem serwisu FortiCloud jest bezpłatne. Nie wiążą się z nim żadne opłaty za subskrypcję zarządzania poszczególnymi punktami dostępowymi. Firma Fortinet pobiera jedynie opłaty za subskrypcję funkcji zabezpieczeń aplikacji w czasie rzeczywistym oferowanych poprzez regularne aktualizacje pochodzące z zasobów FortiGuard Labs funkcji, których nie mają w ofercie inni dostawcy. A zatem przy prawie takich samych ogólnych kosztach operacyjnych rozwiązanie chmurowe Secure Access firmy Fortinet zapewnia światowej klasy zabezpieczenia, bez żadnych inwestycji w urządzenia zabezpieczające wiążących się z wydatkami kapitałowymi. Nie ma również opłat za opóźnienia ani kosztów aktualizacji sieci WAN. Bez względu na to, co się stanie w cyberprzestrzeni czy z połączonymi z siecią urządzeniami należącymi do gości i pracowników, aktualna ochrona przed najnowszymi cyberzagrożeniami będzie kontynuowana. Żaden inny dostawca nie ma tego w ofercie. Wdrożenie Secure Access w chmurze Oferowana przez Fortinet bezpieczna sieć bezprzewodowa zarządzana w chmurze sprawdza się począwszy od małych i średnich firm z jedną placówką po wielkie przedsiębiorstwa o rozproszonej strukturze z tysiącami lokalizacji. Jest szczególnie polecana w małych biurach, gdzie często nie ma miejsca na dodatkowe, lokalne urządzenia zabezpieczające, niezależnie od ekonomicznego aspektu takiego rozwiązania. Nie ma bardziej kompaktowego i bezpiecznego rozwiązania bezprzewodowego niż punkt dostępowy łączący dostęp do sieci Wi-Fi z zabezpieczeniami. Poniżej opisano wybrane typowe scenariusze wdrożenia i przykładu użycia niektórych funkcji zabezpieczeń w serii FortiAP-S w różnych branżach. Hotelarstwo: hotelarze chcieliby czerpać zyski ze swojej sieci bezprzewodowej i innych usług o wysokiej marży, a przy tym zapewnić swoim gościom miłe wrażenia dzięki połączeniu z Internetem i poza nim. Aby maksymalnie zwiększyć przychody z rozrywki wideo w pokojach, mogą oni skorzystać z funkcji kategoryzacji i filtrowania stron WWW oraz kontroli aplikacji do blokowania dostępu do usług wideo OTT, takich jak Netflix, by w ten sposób utrzymać odpowiednie parametry przepustowości połączenia internetowego na potrzeby korzystania z kluczowych aplikacji, na przykład poczty elektronicznej dla klientów biznesowych. W podobny sposób można ograniczyć dostęp do Internetu w holu hotelowym, aby zwiększyć liczbę zamówień usługi dostępu do Internetu w pokojach. Funkcje systemu pozwalają także na blokowanie wyświetlania w miejscach publicznych treści przeznaczonych tylko dla osób dorosłych i umożliwianie dostępu do nich w pokoju hotelowym. W ostatnich latach branża hotelowa spotkała się z ostrym sprzeciwem wobec blokowania osobistych hotspotów sieci Wi-Fi, co skutkowało wydaniem w 2014 r. orzeczenia przez Federalną Komisję Łączności (FCC) w USA (popartego rozporządzeniem ze stycznia 2015 r.), że blokowanie sieci W-Fi jest niedozwolone. Zmusiło to branżę hotelową do szukania rozwiązań kompromisowych między zgodnością z wymaganiami FCC, a ochroną przed fałszywymi punktami dostępowymi i złośliwym wykorzystaniem sieci. 6

7 Rozwiązanie chmurowe Secure Access oferowane przez Fortinet zapewnia informacje o fałszywych punktach dostępowych, ochronę przed zagrożeniami i ich analizę. Dzięki temu przedsiębiorstwa mogą eliminować złośliwe wykorzystanie sieci, zachowując zgodność z orzeczeniem FCC i gotowość do wykonania audytu pod tym kątem. Szkolnictwo na poziomie podstawowym i średnim: szkolnictwo lokalne nieustannie zmaga się z niewystarczającymi funduszami i niedoborem zasobów IT. Komputerów jest mało, łącza internetowe mają małą przepustowość, a infrastruktura sieciowa jest ograniczona. Jednym ze sposobów na zmniejszenie problemów z finansowaniem jest wydawanie mniejszych funduszy na komputery, a więcej na infrastrukturę, zachęcając przy tym do korzystania z urządzeń prywatnych. Jednak ma to również tę wadę, że zwiększa zagrożenia dla bezpieczeństwa i możliwości nieodpowiedniego użycia sieci