Vprašanja o omrežni varnosti
Optimizacija stroškov varnosti na oddaljenih lokacijah
V: Imamo več lokacij po Sloveniji. Želimo se izogniti visokim stroškom, vendar želimo varno poslovanje. Ali moramo na vseh lokacijah na enak način poskrbeti za varovanje pred kibernetskimi napadi?
O: Ne. Veliko lahko prihranite, če za varnost temeljito poskrbite samo na glavni lokaciji z nekoliko hitrejšo internetno povezavo. Na ostalih lokacijah vzpostavite ceneno opremo za varne VPN povezave. Imele bodo zaprto pot v Internet in edina odprta pot bo kriptiran tunel na glavno lokacijo. Tam se bo izvajala centralna varnostna politika in ves nadzor. Vsi uporabniki, tudi z oddaljenih lokacij, bodo iz notranjega omrežja v Internet izstopali na osrednji lokaciji.
Brezprekinitveno poslovanje dveh lokacij
V: Kako lahko zagotovimo varno in brezprekinitveno poslovanje ob tem, da imamo glavni podatkovni center v Ljubljani in nadomestni podatkovni center v Mariboru?
O: To je možno zagotoviti z dvema požarnima pregradama, povezanima v dislocirano gručo z visoko razpoložljivostjo (High Availability Cluster). S primernimi podatkovnimi povezavami taki dve požarni pregradi delujeta vzporedno kot ena sama in si lahko tudi porazdeljujeta prometna bremena za boljšo izkoriščenost linij. Ob izpadu druga transparentno prevzame tudi funkcijo izpadle. Gručo obeh pregrad je možno konfigurirati tako, da bo katerikoli strežnik dosegljiv preko katerekoli pregrade.
Varovanje spletnega strežnika pred zlorabami
V: Naše poslovanje temelji na spletni aplikaciji, preko katere sprejemamo naročila naših strank. Kako naj preprečimo hekerjem vlomiti skozi strežnik ali aplikacijo, priti so naših podatkovnih baz ali kompromitirati podatke naših strank?
O: Najučinkovitejša zaščita spletnih strežnikov je WAF (Web Application Firewall). Namenska naprava prepoznava karakteristike poskusov ročnega ali programskega vlamljanja v strežnike. Poleg tega ima tudi osnovno obrambo proti DDoS napadom za onemogočanje storitve.
Podaljšani odzivni časi na aplikacijskem portalu
V: Uporabniki našega poslovnega spletnega portala se pritožujejo, da je odzivni čas včasih močno podaljšan. Negodujejo nad čakanjem med transakcijami in krivijo našo internetno povezavo, čeprav imamo dve povezavi in več aplikacijskih strežnikov za portalom, na katere v krogu dodeljujemo sočasne uporabnike.
O: Življenje vam lahko polepša naprava ADC (Application Delivery Controller). Težava je naverjetneje v tem, da se občasno pri operaterju zgodi poslabšanje prepustnosti, a tekoča povezava takrat ne more “preskočiti” na drugega operaterja, ki ima prazne kapacitete. Zato uporabnik trpi. Obenem, če dodeljujete zahtevke na strežnike po krožnem principu, lahko enega od strežnikov preobremenite in dokler traja preobremenitev, bo uporabniška izkušnja slaba. ADC na strežniški strani prerazporeja obremenitve strežnikov glede na trenutno razpoložljive kapacitete, zato uporabnik vedno pade na najbolj prost strežnik. Na zunanji strani pa promet razporeja po vseh razpoložljivih linijah in ga ob poslabšanju odzivnega časa na eni liniji avtomatsko preusmeri na najbolj odzivno linijo. Zato je uporabniška izkušnja vedno dobra.
Vprašanja o izdelkih Fortinet
Centralizirano upravljanje
V: Ali nam lahko zagotovite centralno upravljanje več požarnih pregrad na naših lokacijah in centralizirano poročanje o incidentih na vseh lokacijah?
O: Lahko. Požarne pregrade FortiGate se lahko povezujejo na centralni sistem upravljanja FortiManager. Enovito določeno varnostno politiko z njega preprosto aplicirate na poljubno število dislociranih požarnih pregrad. Na podoben način lahko več požarnih pregrad pošilja zapise o omrežnih dogodkih na centralni sistem poročanja FortiAnalyzer. Le-ta avtomatično generira privzeta vnaprej pripravljena poročila ali po meri pripravljena poročila in jih dostavlja naslovnikom ob rednih časovnih intervalih.
Kako pristopiti k Security Fabric
V: Ali je potrebno za Security Fabric že pred začetkom projekta paziti na kaj posebnega in investirati v primerno podlago zanj?
