Secure Access Architecture Infrastructure Meru Networks Integrated Fortinet Wireless Cloud SAA

為無線網路植入資安基因 超密度高速Wi-Fi更安全

2016-04-28
過去無線網路廠商之間競爭較激烈的連接性、移動性、BYOD應用等議題,發展至今皆已逐漸成為基本應具備的能力,接下來著重之處則是將資安思維內建納入,朝向提供完全整合的資安保護機制,以免無線網路被犯罪組織利用滲透。
在企業行動化應用推動下,無線網路於IT基礎架構中已成為必備的服務項目,經過近年來有線與無線廠商陸續整併,市場上已不乏整合式解決方案,其中較特別的是Fortinet併購Meru Networks,可說是首次由網路資安廠商買下Wi-Fi廠商。

Fortinet亞太區Wi-Fi業務資深總監司馬聰指出,以往的Wi-Fi技術供應商較強調的是連通性(Connectivity)、移動性、高密度佈建的技術研究,卻鮮少涉及安全性措施,Meru的發展方向同樣如此。直到各式行動裝置數量激增,以及外部威脅型態手法創新變化,才使得無線網路的安全性議題受到關注。

根據Gartner預期,全球無線裝置持續發展到2020年,將會有超過三百億個終端節點有連網需求,多數是存在於物聯網應用下的嵌入式設備、感知器元件,將為無線網路存取環境帶來更多挑戰。「我們Fortinet曾針對全球客戶進行資安脆弱度意識的問卷調查,選項包括端點、資料庫、儲存、無線網路等IT基礎架構的組成元件,在回收的1,409個有效問卷中,實際上大家最關心、認為較容易被突破的部分,即是無線網路,佔比高達49%。」司馬聰說。

因此Fortinet基於既有的資安優勢,整併了Meru產品架構,擬定Wi-Fi與安全性緊密結合的發展策略—安全存取架構(Secure Access Architecture,SAA),為用戶端的網路環境強化安全性。

基於Meru既有技術 整合FortiSwitch

▲Fortinet亞太區Wi-Fi業務資深總監司馬聰強調,在無線網路技術發展下,連接性、移動性等過去熟知的技術已是基本必備,擴展增添安全保護機制才能符合現代企業用戶的期望。
在SAA發展策略下,產品線區分為三大類型,分別是:Infrastructure、Integrated、Cloud,目標用戶從幾千個基地台佈建的大型應用環境,到五人以下辦公室皆已涵蓋。

Infrastructure產品線即是Meru過去的技術,主要針對大型、高密度的佈建環境,在移動與漫遊(Roaming)時,於不同基地台之間可達到無縫切換。過去無線網路廠商之間爭論較多的連接性、移動性、BYOD應用議題,發展至今皆已成為基本應具備的能力,接下來著重之處應朝向提供資安保護機制,以免被犯罪組織利用其滲透。

此產品線典型的架構是,基地台上行至具備POE功能的FortiSwitch,同時接取Wireless LAN 控制器與專屬管理設備,關鍵在於閘道端可藉由FortiGate的建置,提供整體網路的保護措施。其中,FortiSwitch與FortiGate皆是Meru過去所欠缺的環節,如今納入Fortinet,才得以實踐安全存取架構。

「在無線基地台方面,型號AP832是在全球802.11ac 3x3:3等級中速度最快的設計,因為我們兩個射頻模組皆為802.11ac,適用於高密度佈建與高速傳輸應用環境。一般型的企業用戶,採用AP822具備802.11ac 2x2:2即已足夠。」司馬聰說。因為無線網路的佈建模式跟應用場景高度相關,例如建築材質、室內空間結構等因素,較傳統有線網路佈建完全不同,對此產品線勢必要明確地定義與區隔,才得以符合不同企業用戶所需。

既有Fortinet無線方案 目標中小型規模應用

目標中型企業應用環境的Integrated整合型產品線,主要為Fortinet既有的FortiAP與FortiGate,資安與無線網路環境的控管機制,透過FortiGate單一設備即可達成,不需額外部署建置控制器。司馬聰說明,Integrated在存取層環境跟Infrastructure產品線的佈建相同,但FortiSwitch上行不需要單獨建置控制器與管理設備,全數透過FortiGate整合提供。

「無線網路的連線方式有本地轉發(Bridge Model)與集中轉發(Tunnel Model)。內部的無線存取行為主要採本地轉發,不需要經過CAPWAP協議封裝,從基地台上行至交換器後即可到目的位址,如此一來流量就無需通過FortiGate,只有集中轉發的流量才必須經過FortiGate,可避免負載過重的問題。」司馬聰說。

至於集中化政策的派送、韌體更新、SSID變更等設定,可透過FortiManager進行統一執行,同時亦可藉此查看終端用戶的連線行為。此外,還可搭配FortiAnalyzer,提供多種終端用戶使用狀態的統計數據,以及Log分析報表,符合法規遵循的需求。

從基地台的設計來看,支援802.11ac的是FAP-320C與FAP-223C/FAP-221C,以及更低階的Remote AP機種與獨立性產品FortiWiFi。「全產品線的FortiGate都可作為Integrated控制器,相較於Infrastructure產品線,主要特色是無需支付額外基地台的授權費。因為Fortinet本是資安廠商,較一般無線網路供應商的作法不同,只要企業具備控制器功能後,任何一款FortiAP上線立即可用,相較之下,傳統Wi-Fi供應商(包含以往Meru)的作法,客戶除了需建置控制器設備,基地台也得額外收取授權費。」司馬聰強調。 FortiGate則不收取額外的基地台授權費,可說是重要的特點之一。

在Fortinet與Meru合併之後,所有產品線皆有各自不同的定位,符合不同市場的需求,包含適用於小型公司的FortiCloud與FortiWiFi。所謂的Cloud產品線,意即不須自建控制器,FortiSwitch上行直接連線到FortiCloud。主要特性是以Fortinet擅長的安全機制為核心考量設計,所以就把UTM整合到基地台設備,再運用Cloud維運管理。

「我們相較於市場上面對的雲端產品線競爭對手,區隔在於把防火牆功能內建到基地台中,這是非常重要的因素。友商們較強調的仍舊是無線網路連接性,Fortinet則是將資安思維納入。」司馬聰說。當然,對於五人以下的小公司、或營業場所,根本沒有資安方面考量,僅需要連網服務即可,若建置一台FortiGate反而浪費,此時只需一台最簡單的FAP-21D,搭配FortiCloud的授權即可,亦可選擇不配置安全機制。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!