© Copyright Fortinet Inc. All rights reserved.

Security Use CasesFür Public Cloud Umgebungen

Gabriel Kälin, Systems Engineer, Fortinet

2

▪ Fortinet Kurzüberblick

▪ Digital Transformation

▪ Fortinet Security Fabric als Cloud Enabler

▪ Top Security Use Cases

Agenda: Security Use Cases für die Public Cloud

3

Fortinet Business KurzübersichtInvestition in Innovation

HeadquartersSunnyvale

5,500 Mitarbeiter

4M+ Shipments$1.8Mrd – 2017(billings)

360,000 KundenEines der größtenCybersecurity-Unternehmen

Channel First

536 Patente

4

Fortinet Lösungsübersicht

NetworkSecurity

Multi-Cloud Security

Endpoint Security

Email Security

Web Application Security

SecureUnified Access

Advanced Threat Protection

Management& Analytics

FortiGate

Enterprise Firewall

FortiGate

Cloud Firewall

Network Security

FortiClient

EPPFortiWeb

Web Application

Firewall

FortiMail

Secure Email

Gateway

FortiSandbox

Advanced Threat

Protection

FortiAnalyzerCentral Logging /Reporting

FortiManagerCentral Security Management

FortiSIEMSecurity Information &

Event Management

FortiGate

Virtual Firewall

Network Security

FortiAP

Wireless

Infrastructure

FortiSwitch

Switching

Infrastructure

Endpoint

IoTMulti

Cloud Applications

Web Unified

AccessEmail Threat

Protection

AdvancedManagement

Analytics

FortiCASB

IPS

SWG

SD-WAN

VPN

5

UMFASSEND

INTEGRIERT

AUTOMATISIERT

Appliance Virtual

MachineHosted Cloud Software

6

▪ Schnell» Neue Cloud-Dienste werden täglich ausprobiert und genutzt

» Es ist viel einfacher, eine Cloud-Anwendung bereitzustellen, als sie zu deaktivieren

▪ Unabhängig» Die Erstellung neuer Dienste erfolgt nicht über eine zentrale IT-

Abteilung

» Jede Abteilung in der Organisation kann einen neuen Cloud-Service anfordern

▪ Vielfältig» Mitarbeiter nutzen verschiedene Cloud-Dienste von verschiedenen

Anbietern

» Verschiedene Cloud-Dienste bieten unterschiedliche Sicherheitsstufen

Digital Transformation: Cloud-Umstieg in Unternehmen

7

RealitätDELIVERY MODEL DEPLOYMENT MODEL

YOURSELF

SERVICE PROVIDERS

SaaS

PaaS IaaS

Private

Public Community

8

RisikenDELIVERY MODEL DEPLOYMENT MODEL

YOURSELF

SERVICE PROVIDERS

SaaS

PaaS IaaS

Private

Public Community

Data

Breaches

Interface und

API Hacking

Malicious

Insiders

DoS und DDoS

Attacken

APTs

9

Fortinet Security Fabric für die CloudDELIVERY MODEL DEPLOYMENT MODEL

YOURSELF

SERVICE PROVIDERS

UMFASSENDER SCHUTZ NATIVE INTEGRATION

VERWALTUNG & AUTOMATION

SaaS

PaaS IaaS

Private

Public Community

11

Ziel: Security als Cloud Enabler

PRODUKTIVITÄT

CLOUD SECURITY

12

PRODUKTIVITÄT

CLOUD SECURITY

Ziel: Security als Cloud Enabler

CLOUD

SECURITY

AUTOMATION

▪ Templates

▪ Automatisierung überall

▪ Prozesse

▪ Richtlinien

▪ Kontrollen

▪ On-demand

▪ allgegenwärtig

13

Inside-Out Security Advanced App

Protection

Cloud Services Hub

Top Uses Cases

IaaS and SaaS Security Management Remote Access VPN

Public Cloud Based Security Management

Public Cloud Based Security Management

FortiGate-VM

FortiGate-VM

Cloud Remote Access

Points

Internet

VPC1 VPC2

V

M

Public Cloud Based

Infrastructure

Public Cloud Management API

FortiCASB

FortiClient

FortiGate

-VMV

M

V

M

VM

VM

VM

Internet

Cloud

Services Hub

Transit VPC

Web based and Mail

Applications

Sandbox Web & Mail Security

NGFW

Public Cloud Based

Infrastructure

V

M

V

MVM

VM

VPC2

V

M

V

M

Internet

Cloud Services

Hub

Transit VPC

Public Cloud Based

Infrastructure

VPC1

V

MVM

VM

VM

Public Cloud Management API

FortiCASB

Cloud

Network 1

Cloud

Network 2

V

M

V

M

V

MVM

VM

VM

14

Use Case #1: Inside-Out IaaS Security

WIE

▪ FortiClient für Sicherheit und Integrität der Cloud

Hosts

▪ FortiGate VM auf der Netzwerkebene (VPC/vNET)

für sichere Konnektivität mit Layer 7 Inspektion

▪ FortiCASB zur Überprüfung der Konfiguration und

Einhaltung von Richtlinien

WAS

Implementieren einer Sicherheitsrichtlinie zum

Absichern von IaaS Deployments auf Workload-,

Netzwerk- und API-Ebene

WARUM

Es sind eure Daten. Der IaaS Provider schützt nur

„seine“ Infrastruktur.

