FortiGate integrace

Umožněte FortiGate serveru rozpoznávat a chránit soubory klasifikované řešením Safetica.

Připomínáme, že integrace s řešením FortiGate je k dispozici pouze v produktu Safetica Enterprise.

Integrace řešení Safetica ONE na ochranu dat před únikem a vnitřními hrozbami se síťovými bezpečnostními technologiemi od společnosti Fortinet představuje účinný nástroj k zabezpečení dat, bez ohledu na to, kde jsou uložena nebo kam se přenáší.

V tomto článku se dozvíte:

Výhody

  • Ochrana dat: Sdílejte s řešením FortiGate informace o citlivých datech klasifikovaných Safetica metadatovou technologií. Rozhodněte, jak by měl FortiGate reagovat, když takový soubor odhalí v síťovém provozu.
    • SIEM: Výsledky lze automaticky zasílat do firemního SIEM systému.
  • FortiGate SSL inspekce: Safetica bude na koncových zařízeních detekovat přítomnost FortiGate SSL inspekce, bude se jí řídit a bude uplatňovat stejná omezení.
  • Distribude certifikátů: Chcete-li ve FortiGate zapnout hloubkovou SSL inspekci, Safetica vám pomůže s distribucí certifikátů. Tato funkce se hodí nejen k ochraně dat, ale také pokud jsou ve FortiGate nastaveny pokročilé UTM funkce.

Můžete integrovat víc než jeden FortiGate server, každý ale musí být v aplikaci Safetica Management Console nakonfigurován samostatně.

 

Podporované verze produktu

  • Safetica 9.3+ podporuje FortiGate verze 6.2 a 6.3
  • Safetica 10.1+ podporuje FortiGate verze 6.4+
  • FortiGate se systémem FortiOS 6.2+
    • Aby ochrana dat fungovala správně, je nutná FortiGate SSL inspekce.
    • Systém FortiOS 6.2.2+ skrývá některé části grafického rozhraní pro konfiguraci DLP. Funkce jsou ale stále k dispozici a můžete k nim přistupovat pomocí FortiGate příkazového řádku.

 

Jak propojit řešení Safetica ONE s FortiGate

  1. Přihlaste se do konzole FortiGate Management Console.
  2. Přejděte do části System > Admin Profiles a klikněte na Create New.
  3. Do pole Name zvolte název profilu Safetica administrátora a nastavte následující požadovaná oprávnění:

Řízení přístupu

Minimální požadovaná oprávnění

Důvod

Firewall

Čtení/zápis

Získávání informací o SSL certifikátech a vytváření politik brány firewall

Log & Report

Čtení/zápis

Možnost nastavení zasílání logů do SIEM

System > Configuration

Čtení

Získávání informací o SSL certifikátech

System > Maintenance

Čtení

Získávání verze FortiGate

Security Profile > Data Loss Prevention

Čtení/zápis

Vytváření DLP senzorů, které detekují data klasifikovaná řešením Safetica

VPN

Čtení

Získávání informací o SSL certifikátech

 

  1. Přejděte do části System > Administrators a klikněte na Create New > REST API Admin.
    • Do pole Username zvolte uživatelské jméno Safetica REST API administrátora.
    • V části Administrator Profile vyberte profil vytvořený v předchozích krocích.
    • Zakažte možnost PKI Group.
    • Ujistěte se, že je v části Trusted Hosts uvedena IPv4 nebo IPv6 adresa Safetica Management Serveru (např. 192.20.30.40/32 nebo fe80:1e1f:802e:1af5:50af:fdc2:1a10:f414/128).
    • Potvrďte kliknutím na OK. Zobrazí se API klíč nového Safetica REST API administrátora. Zkopírujte si jej na bezpečné místo.
  2. Přihlaste se do aplikace Safetica Management Console.
  3. Přejděte do části Údržba > Nastavení integrace > FortiGate integrace a klikněte na Propojit s FortiGate.
    • Zadejte svou FortiGate adresu – použít můžete:
      • IP adresu, včetně předpony http(s):// (např. https://192.10.20.30).
      • Název domény (např. https://FortiGate).
    • Zadejte FortiGate API klíč, který jste získali v předchozích krocích.
    • Klikněte na OK.
    • Jakmile se propojení bez chyb ověří, uložte nastavení kliknutím na .

