Slide
Slide
Slide
Hitachi_AI_HCI
Hitachi_HCI
HCI
previous arrow
next arrow

Fortinet以Security Fabric 落實新一代網絡控制

fortinet

Fortinet高級副總裁John Maddison:Fortinet的新作業系統FortiOS 6.0為實行Intent-Based Networking保安打下基礎

上星期,運動品牌Under Armour流動應用MyFitnessPal遭入侵,一億五千萬名用戶個人資料外洩。事件令人關注到網絡保安,是否到了防不勝防地步。

網絡保安事故,往往在網絡過於複雜,病毒演變又極快,變更若靠人工操作保護,不單無法及時阻截,更容易出錯。

以基建管理,網絡管理可說最不能追上時代。不少網絡設備管理,仍停留在以CLI 指令部署的階段。「圖形化用戶介面」(Graphic User Interface, GUI)不是有許多瑕疵,就是功能不全,網絡管理還得熟習設備指令和偵錯工具,技術要求甚高。網絡管理仍然是非常人力密集的工作,技術人手短缺,如何自動化管理網絡的課題更見緊迫。

每次網絡設定更新,又可能影響其他設備,甚至產生故障和漏洞,黑客有可乘之機。為了標準化網絡管理,IT業提倡ITIL認證。不過,ITIL主要規範了IT服務管理架構,可最佳化流程和資源,提昇IT服務水準,但沒減低網絡的複雜性。

去年,網絡廠商開始推動「基於意圖網絡」(Intent-Based Networking,IBN)概念;未來網絡管理可自動化,類似無人駕駛一樣,原理是以「任務驅動」(Task Based)、網絡控制(Network Control),採用網絡數據分析(Data Analytics)。只要預設的任務釐定得宜,加上網絡控制完善,再結合人工智能和數據資訊;就可自動部署和維護網絡,提供一種完全智能化的營運網絡的方法。

打個比譬,網絡就有如公路,不同車輛上面行走,有各目的地。各種車輛的駕駛路線,佔用路面優先次序不同。理論上,只要設定好適當目的地,加上自動導航及人工智能,就可各自駛去目的地。Juniper就提出了「無人駕駛網絡」(Self-Driving Network)觀念,實際上是以旗下的Contrail SDN平台和AppFormix網絡營運系統,兩者結合實現的IBN。

思科就推出了一種可以自行適應、自行學習、自行動態配置的The Network.Intuitive的概念,實際上是基於思科交換機和ACI控制架構,加上收購AppDynamics和Perspica等多家網絡數據分析,整合而成IBN平台。

從思科到Juniper都各有本身IBN藍圖,「基於意圖」最大優點是可節省大量人手,避免人為出錯,並減少偵錯和診斷網絡時間。理論上,思科和Juniper最有條件建立類似的IBN,市場上亦初創;類似Apstra、Forward Networks、Veriflow Systems,推出各自的IBN方案。

上述IBN可否流行並廣獲接受,仍要一段日子才能分曉。不過,IBN觀念應用在網絡保安,則可加快企業受攻擊的反制能力,一旦遇入侵,即時自動化作保禦,並確保網絡的可用性。

保安廠商Fortinet的Security Fabric就是類似的IBN,以具伸延能力架構,保護愈來愈廣泛的攻擊面,但具自動化的網絡控制,則有望減少類似大規模資料外洩事件。

IBN結合保安

原本,防火牆只是保護網絡邊沿位置,但Fortinet一直為防火牆Fortigate作業系統FortiOS加進額外功能;從終端防毒(FortiClient)到Wi-Fi控制器,甚至是SD-WAN,以致用FortiSandbox加入APT防護,甚至通過FortiManager管理網絡上不同的Fortinet設備,例如電郵和交換機等。

去年,Fortinet收購了AccelOps,再合併成FortiSIEM,以提供安全監控和分析解決方案FortiCare 360服務,。

FortiSIEM分析用戶和設備行為,學習用戶和網絡正常行為;如日常登入地點、使用時間、以何種設備登入、通常登入的服務器,出現異常時馬上通知保安管理人員,例如說從不同地點同時登入、登入行為模式突然改變,多次登入行為等可疑行為。

Fortinet以FortiSIEM監控內部,外部則透過保安情報網絡FortiGuard,加上人工智能自動學習,辨認從未見過,或快速變種病毒,及早作出防禦。FortiGuard加上FortiSIEM,涵蓋了企業內外的保安和數據分析,為IBN提供充足的數據分析。

最近,Fortinet的Security Fabric架構再提供API,與多家第三方廠商方案整合,伸延自動化部署和控制網絡設定的「網絡控制」功能。FortiOS加入技術夥伴,自動化執行網絡防禦,例如SDN技術;類似NSX或ACI馬上隔離虛擬網絡,或指示FortiManager改變交換器和無線網絡,執行網絡封鎖,也可透過類似Blackbox,即時更改其他網絡設定,或更改用戶存取權等。

據Fortinet高級副總裁John Maddison表示,Fortinet的Security Fabric可應用IBN觀念以加強保安,企業以標籤建立基於業務性質運行的IBN。新版本FortiOS可為不同網絡設備、介面、物件加上標籤,網絡上一旦加入新物件,亦可自動加入適當標籤,以既定的步驟,根據事先擬定的條件,馬上作反應,作為「任務驅動」;例如隔離、封鎖,或者馬上清洗病毒,也可發出通知,改變設備的設定和流程,以達到即時保護的目標。

Security Fabric迅速獲客戶接受,去年客戶數目增長四成多,網絡保安世界,已成為以快打慢的遊戲。Fortinet以Security Fabric為基礎的技術,有望成為最快落實的IBN平台。

Leave a Reply

Your email address will not be published. Required fields are marked *