Internet

VPC1 VPC2

Public Cloud Based

Infrastructure

Public Cloud Management API

FortiCASB

FortiClient

FortiGate-VM

VM VM VM

15

Use Case #2: Advanced Application Protection

WIE

▪ FortiGate NGFW in Verbindung mit FortiWeb und

FortiMail

▪ FortiSandbox zur vertieften Analyse von

verdächtigen Dateien und E-Mails

WAS

Application Security in der Cloud, um Vorschriften

einzuhalten und für das Patchen von Applikationen im

laufenden Betrieb

WARUM

Applikationen fokussieren auch in der Cloud zuerst

auf die Businessfunktion, nicht auf Sicherheit

Internet

Cloud Services Hub

Transit VPC

Web based and Mail

Applications

Sandbox Web and Mail Security

NGFW

Public Cloud Based Infrastructure

VM VM

16

Use Case #3: Cloud Services Hub

WIE

▪ Sicherheitsfunktionen in zentralem virtuellem

Netzwerk, über welches alle Standorte, Abteilungen

und Cloud Services verbunden werden

▪ Security Services skalieren nach Bedarf (Auto-

Scaling)

WAS

Unternehmen nutzen die Flexibilität, Verfügbarkeit

und Skalierbarkeit der Cloud und zentralisieren

Security-Services in einem Shared-Services-Hub

WARUM

Zentrale Sicherheit für dezentrale App-Entwicklung

und Infrastruktur

Internet

Cloud Services Hub

Transit VPC

Public Cloud Based

Infrastructure

VPC1

VM

VPC2

VM VM

17

Hub virtual network10.20.0.0/16

On-premises network

Gateway

NSG

Management subnet10.21.1.0/24

Workloads subnet10.21.2.0/24

dev vnet10.21.0.0/16

public subnet10.19.1.0/24

DMZ subnet10.19.2.0/24

Availability set

VM

FortiGate B

.5 .5

VM

FortiGate A

.4 .4

external load

balancer

DMZ load

balancer

segmentation subnet10.20.0.0/24

VM

FortiGate B

.5

VM

FortiGate A

.4

Availability set

Internal

standard

load balancer

Jumphost

ubuntu

.10

.10

RT 3

Public IP

RT 2RT 1

dev Server

NSG

Jumpbox

Management subnet10.22.1.0/24

Workloads subnet10.22.2.0/24

Test vnet10.22.0.0/16

RT 4

Test server

NSG

Management subnet10.23.1.0/24

Workloads subnet10.23.2.0/24

Production vnet10.23.0.0/16

RT 4

prod Server

vnet peering

Jumphost

windows

vnet peering

vnet peering

vnet peering

RT 4

DMZ virtual network10.19.0.0/16

Internal gateway subnet10.20.1.0/24

RT 5

RT2 (DMZ-subnet):0.0.0.0/0 -> 10.19.2.10

RT 3 (segmentation):0.0.0.0/0 -> 10.19.2.10

RT 4 (spokes):0.0.0.0/0 -> 10.20.0.10

FortiManager

Use Case #3: Cloud Services HubBeispiel Cloud RZ Topologie auf MS Azure

▪ Inspiriert von der Microsoft

Referenzarchitektur «Hub-Spoke Network

Topology in Azure» (Link)

▪ Perimeter Security mit DMZ und Internal

Network Segmentation

▪ Vorteile:

