FortiProxy: Secure Web Gateway

Información general

Proteja y optimice

A medida que los ataques se vuelven más versátiles, las organizaciones necesitan un enfoque integrado para protegerse del tráfico web, los sitios web maliciosos y nuevas amenazas aun no conocidas.

FortiProxy, el Secure Web Gateway de Fortinet, aborda estos problemas con un solo producto unificado para proteger contra ataques y ofrecer una experiencia web óptima.

FortiProxy en el Security Fabric

Con una superficie de ataque tan extensa como la que enfrentan nuestros clientes, la aproximación de Fortinet a una protección fiable, coordinada y eficiente necesita la colaboración entre las distintas soluciones de seguridad e infraestructura sin aumentar la complejidad de su administración y visibilidad. El concepto de Security Fabric enfrenta esta necesidad integrando tanto dispositivos Fortinet como de terceros para que cooperen y ofrezcan un control global de manera óptima.

FortiProxy cuenta con diversos conectores nativos, integración vía API y automatismos que nos permiten una respuesta coordinada y automática ante incidentes de seguridad.

Como Secure Web Gateway, FortiProxy tiene como objetivos principales protegernos de las amenazas de internet y proveer de una experiencia óptima para:

• Todo tipo de usuarios, incluyendo invitados, personal externo
• Todo tipo de dispositivos, IoT, BYOD,
• Todo tipo de aplicaciones, cada vez más aplicativos críticos (correo, CRM, gestión financiera,…) se encuentran en internet y su consumo debe ser controlado y protegido.

Características clave de FortiProxy

El consumo de internet hoy en día es uno de los servicios más críticos y con más visibilidad dentro de cualquier organización. Por ello, necesitamos capacidades únicas, eficientes y de última generación para afrontar las amenazas y los requisitos cada vez más exigentes de nuestros clientes. FortiProxy nos ofrece:

• Alto rendimiento: Su hardware y software especializado tanto para la inspección de tráfico como para características avanzas de caching y optimización WAN, ofrecen una productividad única. El tráfico cifrado, cada vez más común en ataques y amenazas, no es un reto para FortiProxy. Esta característica, implícita en nuestras tecnologías y necesaria para una protección eficiente, tiene un impacto muy reducido en los recursos de nuestro dispositivo.
• Escalabilidad: Su capacidad de clústering permite ajustar tanto el número usuarios como de dispositivos de manera versátil, incrementando o reduciendo a demanda tanto licencias como dispositivos.
• Licenciamiento a medida: El cálculo basado en número de usuarios reduce drásticamente los costes de la solución, multiplicando incluso por 5 las sesiones admitidas por otras soluciones del mercado. Esta granularidad nos permite ajustar el coste sólo por lo que consumimos.
• Protección avanzada: Un único bundle completo ofrece todas las capas necesarias para la seguridad de nuestros usuarios, dispositivos y aplicaciones. Con él, no sólo obtendremos antivirus, web filtering dinámico, control de aplicaciones, antibotnet… Sino también defensa de última generación con mecanismos como antimalware basado en IA, FortiSandbox, outbreak prevention, video filtering e incluso content disarm and reconstruction.
• Visibilidad y monitorización: Su integración nativa con FortiView, FortiCloud, FortiAnalyzer, Syslog y plataformas de SIEM, nos ofrecen la correlación de eventos, cuadros de mando y monitores necesarios para extraer información útil sobre nuestra plataforma, eliminando falsos positivos y ofreciendo un diagnóstico claro sobre el estado de seguridad y servicio.

Flexibilidad: Distintos modelos on-prem, máquinas virtuales y Marketplace ofrecen capacidades únicas adaptadas a cada necesidad. Sumado a esto, Fortiproxy soporta, despliegue en línea, explícito (con capacidad multi-PAC) y con mecanismos transparentes para la infraestructura y usuarios como WCCP, VPN o ZTNA sin necesidad de costes añadidos.

