security use cases - infosec.ch · 14 use case #1: inside-out iaas security wie forticlient für...
TRANSCRIPT
© Copyright Fortinet Inc. All rights reserved.
Security Use CasesFür Public Cloud Umgebungen
Gabriel Kälin, Systems Engineer, Fortinet
2
▪ Fortinet Kurzüberblick
▪ Digital Transformation
▪ Fortinet Security Fabric als Cloud Enabler
▪ Top Security Use Cases
Agenda: Security Use Cases für die Public Cloud
3
Fortinet Business KurzübersichtInvestition in Innovation
HeadquartersSunnyvale
5,500 Mitarbeiter
4M+ Shipments$1.8Mrd – 2017(billings)
360,000 KundenEines der größtenCybersecurity-Unternehmen
Channel First
536 Patente
4
Fortinet Lösungsübersicht
NetworkSecurity
Multi-Cloud Security
Endpoint Security
Email Security
Web Application Security
SecureUnified Access
Advanced Threat Protection
Management& Analytics
FortiGate
Enterprise Firewall
FortiGate
Cloud Firewall
Network Security
FortiClient
EPPFortiWeb
Web Application
Firewall
FortiMail
Secure Email
Gateway
FortiSandbox
Advanced Threat
Protection
FortiAnalyzerCentral Logging /Reporting
FortiManagerCentral Security Management
FortiSIEMSecurity Information &
Event Management
FortiGate
Virtual Firewall
Network Security
FortiAP
Wireless
Infrastructure
FortiSwitch
Switching
Infrastructure
Endpoint
IoTMulti
Cloud Applications
Web Unified
AccessEmail Threat
Protection
AdvancedManagement
Analytics
FortiCASB
IPS
SWG
SD-WAN
VPN
5
UMFASSEND
INTEGRIERT
AUTOMATISIERT
Appliance Virtual
MachineHosted Cloud Software
6
▪ Schnell» Neue Cloud-Dienste werden täglich ausprobiert und genutzt
» Es ist viel einfacher, eine Cloud-Anwendung bereitzustellen, als sie zu deaktivieren
▪ Unabhängig» Die Erstellung neuer Dienste erfolgt nicht über eine zentrale IT-
Abteilung
» Jede Abteilung in der Organisation kann einen neuen Cloud-Service anfordern
▪ Vielfältig» Mitarbeiter nutzen verschiedene Cloud-Dienste von verschiedenen
Anbietern
» Verschiedene Cloud-Dienste bieten unterschiedliche Sicherheitsstufen
Digital Transformation: Cloud-Umstieg in Unternehmen
7
RealitätDELIVERY MODEL DEPLOYMENT MODEL
YOURSELF
SERVICE PROVIDERS
SaaS
PaaS IaaS
Private
Public Community
8
RisikenDELIVERY MODEL DEPLOYMENT MODEL
YOURSELF
SERVICE PROVIDERS
SaaS
PaaS IaaS
Private
Public Community
Data
Breaches
Interface und
API Hacking
Malicious
Insiders
DoS und DDoS
Attacken
APTs
9
Fortinet Security Fabric für die CloudDELIVERY MODEL DEPLOYMENT MODEL
YOURSELF
SERVICE PROVIDERS
UMFASSENDER SCHUTZ NATIVE INTEGRATION
VERWALTUNG & AUTOMATION
SaaS
PaaS IaaS
Private
Public Community
11
Ziel: Security als Cloud Enabler
PRODUKTIVITÄT
CLOUD SECURITY
12
PRODUKTIVITÄT
CLOUD SECURITY
Ziel: Security als Cloud Enabler
CLOUD
SECURITY
AUTOMATION
▪ Templates
▪ Automatisierung überall
▪ Prozesse
▪ Richtlinien
▪ Kontrollen
▪ On-demand
▪ allgegenwärtig
13
Inside-Out Security Advanced App
Protection
Cloud Services Hub
Top Uses Cases
IaaS and SaaS Security Management Remote Access VPN
Public Cloud Based Security Management
Public Cloud Based Security Management
FortiGate-VM
FortiGate-VM
Cloud Remote Access
Points
Internet
VPC1 VPC2
V
M
Public Cloud Based
Infrastructure
Public Cloud Management API
FortiCASB
FortiClient
FortiGate
-VMV
M
V
M
VM
VM
VM
Internet
Cloud
Services Hub
Transit VPC
Web based and Mail
Applications
Sandbox Web & Mail Security
NGFW
Public Cloud Based
Infrastructure
V
M
V
MVM
VM
VPC2
V
M
V
M
Internet
Cloud Services
Hub
Transit VPC
Public Cloud Based
Infrastructure
VPC1
V
MVM
VM
VM
Public Cloud Management API
FortiCASB
Cloud
Network 1
Cloud
Network 2
V
M
V
M
V
MVM
VM
VM
14
Use Case #1: Inside-Out IaaS Security
WIE
▪ FortiClient für Sicherheit und Integrität der Cloud
Hosts
▪ FortiGate VM auf der Netzwerkebene (VPC/vNET)
für sichere Konnektivität mit Layer 7 Inspektion
▪ FortiCASB zur Überprüfung der Konfiguration und
Einhaltung von Richtlinien
WAS
Implementieren einer Sicherheitsrichtlinie zum
Absichern von IaaS Deployments auf Workload-,
Netzwerk- und API-Ebene
WARUM
Es sind eure Daten. Der IaaS Provider schützt nur
„seine“ Infrastruktur.
