本港入侵事故時有所聞,雖然不少機構都有網絡保安設備,但整合困難,缺乏人手導致不少事故無法及時處理。
新一代的保安概念是更加全方位,並且高度整合,並且自動化。企業利用數碼化,例如流動技術和雲服務,一方面增加業務靈活,亦增加了入侵風險,不少企業為了應付Shadow IT而甚為頭痛。
Fortinet公佈了最新作業系統升級,FortiOS 6.0加入了二百多項新功能,其中包括升級了對雲運算支援。FortiOS 6.0也可達到某程度的自動化,以更快對入侵或病毒爆發作出反應,保護的層面也更大,涵蓋了雲端、終端和虛擬機。
Fortinet策略方案經理徐思俊說,以往的防火牆只是防守邊沿位置,有所謂內聯網的概念,然後又有了監察內容防火牆,也就是一般稱為新一代防火牆。
加強SD-WAN性能
新一代防火牆興起,緣於大部分應用皆通過80埠,防火牆又一定開啟埠位,新一代防火牆必須要檢查內容,確定內容不帶有攻擊,甚至關閉某些Web應用。隨著IOT和雲運算,加上大量流動用戶,保安邊界變得模糊,Fortinet提出了第三代網絡保安架構,簡稱為「Security Fabric」,作更全方位防禦,並且與多家廠商建立合作,令防禦更自動化。
Fortinet是所謂UTM,也就是具備多功能保安設備,部分功能要訂閱,類似電郵和防毒,但部分類似是VPN,則屬於內建功能。
隨著雲服務普及,FortiOS加強SD-WAN功能,以便利用多條寬頻,接駁公有雲的上應用,或利用多條低價寬頻線,取代昂貴MPLS專線支援關鍵應用,用戶可選擇最有效率的寬頻線,隨時轉換至質素最佳的廣域寬頻線路。
Fortinet香港及澳門網絡安全顧問吳維穎說,SD-WAN也屬於內建功能,並不另行收費。不少企業都開始認識SD-WAN優點,雖然市場上兩家SD-WAN廠商,包括Viptela和VeloCloud,分別為思科和VM所收購,市場進一步整合,FortiOS 6.0亦再加強了SD-WAN支援,除了接駁公有雲的環境,確保企業和公有雲之間應用的連接質素,以防火牆提供SD-WAN也可結合保安,例如馬上進行加密及內容過濾。
Security Fabric自動化功能
Security Fabric可以多部內部Fortinet蒐集資訊並交由根部防火牆作分析和建立視覺化的網絡連接(Physical Topology)或邏輯網絡連接(Logical Topology)。FortiOS 6.0可減輕人手要求,其中是Security Fabric已有不少簡易建立的功能Collection;自動化某些日常操作,例如為定期評定網絡風險級數,為加強安全作出建議,例如停止沒有作用的協定,或者某些機器可移入DMZ,亦快速快速建立可用性環境,並持續監察。
FortiOS 6.0也進一步在Security Fabric加上Automation性能,可以根據某些事件驅動而採取行動。例如FortiAnalyzer發現某部終端可能已經遭入侵,可以選擇自動禁止該IP訪問。其他功能功能包括了向FortiExplorer流動APP發送通知,管理人員馬上從手機可知道入侵。FortiExplorer為Fortinet自行開發的流動APP,可從手機直接設定防火牆。
如果用戶使用了Fortinet交換機或者是AP,甚至是終端防毒,當FortiAnalyzer則用於收集和紀錄日誌檔(Log),錄到有入侵或者機器帶有病毒,可即時隔離有問題的機器,甚至設定隔離的時間。
徐思俊說,客戶利用了FortiSwitch、AP或終端防毒,Security Fabric可通過網絡內部的Fortinet網絡即時隔離。
去年,Fortinet亦推出了API,不同廠商通過Fabric-Ready Program,整合Security Fabric資訊,自動執行預定的動作;其中包括了VMWare的NSX和思科的ACI,也就是說如果探測到入侵,亦可通過SDN隔離有問題的虛擬機。雖然說,Fortinet與思科是競爭關係,Security Fabric與ACI仍有深度整合;Fortinet也支援Nuage Networks等SDN方案。
「愈來愈多用戶使用公共雲服務,FortiOS也加強了監察AWS和Azure上的資源,也可通過CASB監察多種SaaS的使用情況。」