FortiAnalyzer & FortiManager Soluzione di Management Centralizzato per Dispositivi FGT e FAP Roberto NARETTO System Engineer - IT Security
Agenda Introduzione Informazioni sui Prodotti FortiManager in Azione FortiAnalyzer in Azione Scalabilità Q&A Coming Soon
Introduzione
Domande Comuni per l IT Security Management Come posso gestire i dispositivi remoti? Come posso centralizzare le firewall policies? Come posso controllare privilegi e capabilities nella rete aziendale? Come posso mantenere aggiornati i servizi di security (URL blacklists, signatures, etc.) su tutte le sedi? Come posso gestire l aggiornamento firmware su tutti i firewall in uso? Come posso identificare le inefficienze di rete? FortiManager risolve questi dubbi
FortiManager - Questo Sconosciuto Soluzione per la Gestione Centralizzata dei FortiGate Per qualunque tipo di FortiGate Gestisce da pochi a migliaia di FortiGate Gestisce qualunque aspetto dei FortiGate (system, network & security FortiManager settings) FortiManager FortiCarrier. FortiGate FortiWifi FortiGate-VM
Come Funziona FortiManager FortiManager ADOM1 ADOM2 Uno o più FortiGates
Cosa Accade al FortiGate Gestito? Le modifiche apportate su un dispositivo gestito, saranno acquisite automaticamente o manualmente dal FortiManager System & network settings saranno acquisiti automaticamente Security Policy Settings non saranno acquisiti automaticamente. Usa il FortiManager Import Policy Wizard
FortiManager Funzionalità di Provisioning Feature Benefit Automated Device Provisioning Reduces cost of deploying new FortiGate installations Device Profiles Aids in mass provisioning of managed devices Wireless and AP Provisioning Firmware Provisioning Certificate Provisioning XML and Web Portal APIs Simplifies effort and reduces costs typically associated with deploying a wireless infrastructure Update firmware on managed devices from a centralized console Automatically enroll Fortigates with a pre-existing certificate authority (CA) Enables administrators to integrate with provisioning systems and MSSPs to offer web portals to their customers
FortiManager Funzionalità di Policy Management Feature Intuitive Policy GUI Hierarchical Objects Database In-view Policy Object Editing Benefit Drag & drop objects into policies and address ranges, services, profiles, etc. from policy to policy Facilitates reuse of common configurations across the organization in both local and global ADOM levels Faster rulebase editing without opening new windows or changing context Centralized, Global Policy Configuration Maintains global policies across all managed assets (appended to local policies)
Funzionalità Addizionali del FortiManager Feature System Dashboard Hosted FortiGuard Content Security Policy / Device Auditing Benefit Provides an at-a-glance view of the FortiManager operation via configurable widgets Improve response times by hosting FortiGuard content (AV, IPS, URL databases) locally on the FortiManager Allows you to prove compliance, and track any deviations from the required security policy Integrated FortiAnalyzer Logging Includes FortiAnalyzer logging, advanced searching, event management and drill-down capabilities Integrated FortiAnalyzer Reporting Role Based Administration Allows administrator to run and schedule essential reports using the FortiAnalyzer engine Enables distributed administration, an important requirement for larger organizations
Interfaccia Grafica La demo unit del FortiManager è accessibile su: www.fortimanager.com username: demo password: demo
Informazioni sui Prodotti
FortiManager Hardware FMG-200D FMG-300D FMG-1000D FMG-3900E FMG-5001A Max Devices / ADOMs 30 300 1000 10,000 4,000 Max Web Portals + Portal Users - - 1000 10,000 4,000 GB / Day of Logs 2 2 2 10 2 Storage 1x 1TB 2x 2TB 4x 2TB (8TB max) 15x 960GB (14.4TB max) 1x 80GB