Internet
VPC1 VPC2
Public Cloud Based
Infrastructure
Public Cloud Management API
FortiCASB
FortiClient
FortiGate-VM
VM VM VM
15
Use Case #2: Advanced Application Protection
WIE
▪ FortiGate NGFW in Verbindung mit FortiWeb und
FortiMail
▪ FortiSandbox zur vertieften Analyse von
verdächtigen Dateien und E-Mails
WAS
Application Security in der Cloud, um Vorschriften
einzuhalten und für das Patchen von Applikationen im
laufenden Betrieb
WARUM
Applikationen fokussieren auch in der Cloud zuerst
auf die Businessfunktion, nicht auf Sicherheit
Internet
Cloud Services Hub
Transit VPC
Web based and Mail
Applications
Sandbox Web and Mail Security
NGFW
Public Cloud Based Infrastructure
VM VM
16
Use Case #3: Cloud Services Hub
WIE
▪ Sicherheitsfunktionen in zentralem virtuellem
Netzwerk, über welches alle Standorte, Abteilungen
und Cloud Services verbunden werden
▪ Security Services skalieren nach Bedarf (Auto-
Scaling)
WAS
Unternehmen nutzen die Flexibilität, Verfügbarkeit
und Skalierbarkeit der Cloud und zentralisieren
Security-Services in einem Shared-Services-Hub
WARUM
Zentrale Sicherheit für dezentrale App-Entwicklung
und Infrastruktur
Internet
Cloud Services Hub
Transit VPC
Public Cloud Based
Infrastructure
VPC1
VM
VPC2
VM VM
17
Hub virtual network10.20.0.0/16
On-premises network
Gateway
NSG
Management subnet10.21.1.0/24
Workloads subnet10.21.2.0/24
dev vnet10.21.0.0/16
public subnet10.19.1.0/24
DMZ subnet10.19.2.0/24
Availability set
VM
FortiGate B
.5 .5
VM
FortiGate A
.4 .4
external load
balancer
DMZ load
balancer
segmentation subnet10.20.0.0/24
VM
FortiGate B
.5
VM
FortiGate A
.4
Availability set
Internal
standard
load balancer
Jumphost
ubuntu
.10
.10
RT 3
Public IP
RT 2RT 1
dev Server
NSG
Jumpbox
Management subnet10.22.1.0/24
Workloads subnet10.22.2.0/24
Test vnet10.22.0.0/16
RT 4
Test server
NSG
Management subnet10.23.1.0/24
Workloads subnet10.23.2.0/24
Production vnet10.23.0.0/16
RT 4
prod Server
vnet peering
Jumphost
windows
vnet peering
vnet peering
vnet peering
RT 4
DMZ virtual network10.19.0.0/16
Internal gateway subnet10.20.1.0/24
RT 5
RT2 (DMZ-subnet):0.0.0.0/0 -> 10.19.2.10
RT 3 (segmentation):0.0.0.0/0 -> 10.19.2.10
RT 4 (spokes):0.0.0.0/0 -> 10.20.0.10
FortiManager
Use Case #3: Cloud Services HubBeispiel Cloud RZ Topologie auf MS Azure
▪ Inspiriert von der Microsoft
Referenzarchitektur «Hub-Spoke Network
Topology in Azure» (Link)
▪ Perimeter Security mit DMZ und Internal
Network Segmentation
▪ Vorteile:
» Sichtbarkeit und Layer 7 Schutz
» Segmentierung der Services
» Framework für einfache Skalierung
18
Use Case #4: SaaS und IaaS Monitoring
WIE
▪ FortiCASB überwacht gängige SaaS Anwendungen
über eine API-Anbindung
▪ Überwachung von Konfigurationsänderungen und
inhaltlichen Aktivitäten von Nutzern
WAS
Organisationen erhalten volle Transparenz über die
Nutzung von SaaS-Anwendungen, einschließlich
möglicher Verbreitung von Malware oder potenziellen
Datenverlusten
WARUM
Abteilungen verwenden Cloud Services oft ohne
Wissen der IT Abteilung
SaaS Management API
FortiCASB
19
Use Case #4: SaaS und IaaS Monitoring
WIE
▪ FortiCASB überwacht über die Cloud-Management-
API die Konfiguration sowie die Erstellung und
Löschung von Benutzern und Assets
WAS
Unternehmen erhalten über eine einheitliche Plattform
umfassende Transparenz über Konfigurations-
änderungen, selbst bei einer Vielzahl von Public
Cloud-Infrastrukturen
WARUM
Die Nutzung der Public Cloud wird meistens nicht
überwacht und ist oft nicht kosteneffektiv und unsicher
Public Cloud Management API
FortiCASB
Cloud
Network 1
Cloud
Network 2
VM VM VM
20