• Consistencia: Nuestros clientes deben obtener la misma experiencia de internet independientemente de su dispositivo o localización. La compatibilidad de FortiProxy ofrece la capacidad de establecer una postura coherente de seguridad a lo largo de toda nuestra infraestructura de una manera sencilla.
• Desarrollo y soporte: FortiProxy ha sido reconocida por terceros como la solución más innovadora dentro de los Security web gateways del mercado. Cada nueva versión evoluciona con funcionalidades y requerimientos de nuestros clientes y a su vez con nuevas patentes de Fortinet, triplicando en número al siguiente fabricante de seguridad.

Un único bundle de Seguridad

Desde el punto de vista de la seguridad sabemos que uno de los vectores principales de amenazas es Internet. Además, no sólo debemos estar protegidos para los ataques actuales, sino a los nuevos desarrollos y malware de última generación. Por ello, nuestra solución no sólo realizará un análisis estático, sino que también cuenta con análisis de comportamiento e inteligencia artificial en varias de sus capas de protección. Con nuestro bundle obtendremos lo siguiente:

• Antivirus: Como han demostrado análisis de terceros, la extensa base de datos de antivirus con la que contamos detecta y desactiva las amenazas conocidas y sus variantes de manera eficaz sin falsos positivos/negativos. Esto también se ha contrastado para malware o simplemente código potencialmente malicioso.
• Outbreak Prevention: En su línea de colaboración, Fortinet coopera con otros fabricantes del mercado y comparte inteligencia con ellos. Gracias a esta característica no sólo contaremos con la BBDD de antivirus/antimalware de FortiGuard, sino que la extenderemos con las de otras firmas de otras tecnologías.
• FortiProxy Cloud Sandbox: Sin necesidad de licencias o dispositivos adicionales, Fortinet pone a nuestra disposición el análisis de comportamiento mediante Sandboxing incluido en el bundle. Cualquier código o URL, puede ser remitido a esta plataforma para que nos de un veredicto sobre su nivel de amenaza basándose en las acciones que realiza, p.ej. cifrar documentos, escribir en memoria, instalar un servicio… De manera que si se trata de un ataque de zero day o un nuevo código seremos capaces de detectarlo y desactivarlo.
• Content Disarm & Reconstruct: El Código no necesariamente se encuentra dentro de un fichero, sino que puede estar embebido dentro de documentos de office o pdf dificultando su detección y poniendo en compromiso a nuestros usuarios. Activando esta característica, podemos guardar una copia íntegra de un fichero, desarmar este contenido potencialmente malicioso y entregar una copia higienizada al cliente.
• Botnet IP and Domains: La inteligencia de FortiGuard está monitorizando de manera activa tanto el tráfico de internet como los nuevos dominios registrados. Esta tecnología y el equipo humano detrás de ella nos permite detectar nuevas amenazas casi en tiempo real, basadas en modelos matemáticos de IA y comportamiento.
• IPS: La protección de vulnerabilidades tiene mucha más relevancia en el consumo de internet. Nuestros intérpretes serán los navegadores y no siempre es fácil parchearlos, tanto por su distribución como por la propia homologación de software para versiones concretas. FortiProxy es capaz de reconocer técnicas maliciosas contra multitud de aplicativos, incluidos los navegadores, que hacen uso de internet paliando este problema de seguridad y administración.
• Web Filtering: Se trata del servicio clave de cualquier secure web Gateway, la categorización dinámica de sitios web debe ser granular y precisa, por ello, además de la extensa base de datos que ofrece FortiGuard, hemos incorporado inteligencia artificial para los sitios más comprometidos como dominios recién observados/registrados ofreciendo, en tiempo real, la categoría a la que pertenecen. De este modo, podremos establecer una línea de seguridad y consumo responsable de recursos de internet sin falsos positivos y sin poner en riesgo a nuestros clientes.
• Video Filtering: El consumo de contenidos multimedia está cada vez más extendido entre nuestros usuarios, por ello, para mantener una postura coherente, no sólo deberemos categorizar el sitio web, sino también qué consumo se hace de él. De este modo, videos educativos dentro de un mismo sitio web que contiene otras categorías no permitidas (a nivel de webfilter) pueden permitirse bloqueando el acceso al resto.
• URL certificate blacklist: Una práctica común entre los atacantes es cifrar y emitir certificados “válidos” para sus sitios maliciosos. FortiProxy es capaz de detectar y bloquear este tipo de amenazas gracias a la inteligencia que aporta FortiGuard.
• FortiCloud Logs: Si no disponemos de una herramienta de monitorización y logging, si queremos dedicar nuestro hardware a optimización wan/caching o si simplemente queremos ofrecer un servicio MSSP con cuadros de mando y características de reporting automático, se incluyen 7 días de retención de log sin licencias adicionales en el cloud.

