Buzzword Hackers: Zašto vatrozid više ne smije biti jedina centralna točka sigurnosti

05.05.2021 - Dominik Hellenbart

U posljednje vrijeme često smo zatrpani s mnogih strana i izvora informacija izrazima kao što su SD-WAN, odnosno SD networking , što može stvoriti konfuziju i često oprečna razmišljanja o nadolazećem, kako bi Amerikanci rekli, „ next big thing“ u implementaciji sustava mreže sigurnosti. Da bismo u potpunosti shvatili koncept i ideju Security Driven koncepta implementacije mrežne sigurnost vratit ćemo se na početak evolucije rješenja iz domene računalne sigurnosti te ukratko objasniti ideju i koncept koji je bio prisutan od početka evolucije vatrozida.

Rani počeci

Sami vatrozid u početku svoje evolucije i razvoja pa sve do pojave NGFW (Next generation Firewalla) doba bio je zamišljen uređaj koji štiti perimetar naše mreže. Laički rečeno imali smo mrežu segmentiranu na dvije zone – WAN (Wide Area Network) i LAN (Local Area Network). Primarna svrha takvog koncepta bilo je blokiranje prijetnji s WAN zone na LAN zonu pomoću određenog seta ranije definiranih pravila koji su propuštali, odnosno branili promet između te dvije zone. Kasnijom evolucijom pojavio se i treći segment DMZ zona u koju se implementirala serverska infrastruktura poslovnih organizacija, to jest smještali se ključni servisi za njihovo poslovanje.

Zašto Security Driven Network

Kod takvih rješenja sami pristupni sloj mreže, počevši od mrežne infrastrukture do samih klijenata, nije bio direktno integriran u sigurnosno rješenje što je evolucijom mrežnih prijetnji nošenih digitalizacijom postao ozbiljan izazov. Dodatan trend koji je stvorio potrebu za integriranim mehanizmima sigurnosti u pristupni sloj mreže također je pokazatelj recentnih trendova porasta uporabe uređaja u poslovnim okruženjima kao što su razno razni periferni mrežni uređaji, naša prijenosna računala, tableti te nadalje sve prisutni IoT segment i njegova evolucija odnosno integracija u poslovne sustave. Također,  u posljednja pandemijska vremena uzrokovana COVID-19 također stavila su naglasak na BYOD (bring your own device) koncept, gdje sve više krajnji korisnici koriste vlastite uređaje za pristupanje mreži odnosno resursima poslovnih organizacija. Svi ti parametri doveli su do zaključka da sustavi mrežne sigurnosti gdje vatrozid kao centralna točka sigurnosti štiti perimetar mreže nisu više efikasni odgovoriti zahtjevima modernih prijetnji odnosno pružiti efikasnu zaštitu.

Fortinet Security Driven Network

Na sve gore navedene izazove Fortinet je, kao jedna od vodećih kompanija na području mrežne sigurnosti, odgovorio razvijanjem gore navedenog koncepta kojeg ćemo pokušati vam pobliže objasniti. Za početak, ako bismo aktivnu mrežnu infrastrukturu od jezgre sustava do pristupnog sloja pojednostavili na sastavne komponente, mogli bismo reći da ju čine tri vertikale:

1.) Vatrozid
2.) Mrežni preklopnici
3.) Bežični segment (bežične pristupne točke)

 Ako se prisjetimo objašnjenja evolucije sustava mrežne sigurnosti, naučili smo da se u ranijim počecima sigurnost zasnovala na prvoj vertikali – vatrozidu. Upravo je ovdje Fortinet napravio odmak od konvencionalnog dizajna i razvio jedinstveni sustav integrirane mrežne sigurnosti koji se sastoji od Fortinetovog vatrozida, preklopnika i bežične mrežne infrastrukture.