FortiManager VMs FMG-VM-BASE FMG-VM- 10-UG FMG-VM- 100-UG FMG-VM- 1000-UG FMG-VM- 5000-UG FMG-VM-U-UG Max Devices / ADOMs 10 +10 +100 +1,000 +5,000 Unlimited* Max Web Portals + Portal Users 10 +10 +100 +1,000 +5,000 Unlimited* GB / Day of Logs 1 2 5 10 25 50 Device Quota Storage 100 GB 200 GB 1 TB 4 TB 8 TB 16 TB Hypervisors Supported VMware ESXi/ESX 4.0/4.1/5.0, Microsoft Hyper-V 2008 R2/2012 vcpus (Min / Max) Memory Support (Min / Max) 1 / Unlimited 1 GB / Unlimited * Software tested limit of 10,000
FortiManager Matrice delle Funzionalità Features FMG-200D FMG-300D FMG-1000D FMG-3900E FMG-5001A FMG-VM Features FMG-200D FMG-300D FMG-1000D FMG-3900E FMG-5001A Dispositivi Dispositivi di di di Rete Rete Licenziati Licenziati ADOMs ADOMs 30 300 1000 800 10000 5000 4000 30 300 1000 800 10000 5000 4000 Unlimited Unlimited Portali Web Admin 1000 800 10000 5000 4000 Unlimited Portali Web Users 1000 800 10000 5000 4000 Unlimited Policy Globali Database FortiGuard Ospitati Localmente Modalità Modalità di di Rete Rete Chiusa Chiusa - Ogni FMG può ospitare i database FortiGuard e gestire le Starting richieste with with FMG provenienti 4.3.6, 4.3.7, Licensed Global dai dispositivi Policy Devices/ADOM/Web Add-on di rete is Licenziati included Portal by ratio default is 1! Richiede FMG-VM-1000-UG
Licensing FortiManager La somma totale dei dispositivi/adom non può eccedere le restrizioni di licenza Al raggiungimento dei limiti di licenza non potranno essere aggiunti nuovi dispositivi o ADOMs Hardware: Il numero di dispositivi/adoms sono fissati VM: Il numero di dispositivi/adoms sono variabili con licenze stackable Licenza FortiAnalyzer integrata FortiManager hardware è attualmente limitato ad un masismo di 2 GB/ Day di Logs (fino al 1000D) e fino a 10 GB/Day sulla serie 3900E e 4000E FortiManager VM GB/Day di Logs sono allocate con licenze per device/adom
FortiAnalyzer Hardware FAZ-200D FAZ-300D FAZ-1000D FAZ-3000E FAZ-3500E FAZ-3900E Max Devices / ADOMs 150 175 2,000 4,000 Peak Log Rate (standalone Mode) 350 625 1,000 GB / Day of Logs 5 15 25 Storage 1x 1TB 2x 2TB 4x 2TB (8TB max) 50,000 60,000 75,000 250 Unlimited Unlimited 8x 2TB 12x 2TB 15x 960GB
FortiAnalyzer VMs FMG-VM-BASE FMG-VM-GB1 FMG-VM-GB5 FMG-VM-GB25 FMG-VM-GB100 Max Devices / ADOMs 10,000 10,000 10,000 10,000 10,000 Peak Log Rate (standalone Mode) Unlimited Unlimited Unlimited Unlimited Unlimited GB / Day of Logs 1 +1 +5 +25 +100 Device Quota Storage up to 200 GB up to 200 GB up to 1 TB up to 8 TB up to 16 TB Hypervisors Supported VMware ESXi/ESX 4.0/4.1/5.0, Microsoft Hyper-V 2008 R2/2012 vcpus (Min / Max) Memory Support (Min / Max) 1 / Unlimited 1 GB / Unlimited * Software tested limit of 10,000
FortiManager in Azione
Un Ampio Set di Consoles per il Management CLI I metodi di gestione incontrano le esigenze dei Clienti WEBUI GUI API Small, Medium, Large & Telco/MSSP «Provisioning» XML API Web Services Crea 10 nuovi FortiGate Multi-pane environment SSH TELNET HTTPS Mostrami le policies CONSOLE HTTP «Self-service Portal» JSON API Te
Migliorie GUI - Policy & Object Dual Pane Il tab Policy & Object è strutturato in due sezioni Object Policy Cell-based Drag & Pane Drop Edition
FortiManager Virtualization con gli ADOM Un Administrative DOMain è un database che raccoglie objects & policies condivise tra più dispositivi Un FortiManager fisico può ospitare diversi ADOM distinti FortiManager Objects Policies
Giocare con gli ADOM Nuovo Albero dei Menu Accesso Contemporaneo o Esclusivo Restrizione di un Admin ad un ADOM e/o Policy Package Assegnazione di VDOMs ad ADOMs FortiManager config fmsystem global adom-mode enable advanced set workspace end FortiGate
Logiche di Riordino Unico ADOM per tutti i dispositivi ADOM-01
Logiche di Riordino Spalmare i dispositivi su più ADOMs ADOM-01 ADOM-02
Logiche di Riordino 1 dispositivo = 1 ADOM ADOM-01 ADOM-02 ADOM-03
Logiche di Riordino 1 VDOM = 1 ADOM ADOM-01 ADOM-04 ADOM-05 ADOM-06 ADOM-02 ADOM-03
