A. Fortinet 보안 패브릭 개요
1. 보안 패브릭이란?
Fortinet 보안 패브릭(Fortinet Security Fabric)은 조직의 보안 상태에 대한 단일 창 보기를 제공하여 이러한 복잡성을 관리하는 데 도움이 되는 엔터프라이즈 아키텍처입니다.
포티넷 보안 패브릭(Fortinet Security Fabric)은 클라우드, IoT, 원격 기기와 같이 분산된 네트워크에서 각각 다뤄지던 보안을 네트워크 인프라 중심부에서 통합 관리할 수 있도록 지원하는 것을 목표로 합니다. 차세대 방화벽부터 샌드박스, 엔드포인트 클라이언트, 게이트웨이, 웹방화벽, 스팸·웹 필터 등 포티넷이 보유한 모든 제품이 서로 ‘STIX’ 표준 규격으로 위협정보를 공유하고 자동으로 대응합니다.
포티넷 보안 패브릭(Security Fabric)은 확장성(scalability), 인식(awareness), 보안(security), 실행력(actionable), 개방성(open)이라는 5가지 상호의존적인 요소를 충족시키며 모든 사물이 연결되는 비즈니스 환경에서 ‘허점 없는 보안’을 제공합니다. 이를 통해 보안 팀은 보안 위협을 신속하게 식별하고 대응할 수 있습니다. 보안 패브릭은 조직의 전체 네트워크 인프라에 걸쳐 통합되고 자동화되고 조정된 보안을 제공합니다.
2. 보안 패브릭 이점
- 네트워크 논리적 및 물리적 토폴로지가 제공됩니다. 이러한 토폴로지는 패브릭의 모든 장치, 상호 연결 방법, 보안 세부 정보 및 다른 패브릭 구성원과 통신하는 데 사용되는 인터페이스를 보여줍니다.
- 패브릭 전반에 걸쳐 다양한 개체 유형의 동기화를 통해 모든 장치 간의 일관성이 보장됩니다.
- 잠재적인 취약성과 이를 제거할 수 있는 방법을 알려주는 보안 등급을 알립니다. 이는 패브릭 전체에서 감지된 장치 설정을 기반으로 하는 숫자 값 또는 점수입니다. 이 점수는 예정된 간격으로 자동으로 업데이트되거나 수동으로 업데이트됩니다. 제안된 모범 사례를 구현할 때마다 점수도 업데이트됩니다. 점수가 높을수록 보안 상태가 양호한 것입니다.
- Fortinet 장치뿐만 아니라 다른 장치 및 플랫폼도 통합 및 연동이 가능합니다.
- 새로운 엔드포인트 장치가 자동으로 감지, 식별되어 엔드포인트에 추가됩니다. FortiClient가 설치된 장치는 패브릭과 더 나은 통합을 제공합니다.
- 모든 FortiGate, FortiAP 및 FortiSwitch 장치의 펌웨어 업그레이드를 루트에서 중앙 집중식으로 관리합니다.
- Fortigate 업그레이드를 즉시 수행하거나 예약할 수 있으며, 필요한 경우 올바른 업그레이드 경로를 따릅니다.
- 네트워크를 지속적으로 모니터링하고 위협이 감지되면 자동 조치를 취할 수 있습니다. 관리자의 개입 없이 감지됩니다.
- FortiClient를 실행하는 컴퓨터는 악성 웹사이트를 감지하면 FortiAnalyzer에 로그를 보냅니다. FortiAnalyzer는 IOC(침해 지표)를 발견하고 FortiGate에 알립니다. FortiGate는 엔드포인트 관리 서버(EMS)에 해당 컴퓨터를 격리하도록 지시합니다. EMS 서버가 컴퓨터에 격리 메시지를 보냅니다. 컴퓨터를 스스로를 격리하고 FortiGate와 EMS 서버에 상태 변경을 알립니다.