przez uczniów. Co więcej, placówki szkolne mają moralny i prawny obowiązek chronić uczniów przed treściami nieodpowiednimi dla ich wieku. Rozwiązanie chmurowe Secure Access firmy Fortinet stanowi idealne rozwiązanie spełniające wszystkie te wymagania. Dzięki niemu można zainwestować w zwiększenie liczby punktów dostępowych, zamiast ponosić wydatki kapitałowe na urządzenia zapewniające bezpieczeństwo, kontrolery WLAN i zarządzanie. Rozwiązanie to pozwala również blokować nieodpowiednie lub złośliwe witryny, neutralizować zainfekowane urządzenia i chronić sieć przed wszystkimi cyberzagrożeniami. Można przy tym zachować cenną przepustowość połączenia z Internetem, a dzięki centralnemu zarządzaniu można zaoszczędzić na obsłudze sieci przez personel IT. Sprzedaż detaliczna, restauracje i bary szybkiej obsługi: sklepy i restauracje nie chcą zniechęcać swoich klientów do używania urządzeń przenośnych. Wręcz zachęcają do korzystania z nich, ponieważ dzięki nim mogą gromadzić dane rejestracyjne i analityczne o konsumentach, wykorzystywane później w marketingu typu online i offline. Wszyscy dostawcy oferują portal uwierzytelniania z logotypem umożliwiający bezpieczny dostęp i oddzielający gości od mobilnego punktu sprzedaży (mpos), operacji sklepu i ruchu zaplecza, a przy tym gromadzący dane rejestracyjne odwiedzających. Jednakże sam portal uwierzytelniania nie gwarantuje wymaganej ochrony zgodnej ze standardem PCI DSS ani ochrony przepustowości w przypadku transakcji POS o znaczeniu krytycznym. Rozwiązanie chmurowe Fortinet Secure Access oferuje więcej niż portal uwierzytelniania i wykracza poza minimalne wymagania zgodności ze standardem PCI DSS, takie jak skanowanie w poszukiwaniu fałszywych punktów dostępowych i ich eliminowanie. Produkt ten zapewnia kompleksową ochronę przed wszystkimi typami wirusów i cyberzagrożeń, które mogłyby potencjalnie złamać zabezpieczenia terminali mpos i czytników kodów kreskowych włączonych do sieci Wi-Fi. Sprawuje również pełną kontrolę nad przepustowością przydzieloną do aplikacji biznesowych. Istnieje również możliwość kontroli zachowań użytkowników poprzez blokowanie lub wstrzymywanie działań aplikacji w dużym stopniu zmniejszających przepustowość, na przykład służących do oglądania materiałów wideo, tak aby zapewnić każdemu gościowi dostęp do Internetu dobrej jakości. Sprzedawcy detaliczni mogą nawet blokować dostęp do witryn swoich bezpośrednich konkurentów internetowych, aby ograniczyć zjawisko showroomingu. Opieka medyczna: centra medyczne i ośrodki zarządzania opieką zdrowotną co raz bardziej potrzebują usług dostępowych, które mogłyby zaoferować gościom i pacjentom. Jednocześnie muszą zapewnić ochronę zabezpieczeń i priorytetowego znaczenia personelu i urządzeń medycznych o znaczeniu krytycznym. Coraz więcej osób z personelu medycznego przynosi do pracy swoje własne urządzenia i używa ich podczas zapewniania opieki pacjentom, co wiąże się z dostępem do ich poufnych danych. Aby uzyskać zgodność z ustawą HIPAA (ang. Health Insurance Portability and Accountability Act) urządzenia te powinny być odpowiednio przeskanowane przed uzyskaniem dostępu do danych pacjentów. Powinny być też chronione przed cyberzagrożeniami z Internetu i innych urządzeń bezprzewodowych. Telefony w technologii VoIP, skanery RFID/kodów kreskowych i wiele urządzeń medycznych włączonych do sieci Wi-Fi, takich jak monitory akcji serca czy pompy infuzyjne, są oparte na systemie operacyjnym Linux, a nawet Windows. Takie urządzenia bez regularnej kontroli są najczęściej narażone na dłuższe okresy bez aktualizacji oprogramowania układowego, co sprawia, że są podatne na robaki i inne wirusy. Może to w szybkim tempie doprowadzić do sytuacji, w której cała grupa urządzeń stanie się bezużyteczna, narażając na ryzyko zdrowie, a nawet życie pacjentów. Wbudowany system ochrony przed włamaniami (IPS), kategoryzacja i filtrowanie stron WWW, ochrona antywirusowa i kontrola aplikacji sprawiają, że unikatowe