Manual FortiCWP
28 marzo, 2022
The Sandbox Alpha Temporada 2
2 abril, 2022
FortiSASE
Documento Descriptivo
(Versión 21.3.18)
Índice de contenidos
1. Introducción………………………………………………………………………………………………………………………..
1.1. ¿Qué es SASE?…………………………………………………………………………………………………………………..
1.2. Elementos clave de una solución SASE………………………………………………………………..
1.3. FortiSASE……………………………………………………………………………………………………………………………..
2. FortiSASE SIA (Secure Internet Access)……………………………………………………………………
2.1. Mecanismos de autenticación………………………………………………………………………………….
2.2. Perfiles de dispositivo………………………………………………………………………………………………….
2.3. Security Posture………………………………………………………………………………………………………………
2.4. Gestión de eventos y reporting………………………………………………………………………………..
2.5. Versiones disponibles…………………………………………………………………………………………………..
3. Licenciamiento…………………………………………………………………………………………………………………….
1. Introducción
Las redes empresariales dependen cada vez más de aplicaciones basadas en la nube. Para respaldar el rápido crecimiento de los usuarios que buscan acceder a estos servicios en la nube, ya sea desde la red central tradicional o desde ubicaciones remotas las organizaciones han tenido que expandir rápidamente la red empresarial convencional.
Esta fuerza de trabajo híbrida, que accede a recursos críticos desde una variedad de dispositivos y ubicaciones, ha redefinido la red y, como resultado, los equipos de infraestructura se han visto obligados a administrar y asegurar una superficie de ataque expandida con esta nueva realidad.
Las soluciones de SASE (Secure Access Service Edge) están diseñadas para converger servicios de seguridad en red y en la nube en una solución única e integrada para permitir un acceso flexible y seguro, en cualquier momento y en cualquier lugar entre todos los bordes de red y usuarios remotos.
Sin embargo, las soluciones SASE también deben poder funcionar como parte de la extensión la red. Las soluciones solo en la nube solo abordan parte del desafío lo que significa que SASE debe diseñarse y entregarse como parte de un marco de seguridad integrado y convergente.
¿Qué es SASE?
SASE está diseñado específicamente para admitir iniciativas empresariales centradas en la nube, especialmente para aquellos empleados que están trabajando cada vez más fuera de la red. Las soluciones SASE permiten la innovación digital asegurando la continuidad de negocio en entornos en constante evolución al tiempo que brinda seguridad constante en redes distribuidas y una fuerza laboral dispersa. El resultado es continuidad empresarial mejorada, acceso seguro y constante a aplicaciones en la nube, y experiencia de usuario mejorada.
Además de proporcionar conectividad segura y flexible, SASE también está diseñado para ayudar a las organizaciones a controlar las inversiones y la complejidad técnica resultante de la innovación digital. También ayuda a abordar las brechas en conectividad y seguridad creadas por muchas soluciones SD-WAN tradicionales al proporcionar seguridad probada e integrada para la WAN y los perímetros de la nube.
Una solución SASE adecuada también debería permitir a los responsables de infraestructura ampliar el valor de sus inversiones existentes en seguridad al proporcionar esas mismas soluciones de seguridad en la nube. Para lograr esto, se deben construir soluciones SASE en torno a un conjunto común de soluciones de seguridad y una arquitectura expansiva que se puede implementar en cada perímetro para extender las protecciones en los entornos tradicionales a los trabajadores remotos y para asegurar el thin edge de la red. Además, el control de acceso proporcionado por la nube también debe ser coherente e integrado dentro de una estrategia de acceso más amplia.
Debido a que los entornos en los que las personas trabajan abarcan toda la red, una solución basada en la nube por sí sola rara vez es suficiente.
SASE se describe generalmente en términos de servicios prestados en la nube. Pero para que SASE sea realmente eficaz, también debe ser compatible con aquellos entornos de red que dependen de la integración entre las soluciones basadas en la nube y la red física. Para conseguir un conjunto de funcionalidades y la aplicación de políticas consistentes de extremo a extremo, la conectividad en la nube SASE debe combinarse con controles de acceso a la red, controladores de red (LAN), puntos de acceso Wi-Fi y una variedad de herramientas de seguridad implementadas en los cada vez más cambiantes perímetros de la red.
Esto significa que, además de sus protecciones esenciales basadas en la nube, una solución SASE robusta debe interoperar con cosas como el acceso universal, la segmentación de la red y los controles de compliance. Solo una solución de seguridad basada en la nube no puede abordarlos sin enviar el tráfico local de la red física a la nube para su inspección.