 

Integrační funkce - přehled

  1. Importovat všechny SSL certifikáty a distribuovat je pomocí Safetica:
    Stáhne z FortiGate certifikáty používané v rámci hloubkové SSL inspekce a automaticky je distribuuje na koncová zařízení s nainstalovanou aplikací Safetica Client.
  2. Vytvořit FortiGate politiky pro detekci Safetica datových kategorií:
    Safetica sesbírá všechny metadatové datové kategorie a vytvoří na FortiGate pozadí, které dokáže tato data detekovat a chránit i bez přítomnosti aplikace Safetica Client.
  3. Režim politik pro detekované soubory se Safetica klasifikací:
    Rozhodne, jaké kroky provede FortiGate v momentě, kdy v síťovém provozu detekuje klasifikovaný soubor. Tato spojení můžete buď zaznamenat, nebo blokovat.
  4. SIEM IP adresa/FQDN pro zasílání FortiGate DLP záznamů (volitelné):
    Rozšiřuje bod 3 o možnost automaticky sdílet tyto informace s firemním SIEM systémem.
  5. Varování – Chyba synchronizace s FortiGate:
    Pokud se spojení s FortiGate přeruší, pošle se varování do zvoleného SIEM systému nebo na zadanou e-mailovou adresu. Varování lze povolit/zakázat v aplikaci Safetica Management Console > Varování, stačí kliknout na požadované varování nebo na tlačítko Nové pravidlo:

Jak implementovat ochranu dat

1. Krok jedna – Připojení k FortiGate bez povolení jakýchkoli funkcí:

S pomocí pokynů uvedených na začátku tohoto článku vytvořte účet Rest API a nastavte integraci, aniž byste povolili jakékoli dostupné funkce.

2. Krok dvě – Implementace hloubkové SSL inspekce ve FortiGate:

Chcete-li na FortiGate nastavit DLP funkce, je třeba aktivovat hloubkovou SSL inspekci. Z tohoto důvodu je nutné distribuovat FortiGate CA certifikát na koncová zařízení. Jak na to? Máte následující možnosti:

    • Již hloubkovou SSL inspekci používáte: Pokud již hloubkovou Fortigate SSL inspekci používáte, certifikáty jsou distribuovány a můžete ihned přejít ke kroku 3.
  • Jestliže hloubkovou SSL inspekci ještě nepoužíváte: Nemáte-li Fortigate SSL inspekci ještě implementovanou, záleží na tom, kolik koncových bodů je chráněno aplikací Safetica Client:
    1. Pokud je Safetica Client nainstalován na 100 % prostředí, kde má být aktivována hloubková SSL inspekce, stačí použít importovací funkci Safetica ONE, která z Fortigate stáhne SSL certifikáty a distribuuje je na koncová zařízení.
    2. Pokud Safetica Client není nainstalován na 100 % prostředí, bude třeba certifikáty distribuovat ještě předtím, než ve FortiGate povolíte hloubkovou SSL inspekci. V opačném případě se uživatelům koncových zařízení budou zobrazovat chyby spojené s certifikátem.

Distribuci lze provést například pomocí GPO: Jak distribuovat certifikát s použitím GPO

Nejjednodušší způsob stažení certifikátu z FortiGate je spuštěním FortiGate konzole → Security Profiles → SSL/SSH inspection. Následně zvolte možnost editace profilu, který budete používat v rámci SSL inspekce, a klikněte na Download.

3. Krok tři Vytvoření/kontrola Safetica metadatových datové kategorií

Vytvořte/zkontrolujte metadatové datové kategorie v aplikaci Safetica Management Console > Protection > Datové kategorie a zapiště si jejich přesné názvy (rozlišujte velká a malá písmena).

4. Krok čtyři – Synchronizace datových kategorií s FortiGate

a. Přejděte do Safetica Management Console > Údržba > Nastavení integrace > FortiGate integrace > Propojit s FortiGate a povolte funkci Vytvořit FortiGate politiky pro detekci Safetica datových kategorií. Níže pak zvolte, jestli má FortiGate zaznamenávat nebo blokovat spojení přenášející citlivý soubor.

b. Úspěšná synchronizace se projeví nově deaktivovanými firewall politikami na FortiGate serveru a vytvořením DLP senzorů (viditelných pouze prostřednictvím příkazového řádku).