FortiCASB
▪ SaaS und IaaS
Monitoring
21
FortiCASB
▪ SaaS und IaaS
Monitoring
▪ Shadow IT
Monitoring
22
FortiCASB
▪ SaaS und IaaS
Monitoring
▪ Shadow IT
Monitoring
▪ Beispiel AWS
23
Use Case #5: Security Management aus der Cloud
WIE
▪ Cloud-basiertes Management zur Verwaltung der
Informationssicherheit in einer globalen Infrastruktur
▪ Einheitlicher Blick auf die weltweiten Sicherheits-
ereignisse um Maßnahmen zu ergreifen
▪ Sicherheitsmanagement ist immer in der Nähe des
jeweiligen Verantwortlichen
WAS
Nutzen der globalen Verfügbarkeit und Infrastruktur
der Cloud-Anbieter, um das Sicherheitsmanagement
über mehrere Cloud-Regionen hinweg bereitzustellen
sowie den Cloud-Speicher für Logs zu nutzen
WARUM
On-Premise Einschränkungen abbauen und Logs
flexibel verwaltenPublic Cloud Based Security
Management
Public Cloud Based Security
Management
24
Use Case #5b: Security als SaaS
25
Use Case #6: Remote Access VPN
FortiGate-VM
FortiGate-VM
Cloud Remote Access Points
WIE
▪ Benutzer stellen über Cloud-SSL-VPN-Terminierung
eine Verbindung zu Organisationsressourcen her
▪ SSL VPN Terminierung weltweit On-Demand
verfügbar
▪ SSL-Terminierung verbindet sich mit anderen
Clouds oder Standorten über IPSec-VPN-Tunnel
WAS
Unternehmen nutzen die globale Präsenz der Public-
Cloud-Infrastruktur, um ihren Mitarbeitern und
Partnern einheitlich Remote Access zu ermöglichen
WARUM
Anbindung von sicherem VPN Remote Access
26
Sichtbarkeit, Kontrolle und
Automatisierung der Cloud-Sicherheit
Gabriel Kälin
System Engineer
Channel, Public Cloud, Security Operations, Application Security
📞 +41 79 882 80 98
28
Native Integration in die Cloud
Connectors
Form Factors optimization
Automation Scripts
Threat Feeds
High Availability
Auto-Scaling
Config Templates
Service Integration
Topology, Meta-Data
SR-IOV on C5
Lambda, Cloud-init
Guard Duty
Session and Config Sync
Config Sync
Cloud Formation Templates
WAF Partner Rules
Meta-Data
Cloud Functions, Cloud-Init
Config Sync
Config Sync
HA ARM Template
Meta-Data
Cloud Init
External LB
Meta-Data
Cloud Init
External LB
NATIVE INTEGRATION
29
FortiGate
FortiMail
FortiWeb
FortiSandbox
UMFASSENDER SCHUTZ
Umfassender Schutz der Cloud
BYOL PAYG BYOL PAYG BYOL PAYG BYOL PAYG
Q4-18
Q4-18
30
VERWALTUNG & AUTOMATION
Automatisiertes Security Management
FortiCASB
FortiManager
FortiAnalyzer
FortiSIEM
Run In Manage Run In Manage Run In Manage Run In Manage
NA NA NA NA
31
Use Case #7: Hybrid Cloud
Public Cloud Based
Infrastructure
Private Data Center Infrastructure
WIE
▪ IPSec-Tunnel über Datencenter und Clouds
▪ Interoperabel mit Cloud VPN Gateways
▪ Durchgängige Sicherheitsrichtlinien in allen
Infrastrukturen
▪ Zentrale Cloud Verwaltung mit Management HA
WAS
Unternehmen nutzen neben ihren eigenen
Rechenzentren die Public Cloud als zusätzliche
Infrastruktur, um IT-Lösungen für ihr Unternehmen zu
entwickeln und bereitzustellen
WARUM
Schrittweise und selektive Migration in die Cloud
Cloud
Network 2
V
M
V
M
Cloud
Network 1
V
MVM VMVM
32
Use Case #8: Securing Office 365
WIE
• Die Kombination von FortiMail, FortiSandbox
und FortiCASB bietet entscheidende
Fähigkeiten bei der Absicherung von Office 365
• Fortinet Security Fabric ermöglicht die
Überwachung des Office 365-API-Layer und
einen tiefen Einblick in E-Mail-Nachrichten zum
Schutz vor Zero-Day-Bedrohungen
WAS
• Absichern von Office 365 E-Mail und Business
Applikationen
WARUM
• Viele Office 365 Anhänge und Dateien in Azure
Cloud-Deployments
• Viele Gefahren gelangen per E-Mail in
Organisationen
FortiSandbox FortiGateFortiMail
Cloud Services Hub
Transit vNET
FortiCASB