Elementos clave de una solución SASE
Si bien la mayoría de las soluciones de red han podido evolucionar lo suficientemente rápido como para admitir los flujos de trabajo de usuarios remotos, oficinas y dispositivos de usuario, la mayoría de las herramientas de seguridad y las soluciones no se han mantenido a la par y no han podido ofrecer una seguridad coherente y garantizar una experiencia de usuario óptima para usuarios locales y remotos.
Por ejemplo, las soluciones de red privada virtual (VPN) sólo ofrecen un mínimo de protecciones, dejando a las organizaciones expuestas al riesgo de movimiento lateral cuando los usuarios y dispositivos comprometidos acceden al la red. Este problema es igualmente profundo cuando los usuarios potencialmente comprometidos intentan acceder directamente a aplicaciones basadas en la nube. Desafortunadamente las empresas enfrentan el desafío de tratar de proteger sus redes distribuidas utilizando una colección de herramientas distribuidas a menudo completamente aisladas de la red y entre sí. Esto resulta en una expansión de proveedores y soluciones agregando otra capa de complejidad de gestión y control.
Administrar y correlacionar estas soluciones distribuidas y desconectadas en equipos de seguridad ya sobrecargados hace que la aplicación de una política de seguridad uniforme para una fuerza laboral híbrida, que se ha dividido entre usuarios dentro y fuera de la red, sea casi imposible. Para que las organizaciones sigan siendo competitivas, al abordar el panorama de amenazas en evolución, todos los dispositivos de usuario deben estar seguros y administrados utilizando políticas de red y seguridad consistentes e integradas que puedan aplicarse a todos los usuarios de la red, dondequiera que se encuentren.
Conceptualmente, SASE fue diseñado para abordar los desafíos de seguridad causados por una falta de seguridad constante para dispositivos remotos fuera y dentro de la red. El desafío es que SASE está destinado a abordar las necesidades de control y seguridad de sistemas distribuidos y dinámicos ya sean locales o remotos. Sin embargo, muy pocos proveedores de SASE están cualificados para proporcionar una solución diseñada para proporcionar el nivel de seguridad e integración de WAN que las organizaciones realmente necesitan.
Intentar construir una estrategia de seguridad integral utilizando un proveedor exclusivo de SASE, por ejemplo, a menudo da como resultado una solución que se ha improvisado utilizando herramientas dispares de diferentes proveedores de seguridad y, lo que es peor, generalmente diferentes de los desplegados en el resto de la red. Este enfoque no solo es costoso, sino que también niega la intención central de SASE, que consiste en proporcionar seguridad constante en todas partes al tiempo que se simplifica la implementación y la administración.
Para evitar este desafío, una solución SASE debe funcionar como una extensión de la funcionalidad de seguridad WAN existente aunque sea ofrecida a través de la nube. Se hace obligatorio contar con soluciones de seguridad probadas y certificadas implementadas en el perímetro WAN, diseñadas para interoperar de forma nativa con el resto del marco de seguridad de una organización. De lo contrario, SASE sólo resuelve la mitad de los desafíos a los que se enfrenta la fuerza de trabajo híbrida actual, que permite el acceso a la vez que aísla a los usuarios y los servicios y evita la visibilidad y el control universales a través de la red.
FortiSASE
Conceptualmente, SASE es un intento de abordar los desafíos de seguridad creados por los proveedores de SD-WAN que pueden haber entregado una solución de red innovadora, pero no han podido proporcionar seguridad completa e integrada como parte de su oferta.
Desde Fortinet se ha afrontado este desafío de frente con una solución Secure SD-WAN totalmente integrada que proporciona un conjunto sólido de redes integradas y características y funciones de seguridad que ningún otro proveedor ha podido lograr. Todos estos son parte de la red impulsada por la seguridad y la estrategia de la plataforma Security Fabric que hemos brindado a los clientes durante años.
Fortinet admite una solución SASE totalmente integrada con la gama más amplia de soluciones de seguridad físicas y basadas en la nube del mercado. Comienza con estos elementos de seguridad esenciales:
- Una solución SD-WAN completamente funcional. Como corazón de la solución SASE, SD-WAN debe incluir elementos como la selección dinámica de ruta, capacidades de recuperación automática de red WAN y aplicación y una experiencia de usuario adecuada para las aplicaciones corporativas.
