Fortinet 和 ForeScout 集成解决方案

发布时间: 2022-08-12      作者:并擎科技

中、大型企业中往往存在多数分散的、孤立的安全产品,例如终端准入NAC、下一代防火墙NGFW、特权账号管理CyberArk、漏洞扫描与风险管理Tenable等安全产品。这些安全产品在日常运行中往往会产生大量的安全事件告警,对企业安全团队人员来说,必须把这些散落在各处的安全告警事件汇总在一起,手动评估和处理这些安全告警(哪些是误报,哪些是有效告警),由于安全人员人力不足,往往在处理这些安全事件时已经疲惫不堪,更不要谈通过各个安全产品来阻挡这些攻击。


从安全团队发现有效安全告警事件到阻止攻击,看似简单两步,检测到响应,其实中间有很多流程步骤,这个过程所花费的时间,往往给攻击者预留了足够的攻击窗口。


企业除了使用FortiSIEM、Splunk等类似产品来对安全日志进行汇总关联分析,提高检测效率外,也可以利用现有的安全资产之间共享威胁情报,在无人干预的情况下实现安全自动化联动,加快威胁响应速度。


最近有一个准入项目,借这个机会,就把原来的学习笔记翻了出来,回顾一下准入相关知识。结合我们公司所代理的安全产品,这次主要分享下FortinetNGFW(FortiGate)和ForeScout联动的解决方案

Fortinet 和ForeScout强强联合,为企业用户带来以下优势:

1.全面的端到端可见性,包括有线、无线网络、IoT设备

2.设备接入网络时持续监控,执行身份和上下文感知策略
3.动态分割网络,减少攻击面
4.利用 Fortinet 屡获殊荣的 FortiGate 网络安全平台提供的业界最佳实践安全保护来抵御复杂的网络威胁
5.自动阻断攻击链条,加快响应速度,资产价值最大化


这两个产品是如何联动的呢?

ForeScout是通过EyeExtend模块和FortiGate防火墙通过API进行联动,笔者当时测试使用的443端口,如果防火墙使用非443端口会联动失败(可能存在Bug),后续的版本应该会修复解决,笔者当时测试的模块版本(ForeScout-fortinet_ngfw-1.0.0-10000105.fpi)

工/作/流/程



当终端设备尝试连接到网络;ForeScout CounterACT发现设备并分类

ForeScout扩展模块将终端的一个或多个属性(身份、主机信息、标签等)传递给Fortinet NGFW

NGFW利用FortScout传递来的信息,来实施安全策略,并提供网络访问控制权限

具体配置详细步骤,可以联系我们给您讲解




场景一:基于接入到网络的用户类型进行资源的访问

1.当用户连接到网络,ForeScout确定其身份(可以结合LDAP、AD、Radius等);
2.ForeScout扩展模块向Fortinet NGFW动态注册端点的IP、身份、安全信息;
3.NGFW利用从ForeScout获得的元数据信息,实施精细策略控制;
4.基于预定义的角色,NGFW动态的允许以下差异化访问:Internet的访问者、供应商到Exchange的访问、合作伙伴到内部服务器的访问,将他们限制为仅满足基本访问需求的最低权限。




场景二:物联网的全面保护

目前企业网络上的IT、OT、IOT、BYOD终端爆发式增长,这些不可控的终端给组织带来了重大安全挑战。Fortinet 和ForeScout集成安全解决方案,为物联网提供了不妥协的安全性。


1.借助完整的网络可见性,对 IoT 设备进行身份验证和分类,以评估IoT终端风险概况并将其分配给 IoT 设备组;
2.根据风险概况,利用 Fortinet Security Fabric将 IoT 设备划分为策略驱动的组,并阻止威胁通过企业网络传播;
3.持续监控、检查和执行策略,并对有问题的IoT 终端进行快速同步响应,使用FortiGate 防火墙中的高级威胁防护模块,阻断恶意终端流量,保护关键应用程序和数据;
4.不受信的设备被阻止,IoT设备只在满足其运行的最小权限下进行网络活动。

最后,ForeScout除了和Fortinet进行集成,也可以和CyberArk、Tenable进行联动,比如ForeScout在做资产信息发现的时候,ForeScout可以通过CybreArk 调用终端密码进行登录扫描;当发现接入终端不安全时又可以联动Tenable对可疑终端进行漏洞扫描。

没有一个安全厂商可以解决所有的安全问题,都在不同领域发挥重要的作用,对企业来说,需要的是一个开放的安全生态,结合不同领域的解决方案来构筑纵深防御体系