3. Fortinet 보안 패브릭 구성
Fortinet 보안 패브릭을 구현하려면 NAT 모드에서 실행되는 FortiGate 방화벽이 최소 2개 필요합니다. FortiGate 장치 중 하나는 패브릭의 루트 방화벽 역할을 합니다. 또한 로깅을 중앙 집중화해야 합니다. 이를 위해서는 하나의 FortiAnalyzer 또는
지원되는 클라우드 로깅 솔루션이 필요합니다. FortiAnalyzer Cloud 또는 FortiGate Cloud는 클라우드 로깅 솔루션 역할을 할 수 있습니다.
시나리오에 따라 네트워크의 가시성과 제어력을 높이면 FortiManager, FortiAP, FortiClient, FortiClient EMS, FortiSandbox, FortiMail, FortiWeb, FortiNDR, FortiDeceptor 및 FortiSwitch도 추가하는 것이 좋습니다. 이러한 각 장치는 보안 팀에 새로운 기능을 추가합니다. 예를 들어 FortiManager는 전체 또는 특정 FortiGate 방화벽 간에 보안 정책 배포를 단순화할 수 있습니다. 또한 다른 Fortinet 장치 옵션과 여러 타사 제품을 사용하여 패브릭을 더욱 확장할 수도 있습니다.
Fortinet 보안 패브릭 구성은 다음 단계로 구성됩니다.
1단계는 FortiAnalyzer 또는 지원되는 클라우드 로깅 플랫폼 중 하나를 구성하여 다음 장치의 로그를 수락하는 것입니다.
2단계는 패브릭 루트 역할을 할 FortiGate 장치를 구성하는 것입니다. 이 단계에는 로깅 구성이 포함됩니다.
3단계는 다운스트림 장치를 구성하는 것입니다. 다운스트림 FortiGate 장치의 경우 이 단계에는 다음이 포함됩니다. 루트 장치를 가리키도록 필요한 인터페이스와 보안 패브릭 커넥터를 구성합니다. 로깅 설정은 루트에서 상속되므로 구성할 필요가 없습니다. 기타 장치에 대한 요구 사항은 유형에 따라 다릅니다.
마지막 단계인 4단계는 루트 방화벽에서 다운스트림 장치를 승인하는 것입니다. 루트 FortiGate에서 보안 패브릭에 수동으로 추가되거나 자동으로 감지된 모든 장치를 승인해야 합니다. 원하는 경우 세부정보를 알고 있는 경우 기기를 사전 승인할 수 있습니다.
B. FortiAnalyzer 연동
1. 들어가기 전에
포티 아날라이저에 로그인 하여 Device Manager를 클릭합니다.
Device Manager를 클릭하니 상기의 사진과 같이 2개의 장비가 등록되어 있음을 확인 할 수 있습니다. 이 장비들은 아직 포티 아날라이저로 로그를 보내게 구성이 되어 있지 않고 그로인해 빨간불이 들어오고 있습니다.
2. Local-Fortigate와 포티아날라이저 연동
포티 아날라이저로 로그를 보내게 구성을 해야합니다. 구성을 위해 먼저 Local-Fortigate의 GUI로 이동합니다. 그 후 Security Fabric의 하위 메뉴인 Fabric Connectors를 클릭합니다.
여러가지 타입의 로깅을 할 수 있는걸 확인 할 수 있습니다. 하지만 우리는 이번 강의에서 포티 아날라이저와 포티 게이트 방화벽 연동을 해야하기에 Logging & Analytics 카드를 클릭 후 FortiAnalyzer 옵션을 활성화 합니다.
활성화를 하였으면 Server의 필드에 포티 아날라이저의 IP를 입력합니다. 후에 Upload option은 우리가 원하는 옵션을 선택합니다. 이번 강의에서는 Real Time 옵션을 선택하도록 하겠습니다.
포티게이트 방화벽이 포티 아날라이저와 통신을 하는것을 확실시 하기위해 Verify FortiAnalyzer certificate 옵션을 활성화된 상태로 두겠습니다.
설정을 완료 하였으면 OK 버튼을 클릭후 Accept 버튼을 클릭합니다.
Logging & Analytics 카드의 FortiAnalyzer 상태가 Connected로 바뀐걸 확인 할 수 있습니다.
