fortinet. Дмитрий Рагушин. "Проблемы защиты...
TRANSCRIPT
1
РАГУШИН ДМИТРИЙMAJOR ACCOUNT MANAGERFORTINET
ТЕЛЕФОН: +7 (916) 109-96-71
EMAIL: [email protected]
ПРОБЛЕМЫ ЗАЩИТЫ КОРПОРАТИВНОГО ПЕРИМЕТРА
16 МАРТА 2017УФА
#CODEIB
2
Кратко о Fortinet
#1по инсталлированной базе в мире
$1.27BОборот
ОСНОВАНО
2000 БОЛЬШЕ
2.5 миллионовустройств по миру
26%РОСТ
СОТРУДНИКОВ4,600+
270,000+ЗАКАЗЧИКОВ
ЛИДИРУЮЩИЕ ТЕХНОЛОГИИ
298 патентов 247 ожидается ещё
100+ОФИСОВ
НА БИРЖЕ С2009
Активноинвестирует в
Россию
3
Fortinet: История инноваций
Began Global Sales
FortiGate &FortiOS 1.0
1st FortiASICContent
Processor
FortiManager
FortiOS 2.0
Named WW UTM
Leader
FG-5000(ATCA)
FortiOS 3.0
1st FortiASICNetwork
Processor
FortiOS 4.0
IPO
1st FortiASICSystem
On A Chip
FortiAP FortiOS 5.0& SoC2
1M UnitsShipped
1st 40GbE Port Security
Appliance
FortiASIC NP6
FortiSandbox
New HQ
1Tbps Firewall
1st 100GbE Port Security
Appliance
Fortinet Founded
2000 2002 2003 2004 2005 2009 2010 2012 2013 2014
2.0
4.05.0
3.0
SoC
CP
NP6NP
2015
InternalNetworkFirewall(INFW)
2M UnitsShipped
AcquiredMeru
Networks
2016
A SecurityFabric
AcquiredAccelOps
FortiASIC CP9& SOC3
4
Сертификация ФСТЭК
• FG-40C• FG-60D • FG-80C• FG-100D• FG-300C• FG-600C• FG-1000C• FG-3040B• FG-3950B• FG-5001
Действительна до 30 июня 2017г.ü 3 класс межсетевого
экранированияü 4 уровень контроля НДВ
5
Сертификация ФСТЭК – новые требования
• FG-30E• FG-60E • FG-100D• FG-300D• FG-500D• FG-600D• FG-1500D• FG-3000D• FG-5001D• FG-VM
Будет получена до конца марта 2017 года:ü Есть положительное решение от
ФСТЭКü 4 класс защиты тип «А» и «Б»
6
IDC – количество устройств безопасности #1
7
NSS Labs 2016
Наивысший рейтинг NGFW:ü Security Effectiveness 99.6%ü Exploit catch rate 99.8% ü Защита от каждого элемента Kill Chain
8
Безопасный доступ
Сетевая безопасность Безопасность приложений
Анализ угроз в действии
Безопасность
Клиенты Облачная безопасность
Fortinet “Фабрика Безопасности”Фабрика безопасности защищает от атак на всех участках
Пользователи Данные
IoT Приложения
Масштабируемость Осведомлённость
Эко система
9
Сетевая безопасность для всех сегментов
Устройства Сегмент доступа Сеть Облако
DistributedEnterprise
Edge SegmentationBranch
Data CenterNorth-South Carrier Private Cloud IaaS/SaaSWLAN / LAN
Rugged
Embedded System on a Chips Content Processor ASIC Packet Processor ASIC Hardware Dependent
Device>1G
Appliance>5G
Appliance>30G
Appliance>300G
Chassis>Terabit
Virtual MachineSDN/NFV
Virtual MachineOn Demand
Client
Endpoint
Единая панель управления
Единый источник обновлений безопасности
Единая операционная система
10
Портфолио продуктов по безопасности
ENTERPRISE FIREWALL
CLOUD SECURITY
ADVANCED THREATPROTECTION
APPLICATIONSECURITY
SECUREACCESS
FortiGate- Next-Generation FW- Data Center FW- Internal Segmentation FW- Distributed Enterprise FWFortiWiFiFortiManagerFortiAnalyzerFortiSIEM
ForitGate VM (Virtual FW)FortiGate VMX (SDN Virtual FW)FortiGate VM for Public Cloud- AWS- Microsoft Azure- OpenStack
FortiSandboxFortiMailFortiWebFortiClientFortiCloud Sandboxing
FortiMailFortiWebFortiADCFortiDDoS
FortiAPFortiWiFiFortiCloud AP ManagementFortiSwitchFortiAuthenticatorFortiToken
Тенденции рынка
12
Изменение требований к защите периметра
85% К 2019 году 85% новых внедрений песочниц будут интегрированы с NGFW
$12B Прогноз IDC по рынку сетевой безопасности на 2017 год, рост 9%
50% Количество пользователей NGFW возрастет с 50% до 90% к 2019 (Gartner Enterprise Firewall MQ 2016)
2017
Рынок идет вслед за угрозами
StatefulFirewall NGFW + Cloud
Sand-Box+SSL
Inspection
13
Обнаружение неизвестных угроз становится приоритетом
Code Continuum Known Good Probably Good Might be Good Completely
UnknownSomewhat Suspicious
Very Suspicious Known Bad
Security Technologies Whitelists
Reputation:File, IP, App, Email App Signatures, Digitally singed files
Sandboxing Heuristics Reputation: File, IP, App, Email Generic Signatures
Blacklists Signatures
58 секундСредний срок жизни одного
экземпляра malware
Source:Verizon 2016 Data Breach Investigations Report, April 2016
14
Необходимость инспекции SSL
Трафик SSL Шифрование Malware
Более40% Более50%веб-браузинга идет в HTTPS (SSL) атак на крупные предприятия реализуются
с использованием шифрования
Source:Google Web Performance Labs
Source:Gartner
15
Три проблемы защиты периметра
§ Сложность в управлении§ Обнаружение неизвестных угроз§ Инспекция SSL
Что мы можем предложить?