Gestione dei Policy Package Un Policy Package è un set di policies che definiscono le security policy forzate su uno o più FortiGate Un singolo ADOM può gestire diversi policy packages Obiettivi selezionabili per policies
Share Policies & Objects tra gli ADOMs Un Global ADOM consente agli Admin di creare policies & objects che Queste Global Policies potranno essere assegnati ad uno o più ADOMs saranno copiate sopra a tutti gli altri Policy Packages degli ADOM selezionati FortiManager Siamo nell ADOM Global Objects Policies Queste Global Policies saranno copiate sotto a tutti gli altri Policy Packages degli ADOM selezionati L Admin può decidere di implementare il Policy Package modificato immediatamente L Admin può decidere dopo aver di installare copiato le solo alcuni Global oggetti Policies o tutti Segnaposto per tutte le Policy dei Policy Packages nel Local ADOM Database degli Oggetti Globali Policy e Oggetti assegnati rimangono readonly quando usati all interno di un ADOM
Import Policy Wizard Ridisegnato Importazione selettiva di policies e/o ogetti
FortiAnalyzer in Azione
Device Management FortiAnalyzer deve autorizzare il FortiGate
Device Management FortiAnalyzer è una piattaforma per il device management, network logging/analysis, log alert e reporting
Network Logging/Analys FortiAnalyzer è una piattaforma per il device management, network logging/analysis, log alert e reporting
Network Logging/Analys FortiAnalyzer è una piattaforma per il device management, network logging/analysis, log alert e reporting
Log Alert FortiAnalyzer è una piattaforma per il device management, network logging/analysis, log alert e reporting
Reporting FortiAnalyzer è una piattaforma per il device management, network logging/analysis, log alert e reporting
FortiAnalyzer & FortiManager FortiAnalyzer e FortiManager condividono le stesse funzionalità FortiManager ha un subset di funzionalità del FortiAnalyzer Perchè dovrei usare FortiAnalyzer quindi? FortiAnalyzer è una soluzione scalabile e distribuita per ambienti con elevato log rate in ricezione Architettura Multi-Tier Collector-Analyzer
Device Management Un Administrative DOMain è un istanza virtuale del FAZ Ogni ADOM ha il suo proprio set di dispositivi assegnato Un FortiAnalyzer fisico può ospitare diversi ADOMs distinti FortiAnalyzer Log View Drill Down Event Management Report
ADOM Advanced Mode ADOM advanced mode Consente all admin di assegnare i VDOM di un FGT a diversi ADOM del FAZ
ADOM Advanced Mode FortiAnalyzer Consente ad uno user di assegnare un VDOM del FGT a diversi ADOM del FAZ FortiGate
Real Time Forwarding Anatomy Standalone Mode fortilogd fortilogd sqllogd sqlplugin Forwards logs to FortiAnalyzer 1. Accepts inbound realtime logs 2. Creates raw logs 1. Read the raw logs 2. Creates temporary SQLready logs (subs lookup table IDs, etc.) 3. Deletes temp SQL logs after ack from sqlplugin 1. Inserts logs into DB 2. Verifies DB records 3. Sends ack to sqllogd FORTIGATE STANDALONE > > > L o g P r o c e s s i n g F l o w > > >
Log View
Log View Log View Real Time log view Customizable column settings with filter Case sensitive search Display raw logs Refresh Page View Show Bookmarks Menu (Realtime Log Column Settings Case sensitive Search Column Filter Display Raw - Download)
Log View Time Frame: diverse opzioni e intervallo di tempo personalizzabile
Log View Time Frame: diverse opzioni e intervallo di tempo personalizzabile Limita il numero di entries visualizzate
Log View Time Frame: diverse opzioni e intervallo di tempo personalizzabile Limita il numero di entries visualizzate Bottone GO e Barra di Avanzamento
Log View Visto dal FortiManager
Log Search Ricerca Libera» Possibile ricercare per parametro specificato in get system sql» Usa l index dal log raw
Log Search Ricerca Libera Auto Completamento e Save Searches nell history e nei Bookmarks (per utenti admin)