Capacidades adicionales

Como secure web Gateway, no solo debemos proteger y cubrir las necesidades de nuestros clientes, sino que debemos optimizar su experiencia de consumo de Internet. Para ello FortiProxy cuenta con características avanzadas muy útiles para ofrecer el servicio:

• Política granular: No todos nuestros usuarios tienen las mismas necesidades, por ello, debemos establecer distintos perfiles para cada uno de ellos. Esta distinción puede estar basada en su autenticación, el dispositivo (y su postura de seguridad), el tipo de consulta que estén realizando, el navegador… O una combinación de estos. Esta capacidad nos ofrece un control total sobre el uso de Internet y, por ejemplo, podríamos manipular las cabeceras para que, independientemente de la geografía del cliente o de nuestro SWG, le ofrezca su contenido en su idioma preferido.

• Content Analysis dentro del propio disposivo: Sin complejidad añadida, sólo extendiendo la licencia, podremos utilizar la inteligencia artificial de FortiProxy para la categorización de contenido multimedia dentro de un sitio web. Como ejemplo, en un centro educativo podremos encontrar búsquedas sobre conceptos como “guerra” que pueden contener cierto contenido explícito. Con el CAS, podremos reemplazar las imágenes comprometidas entregando el resto del sitio basándonos en el reconocimiento de imágenes dinámico sin tener que realizar modificaciones en nuestro dispositivo.

• Integración nativa con FortiIsolator: Ciertos clientes o dispositivos críticos, antes aislados, ahora requieren acceso a internet. Esto supone un grave problema de seguridad. La capacidad de aislar los navegadores de cualquier código, cubre esta necesidad, entregando al usuario sólo la renderización del sitio web e impactando muy levemente en su experiencia (descargas, streaming, formularios,… están disponibles con una protección adicional).

• Prevención de robo de credenciales: Sincronizado con nuestra base de datos de usuarios, FortiProxy puede detectar si estos hacen uso de sus credenciales corporativas en internet y si es el caso, bloquear esta conexión. De este modo cualquier sitio que intente suplantar, por ejemplo nuestra intranet, no podrá exfiltrar nuestros datos que podríamos usar también en nuestra VPN.

Zero Trust Network Access: Se trata de un método de control de acceso que identifica el dispositivo, usuario y los tags (como puede ser un antivirus activo o un certificado instalado) para el consumo de un recurso. Esta característica deberá ser transparente para nuestros clientes y segura para nuestra publicación. Otra de sus ventajas es la independencia de VPNs o software adicional ya que el cifrado se realiza como Access proxy.

