Fortinetで構成する分散型SASEとは

概要

オンプレやクラウドなど、リソースの近い場所で既存資産をエッジとして利用し、アクセス元のユーザーが認証・認可のプロセスを経て、最適な経路でリソースへアクセスすることを目指したHCNETの造語

分散型SASEを構成する５つコア・エレメント

ゼロトラストを実現するフォーティネットのセキュリティファブリック製品とマネージドセキュリティサービス

①FortiGate - 統合セキュリティプラットフォーム

②FortiClient - ZTNA, ポスチャ―チェックと保護～概要

端末内の衛生管理や保護からセキュアリモートアクセスまでマルチな機能を実装したエンドポイント

• サイバー衛生(ハイジーン)管理

  脆弱性スキャン
  FortiGuard Web フィルタリング
  パッチ適用
  動的なグループ割り当て

• セキュアリモートアクセス

  ゼロトラストネットワークアクセス(ZTNA)
  シングルサインオン (SSO)
  VPN (IPSec & SSL)

• エンドポイント保護

  機械学習型アンチウイルス
  サンドボックス連携
  アンチエクスプロイト
  自動的な封じ込め

②FortiClient - ZTNA, デバイスポスチャ―チェックと保護

③ユーザーの利便性を加味した認証基盤の実現

リソースの分散や働き方の多様化でユーザーの一元管理と確実な本人認証はゼロトラスト初めの一歩

一貫性のある効果的なセキュリティコントロールと企業全体のデジタルIDのライフサイクル管理を提供する集中型システム

• ユーザーごとのアクセスと権利のコントロール
• アダプティブ認証、MFA、パスワードレス認証によるアイデンティティーの確保
• シングルサインオンとセルフサービスポータルによるユーザーエクスペリエンスの向上

③ユーザーの利便性を加味した認証基盤の実現～構成情報

④LANエッジ - SD-ブランチによる可視化とゼロトラスト対応の制御

FortiLinkにより配下のSWやAPを一元管理（ゼロトラスト対応）

アクセスレイヤーのホスト分離とセキュリティ検査でゼロトラスト対応

ホスト間通信を分離し、FortiGateとのみ通信することでLANエッジにも適切なセキュリティを提供

デバイスの自動検出と分類によるゼロトラスト対応

プロファイルや識別情報に応じて適切なNWを割り当て。不正端末は　隔離することも可能　

④LANエッジ - SD-ブランチでゼロトラスト対応も高いコストパフォーマンス

ゼロトラストのための安全な無線LAN環境を実現

無線LANコントローラー機能が内蔵

FortiGateに無線LANコントローラー機能が内蔵されアクセス制御やAPごとの端末接続・電波状況をマップ上で確認が可能

内部端末からの攻撃をブロック

IPS機能による防御や隔離により、アクセス制御のみの場合に比べ、より高い安全性を確保

ライセンス不要による高い経済性

無線LANコントローラー機能の使用にあたり、追加でライセンスを購入する必要がなく、高いコストパフォーマンス

⑤アクセスログの振る舞い検知

パターン１外部アクセスのNDR (FortiAnalyzer IoCライセンス)

シグネチャ―ベースの限界、ネットワーク上の挙動をチェック
×情報漏洩後にログを調べる　⇒ ◎ ログを調べ続け、情報漏洩が発生しないようにする。

⑤アクセスログの振る舞い検知 パターン２

内部トラフィックのNDR (FortiAnalyzer イベントハンドラー)

FortiAnalyzerにログを集め、イベントハンドラー＆自動ブロック
・SIEMは高価につき、コストを抑制することが可能

FortiAnalyzer画面サンプル

イベントハンドラーを自由にカスタマイズし、自動アクションを設定することが可能
※標準テンプレートもあり

フォーティネット ソリューション全体像

• FortiGate
• FortiAnalyzer
• FortiAuthenticator
• FortiToken
• FortiClient