Log Search Ricerca Libera Auto Completamento e Save Searches nell history e nei Bookmarks (per utenti admin) Principali parole che matchano i risultati di ricerca
Log Search Ricerca Libera Auto Completamento e Save Searches nell history e nei Bookmarks (per utenti admin) Principali parole che matchano i risultati di ricerca Aggiungi alla ricerca qualunque cella nel log view (o anche la relativa negazione)
Log Search Ricerca Libera Auto Completamento e Save Searches nell history e nei Bookmarks (per utenti admin) Principali parole che matchano i risultati di ricerca Aggiungi alla ricerca qualunque cella nel log view (o anche la relativa negazione) Supporta > e < per le ricerche basate sulla quantità di BYTES inviati/ricevuti
Drill Down Analisi Real Time» Dati aggiornati appena i nuovi log sono ricevuti (ospitati in RAM) Tables & Charts» 1 livello: tabella» 2 livello: charts
Event Management Permette di generare degli alert in base agli event logs del FGT 5 Diversi Event Handler di default» IPS, Antivirus, Web Filter, Application Control, DLP
Event Management Applicabile a uno o più dispositivi
Event Management Applicabile a uno o più dispositivi Monitor per qualunque Log Type» Traffic Log» Event Log» Application Control» DLP» IPS» Virus» Web Filter
Event Management Applicabile a uno o più dispositivi Monitor per qualunque Log Type Logica AND e OR per i filtri Filtri Predefiniti» Log level» IP/Port Destinazione» Security Action (pass through, blocked, dropped, detected)» Application Category Web Category Filtri Testuali Generici
Event Management Applicabile a uno o più dispositivi Monitor per qualunque Log Type Logica AND e OR per i filtri Filtri Predefiniti» Log level» IP/Port Destinazione» Security Action (pass through, blocked, dropped, detected)» Application Category Web Category Filtri Testuali Generici Soglie Inoltro di Alert
Event Management Monitor Centralizzato e Visualizzazione di Alerts Storici» Tutti gli Eventi, per Severity o per Handler name» Ricerca eventi e riordino per colonna» Link verso FortiGuard
Event Management Monitor Centralizzato e Visualizzazione di Alerts Storici» Tutti gli Eventi, per Severity o per Handler name» Ricerca eventi e riordino per colonna» Link verso FortiGuard
Report Template 13 Reports Predefiniti Non è possibile rimuovere/modificare i report di default Icona blu identifica i reports di default Icona verde identifica i reports personalizzati Icona a orologio identifica un report schedulato
Chart Wizerd Builder Creazione di un Chart in 3 passi 1. Choose Data» Guarda il video on-line How To Create Custom Chart
Chart Wizerd Builder Creazione di un Chart in 3 passi 1. Choose Data Guarda il video on-line How To Create Custom Chart 2. Add Filter Logica AND e OR supportata
Chart Wizerd Builder Creazione di un Chart in 3 passi 1. Choose Data Guarda il video on-line How To Create Custom Chart 2. Add Filter Logica AND e OR supportata 3. Preview
Chart Wizard Builder Semplifica il processo di creazione di Chart e Report Non occorre conoscere come costruire le quesies SQL
Report Template Template Personalizzabile Drag and Drop: Titoli, Testo, Immagini e Charts Personalizzazione di Background, Font e Margini
Report Template Cover Personalizzabile
Report Template Un report è costituito da charts» Chart a Torta, Istogrammi, Tabelle» Grafica evoluta dei charts (mix di tabelle e istogrammi)
Report Template Un report è costituito da charts» Chart a Torta, Istogrammi, Tabelle e Mix di questi Charts personalizzabili nei contenuti e nella forma
Report Template Un report è costituito da charts» Chart a Torta, Istogrammi, Tabelle e Mix di questi Charts personalizzabili nei contenuti e nella forma
Report Template Un report è costituito da charts» Chart a Torta, Istogrammi, Tabelle e Mix di questi Charts personalizzabili nei contenuti e nella forma