Cacheo de contenidos

La capacidad de caching de un SWG es clave y por tanto, junto con wan optimization y DNS filtering, FortiProxy la ofrece con su licencia de Hardware/VM/Cloud sin necesidad de contratar el bundle de seguridad. La experiencia de los usuarios, sobre todo para recursos exigentes, como puede ser el streaming de video o intercambio de ficheros, se incrementa de manera sustancial cuando el caching entra en acción. Fortiproxy, como solución innovadora, además de todas las capacidades de cacheo por definición, ofrece características únicas:

• Cache collaboration: Todas las unidades de FortiProxy dentro de un clúster (hasta 32 dispositivos) comparten su cache, optimizando los recursos y capacidades.
• Cache preload: Si detectamos que en un momento concreto y de manera recurrente nuestros usuarios consumen un recurso, podemos precargarlo en caché (incluso recorriendo un sitio completo) para tenerlo en nuestros dispositivos incluso antes de que se solicite.
• Soporte “chunked requests”: Este tipo de tramas, generalmente muy usadas en video, son las que, por ejemplo, nos permiten saltar de un momento a otro de un clip. Esta misma experiencia, se obtiene desde el caché, optimizando la percepción de los usuarios.
• CDN: Muchas veces un mismo recurso tiene una URL/URI diferente para cada usuario, esto puede producirse por el uso de mirrors o de servidores distribuidos. FortiProxy se integra con estos CDNs independizando la petición del cliente e identificando, por ejemplo, un video, pudiendo cachearlo y entregarlo en local en la siguiente petición.

• RTMP Stream splitting, HTTP live streaming: Broadcast de eventos corporativos, formaciones grupales o incluso un partido de fútbol, pueden saturar nuestro acceso a internet si todos nuestros clientes lo consumen a la vez. Para ello, FortiProxy sólo realizará una conexión contra el recurso y lo entregará a cuantos clientes sea necesario desde el caché, dejando el resto de nuestro ancho de banda disponible.

Dispositivos, licencias y dimensionamiento

La versatilidad de FortiProxy también es una máxima en cuanto a su oferta que podemos distribuir en 3 bloques, on-prem, VM y cloud pública.

• On-Prem: Para un servicio con hardware dedicado y optimizado para el consumo de internet, con todas las capacidades de clústering y aceleración cumpliendo los standards más exigentes del CCN, FIPS y Common Criteria.

• VM: Versatilidad y escalabilidad basada en el número de usuarios. Hasta 32 nodos dentro de un mismo clúster (incluso geográficamente distribuido) con todas las capacidades de caching, seguridad y despliegue:

• Cloud Pública: Disponible en los principales Marketplace, independizamos el servicio de la infraestructura y escalamos en un modelo PAYG (pay as you grow) basado en el número de usuarios exacto.

Para optimizar los costes, el modelo simplificado de licenciamiento basado en usuarios es el siguiente:

1. Como vemos, con el propio Hardware/VM ya tenemos capacidades de optimización y protección, sin contratar ningún servicio adicional, sólo un precio fijo anual por el rendimiento del dispositivo (no aplica en cloud pública)
2. Unicamente basado en nuestro número de usuarios, pudiendo ajustar a la necesidad exacta sin aumento de costes (opcionales):

A. SWG Protection Bundle, todas las capacidades de protección y reporting, sin excepciones.

B. CAS Análisis de contenido multimedia basado en inteligencia artificial. El número de licencias (en caso de contratarlo) tiene que ser idéntico al de SWG

3. Soporte sólo en 24×7, el consumo de internet se trata de un servicio crítico en cualquier empresa y no contemplamos otro tipo de soporte.

Recursos Públicos

1. Datasheet: https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiProxy.pdf
2. Admin Guide: https://docs.fortinet.com/document/fortiproxy/7.0.0/administration-guide/93302/introduction
3. Guía de autenticación/autorización: http://docs.fortinet.com/document/fortiproxy/2.0.2/fortiproxy-authentication-guide/770002/overview
4. Landing Page: https://www.fortinet.com/products/secure-web-gateway/fortiproxy
5. Boletín en español: https://fortixpert.blogspot.com/search?q=fortiproxy
6. Frost radar SWG: https://www.fortinet.com/blog/business-and-technology/fortinet-named-a-top-sdwan-vendor-in-the-2021-frost-radar