O: Ne, ni potrebno. Vse Fortinetove naprave so pripravljene za povezavo v Security Fabric. Če najprej postavite samo požarno pregrado Fortigate, jo boste lahko uporabljali le kot samostojno enoto. Ko boste namestili WiFi dostopovne točke FortiAP, se bodo povezale s kontrolerjem v FortiGate in varnostne politike na požarni pregradi bodo aplicirane tudi za WiFi odjemalce. Če naslednje leto namestite na delovne postaje agenta FortiClient in Enterprise Security Server za kreiranje varnostnih politik na odjemnih delovnih postajah, boste lahko takrat vse povezali skupaj v Security Fabric s požarno pregrado Fortigate. Če naslednje leto namestite še stikala FortiSwitch, se bodo le ta lahko povezala s FortiGate in vsak priključek na stikalu bo lahko postal podaljšana roka požarne pregrade. Če se boste kdaj kasneje odločili še za FortiMail, bo tudi poštni strežnik postal del enovitega varnostnega sistema, v katerem komponente komunicirajo med seboj. Na tak način lahko varnostno tkanino postopoma širite po delovni organizaciji.
Varnostno filtriranje e-pošte
V: Skozi strežnik e-pošte vsak dan dobivamo poleg smeti tudi phishing sporočila in sporočila s trojansko kodo. Ker imamo neosveščene uporabnike, kliknejo na tako sporočilo. Enkrat smo dobili že izsiljevalski kriptovirus. Kako se lahko najbolje zaščitimo proti temu?
O: Za take težave je najbolje vzpostaviti namenski varni poštni strežnik. FortiMail je namenska naprava, specializirana za ustavljanje vseh sumljivih e-sporočil in priponk. Možno ga je povezati tudi s peskovnikom (sandbox), ki pregleduje neprepoznane sumljive kode s heurističnimi pristopi umetne inteligence.
Čemu služi SD-WAN ?
V: Naše podjetje ima centralno lokacijo v Ljubljani, imamo pa še več poslovalnic po Sloveniji, ki uporabljajo osrednji informacijski sistem v Ljubljani. Zaradi nižjih komunikacijskih stroškov uporabljamo VPN povezave čez internet, ki nam jih nudi naš operater. Kadar ima operater težave, je naše poslovanje onemogočeno. Druga težava je varnostno kopiranje podatkov. Če z oddaljene lokacije poženemo varnostno kopiranje v Ljubljano, se naša povezava na tej lokaciji praktično ustavi. Ali mi SD-WAN lahko pri tem pomaga?
O: Seveda. SD-WAN je bil narejen praktično točno za to. Na svojih lokacijah si zagotovite navadne internetne priključke brez drugih storitev, vendar vzemite na vsaki lokaciji po dva priključka dveh različnih operaterjev. Na osrednji lokaciji postavite FortiGate primerne moči, da bo lahko agregiral promet vseh vaših lokacij. Maksimalno obremenitev vam lahko pomagamo izračunati na osnovi vaših podatkov. Na oddaljenih lokacijah boste najverjetneje potrebovali po enega manjših FortiGatov. Vsak FortiGate bo priključen na oba internetna operaterja v SD-WAN režimu. Prometu za vaš poslovni informacijski sistem bomo dodelili visoko prioriteto, internetnemu prometu srednjo in varnostnemu shranjevanju podatkov nizko prioriteto. Vsak Fortigate bo potem skrbel, da bo aplikacijski promet v osrednji informacijski sistem tekel brez motenj in po liniji tistega operaterja, ki bo imel v tistem trenutku bolj prepustno omrežje ali pa ga bo balansiral preko obeh operaterjev. Podobno bi vam lahko vzpostavili telefonski promet, če bi imeli svojo VoIP telefonsko centralo FortiVoice. Če enemu operaterju izpade omrežje, bo Fortigate ves promet preusmeril v celoti v omrežje drugega operaterja. Ko boste pognali varnostno shranjevanje podatkov, bo Fortigate upočasnil ta pretok do take mere, da bodo vsi ostali prometi potekali nemoteno. Najboljše pri vsem je, da vam o tem sploh ne bo treba nikoli več razmišljati, ker bo vse potrebno opravil FortiGate sam.
Je FortiAnalyzer nujen za analizo podatkov na pregradah Fortigate?
V: Zamenjati moramo požarno pregrado za močnejšo. Želimo si imeti vpogled v količino prometa, ki ga ustvarjajo naši uporabniki, da bi lahko zajezili prekomerno porabo internetne povezave. Razen tega bi radi videli statistike uporabe po aplikacijah in po uporabnikih za daljše obdobje za nazaj. Ali moramo za to kupiti FortiAnalyzer?
O: Če imate samo eno lokacijo, potem ne potrebujete nujno FortiAnalyzerja. Verjetno bo dovolj, da vzamete Fortigate, ki ima na koncu številke tipa cifro “1”. Modeli, kot npr. FG-61, FG-201, FG-601, za razliko od FG-60, FG-200, FG-600, vsebujejo (podvojene) SSD diske za dolgoročno hranjenje statističnih podatkov, prav tako pa programsko opremo za njihovo analiziranje in vizualiziranje. Velik del tega, kar ponuja Analyzer, je v modelih s številko “1” že vgrajeno. Analyzer pa bi potrebovali, će bi imeli več dislociranih lokacij in bi želeli centralno spremljati dogajanja v celotnem omrežju. Enako velja za FortiManager, ki bi ga v takem primeru verjetno vzeli skupaj z Analyzerjem, da bi lahko centralno obvladovali celotno omrežje z enotno politiko in se izognili človeškim napakam, ki se dogajajo, kadar množico naprav konfigurirate ročno vsako posebej.