Report Template Un report è costituito da charts» Chart a Torta, Istogrammi, Tabelle e Mix di questi Charts personalizzabili nei contenuti e nella forma
Report Template Un dataset è completamente personalizzabile (basato su sintassi SQL)
Report Template
Scalabilità
Flessibilità e Diversificazione 5.2 5.2 2.4.3 FortiAnalyzer (aka FAZ)» Centralizza logging, alerting, reporting ed analisi per dispositive basati su FortiOS» Ideale per ogni dimensione di azienda da SMB a Enterprise e MSSPs FortiManager (aka FMG)» Centralizza la gestione delle Security Policies, aggiornamento firmware e contenuti per dispositive basati su FortiOS» Ideale per ogni dimensione di azienda da SMB a Enterprise e MSSPs FortiCloud» Fornisce un Sistema di log e reporting consolidato, semplice da usare e senza necessità di investimenti iniziali nè di maintenance annuale» Pensato principalmente per la PMI
Scenario Base FortiManager (con funzionalità di FortiAnalyzer) FortiGate #1 FortiGate #2 FortiGate #3 Versatile, Adattabile alle esigenze della PMI e degli End-Users (Anno 1)
Scenario Base Con Più Dispositivi Gestiti FortiManager FortiAnalyzer FortiGate #1 FortiGate #2 FortiGate N Versatile, Adattabile alle esigenze della PMI e degli End-Users (Anno 2)
Scenario Multi-tier Quando il log rate di picco supera i 10,000 log/sec si consiglia un architettura multi-tier FortiAnalyzer (Analyzer) Esterno MySQL High-end FortiAnalyzer o FortiAnalyzer-VM Opzionalmente usa un SQL database esterno per l espansione FortiAnalyzer (Collector) FortiAnalyzer (Collector) Log Collectors, ottimizzato per lo store & forward Log verso Collettori Locali
Scenario Multi-tier FortiManager FortiAnalyzer (Collector) FortiAnalyzer (Analyzer) FortiGate #1 FortiGate #2 FortiGate...N Versatile, Adattabile alle esigenze della PMI (Anno 3)
Inoltro Real-time vs. Aggregazione di Log Inoltro Real-time I Log sono inoltrati da Collector ad Analyzer in tempo reale Molto impegnativo per la CPU, ma i report sono pressochè istantanei Aggregazione di Log I Log sono salvati sul Collector e poi inviati all Analyzer giornalmente Impatta meno sulla banda Internet (trasferimento schedulabile di notte), ma i reports sono un giorno indietro Ibrido (Raccomandato) I Logs urgenti sono inoltrati e gli eventi meno importanti sono ritardati all invio notturno Moderato impatto sulla CPU e sulla banda, report meno importanti rimandati al giorno successivo
Scenario Multi-tier con più Collettori FortiManager FortiAnalyzer (Collectors) FortiAnalyzer (Analyzer) FortiGate #1 FortiGate #2 FortiGate N Versatile, Adattabile alle esigenze della PMI e dei MSSPs (Anno 4)
Scenario Multi-tier interfacciato con Sistemi terzi JSON scripting (automazione) FortiManager FortiAnalyzer (Collectors) FortiAnalyzer (Analyzer) FortiGate #1 FortiGate #2 FortiGate N Log Storage DB Cluster Versatile, Adattabile alle esigenze della PMI e dei MSSPs (Anno 5)
Scenario MSSPs JSON scripting (automation) FortiManager FortiAnalyzer (Collectors) FortiAnalyzer (Analyzer) Custom XML API Portal FortiGate #1 FortiGate #2 FortiGate N Log Storage DB Cluster Versatile, Adattabile alle esigenze della PMI e dei MSSPs (Anno 6+)
Collector Mode Collector Mode Log View» Log Forwarding configurabile in GUI
Collector Mode Collector Mode Log View» Log Forwarding configurabile in GUI» Forwarding verso Analyzer Servers multipli
Collector Mode Collector Mode Log View» Log Forwarding configurabile in GUI» Forwarding verso Analyzer Servers multipli Log recevuti dai FGTs sono inseriti nel DB SQL» RACCOMANDAZIONE: abilita l indice nei campi usati per la ricerca Ogni FGT ha una sua propia quota disco allocata sul FAZ» Ha senso assegnare un device quota minimo per ospitare 1 giorno di logs
Q & A rnaretto@exclusive-networks.com System Engineer Exclusive Networks Italy
Cosa Stiamo Preparando Per Voi
Grazie! rnaretto@exclusive-networks.com System Engineer Exclusive Networks Italy