» Sichtbarkeit und Layer 7 Schutz

» Segmentierung der Services

» Framework für einfache Skalierung

18

Use Case #4: SaaS und IaaS Monitoring

WIE

▪ FortiCASB überwacht gängige SaaS Anwendungen

über eine API-Anbindung

▪ Überwachung von Konfigurationsänderungen und

inhaltlichen Aktivitäten von Nutzern

WAS

Organisationen erhalten volle Transparenz über die

Nutzung von SaaS-Anwendungen, einschließlich

möglicher Verbreitung von Malware oder potenziellen

Datenverlusten

WARUM

Abteilungen verwenden Cloud Services oft ohne

Wissen der IT Abteilung

SaaS Management API

FortiCASB

19

Use Case #4: SaaS und IaaS Monitoring

WIE

▪ FortiCASB überwacht über die Cloud-Management-

API die Konfiguration sowie die Erstellung und

Löschung von Benutzern und Assets

WAS

Unternehmen erhalten über eine einheitliche Plattform

umfassende Transparenz über Konfigurations-

änderungen, selbst bei einer Vielzahl von Public

Cloud-Infrastrukturen

WARUM

Die Nutzung der Public Cloud wird meistens nicht

überwacht und ist oft nicht kosteneffektiv und unsicher

Public Cloud Management API

FortiCASB

Cloud

Network 1

Cloud

Network 2

VM VM VM

20

FortiCASB

▪ SaaS und IaaS

Monitoring

21

FortiCASB

▪ SaaS und IaaS

Monitoring

▪ Shadow IT

Monitoring

22

FortiCASB

▪ SaaS und IaaS

Monitoring

▪ Shadow IT

Monitoring

▪ Beispiel AWS

23

Use Case #5: Security Management aus der Cloud

WIE

▪ Cloud-basiertes Management zur Verwaltung der

Informationssicherheit in einer globalen Infrastruktur

▪ Einheitlicher Blick auf die weltweiten Sicherheits-

ereignisse um Maßnahmen zu ergreifen

▪ Sicherheitsmanagement ist immer in der Nähe des

jeweiligen Verantwortlichen

WAS

Nutzen der globalen Verfügbarkeit und Infrastruktur

der Cloud-Anbieter, um das Sicherheitsmanagement

über mehrere Cloud-Regionen hinweg bereitzustellen

sowie den Cloud-Speicher für Logs zu nutzen

WARUM

On-Premise Einschränkungen abbauen und Logs

flexibel verwaltenPublic Cloud Based Security

Management

Public Cloud Based Security

Management

24

Use Case #5b: Security als SaaS

25

Use Case #6: Remote Access VPN

FortiGate-VM

FortiGate-VM

Cloud Remote Access Points

WIE

▪ Benutzer stellen über Cloud-SSL-VPN-Terminierung

eine Verbindung zu Organisationsressourcen her

▪ SSL VPN Terminierung weltweit On-Demand

verfügbar

▪ SSL-Terminierung verbindet sich mit anderen

Clouds oder Standorten über IPSec-VPN-Tunnel

WAS

Unternehmen nutzen die globale Präsenz der Public-

Cloud-Infrastruktur, um ihren Mitarbeitern und

Partnern einheitlich Remote Access zu ermöglichen

WARUM

Anbindung von sicherem VPN Remote Access

26

Sichtbarkeit, Kontrolle und

Automatisierung der Cloud-Sicherheit

Gabriel Kälin

System Engineer

Channel, Public Cloud, Security Operations, Application Security

📞 +41 79 882 80 98

gkaelin@fortinet.com

28

Native Integration in die Cloud

Connectors

Form Factors optimization

Automation Scripts

Threat Feeds

High Availability

Auto-Scaling

Config Templates

Service Integration

Topology, Meta-Data

SR-IOV on C5

Lambda, Cloud-init

Guard Duty

Session and Config Sync

Config Sync

Cloud Formation Templates

WAF Partner Rules

Meta-Data

Cloud Functions, Cloud-Init

Config Sync

Config Sync

HA ARM Template

Meta-Data

Cloud Init

External LB

Meta-Data

Cloud Init

External LB

NATIVE INTEGRATION

29

FortiGate

FortiMail

FortiWeb

FortiSandbox

UMFASSENDER SCHUTZ

Umfassender Schutz der Cloud

BYOL PAYG BYOL PAYG BYOL PAYG BYOL PAYG

Q4-18

Q4-18

30

VERWALTUNG & AUTOMATION

Automatisiertes Security Management

FortiCASB

FortiManager

FortiAnalyzer

FortiSIEM

Run In Manage Run In Manage Run In Manage Run In Manage

NA NA NA NA

31

Use Case #7: Hybrid Cloud

Public Cloud Based

Infrastructure

Private Data Center Infrastructure

WIE

▪ IPSec-Tunnel über Datencenter und Clouds

▪ Interoperabel mit Cloud VPN Gateways

▪ Durchgängige Sicherheitsrichtlinien in allen

Infrastrukturen

▪ Zentrale Cloud Verwaltung mit Management HA

WAS

Unternehmen nutzen neben ihren eigenen

Rechenzentren die Public Cloud als zusätzliche

Infrastruktur, um IT-Lösungen für ihr Unternehmen zu

entwickeln und bereitzustellen

WARUM

Schrittweise und selektive Migration in die Cloud

Cloud

Network 2

V

M

V

M

Cloud

Network 1

V

MVM VMVM

32

Use Case #8: Securing Office 365

WIE

• Die Kombination von FortiMail, FortiSandbox

und FortiCASB bietet entscheidende

Fähigkeiten bei der Absicherung von Office 365

• Fortinet Security Fabric ermöglicht die

Überwachung des Office 365-API-Layer und

einen tiefen Einblick in E-Mail-Nachrichten zum

Schutz vor Zero-Day-Bedrohungen

WAS

• Absichern von Office 365 E-Mail und Business

Applikationen

WARUM

• Viele Office 365 Anhänge und Dateien in Azure

Cloud-Deployments

• Viele Gefahren gelangen per E-Mail in

Organisationen

FortiSandbox FortiGateFortiMail

Cloud Services Hub

Transit vNET

FortiCASB