深入了解Fortinet的SASE平台

随着规模更大、更严重的网络攻击在全球范围内蔓延，很多企业需要为其网络提供强大的安全架构。Fortinet在提供安全驱动的网络产品方面处于领先地位。 

该公司以其Fortinet Security Fabric而闻名，这是一种集成安全产品架构，跨越广泛的数字攻击面和生命周期。Security Fabric的核心是FortiOS操作系统，它支持一系列插件产品，帮助客户满足其特定的网络和安全需求。FortiGate下一代防火墙是Security Fabric的基础。 

这个插件策略是Fortinet提供其所谓的安全访问服务边缘产品FortiSASE的方式。虽然FortiSASE可能有助于实现全面的软件定义广域网 (SD-WAN)，但它其实并不完全是SASE。 

Gartner如何定义SASE 

为了更好地理解Fortinet的SASE策略，客户首先应该了解SASE，它将网络和安全点服务融合为统一的全球云原生服务。它是企业网络和安全的架构转型，使IT能够为数字业务提供全面且适应性强的服务。 

在尝试通过点服务解决新兴业务挑战时，这通常会导致技术孤岛，管理复杂且成本高昂。复杂性会降低IT及其对业务需求的响应速度。而SASE通过网络和安全平台改变了这种模式，该平台是身份驱动、云原生、全球分布且安全连接到所有边缘，包括WAN、云计算、移动和物联网。 

为了满足Gartner的标准，SASE平台必须具有以下属性： 

• 建立在云原生和基于云的架构之上； 
• 分布在全球多个接入点（PoP）中； 
• 支持所有边缘，包括位置、用户、云和应用程序。

虽然我们SD-WAN专家认识到供应商可能需要时间来实施SASE，但我们也相信云端安全和网络融合是将平台视为SASE必要因素。

Fortinet的SASE方法：扩展安全架构 

 自2019年Gartner宣布SASE为网络和安全的未来以来，很多供应商已经在竞争中占据了一席之地。Fortinet 通过推出其FortiSASE架构成为其中之一。 

Fortinet在其网站上说明了他们的SASE做法。下面是关键的摘录： 

不是孤立的、仅限云的方法，FortiSASE提供SASE服务作为Fortinet Security Fabric的扩展，以扩展和利用FortiOS的强大功能，FortiOS是连接整个Fortinet安全解决方案组合的通用操作系统。 

换句话说，Fortinet 在利用其过去21年开发的所有硬件和软件以组装成SASE模型，同时淡化云方法。这种方法与Gartner对云交付SASE的定义形成对比。 

 一次构建一个Fortinet架构 

连接性 

 为了部署Fortinet架构，企业需要从连接性开始。网络团队在企业数据中心 (FortiGate 2500E)、云数据中心 (FortiGate-VM) 和分支机构 (FortiGate 60E) 中部署物理或虚拟 FortiGate设备。FortiGate SD-WAN功能是SD-WAN的主要构建块。接下来，团队在远程用户的设备上部署FortiClient以将他们连接到网络。 

Fortinet没有用于全球连接的产品。WAN仅适用于区域用例，不提供SaaS优化。 

SD-WAN 

 然后，团队应该配置服务质量，以确保应用程序在整个网络中获得正确的优先级。他们将需要购买另一种Fortinet产品SD-WAN Orchestrator，以将SD-WAN视为跨集线器、组网和虚拟网络的虚拟覆盖，并为不同的应用程序构建全网状网络。否则，团队必须为每个设备逐个管理不同的SD-WAN隧道。 

SD-WAN Orchestrator将网络视为一个整体，但它有局限性。例如，它将复杂的对象名称（例如AAAAA、AAAAB 和 AAAAC）分配给VPN隧道和其他相关配置项。这种命名约定使工程师难以将对象名称与物理站点相关联，从而使手动故障排除变得复杂。 

安全和管理 

对于安全性，Fortinet具有融合性。FortiGate设备提供高级安全性，但需要在所有位置进行配置，最好使用FortiManager。如果远程FortiClient用户没有基于云的安全性，团队将需要通过数据中心的物理设备或云数据中心的虚拟设备回传流量，作为VPN集中器，以便通过安全堆栈传输流量。 

为了管理远程FortiClient用户，团队需要在本地安装企业管理服务器软件，部分安装在隔离区，以便与互联网上的远程FortiClient代理进行通信。 

其他Fortinet产品有助于设备管理。FortiManager帮助管理网络上的一切，以有效的方式将策略和配置推送到设备。它还建立覆盖VPN隧道，并且SD-WAN策略被推送到FortiGate设备。FortiManager不包括分析功能，因此另一个产品FortiAnalyzer提供网络分析。 

FortiSIEM需要聚合所有日志并将信息标准化为单个块。如果团队想要为其Fortinet环境添加多因素身份验证，他们将需要FortiAuthenticator作为所有Fortinet组件的中间件。FortiDeploy帮助团队进行零接触部署。 

 运行网络 

 当团队安装了这种拼凑的产品来连接和保护网络，就可以运行它。如果团队想要保证高可用性，他们需要在各处将设备加倍以确保自动故障转移。这种方法不仅昂贵，而且也难以管理。网络复杂性将要求公司在部署IT堆栈的任何地方都配备IT人员。 

SASE适合的地方 

2020年7月，Fortinet收购了Opaq Networks公司，并表示此次收购将是Fortinet进入竞争激烈的SASE领域的关键。目前这个愿景还没有实现。相反，Fortinet当前的SASE方法是其传统的FortiGate-FortiManager-FortiClient故事。 

FortiSASE的主要云部分是安全互联网访问 (SIA)，它结合​FortiClient或称为FortiExtender的瘦边缘一起使用。这些产品尚不支持FortiOS集成。对于SIA，Fortinet目前有一个PoP，到2021年底计划有四个。 

FortiSASE不满足SASE的技术定义，但它以后可能会提供更多功能。根据我的经验，Fortinet会告诉客户“SASE是一段旅程”。 

FortiSASE优势 

Fortinet产品的重要部分是Security Fabric。它具有强大的功能集，并在“2020年Gartner 网络防火墙魔力象限”中被评为三大领导者之一。根据Gartner的说法，“在具有有高级网络的集成SD-WAN功能方面，Fortinet防火墙是领导者，使其成为基于防火墙设备的分布式办公用例的首选。” 

FortiSASE缺点 

从真正的SASE平台角度来看，Fortinet几乎没有。Fortinet预计收购Opaq，这可能会有所帮助，但事实证明与Fortinet战略的整合很难实现。 

Fortinet当前的SASE产品不包括任何云原生组件。它没有私有的全球骨干网或简单方法来连接和优化 SaaS应用程序。简而言之，Fortinet的SASE选项是具有新营销功能的安全SD-WAN。 

需要组装 

团队最初可能会因为入门价格低而被Fortinet吸引，但每个附加功能都会增加复杂性和价格。Fortinet的方法仍然以设备为中心，缺乏云战略。如果企业已经拥有Fortinet基础设施，那么值得考虑将其作为安全SD-WAN而不是SASE。 

Gartner强调，仅基于本地设备的服务交付模型无法满足日益移动化的劳动力和对延迟敏感的应用程序的需求。虽然Fortinet拥有令人印象深刻的功能列表，但从云边缘提供这些功能是SASE的基础。