FortiNAC, el Network Access Control de FORTINET

FortiNAC, Network Access Control

FortiNAC,  es una solución de acceso a la red que proporciona a los usuarios una visibilidad mejorada de todos los dispositivos  en redes corporativas.

Los NAC (Network Access Control) son una tecnología que ha existido durante casi dos décadas. Pero una nueva generación de soluciones está ayudando a las organizaciones a mantenerse al día con la superficie de ataque en constante expansión. Estas soluciones brindan no solo dan visibilidad del entorno de red, sino también de aplicación y control dinámico de políticas. Ya sea que los dispositivos se conecten desde dentro o fuera de la red, puede responder automáticamente a dispositivos comprometidos o actividad anómala.

Las soluciones NAC modernas también brindan una visión clara de los activos de la red para respaldar las certificaciones regulatorias (ISO 27001, NIST Cobit y otras). De esta manera, se aseguran las mejores prácticas de seguridad que requieren que las organizaciones establezcan y mantengan un inventario preciso de todos los dispositivos conectados. Lo anterior,  incluso, en entornos virtuales donde los activos se conectan y desconectan constantemente de la red. Las capacidades de monitoreo y respuesta son especialmente críticas, ya que muchos dispositivos exponen a los usuarios a un riesgo adicional a través de software comprometido, mal escrito y sin parche, puertas traseras no anunciadas conectadas al firmware y otros factores.

Zero Trust Network Access

NAC es una parte importante de un modelo de seguridad denominado ZTNA, Zero Trust Network Access. Para entender el concepto de ZTNA se debe comprender  a que se refiere el modelo de Zero Trust (cero confianza), que básicamente significa que no se debe “confiar” en nadie desde dentro o fuera de la red. De esta manera, cualquier persona, sistema o dispositivo que desee tener acceso a los recursos de la red, deben ser validados y verificados. Así se garantiza que dichos solicitantes a los recursos sean quien dicen ser, de manera que una vez validados e identificados se pueda otorgar los privilegios de acceso. Estos privilegios deben ser tan granulares como sea posible, ya que esto me va a permitir manejar el principio de  mínimo privilegio.

En este modelo la confianza ya no es implícita para usuarios, aplicaciones o dispositivos que intentan acceder a la red.  Los equipos de TI pueden saber fácilmente quién y a qué se está accediendo a la red. De esta manera, se protegen los activos corporativos tanto dentro como fuera de la red.

FortiNAC, Niveles de Licenciamiento

FortiNAC posee tres niveles de licenciamiento, y que corresponden a los siguientes.

BASE es un licenciamiento adecuado para organizaciones que necesitan proteger solo dispositivos IoT o dispositivos no asociados a personas. Habilita el bloqueo de la red sin más controles de red o respuestas automatizadas a las amenazas.
PLUS es adecuado para organizaciones que desean una visibilidad completa del endpoint. Una solución NAC flexible con control granular, pero que no requieren respuestas automatizadas a amenazas.
PRO es adecuado para organizaciones que desean una visibilidad completa de los endpoints. Es una solución NAC flexible con controles granulares, así como clasificación de eventos precisa y respuestas automatizadas a amenazas en tiempo real.

FortiNAC Tipo de Licenciamiento

FortiNAC se licencia en tres niveles, a saber, licenciamiento BAS, PLUS y PRO. A continuación se presentan las distintas características que poseen estos tres niveles.
DimensionCaracterísticaBASEPLUSPRO
Visibilidad de RedDescubrimiento de res
Visibilidad de RedIdentificación de dispositivos maliciosos
Visibilidad de RedClasificación y Perfilamiento de dispositivos
Visibilidad de RedClasificación y Perfilamiento de dispositivos
Visibilidad de EndpointsVisibilidad mejorada
Visibilidad de EndpointsDetección de Anomalías
Visibilidad de EndpointsIntegración MDM
Visibilidad de EndpointsAgente Persistente
UsuariosAutenticación
UsuariosPortal Cautivo
Automatización y ControlPolíticas de acceso a la red
Automatización y ControlIncorporación y Administración de dispositivos IoT simplificada
Automatización y ControlDetección y bloqueo de dispositivos maliciosos
Automatización y ControlSegmentación de Firewall
Automatización y ControlMAC address bypass (MAB)
Automatización y ControlAutenticacion RADIUS (EAP)
Automatización y ControlIncorporación de dispositivos personales
Automatización y ControlAdministración de Invitados
Automatización y ControlCumplimiento de normas para Endpoints
Automatización y ControlWeb & Firewall Single Sign-on
Respuestas a IncidentesCorrelación de Eventos
Respuestas a IncidentesAcciones extensibles y seguimiento de auditoría
Respuestas a IncidentesAcciones extensibles y seguimiento de auditoría
Respuestas a IncidentesFlujos de trabajo guiados
IntegracionesEventos de seguridad entrantes
IntegracionesEventos de seguridad salientes
IntegracionesREST API
ReporteriaReportes personalizados
Arquitectura de despliegue de FortiNAC
Arquitectura de despliegue de FortiNAC

Appliances y VM

FortiNAC se vende en las modalidades de appliances o de maquina virtual VM. Dentro de los appliances hay cuatro modelos para distintos tamaños de empresa y despliegue.

