FortiNAC, el Network Access Control de FORTINET

FortiNAC, Network Access Control

FortiNAC,  es una solución de acceso a la red que proporciona a los usuarios una visibilidad mejorada de todos los dispositivos  en redes corporativas. Los NAC (Network Access Control) son una tecnología que ha existido durante casi dos décadas. Pero una nueva generación de soluciones está ayudando a las organizaciones a mantenerse al día con la superficie de ataque en constante expansión. Estas soluciones brindan no solo dan visibilidad del entorno de red, sino también de aplicación y control dinámico de políticas. Ya sea que los dispositivos se conecten desde dentro o fuera de la red, puede responder automáticamente a dispositivos comprometidos o actividad anómala. Las soluciones NAC modernas también brindan una visión clara de los activos de la red para respaldar las certificaciones regulatorias (ISO 27001, NIST Cobit y otras).

De esta manera, se aseguran las mejores prácticas de seguridad que requieren que las organizaciones establezcan y mantengan un inventario preciso de todos los dispositivos conectados. Lo anterior,  incluso, en entornos virtuales donde los activos se conectan y desconectan constantemente de la red. Las capacidades de monitoreo y respuesta son especialmente críticas, ya que muchos dispositivos exponen a los usuarios a un riesgo adicional a través de software comprometido, mal escrito y sin parche, puertas traseras no anunciadas conectadas al firmware y otros factores.

Zero Trust Network Access

NAC es una parte importante de un modelo de seguridad denominado ZTNA, Zero Trust Network Access. Para entender el concepto de ZTNA se debe comprender  a que se refiere el modelo de Zero Trust (cero confianza), que básicamente significa que no se debe “confiar” en nadie desde dentro o fuera de la red. De esta manera, cualquier persona, sistema o dispositivo que desee tener acceso a los recursos de la red, deben ser validados y verificados. Así se garantiza que dichos solicitantes a los recursos sean quien dicen ser, de manera que una vez validados e identificados se pueda otorgar los privilegios de acceso.

Estos privilegios deben ser tan granulares como sea posible, ya que esto me va a permitir manejar el principio de  mínimo privilegio. En este modelo la confianza ya no es implícita para usuarios, aplicaciones o dispositivos que intentan acceder a la red.  Los equipos de TI pueden saber fácilmente quién y a qué se está accediendo a la red. De esta manera, se protegen los activos corporativos tanto dentro como fuera de la red.  

FortiNAC, Niveles de Licenciamiento

FortiNAC posee tres niveles de licenciamiento, y que corresponden a los siguientes.

BASE es un licenciamiento adecuado para organizaciones que necesitan proteger solo dispositivos IoT o dispositivos no asociados a personas. Habilita el bloqueo de la red sin más controles de red o respuestas automatizadas a las amenazas. PLUS es adecuado para organizaciones que desean una visibilidad completa del endpoint. Una solución NAC flexible con control granular, pero que no requieren respuestas automatizadas a amenazas. PRO es adecuado para organizaciones que desean una visibilidad completa de los endpoints. Es una solución NAC flexible con controles granulares, así como clasificación de eventos precisa y respuestas automatizadas a amenazas en tiempo real.

[table id=1 /]
Arquitectura de despliegue de FortiNAC
Arquitectura de despliegue de FortiNAC

Appliances y VM

FortiNAC se vende en las modalidades de appliances o de maquina virtual VM. Dentro de los appliances hay cuatro modelos para distintos tamaños de empresa y despliegue.

[table id=2 /] [table id=3 /]

Escenarios de licenciamiento

Escenario 1

Un cliente que tiene una planta industrial con una red SCADA con 1500 sensores que toman datos IoT. El cliente quiere controlar amenazas potenciales tales como presencia de dispositivos no autorizados en la red. El cliente desea poder registrar fácilmente los dispositivos IoT autorizados. A la red SCADA no se conectan usuarios de la empresa, solo dispositivos y máquinas PLC.

Licenciamiento Escenario 1

En este caso es claro que el nivel de licenciamiento requerido es el BASE. El nivel de licenciamiento BASE es para cuando solo se tiene dispositivos no asociados a personas. El equipo que se necesita es el FortiNAC-CA-500C que soporta hasta 2500 dispositivos. Se debe Licenciar Forticare para proteger el appliance y las suscripciones correspondientes para los 1500 dispositivos de la red.

Costo Licenciamiento 1

[table id=4 /]

Notas:

MOQ : Minimun Order Quantity

Basado en precios de lista 2021 Q1

Escenario 2

Un cliente que tiene una planta industrial con una red SCADA con 4500 sensores que toman datos IoT. El cliente tiene su red informática integrada a la red SCADA (500 usuarios). El cliente quiere controlar los dispositivos que traen los usuarios a la empresa, o los que se conectan remotamente desde sus casas. Se necesita la funcionalidad de Portal cautivo. El cliente desea poder registrar fácilmente los dispositivos IoT autorizados.

Licenciamiento Escenario 2

En este caso es claro que el nivel de licenciamiento requerido es el PLUS. El nivel de licenciamiento PLUS es adecuado para un control y visibilidad detallada de los que pasa en la red. No contempla reacción automática frente a un escenario de amenaza. Por la cantidad de dispositivos (5000 y quizás un poco más por el requerimiento BYOD) el equipo que se necesita es el FortiNAC-CA-600C que soporta hasta 15000 dispositivos. Se debe Licenciar Forticare para proteger el appliance y las suscripciones correspondientes para los 5000 dispositivos de la red.

[table id=5 /]

Notas:

MOQ : Minimun Order Quantity

Basado en precios de lista 2021 Q1

Deja una respuesta

Tu dirección de correo electrónico no será publicada.