5. Krok pět – Dokončení konfigurace ve FortiGate konzoli
a. Přejděte do FortiGate konzole a vytvořte kopii politiky, v rámci které chcete kontrolovat citlivý obsah v síťovém provozu. Umístěte tuto politiku nad původní, pojmenujte ji a zapište si její ID.
b. Otevřete FortiGate příkazový řádek a spusťte následující příkazy:

c. Jsou-li v názvu datové kategorie mezery, použijte znak “\”.

Např.: Moje kategorie -> Moje\ kategorie.

d. Zavřete příkazový řádek, aktivujte nově změněnou politiku a deaktivujte starou.

Pokud politika brány firewall nefunguje dle očekávání, zkontrolujte nastavení pomocí příkazů níže:

Chcete-li zobrazit konfiguraci DLP sensoru:

Hledaný regulární výraz by měl odpovídat identifikátoru GUID vaší datové kategorie, jak se zobrazuje v aplikaci Safetica Management Console > Protection > Datové kategorie.

 

Volitelné funkce:

Synchronizace FortiGate SSL inspekce s řešením Safetica ONE

  1. Přihlaste se do Safetica Management Console.
  2. Přejděte do části Údržba > Nastavení integrace > FortiGate integrace. Vyberte požadované FortiGate a klikněte na Upravit.
  3. Zapněte možnost Importovat všechny SSL certifikáty a distribuovat je pomocí Safetica.
  4. Klikněte na OK.
  5. Klikněte na .
  6. Přejděte do sekce Údržba > Nastavení integrace > Síťové certifikáty a nastavte posuvník na možnost Úplný – vlastní.
  7. Klikněte na.

Jakmile zobrazení aktualizujete, uvidíte všechny aktivní SSL certifikáty z FortiGate v Safetica konzoli v části Síťové certifikáty.

Importované SSL certifikáty můžete odstranit ve FortiGate a Safetica konzoli pak jen synchronizujete kliknutím na tlačítko Obnovit. Všechny synchronizované SSL certifikáty můžete také odstranit vypnutím možnosti Importovat všechny SSL certifikáty a distribuovat je pomocí Safetica.

Pokud chcete synchronizovat jen některé SSL certifikáty, importujte je jednotlivě v části Síťové certifikáty pomocí tlačítka Import.

Servisní varování pro FortiGate

Pokud se chcete ujistit, že nakonfigurovaná integrace s řešením FortiGate funguje správně, můžete nastavit Safetica servisní varování. Upozorní vás, pokud na synchronizovaném zařízení FortiGate dojde k chybě:

  1. Přihlaste se do Safetica Management Console.
  2. Přejděte do části Varování a klikněte na tlačítko Nové pravidlo.
  3. Řiďte se pokyny v průvodci konfigurací.
  4. V části SERVISNÍ VAROVÁNÍ zatrhněte možnost Chyba synchronizace s FortiGate.
  5. Dokončete kroky v průvodci konfigurací.
  6. Klikněte na .

Zasílání FortiGate DLP záznamů do systému SIEM

FortiGate DLP záznamy můžete nejen zobrazovat, ale také automaticky zasílat do systému SIEM. Incident se tak nejen zaznamená v zařízení FortiGate, ale příslušný záznam budete mít navíc k dispozici k pozdějšímu využití.

Chcete-li povolit tuto funkci:

  1. Přihlaste se do Safetica Management Console.
  2. Přejděte do části Údržba > Nastavení integrace > FortiGate integrace.
  3. Chcete-li přidat nové zařízení FortiGate, klikněte na tlačítko Propojit s FortiGate. V opačném případě vyberte příslušné zařízení FortiGate a klikněte na možnost Upravit.
  4. Povolte možnost Vytvořit FortiGate politiky pro detekci Safetica datových kategorií. Můžete zvolit, zda chcete detekované soubory blokovat, nebo jen zaznamenat.
  5. Do pole SIEM IP adresa / FQDN pro zaslání FortiGate DLP záznamů (volitelné) zadejte IPv4 nebo IPv6 adresu svého systému SIEM nebo plně kvalifikovaný název domény (např. nazevhostitele.domena.cz). Necháte-li toto pole prázdné, detekované soubory se buď zaznamenají, nebo zablokují, ale záznamy se do systému SIEM neodešlou.
  6. Klikněte na OK.
  7. Klikněte na