Na ovaj način sve tri vertikale postaju sastavni dio integrirane mrežne sigurnosti te se na taj način perimetar zašite na našoj mreži širi do samog njenog ruba odnosno samih pristupnih uređaja.

Fortinet

Nova paradigma sigurnosti: Security Driven Networking (SDN) u srazu sa cyber kriminalom i radom od doma

Na ovaj način sve tri vertikale postaju sastavni dio integrirane mrežne sigurnosti te se perimetar zaštite na našoj mreži širi do samog njenog ruba odnosno samih pristupnih uređaja.

Zašto unificirana infrastruktura

Naravno, uz mogućnosti integracije sigurnosnih mehanizama u pristupni sloj mrežne infrastrukture, unificirana Fortinetova infrastruktura pruža nam također niz ostalih benefita koje ću probati pobliže objasniti. U tradicionalnim okruženjima, koja su prisutna u većini implementacijskih modela s kojima smo se susreli, najčešće se radi o scenariju gdje je vatrozid od proizvođača A, dok preklopničku infrastrukturu čine uređaji proizvođača B, a bežični segment uređaji proizvođača C. Takvi sustavi obično iziskuju puno ekspertize iz administracije uređaja različitih proizvođača, necentraliziranih nadzor, često i nemogućnost integracije naprednih sigurnosnih mehanizama između njih. Kompleksnost takvog ekosustava različitosti podiže kompleksnost održavanja, a samim time i cijenu. Fortinet je implementacijom svoje filozofije uspješno doskočio navedenim i sveprisutnim problemima. Unificiranjem čitave mrežne infrastrukture bazirane na Fortinetovim uređajima stvorili smo jedinstvenu platformu, odnosno mrežnu infrastrukturu koja ima funkcionalan nadzor što dovodi do brzog i efikasnog otklanjanja prijetnji gdje su nam na raspolaganju mogućnosti implementacije naprednih funkcija u sve tri vertikale.

Teorija da, ali praksa?

Da bismo teoretska izlaganja potvrdili, probat ću vam objasniti kako izgleda implementacija takvog rješenja u praksi. U većini slučajeva ovu mrežnu topologiju u suštini možemo primijeniti na sve modele implementacije. Kasnije se priča razlikuje u kompleksnosti povezivanja brojevima preklopnika odnosno bežičnim pristupnim točkama.

Bežične pristupne točke

Centralna točka ovakvog dizajna je vatrozid sljedeće generacije Fortigate. On je osnova cijelog sustava te su na njemu definirane sve mrežne postavke okruženja te definirana prava pristupa na pojedine resurse. U Fortinetovom pristupu implementaciji unificirane infrastrukture isti taj Fortigate postaje i kontroler odnosno hipervizor za ostatak mrežne infrastrukture. Fortilink protokolom spajamo na dedicirana sučelja preklopnike te i oni postaju dio integriranog sigurnosnog rješenja te svu konfiguraciju preklopnika odrađujemo preko centralnog web sučelja vatrozida.

fortilink.png

Nakon integracije preklopnika i vatrozida na isti način implementiramo i bežične pristupne točke te i one postaju na taj način dio integralnog sigurnosnog sustava baziranog na Fortinetovoj infrastrukturi.

fortilink2.png

Ovim koracima prikazan je samo bazičan koncept integracije, odnosno prikazan je način na koji Fortinet promišlja kada se radi o implementaciji unificirane mrežne infrastrukture koja je temelj za kasniju konfiguraciju svih naprednih mehanizama sigurnosti i zaštite koje nam stoje na raspolaganju.

Što smo naučili?

U ovom smo dijelu objasnili manjkavosti multi-vendor implementacijskih modela mrežne infrastrukture, istaknuli prednosti unificirane Fortinet mrežne sigurnosti i koncept Fortinet Security Driven Networkinga. U nastavku širimo priču na SD-WAN, VPN funkcionalnosti i implementaciju sigurnosti u toj domeni, tako da… Stay tuned!