随着全球范围内规模更大、更严重的网络攻击蔓延,许多企业需要为其网络提供强大的安全架构。Fortinet是提供安全驱动网络产品的领导者。该公司以其FortinetSecurityFabric而闻名,这是一种集成的安全产品架构,跨越广泛的数字攻击面和生命周期。SecurityFabric的核心是FortiOS操作系统,它支持一系列附加产品,以帮助客户满足其特定的网络和安全需求。FortiGate下一代防火墙是SecurityFabric的基础。这种插件策略是Fortinet提供其所谓的安全访问服务边缘产品FortiSASE的方式。虽然FortiSASE可能有助于实现全面的软件定义广域网(SD-WAN),但它并不完全是SASE。Gartner如何定义SASE要更好地理解Fortinet的SASE策略,客户应该首先了解SASE,它将网络和安全点服务融合到一个统一的全球云原生服务中。它是企业网络和安全的架构转型,使IT能够为数字业务提供全面且适应性强的服务。在尝试通过点服务解决新兴业务挑战时,这通常会导致技术孤岛变得复杂且管理成本高昂。复杂性会降低IT及其对业务需求的响应速度。SASE通过身份驱动、云原生、全球分布并安全连接到所有边缘(包括WAN、云、移动和物联网)的网络和安全平台改变了这种模式。为满足Gartner的标准,SASE平台必须具有以下属性:建立在云原生和基于云的架构上;分布在全球多个存在点(PoP);支持所有边缘,包括位置、用户、云和应用程序。虽然我们的SD-WAN专家认识到供应商实施SASE可能需要时间,但我们也认为云安全和网络融合是平台被视为SASE的必要条件。Fortinet的SASE方法:扩展安全架构自Gartner在2019年宣布SASE是网络和安全的未来以来,许多供应商都加入了竞争。Fortinet通过推出其FortiSASE架构成为其中之一。Fortinet在其网站上解释了他们的SASE实践。以下是关键摘录:FortiSASE不是独立的、仅云的方法,而是提供SASE服务作为Fortinet安全结构的扩展,以扩展和利用FortiOS的功能,FortiOS是连接整个Fortinet安全性的通用操作系统解决方案组合。换句话说,Fortinet正在利用它在过去21年中开发的所有硬件和软件来组装成SASE模型,同时淡化云方法。这种方法与Gartner对云交付SASE的定义形成对比。一次构建一个Fortinet架构连接性要部署Fortinet架构,企业需要从连接性开始。网络团队在企业数据中心(FortiGate2500E)、云数据中心(FortiGate-VM)和分支机构(FortiGate60E)中部署物理或虚拟FortiGate单元。FortiGateSD-WAN功能是SD-WAN的主要构建块。接下来,该团队在远程用户的设备上部署了FortiClient以将他们连接到网络。Fortinet没有用于全球连接的产品。WAN仅适用于区域用例,不提供SaaS优化。然后,SD-WAN团队应配置服务质量,以确保应用程序在整个网络中获得正确的优先级。他们将需要购买另一款Fortinet产品SD-WANOrchestrator,以将SD-WAN视为跨集线器、网络和虚拟网络的虚拟覆盖,并为不同的应用程序构建完整的网格。否则,团队将不得不逐个设备地为每个设备管理不同的SD-WAN隧道。SD-WANOrchestrator将网络视为一个整体,但它有局限性。例如,它为虚拟网络隧道和其他相关配置项分配复杂的对象名称,如AAAAA、AAAAB和AAAAC。这种命名约定使工程师很难将对象名称与物理站点相关联,从而使手动故障排除变得复杂。安全和管理对于安全,Fortinet具有融合性。FortiGate设备提供高级安全性,但需要在所有位置进行配置,最好使用FortiManager。如果远程FortiClient用户没有基于云的安全性,团队将需要通过数据中心的物理设备或云数据中心的虚拟设备回传流量,以充当通过安全堆栈路由流量的集中器。为了管理远程FortiClient用户,团队需要在本地(部分在非军事区)安装企业管理服务器软件,以便与互联网上的远程FortiClient代理进行通信。其他Fortinet产品有助于设备管理。FortiManager帮助管理网络上的一切,以高效的方式将策略和配置推送到设备。它还建立覆盖虚拟网络隧道,并将SD-WAN策略推送到FortiGate单元。FortiManager不包含分析功能,因此另一个产品FortiAnalyzer提供网络分析。FortiSIEM需要聚合所有日志并将信息规范化为单个块。如果团队想要在他们的Fortinet环境中添加多因素身份验证,他们将需要FortiAuthenticator作为所有Fortinet组件的中间件。FortiDeploy帮助团队进行零接触部署。运行网络一旦团队安装了这个拼凑的产品来连接和保护网络,就该运行它了。如果团队要保证高可用,他们需要在每个地方都加倍设备以确保自动故障转移。这种方法不仅昂贵,而且难以管理。网络的复杂性要求公司在部署IT堆栈的任何地方都配备IT人员。SASE适合的位置2020年7月,Fortinet收购了OpaqNetworks,据称这家公司将是Fortinet进入竞争激烈的SASE领域的关键。这一愿景尚未实现。相反,Fortinet当前的SASE方法是其传统的FortiGate-FortiManager-FortiClient故事。FortiSASE的主要云部分是安全互联网访问(SIA),它与??FortiClient或称为FortiExtender的瘦边缘一起工作。这些产品尚不支持FortiOS集成。对于SIA,Fortinet目前有一个PoP,并计划到2021年底有四个。FortiSASE不符合SASE的技术定义,但未来可能会提供更多功能。以我的经验,Fortinet会告诉客户“SASEisajourney”。FortiSASE的优势Fortinet产品的一个重要部分是安全结构。它具有强大的功能集,并被评为2020年Gartner网络防火墙魔力象限的前三名领导者之一。据Gartner称,“在集成SD-WAN功能与高级网络方面,Fortinet防火墙处于领先地位,使其成为基于防火墙设备的分布式办公用例的首选。”FortiSASECon??sFromaTrueSASEPlatformPerspective,Fortinet勉强。Fortinet对Opaq的预期收购可能有所帮助,但与Fortinet战略的整合已被证明难以实现。Fortinet当前的SASE产品不包括任何云原生组件。它没有专用的全球骨干网,也没有连接和优化SaaS应用程序的简便方法。简而言之,Fortinet的SASE选项是具有新营销功能的安全SD-WAN。AssemblyRequired团队最初可能会被Fortinet吸引,因为它的入门价格低,但每个附加功能都会增加复杂性和价格。Fortinet的方法仍然以设备为中心,并且缺乏云战略。如果企业已经拥有Fortinet基础设施,则值得将其视为安全的SD-WAN而不是SASE。Gartner强调,仅本地设备的服务交付模型无法满足日益增长的移动劳动力和对延迟敏感的应用程序的需求。虽然Fortinet拥有令人印象深刻的功能列表,但从云边缘提供这些功能是SASE的基础。