FortiNAC Appliances

Los siguientes son los modelos de FortiNAC en modalidad de servidores físicos que están disponibles:
Hardware ServerTipoAmbiente destinoCapacidad
FortiNAC-CA-500CEquipo Standalone
(Integrated Control Server and Application Server)
Ambientes "pequeños"Manages up to 2,000 ports in the network*
FortiNAC-CA-600CEquipo de alto desempeño con Control & Application ServerAmbientes medianosManages up to 15,000 ports in the network*
FortiNAC-CA-600CEquipo de ultra alto desempeño con Control & Application ServerGrandes ambientes con pocos Agentes persistentesPersistent AgentsManages up to 25,000 ports in the network*
FortiNAC-M-550CEquipo de administración
(Provee administración centralizada cuando se despliega una solución de múltiples equipos.
Ambientes Multi-site con múltimples appliances ilimitado

FortiNAC VM

FortiNAC se comercializa también en modalidad de MV y en nube (Azure, AWS). A continuación las caracteristicas de los distintos modelos
Tamaño de RedAmbiente destinoSKUvCPUMemoriaDisco
Hasta 2,000 puertos en la redPequeñoFNC-CA-VM416 GB100G
Hasta 15,000 puertos en la redMedianoFNC-CA-VM632 GB100G
Hasta 25,000 puertos en la redGrandeFNC-CA-VM1496 GB100G
IlimitadoGrandeFNC-M-VM412 GB100G

Escenarios de licenciamiento

Escenario 1

Un cliente que tiene una planta industrial con una red SCADA con 1500 sensores que toman datos IoT. El cliente quiere controlar amenazas potenciales tales como presencia de dispositivos no autorizados en la red. El cliente desea poder registrar fácilmente los dispositivos IoT autorizados. A la red SCADA no se conectan usuarios de la empresa, solo dispositivos y máquinas PLC.

Licenciamiento Escenario 1

En este caso es claro que el nivel de licenciamiento requerido es el BASE. El nivel de licenciamiento BASE es para cuando solo se tiene dispositivos no asociados a personas. El equipo que se necesita es el FortiNAC-CA-500C que soporta hasta 2500 dispositivos. Se debe Licenciar Forticare para proteger el appliance y las suscripciones correspondientes para los 1500 dispositivos de la red.

Costo Licenciamiento 1

Escenario 1: Estimación Costo NAC para 1500 dispositivos con Nivel BASE

A continuación la estimación de hardware y licenciamiento BASE por un año para el Escenario 1
SKUDescripcionCantidadPrecio Unitario (USD)Subtotal (USD)
FortiNAC-CA-500CFortiNAC 500, Network Control and Application Server with RAID and Redundant Power Supplies, for up to 2,000 total ports (see datasheet for details)116.67016.670
FC-10-NC500-247-02-12Forticare 1 year FortiNAC 500, Network Control and Application Server13.3343.334
LIC-FNAC-BASE-100FortiNAC BASE License for 100 concurrent endpoint devices. The BASE license provides Endpoint Visibility and Dynamic VLAN Steering.1590013.500
FC2-10-FNAC1-215-01-12FortiNAC Subscription Visibility (BASE) License for 500 concurrent endpoints. MOQ 500. Included 24x7 FortiCare support.320006.000
TOTAL NETO39.504

Notas:

MOQ : Minimun Order Quantity

Basado en precios de lista 2021 Q1

Escenario 2

Un cliente que tiene una planta industrial con una red SCADA con 4500 sensores que toman datos IoT. El cliente tiene su red informática integrada a la red SCADA (500 usuarios). El cliente quiere controlar los dispositivos que traen los usuarios a la empresa, o los que se conectan remotamente desde sus casas. Se necesita la funcionalidad de Portal cautivo. El cliente desea poder registrar fácilmente los dispositivos IoT autorizados.

Licenciamiento Escenario 2

En este caso es claro que el nivel de licenciamiento requerido es el PLUS. El nivel de licenciamiento PLUS es adecuado para un control y visibilidad detallada de los que pasa en la red. No contempla reacción automática frente a un escenario de amenaza. Por la cantidad de dispositivos (5000 y quizás un poco más por el requerimiento BYOD) el equipo que se necesita es el FortiNAC-CA-600C que soporta hasta 15000 dispositivos. Se debe Licenciar Forticare para proteger el appliance y las suscripciones correspondientes para los 5000 dispositivos de la red.

Escenario 2: Estimación Costo NAC para 5000 dispositivos con Nivel PLUS

A continuación la estimación de hardware y licenciamiento PLUS por un año para el Escenario 2
SKUDescripcionCantidadPrecio Unitario (USD)Subtotal (USD)
FortiNAC-CA-600CFortiNAC 600, High Performance Network Control and Application Server with RAID and Redundant Power Supplies, for up to 15,000 total ports (see datasheet for details)132.38632.386
FC-10-NC600-247-02-12Forticare 1 year FortiNAC 600, Network Control and Application Server16.4776.477
LIC-FNAC-BASE-1KFortiNAC BASE License for 1K concurrent endpoint devices. The BASE license provides Endpoint Visibility and Dynamic VLAN Steering.57.50037.500
FC2-10-FNAC1-213-01-12FortiNAC Subscription Visibility+Control (PLUS) License for 500 concurrent endpoints. MOQ 500. Included 24x7 FortiCare support.104.50045.000
TOTAL NETO121.363

Notas:

MOQ : Minimun Order Quantity

Basado en precios de lista 2021 Q1

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

18 + diecinueve =