FortiNAC, Network Access Control
FortiNAC, es una solución de acceso a la red que proporciona a los usuarios una visibilidad mejorada de todos los dispositivos en redes corporativas.
Los NAC (Network Access Control) son una tecnología que ha existido durante casi dos décadas. Pero una nueva generación de soluciones está ayudando a las organizaciones a mantenerse al día con la superficie de ataque en constante expansión. Estas soluciones brindan no solo dan visibilidad del entorno de red, sino también de aplicación y control dinámico de políticas. Ya sea que los dispositivos se conecten desde dentro o fuera de la red, puede responder automáticamente a dispositivos comprometidos o actividad anómala.
Las soluciones NAC modernas también brindan una visión clara de los activos de la red para respaldar las certificaciones regulatorias (ISO 27001, NIST Cobit y otras). De esta manera, se aseguran las mejores prácticas de seguridad que requieren que las organizaciones establezcan y mantengan un inventario preciso de todos los dispositivos conectados. Lo anterior, incluso, en entornos virtuales donde los activos se conectan y desconectan constantemente de la red. Las capacidades de monitoreo y respuesta son especialmente críticas, ya que muchos dispositivos exponen a los usuarios a un riesgo adicional a través de software comprometido, mal escrito y sin parche, puertas traseras no anunciadas conectadas al firmware y otros factores.
Zero Trust Network Access
NAC es una parte importante de un modelo de seguridad denominado ZTNA, Zero Trust Network Access. Para entender el concepto de ZTNA se debe comprender a que se refiere el modelo de Zero Trust (cero confianza), que básicamente significa que no se debe “confiar” en nadie desde dentro o fuera de la red. De esta manera, cualquier persona, sistema o dispositivo que desee tener acceso a los recursos de la red, deben ser validados y verificados. Así se garantiza que dichos solicitantes a los recursos sean quien dicen ser, de manera que una vez validados e identificados se pueda otorgar los privilegios de acceso. Estos privilegios deben ser tan granulares como sea posible, ya que esto me va a permitir manejar el principio de mínimo privilegio.
En este modelo la confianza ya no es implícita para usuarios, aplicaciones o dispositivos que intentan acceder a la red. Los equipos de TI pueden saber fácilmente quién y a qué se está accediendo a la red. De esta manera, se protegen los activos corporativos tanto dentro como fuera de la red.
FortiNAC, Niveles de Licenciamiento
FortiNAC posee tres niveles de licenciamiento, y que corresponden a los siguientes.
BASE es un licenciamiento adecuado para organizaciones que necesitan proteger solo dispositivos IoT o dispositivos no asociados a personas. Habilita el bloqueo de la red sin más controles de red o respuestas automatizadas a las amenazas.
PLUS es adecuado para organizaciones que desean una visibilidad completa del endpoint. Una solución NAC flexible con control granular, pero que no requieren respuestas automatizadas a amenazas.
PRO es adecuado para organizaciones que desean una visibilidad completa de los endpoints. Es una solución NAC flexible con controles granulares, así como clasificación de eventos precisa y respuestas automatizadas a amenazas en tiempo real.