rozwiązanie firmy Fortinet do zarządzania siecią Wi-Fi w chmurze zapewnia pełną ochronę urządzeń medycznych oraz smartfonów i tabletów personelu. Urządzenia gości i pacjentów można odizolować od ruchu firmowego i medycznego przy zachowaniu tej samej ochrony przez zagrożeniami. Można objąć priorytetową obsługą i ochroną przepustowości wszystkie aplikacje medyczne oraz kontrolować użycie przepustowości i aplikacji przez gości. Transport: w dużym terminalu pasażerskim dostawcy usług transportowych mogą już posiadać sieć Wi-Fi z infrastrukturą zabezpieczeń potrzebną do zaoferowania pasażerom bezpiecznych hotspotów sieci Wi-Fi. Jednak inaczej jest w przypadku dworców autobusowych i kolejowych na przedmieściach i w mniejszych miastach. Koszt wdrożenia sieci bezprzewodowej często zniechęca do jego zakupu. Natomiast pasażerowie chcieliby mieć dostęp do Internetu, gdziekolwiek się znajdują. Wykorzystując punkty dostępowe z serii FortiAP-S oraz portale uwierzytelniania z logotypem, operatorzy usług transportowych mogą stosunkowo niewielkim kosztem zaoferować darmowe lub płatne, bezpieczne hotspoty sieci Wi-Fi przekierowujące użytkowników do strony docelowej z aktualnymi informacjami o rozkładach jazdy, statusach usług i programach lojalnościowych. Ponadto operatorzy mogą zrekompensować sobie koszt wdrożenia, a nawet wypracować zysk, oferując usługi wielowarstwowego dostępu do sieci Wi-Fi najemcom punktów detalicznych na terenie dworca, co stanowi oczywistą korzyść. Sieć Wi-Fi zarządzana przez dostawcę MSP: wyjątkowe funkcje zabezpieczeń oferowane przez produkty z serii FortiAP-S wraz z rozwiązaniem FortiPrivateCloud (patrz poniżej) sprawiają, że dostawcy usług zarządzanych (MSP) dostrzegają możliwość skierowania oferty praktycznych i zyskownych rozwiązań do 7

8 małych i średnich firm oraz przedsiębiorstw o rozproszonej strukturze. Nie trzeba już wdrażać pełnego zestawu urządzeń zabezpieczających i punktów dostępowych na terenie klienta. Wystarczy tylko jeden lub kilka punktów dostępowych z serii FortiAP-S zarządzanych w chmurze, które zapewnią równorzędny poziom bezpieczeństwa za ułamek kosztów tradycyjnych rozwiązań. Wpływa to radykalnie na aspekty finansowe zarządzania bezpiecznym dostępem do sieci Wi-Fi jako usługą, dzięki czemu jest ona bardziej atrakcyjna dla przedsiębiorstw i bardziej zyskowna dla dostawców usług zarządzanych. Hotspoty nakładane: jak wcześniej wspomniano, jeśli ruch sieciowy gości ma być objęty kontrolą lub zabezpieczeniami, musi być tunelowany przez korporacyjną sieć WAN. Zastosowanie produktów z serii FortiAP-S w postaci nakładki na istniejącą sieć zapewnia firmie kontrolę i ochronę ruchu oraz urządzeń gości, odciążając tym samym sieć korporacyjną. Jednym z najistotniejszych aspektów różnych przypadków zastosowania opisanych powyżej jest to, że rozwiązane chmurowe Secure Access firmy Fortinet umożliwia przedsiębiorstwom o rozproszonej strukturze wdrożenie światowej klasy zabezpieczeń sieci bezprzewodowych w odległych oddziałach bez konieczności zmiany korporacyjnej infrastruktury zabezpieczeń oraz bez obciążania sieci firmowej. Powiązane produkty i usługi FortiGuard Platforma FortiGate jest zabezpieczona dzięki usługom FortiGuard, poprzez które otrzymuje regularne aktualizacje sygnatur programów wykorzystujących luki w zabezpieczeniach, wirusów i aplikacji. W ten sposób zapewniona jest natychmiastowa ochrona przed cyberzagrożeniami typu zero-day. FortiGuard Labs to globalny zespół ponad 200 analityków zagrożeń, którzy stale wyszukują najnowsze przypadki ataków i opracowują sposoby ich neutralizowania. Wyniki ich pracy są zawarte w regularnych aktualizacjach zabezpieczeń pobieranych przez produkty Fortinet w formie usługi subskrypcji FortiGuard. Zapewniają one aktualną ochronę sieci przed pojawiającymi się nowymi zagrożeniami. FortiPrivateCloud FortiPrivateCloud to platforma oprogramowania maszyny wirtualnej o wielu funkcjach, podobna do serwisu FortiCloud, przeznaczona