- Un cortafuegos de próxima generación (NGFW) (físico) o cortafuegos como servicio (FWaaS) (basado en la nube). SASE también necesita una pila completa de seguridad que abarque tanto escenarios físicos como basados en la nube. Por ejemplo, organizaciones con una estrategia enfocada al trabajador remoto requerirá una combinación de seguridad perimetral y segmentación interna para evitar amenazas de invitados o de dispositivos IoT, combinada con seguridad basada en la nube para acceder a los recursos en la nube. El hardware optimizado y la seguridad nativa de la nube pueden ofrecer alto rendimiento en escala, permitiendo la máxima flexibilidad y seguridad para la organización.
- Zero-Trust Network Access (ZTNA) se utiliza para identificar usuarios y dispositivos y autenticarlos en las aplicaciones. Porque ZTNA es más una estrategia que un producto, incluye varias tecnologías que trabajan juntas. La autenticación multifactor (MFA) identifica todos los usuarios. En el aspecto físico, ZTNA incluye control de acceso seguro a la red (NAC), aplicación de políticas de acceso e integración con segmentación de red dinámica para limitar el acceso a los recursos en red. Y en el lado de la nube, ZTNA admite cosas como microsegmentación con inspección de tráfico para comunicaciones seguras de este a oeste entre usuarios y seguridad permanente para dispositivos tanto dentro como fuera de la red. Al combinar servicios ZTNA físicos y basados en la nube, las organizaciones pueden garantizar un acceso seguro y la aplicación de la política, ya sea que los dispositivos y los usuarios se encuentren dentro o fuera de las instalaciones.
- Se utiliza una solución de Secure Web Gateway para proteger a los usuarios y dispositivos de las amenazas de seguridad reforzando la seguridad de Internet y políticas de cumplimiento y filtrado del tráfico de Internet malicioso. También puede hacer cumplir las políticas de uso aceptable para el acceso web, garantizar el cumplimiento de las normativas y evitar la fuga de datos.
- Un servicio CASB basado en la nube permite a las organizaciones tomar el control de sus aplicaciones SaaS, incluida la protección en el acceso a las aplicaciones y la gestión de los desafíos de Shadow IT. En combinación con soluciones DLP locales se consigue una protección integral frente a la fuga de información.
2. FortiSASE SIA (Secure Internet Access)
FortiSASE SIA es un servicio ofrecido desde la nube por Fortinet específicamente diseñado para proteger a los usuarios fuera de la red corporativa. Esta plataforma escalable basada en la nube está impulsada por FortiOS permitiendo ofrecer a los clientes FWaaS, IPS, DLP, SWG y sandboxing para usuarios remotos.
FortiSASE SIA ofrece protección actualizada en tiempo real para terminar el tráfico del cliente, escanear el tráfico en busca de amenazas conocidas y desconocidas y asegurar el cumplimiento de las políticas de seguridad corporativas para los usuarios trabajando desde cualquier lugar.
FortiSASE SIA simplifica los desafíos de administrar y proteger a los usuarios que se encuentran fuera de la oficina al proporcionar el mejor servicio de protección contra amenazas en la nube de su clase.
El agente FortiClient canaliza el tráfico de usuarios al centro de datos de FortiSASE SIA más cercano para la aplicación de la seguridad y la protección.
Prevención de exploits y malware
Protege contra todas las amenazas y variantes conocidas gracias a su Antivirus con actualizaciones de contenido automatizadas, lo último en motores de detección heurística y de malware, y una biblioteca de amenazas respaldada por FortiGuard Labs.
Nuevo lenguaje de reconocimiento de patrones de contenido patentado. El software de reconocimiento de código protege contra variantes desconocidas y garantiza hacer frente a graves amenazas de malware.
FortiSandbox Cloud proporciona protección contra ataques desconocidos mediante análisis dinámico y proporciona mitigación frente a amenazas de día cero. FortiSandbox Cloud puede tomar archivos sospechosos y ver qué hacen cuando se ejecutan. Si son maliciosos, FortiSandbox Cloud creará una nueva firma para que el cortafuegos pueda detener futuros ataques de inmediato.
Millones de usuarios de FortiClient y FortiSandbox en todo el mundo comparten información sobre malware conocido y desconocido con la plataforma de inteligencia de amenazas basada en la nube de FortiGuard.
FortiGuard comparte automáticamente la inteligencia con endpoints FortiClient para proteger contra amenazas emergentes. El módulo de Anti-Ransomware utiliza análisis de comportamiento para detectar comportamientos sospechosos de tipo ransomware. Si tal comportamiento se detecta, FortiClient puede detener el ransomware en seco, alertar al administrador y, opcionalmente, poner en cuarentena automáticamente el dispositivo final infectado para que se desconecte de la red y no puede infectar otros puntos finales.