FortiNAC Tipo de Licenciamiento
FortiNAC se licencia en tres niveles, a saber, licenciamiento BAS, PLUS y PRO. A continuación se presentan las distintas características que poseen estos tres niveles.| Dimension | Característica | BASE | PLUS | PRO |
|---|---|---|---|---|
| Visibilidad de Red | Descubrimiento de res | ✔ | ✔ | ✔ |
| Visibilidad de Red | Identificación de dispositivos maliciosos | ✔ | ✔ | ✔ |
| Visibilidad de Red | Clasificación y Perfilamiento de dispositivos | ✔ | ✔ | ✔ |
| Visibilidad de Red | Clasificación y Perfilamiento de dispositivos | ✔ | ✔ | ✔ |
| Visibilidad de Endpoints | Visibilidad mejorada | ✔ | ✔ | ✔ |
| Visibilidad de Endpoints | Detección de Anomalías | ✔ | ✔ | ✔ |
| Visibilidad de Endpoints | Integración MDM | ✔ | ✔ | ✔ |
| Visibilidad de Endpoints | Agente Persistente | ✔ | ✔ | |
| Usuarios | Autenticación | ✔ | ✔ | |
| Usuarios | Portal Cautivo | ✔ | ✔ | |
| Automatización y Control | Políticas de acceso a la red | ✔ | ✔ | ✔ |
| Automatización y Control | Incorporación y Administración de dispositivos IoT simplificada | ✔ | ✔ | ✔ |
| Automatización y Control | Detección y bloqueo de dispositivos maliciosos | ✔ | ✔ | ✔ |
| Automatización y Control | Segmentación de Firewall | ✔ | ✔ | ✔ |
| Automatización y Control | MAC address bypass (MAB) | ✔ | ✔ | ✔ |
| Automatización y Control | Autenticacion RADIUS (EAP) | ✔ | ✔ | |
| Automatización y Control | Incorporación de dispositivos personales | ✔ | ✔ | |
| Automatización y Control | Administración de Invitados | ✔ | ✔ | |
| Automatización y Control | Cumplimiento de normas para Endpoints | ✔ | ✔ | |
| Automatización y Control | Web & Firewall Single Sign-on | ✔ | ✔ | |
| Respuestas a Incidentes | Correlación de Eventos | ✔ | ||
| Respuestas a Incidentes | Acciones extensibles y seguimiento de auditoría | ✔ | ||
| Respuestas a Incidentes | Acciones extensibles y seguimiento de auditoría | ✔ | ||
| Respuestas a Incidentes | Flujos de trabajo guiados | ✔ | ||
| Integraciones | Eventos de seguridad entrantes | ✔ | ||
| Integraciones | Eventos de seguridad salientes | ✔ | ✔ | |
| Integraciones | REST API | ✔ | ✔ | ✔ |
| Reporteria | Reportes personalizados | ✔ | ✔ | ✔ |
Appliances y VM
FortiNAC se vende en las modalidades de appliances o de maquina virtual VM. Dentro de los appliances hay cuatro modelos para distintos tamaños de empresa y despliegue.
FortiNAC Appliances
Los siguientes son los modelos de FortiNAC en modalidad de servidores físicos que están disponibles:| Hardware Server | Tipo | Ambiente destino | Capacidad |
|---|---|---|---|
| FortiNAC-CA-500C | Equipo Standalone (Integrated Control Server and Application Server) | Ambientes "pequeños" | Manages up to 2,000 ports in the network* |
| FortiNAC-CA-600C | Equipo de alto desempeño con Control & Application Server | Ambientes medianos | Manages up to 15,000 ports in the network* |
| FortiNAC-CA-600C | Equipo de ultra alto desempeño con Control & Application Server | Grandes ambientes con pocos Agentes persistentesPersistent Agents | Manages up to 25,000 ports in the network* |
| FortiNAC-M-550C | Equipo de administración (Provee administración centralizada cuando se despliega una solución de múltiples equipos. | Ambientes Multi-site con múltimples appliances | ilimitado |
FortiNAC VM
FortiNAC se comercializa también en modalidad de MV y en nube (Azure, AWS). A continuación las caracteristicas de los distintos modelos| Tamaño de Red | Ambiente destino | SKU | vCPU | Memoria | Disco |
|---|---|---|---|---|---|
| Hasta 2,000 puertos en la red | Pequeño | FNC-CA-VM | 4 | 16 GB | 100G |
| Hasta 15,000 puertos en la red | Mediano | FNC-CA-VM | 6 | 32 GB | 100G |
| Hasta 25,000 puertos en la red | Grande | FNC-CA-VM | 14 | 96 GB | 100G |
| Ilimitado | Grande | FNC-M-VM | 4 | 12 GB | 100G |
Escenarios de licenciamiento
Escenario 1
Un cliente que tiene una planta industrial con una red SCADA con 1500 sensores que toman datos IoT. El cliente quiere controlar amenazas potenciales tales como presencia de dispositivos no autorizados en la red. El cliente desea poder registrar fácilmente los dispositivos IoT autorizados. A la red SCADA no se conectan usuarios de la empresa, solo dispositivos y máquinas PLC.