specjalnie dla dostawców usług zarządzanych. Umożliwia im wdrażanie rozwiązań do zarządzania siecią Wi-Fi i zabezpieczeniami w chmurze we własnej infrastrukturze usług hostowanych. Dzięki wielowarstwowej strukturze i możliwości obsługi wielu podmiotów dostawcy usług mogą zarządzać wszystkimi sieciami swoich klientów za pomocą jednej konsoli, rozszerzać dostęp do zarządzania na swoich klientów i włączać różne uprawnienia dla poszczególnych użytkowników. Podsumowanie rozwiązania chmurowego Secure Access Rozwiązanie polegające na zarządzaniu siecią Wi-Fi w chmurze proponowane przez Fortinet jest naprawdę wyjątkowe. Gdy u innych dostawców wymagane są dodatkowe urządzenia zabezpieczające do ochrony antywirusowej, kategoryzacji i filtrowania stron WWW i ochrony przed włamaniami, Fortinet oferuje te funkcje jako dostępne standardowo z poziomu chmury. Usługi te są wykonywane bezpośrednio w punktach dostępowych z serii FortiAP-S, które zapewniają bezpośrednią ochronę na poziomie sesji, bez skomplikowanego mapowania przepływu ruchu do zewnętrznych urządzeń zabezpieczających. Wykorzystując aktualizacje zabezpieczeń z zasobów FortiGuard Labs, rozwiązanie chmurowe Secure Access zapewnia natychmiastową ochronę przed najnowszymi cyberzagrożeniami bez ingerencji administracyjnej. Bez względu na ciągłą ewolucję świata cyberzagrożeń specjalistyczne firmowe urządzenia przenośne oraz należące do gości i pracowników łączące się z siecią są chronione i nie ponoszą żadnych szkód. Ten unikatowy model rozproszonych zabezpieczeń redukuje koszty i eliminuje złożoność zapewniania bezpieczeństwa sieci LAN w rozproszonych lokalizacjach przedsiębiorstwa. Dzięki platformie FortiCloud oferującej jeden pulpit łączący zarządzanie infrastrukturą i zabezpieczeniami, firmy mogą korzystać z zalet nieograniczonej skalowalności i łatwości centralnego zarządzania w chmurze bez obniżenia poziomu bezpieczeństwa klasy korporacyjnej. SIEDZIBA GŁÓWNA Fortinet Inc. 899 Kifer Road Sunnyvale, CA Stany Zjednoczone Tel.: BIURO SPRZEDAŻY REGION EMEA 905 rue Albert Einstein Valbonne 06560, Alpes-Maritimes, Francja Tel BIURO SPRZEDAŻY REGION APAC 300 Beach Road The Concourse Singapur Tel.: BIURO SPRZEDAŻY AMERYKA ŁACIŃSKA Paseo de la Reforma 412 piso 16 Col. Juarez C.P México D.F. Tel.: (55) Polska ul. Złota 59/6F Budynek Lumen II (6 piętro) Warszawa Polska Copyright 2016 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate, FortiCare, FortiGuard oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi spółki Fortinet, Inc. Pozostałe nazwy związane z Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi Fortinet. Wszelkie inne nazwy produktów lub spółek mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, faktyczna wydajność może być zatem inna. Na wartość parametrów wydajności mogą mieć wpływ zmienne sieciowe, różnorodne środowiska sieciowe i inne uwarunkowania. Żadne ze stwierdzeń zawartych w tym dokumencie nie stanowi wiążącego zobowiązania ze strony Fortinet, a Fortinet odrzuca wszelkie wyraźne lub dorozumiane gwarancje i rękojmie, z wyjątkiem gwarancji udzielonych przez Fortinet na mocy wiążącej umowy z kupującym podpisanej przez głównego radcę prawnego Fortinet, w której Fortinet zagwarantuje, że określony produkt będzie działać zgodnie z wyraźnie wymienionymi w takim dokumencie parametrami wydajności, a w takim przypadku wyłącznie określone parametry wydajności wyraźnie wskazane w takiej wiążącej umowie pisemnej będą wiązać Fortinet. Wszelka tego typu gwarancja będzie dotyczyć wyłącznie wydajności uzyskiwanej w takich samych warunkach idealnych, w jakich Fortinet przeprowadza wewnętrzne testy laboratoryjne. Fortinet w całości odrzuca wszelkie wyraźne lub dorozumiane przyrzeczenia, oświadczenia i gwarancje związane z tym dokumentem. Fortinet zastrzega sobie prawo do zmieniania, modyfikowania, przenoszenia lub innego korygowania niniejszej publikacji bez powiadomienia (zastosowanie ma najnowsza wersja publikacji). 26 kwietnia 2016 r.