Servicios de filtrado
Internet se ha convertido en una parte fundamental de cualquier negocio, sin embargo, el uso inadecuado de Internet puede llevar a menor productividad, uso inadecuado de los recursos de la empresa, acoso, responsabilidad legal y problemas de recursos humanos.
El servicio de filtrado web FortiGuard de Fortinet regula y proporciona información valiosa sobre todas las actividades web permitiendo a los clientes para cumplir con las nuevas regulaciones gubernamentales, educativas, el cumplimiento de políticas de recursos humanos y el control de un uso corporativo adecuado de los recursos empresariales.
La nube de FortiGuard proporciona actualización de contenido con más de 80 categorías de contenido ofreciendo uno de los filtros web más precisos de la industria.
Detección de riesgos
La protección contra la pérdida de datos (DLP) supervisa el tráfico de la red buscando información sensible que no debe salir de la red.
FortiSASE SIA analiza el formato y el contenido del archivo sobre el tráfico de red, aprovechando tanto los tipos de datos estándar como entradas personalizadas por el administrador, para identificar y detener fuga de información.
Análisis de tráfico cifrado
Con el 95% del tráfico de aplicaciones de Internet cifrado, los atacantes intentan aprovechar e intentar esquivar controles de seguridad haciendo uso de este tipo de tráfico para sus ataques. Inspección SSL / TLS es la capacidad de mirar dentro del tráfico cifrado para inspeccionar el contenido y detectar ataques que de otro modo serían invisibles. Los certificados de inspección profunda se distribuyen de forma sencilla a los puntos finales para proporcionar una gestión simplificada.
Control de aplicaciones
App Control de FortiGuard protege los activos administrados al controlar el uso de las aplicaciones en base a las políticas corporativas. Las firmas de detección identifican aplicaciones de toda naturaleza con un total de más de 4.000 aplicaciones identificadas.
Las políticas de seguridad permitirán monitorizar o denegar el tráfico ofreciendo una gran flexibilidad para definir diferentes perfiles de acceso a aplicaciones.
Monitoreo continuo de amenazas
El motor de IPS de FortiGuard ofrece actualizaciones automatizadas proporcionando las últimas defensas contra las amenazas basadas en la red. De esta forma se pueden obtener las últimas defensas contra amenazas furtivas a nivel de red, una biblioteca IPS completa con miles de firmas, políticas flexibles que permiten un control total de la detección de métodos de ataque y adaptarse a aplicaciones de seguridad complejas. Todo ello haciendo uso de una tecnología con un alto nivel de resistencia a técnicas de evasión probadas por NSS Labs.
Gestión de registros de eventos
FortiSASE proporciona registros y análisis en tiempo real que se puede utilizar para solucionar problemas de conectividad, investigar un incidente y auditar el cumplimiento. La solución ayuda a cumplir con las normativas locales, pudiendo seleccionar una región geográfica en la que almacenar los registros. Todos los registros pueden opcionalmente ser reenviados a un servicio de registro externo.
Mecanismos de autenticación
FortiSASE facilita la integración con los repositorios de autenticación del cliente a través de diferentes mecanismos permitiendo la definición de políticas de seguridad en base a usuarios o grupos de usuarios.
Dicha información puede extraerse de las siguientes fuentes de autenticación:
- LDAP: integración sencilla con servidores de Active Directory permitiendo el onboarding de los usuarios a través de invitaciones personalizadas asignadas a usuarios individuales o grupos de usuarios
- Radius: compatibilidad con servidores Radius de autenticación permitiendo la asignación de permisos a nivel de usuario o grupo de usuarios para las diferentes políticas definidas
- Single sign on (SSO): conexión con entornos de SSO con servidores de autenticación como Azure AD o Okta actuando como IdP y FortiSASE como proveedor de servicio (SP). Los permisos de pueden asignar de forma global para el IdP o para un determinado grupo de usuarios
- Local: creación de usuarios locales para ser empleadas como parte del proceso de autenticación y autorización para el acceso a recursos corporativos.
Perfiles de dispositivo
En el caso de que la solución vaya a ser desplegada empleando el agente de FortiSASE FortiSASE permite adaptar la configuración de dicho agente para ajustarse a las necesidades concretas de cada escenario.
De esta forma podrán definirse aspectos como:
- Conexión automática a FortiSASE sin la necesidad de interacción del usuario
- Selección de tráfico que no será enviada a FortiSASE en base a una aplicación local, FQDN o registro de nuestra base de datos ISDB
- Habilitar la inspección de Sandbox Cloud u On-Premise para identificar amenazas de día cero
- Protección en tiempo real frente a amenazas con el motor de NGAV disponible en el agente de FortiSASE
- Monitorización y control de vulnerabilidades existentes en las diferentes aplicaciones y versiones
Security Posture
Uno de los aspectos clave para la correcta aplicación de las políticas de seguridad es conocer el Security Posture de los diferentes dispositivos que están conectándose a nuestro entorno corporativo.