17
Проблема #1 – сложность в управлении
Требования§ Предсказуемая
производительность§ Консолидация функционала§ Прозрачность
Fortinet NGFW § Высокопроизводительная
аппаратная архитектура§ Единая платформа§ Гибкая детализированная отчетность
18
FortiGate NGFW П
роиз
води
тель
ност
ь и
мас
шта
биру
емос
ть
FW 2 – 16 Gbps 36 – 52 Gbps 52 – 80 Gbps 90 – 150 Gbps
NGFW 0.2 to 2.5 Gbps 3.2 – 3.5 Gbps 5 – 7 Gbps 9 Gbps
Порты 10 – 20 1GbE 10 – 20 1GbE2 x 10GbE
4 x 10GbE16 – 32 1GbE
6 – 10 10GbE34 1GbE
FG-100D/200D
FG-800D
FG-900D
FG-300D/500D
FG-600D
FG-1000D/1200D
FG-2000E SeriesFG-1500D
FG-200E
FG-100E
19
Новый процессор CP9 для FortiGate 200E
① 16x GE RJ45 ② 4x GE SFP ③ Резервирование по питанию
20 GbpsFW Throughput
Рекордные характеристики по ТСО
6 GbpsIPS Throughput
1.8 GbpsNGFW Throughput
Производительность FortiGate 200D vs 200E
NGFW Threat Prevention SSL Inspection
2
1.8
1.6
1.4
1.2
1
0.8
0.6
0.4
0.2
0
Gbp
s(E
ntM
ix T
raffi
c)
20
Обновленный FortiGate 100E
7.4 GbpsFirewall throughput
2 MillionConcurrent Sessions
30,000New Sessions/Sec
600 1000 64
SMB150-200 сотрудников
Yes
500 MbpsIPS Throughput
360 MbpsNGFW Throughput
250 MbpsThreat Protection Throughput
① 14x GE RJ45 ② 2x GE RJ45 DMZ ③ 2x GE RJ45 HA ④ 2x GE RJ45 WAN ⑤ 2x GE RJ45/SFP ⑥ Резервирование по питанию
SOC3
21
22
Проблема #2 – обнаружение неизвестных угроз
Требования§ Повышение уровня
защищенности§ Обнаружение неизвестных
угроз§ Быстрое реагирование
Fortinet NGFW + Security Fabric § Предотвращение угроз от FortiGuard§ FortiSandbox локально или в облаке§ Мгновенное обновление всех
внедренных компонентов решения
23
FortiGuard Global Threat Intelligence
190 Терабайт семплов атак
18,000 Правил IPS
5,800 Сигнатур приложений
250M Индексированных веб-сайтов в 78 категориях
262 Обнаруженные угрозы нулевого дня
База данных FortiGuard
IntrusionPrevention
Service
AntivirusService
Anti-spamService
WebFilteringService
IP ReputationService
WebSecurityService
DatabaseSecurityService
ApplicationControlService
VulnerabilityManagement
Service
MobileSecurity
FortiSandboxCloud
24
Основные функции FortiSandbox
Call Back Detection
Full Virtual Sandbox
Code Emulation
Cloud File Query
AV Prefilter
§ Эмуляция предполагаемой активности§ Не зависит от ОС и не обнаруживается malware
§ «Предварительная очистка» антивирусным движком
§ Полноценный запуск файла в виртуальной среде
§ Облачная проверка репутации файла
§ Обнаружение попыток установления соединений с C&C
Обмен результатами § Распространение обновлений§ Пополнение глобальной базы
25
Результаты независимых тестов NSS Labs
26
Проблема #3 – инспекция SSL
Требования§ Гарантированная
производительность§ Позитивные результаты
независимых тестов
Fortinet NGFW § Производительность инспекции SSL
измеряется с включенной IPS § В 2017 году выйдет NSS Labs
SSL тест (и мы его ждем))
27
Новый процессор CP9: оптимизирован под SSL
CP8 CP9 Intel Xeon
VPN Performance
C9 Xeon
Power Consumption
В 15 раз быстрее, чем Intel
28
Реальные цифры во всей документации
Параметр Fortinet Вендор А Вендор Б
FirewallP
(1518/512 /64B UDP)
▬ P(1518/512/64B
UDP)
FW + App Control
PHTTP 64K
PHTTP 64K
▬
SSL Inspection(FW+IPS)
PTLS 1.2, AES-
SHA, HTTP 100K
▬ ▬
NGFW (FW + App Control +
IPS)P
Enterprise Mix▬ P
Unknown (private mix)
Threat Prevention (FW +
App Control + IPS + AV)
PEnterprise Mix
PUnknown
(private mix)
▬
§ Единственный вендор, публикующий цифры по инспекции SSL
§ Измеряется на AES256-SHA и TLS 1.2
§ С включенной IPS
29
üРешения можно скачать в виде виртуальных машин üВремя получения виртуальной машины на тест 1-2 дняüДоступно любое оборудование из нашего демо пулаüДокументация docs.fortinet.comüВидео документация по настройке video.fortinet.comüНаш контакт [email protected]
Ваши вопросы?
30
СПАСИБО ЗА ВНИМАНИЕ!