Licenciamiento Escenario 1
En este caso es claro que el nivel de licenciamiento requerido es el BASE. El nivel de licenciamiento BASE es para cuando solo se tiene dispositivos no asociados a personas. El equipo que se necesita es el FortiNAC-CA-500C que soporta hasta 2500 dispositivos. Se debe Licenciar Forticare para proteger el appliance y las suscripciones correspondientes para los 1500 dispositivos de la red.
Costo Licenciamiento 1
Escenario 1: Estimación Costo NAC para 1500 dispositivos con Nivel BASE
A continuación la estimación de hardware y licenciamiento BASE por un año para el Escenario 1| SKU | Descripcion | Cantidad | Precio Unitario (USD) | Subtotal (USD) |
|---|---|---|---|---|
| FortiNAC-CA-500C | FortiNAC 500, Network Control and Application Server with RAID and Redundant Power Supplies, for up to 2,000 total ports (see datasheet for details) | 1 | 16.670 | 16.670 |
| FC-10-NC500-247-02-12 | Forticare 1 year FortiNAC 500, Network Control and Application Server | 1 | 3.334 | 3.334 |
| LIC-FNAC-BASE-100 | FortiNAC BASE License for 100 concurrent endpoint devices. The BASE license provides Endpoint Visibility and Dynamic VLAN Steering. | 15 | 900 | 13.500 |
| FC2-10-FNAC1-215-01-12 | FortiNAC Subscription Visibility (BASE) License for 500 concurrent endpoints. MOQ 500. Included 24x7 FortiCare support. | 3 | 2000 | 6.000 |
| TOTAL NETO | 39.504 |
Notas:
MOQ : Minimun Order Quantity
Basado en precios de lista 2021 Q1
Escenario 2
Un cliente que tiene una planta industrial con una red SCADA con 4500 sensores que toman datos IoT. El cliente tiene su red informática integrada a la red SCADA (500 usuarios). El cliente quiere controlar los dispositivos que traen los usuarios a la empresa, o los que se conectan remotamente desde sus casas. Se necesita la funcionalidad de Portal cautivo. El cliente desea poder registrar fácilmente los dispositivos IoT autorizados.
Licenciamiento Escenario 2
En este caso es claro que el nivel de licenciamiento requerido es el PLUS. El nivel de licenciamiento PLUS es adecuado para un control y visibilidad detallada de los que pasa en la red. No contempla reacción automática frente a un escenario de amenaza. Por la cantidad de dispositivos (5000 y quizás un poco más por el requerimiento BYOD) el equipo que se necesita es el FortiNAC-CA-600C que soporta hasta 15000 dispositivos. Se debe Licenciar Forticare para proteger el appliance y las suscripciones correspondientes para los 5000 dispositivos de la red.
Escenario 2: Estimación Costo NAC para 5000 dispositivos con Nivel PLUS
A continuación la estimación de hardware y licenciamiento PLUS por un año para el Escenario 2| SKU | Descripcion | Cantidad | Precio Unitario (USD) | Subtotal (USD) |
|---|---|---|---|---|
| FortiNAC-CA-600C | FortiNAC 600, High Performance Network Control and Application Server with RAID and Redundant Power Supplies, for up to 15,000 total ports (see datasheet for details) | 1 | 32.386 | 32.386 |
| FC-10-NC600-247-02-12 | Forticare 1 year FortiNAC 600, Network Control and Application Server | 1 | 6.477 | 6.477 |
| LIC-FNAC-BASE-1K | FortiNAC BASE License for 1K concurrent endpoint devices. The BASE license provides Endpoint Visibility and Dynamic VLAN Steering. | 5 | 7.500 | 37.500 |
| FC2-10-FNAC1-213-01-12 | FortiNAC Subscription Visibility+Control (PLUS) License for 500 concurrent endpoints. MOQ 500. Included 24x7 FortiCare support. | 10 | 4.500 | 45.000 |
| TOTAL NETO | 121.363 |
Notas:
MOQ : Minimun Order Quantity
Basado en precios de lista 2021 Q1
Tenía entendido, y puedo estar equivocado que NAC para utilizar como parte de forti OS