Para ello el agente de FortiSASE permite evaluar una serie de características del dispositivo y en base a ellas clasificar los mismos para la adecuada asignación de las políticas de seguridad que correspondan. En concreto FortiSASE permite evaluar los siguientes aspectos:
- Software de antivirus instalado
- Certificado instalado en base a los campos Subject CN e Issuer CN
- Pertenencia a un dominio
- Existencia de un determinado fichero
- Rango de direcciones IP
- Existencia de una clave de registro
- Procesos en ejecución
- Detecciones de Sandbox recientes
- Vulnerabilidades existentes
- Identidad del usuario
- Nivel de seguridad de Windows habilitada
Gestión de eventos y reporting
Como parte de la solución, FortiSASE SIA contempla una potente suite de monitorización y reporting de cara a obtener el nivel requerido de control sobre las actividades que se produzcan por los usuarios remotos.
Desde la perspectiva de la monitorización se pueden obtener detalladas estadísticas de los diferentes aspectos relativos tanto a seguridad como a eventos de sistema con un amplio nivel de detalle que facilita la operativa de la solución:
Versiones disponibles
La solución de FortiSASE ofrece dos modalidades diferentes que difieren tanto en su forma de despliegue como en las funcionalidades disponibles. A continuación se recogen dichas diferencias:
| FortiSASE SIA con agente | FortiSASE sin agente | |
| Licenciamiento | Basado en dispositivos | Basado en usuarios (3 dispositivo por usuario) |
| Tipo de despliegue | Agente | PAC File (Explicit Proxy) |
| Tipo de tráfico soportado | Cualquiera | HTTPS/HTTP |
| Antimalware (red) | ✔ | ✔ |
| Antimalware (endpoint) | ✔ | X |
| Sandbox (red) | ✔ | ✔ |
| Sandbox (endpoint) | ✔ | X |
| Web Filter | ✔ | ✔ |
| Control de Aplicaciones | ✔ | ✔ |
| IPS | ✔ | ✔ |
| File Filter | ✔ | ✔ |
| Inspección SSL | ✔ | ✔ |
| Security Posture (ZTNA Tags) | ✔ | ✔ |
3. Licenciamiento
El modelo de licenciamiento de la solución está vinculada al tipo de solución que se decida desplegar:
| Solución con Agente | |
| SKU | Description |
| FC1-10-EMS05-434-01-DD | FortiSASE SIA Agent (includes ZTNA Agent, EPP/APT and FortiSASE SIA Agent Subscriptions with EMS hosted by FortiCloud) and 24×7 FortiCare for 25 endpoints. |
| FC2-10-EMS05-434-01-DD | FortiSASE SIA Agent (includes ZTNA Agent, EPP/APT and FortiSASE SIA Agent Subscriptions with EMS hosted by FortiCloud) and 24×7 FortiCare for 500 endpoints. |
| FC3-10-EMS05-434-01-DD | FortiSASE SIA Agent (includes ZTNA Agent, EPP/APT and FortiSASE SIA Agent Subscriptions with EMS hosted by FortiCloud) and 24×7 FortiCare for 2000 endpoints. |
| FC4-10-EMS05-434-01-DD | FortiSASE SIA Agent (includes ZTNA Agent, EPP/APT and FortiSASE SIA Agent Subscriptions with EMS hosted by FortiCloud) and 24×7 FortiCare for 10,000 endpoints. |
| Solución sin Agente | |
| SKU | Description |
| FC1-10-EMS05-488-01-DD | FortiSASE User Subscription (includes agentless Secure Web Gateway plus 10Mbps per user) and 24×7 FortiCare for 25 Users. |
| FC2-10-EMS05-488-01-DD | FortiSASE User Subscription (includes agentless Secure Web Gateway plus 10Mbps per user) and 24×7 FortiCare for 500 Users. |
| FC3-10-EMS05-488-01-DD | FortiSASE User Subscription (includes agentless Secure Web Gateway plus 10Mbps per user) and 24×7 FortiCare for 2,000 Users. |
| FC4-10-EMS05-488-01-DD | FortiSASE User Subscription (includes agentless Secure Web Gateway plus 10Mbps per user) and 24×7 FortiCare for 10,000 Users. |