3. Local-Fortigate에 보안 패브릭 구성 및 루트 방화벽 설정
Local-Fortigate 방화벽에서 Security Fabric Setup 카드를 클릭 후 Server as Fabric Root 옵션을 클릭합니다. + 버튼을 눌러 인터페이스를 추가합니다.여기서 구성할 수 있는 인터페이스만 다른 보안 패브릭 구성원과의 정보를 변경하는 데 사용됩니다.
Port 3로 마우스 커서를 이동하면 상기와 같은 디테일 창을 볼 수 있습니다. Edit 버튼을 클릭합니다.
Security Fabric 옵션을 추가로 체크 합니다.
스크롤을 더 내리면 Device detection 옵션이 있는데 활성화 합니다. 이 옵션은 자동으로 새로운 네트워크 장비를 발견할 경우 추가하는 옵션입니다. OK 버튼을 눌러 인터페이스 편집을 마무리합니다.
Fabric name 필드값을 원하는대로 기입한 후에 OK 버튼을 클릭하여 Security Fabric Settings 편집을 저장합니다.
역할이 Fabric Root, 이름이 지정한 이름으로 바뀐걸 확인 할 수 있습니다.
4. 보안 패브릭에 ISFW 추가
LAN Edge Devices 카드에서 하나의 Fortigate 장비가 등록 및 검증이 되었단 걸 확인 할 수 있습니다.
ISFW 방화벽 연동을 위해 해당 방화역 GUI에 로그인 합니다. 마찬가지로 Security Fabric의 하위 메뉴인 Fabric Connectors을 클릭합니다.
상기의 사진을 확인하면 Logging & Analytics 카드의 FortiAnalyzer 상태가 비활성화로 되어 있음을 확인 할 수 있습니다. 하지만 해당 ISFW 방화벽은 루트가 아니므로 따로 설정할 필요가 없습니다. 기존의 보안 패브릭에 추가하면 됩니다. Security Fabric Setup 카드를 클릭합니다.
Join Exisiting Fabric 옵션을 클릭합니다. Allow other Security Fabric devices to join 옵션을 활성화 하여 원하는 인터페이스를 추가합니다.
당연히 추가할 인터페이스도 Security Fabric Connection 옵션과 Devicec detection 옵션을 활성화 하여야 합니다.
인터페이스는 필요한 만큼 추가하시면 됩니다. Upstream FortiGate IP/FQDN의 필드에는 패브릭 루트의 아이피를 입력하면 됩니다. 이번 강의에서는 Local-Fortigate의 아이피가 되겠네요.
Default admin profile 옵션을 선택합니다. 여기선 Super_admin을 선택하겠습니다. 이 옵션은 보안 패브릭에 로그인 하게되면 로그인 싱크를 맞추게 되는게 그 때의 권한을 설정하는 옵션입니다.
이번 강의에서는 따로 설정하지 않지만 필수적으로 수정을 해야하는 옵션입니다. 이 옵션은 다른 포티게이트 디바이스로 로그인시에 사용할 아이피를 지정합니다. 이번 강의에서는 그대로 두고 넘어가겠습니다. OK버튼을 클릭하여 편집을 마무리합니다.
상기와 같이 Security Fabric Setup 과 Lan Edge Devices 카드의 상태창이 바뀐걸 확인 할 수 있습니다.
F. 추가한 ISFW 인증
인증을 위해 다시 Local-Fortigate 방화벽의 GUI로 이동합니다. 우측 상단의 벨 모양 아이콘에 새로운 알림이 떠있습니다. 클릭을 하면 상기의 사진과 같이 1대의 장비가 인증을 요구한다는 알림을 확인 할 수 있습니다. 또는 System -> Frimware & Registration 으로 이동하면 확인 할 수 있습니다.
이동을 하였다면 시리얼 번호를 우클리하여 인증 메뉴를 클릭후 인증하기를 클릭합니다.
확인을 위해 각각의 페이지에서 새로고침을 합니다. 상기와 같이 바뀐 보안 페브릭 구성을 확인할 수 있습니다. 여기까지 하면 페브릭 구성은 끝났습니다.
C. 보안 패브릭의 기능
1. Physical Topology
2. Logical Topology
3. Synchronize(동기화) 기능
