Как создать комплексную систему безопасности на основе Fortinet Security Fabric API

Как создать комплексную систему безопасности на основе Fortinet Security Fabric API

Открытый и общедоступный API, предназначенный для интеграции продуктов Fortinet с внешними решениями, позволяет пользователям расширять возможности имеющихся компонентов, а также гибко интегрировать сторонние продукты в единую комплексную среду информационной безопасности предприятия.

 

 

 

 

 

 

  1. Введение
  2. Возможности и функции Fortinet Security Fabric API
  3. Работа с Fortinet Security Fabric API
  4. Доступ к API
  5. Примеры использования Fortinet Security Fabric API
  6. Выводы

Введение

Развитие инфраструктуры влечёт за собой и риски в сфере информационной безопасности. Компании вынуждены решать задачи, связанные с расширяющимся фронтом атаки, ростом уровня целевых киберопераций, возрастающей сложностью и неоднородностью аппаратной и программной инфраструктур. Чтобы цифровые инновации принесли желаемые результаты, заказчикам нужна цифровая платформа, которая обеспечит видимость всей имеющейся среды и позволит управлять как информационной безопасностью, так и сетевыми операциями.

Fortinet Security Fabric способна решить эти проблемы, поскольку включает в себя набор интегрированных друг с другом автоматизированных решений, обеспечивающих безопасность сети, доступ к ресурсам с «нулевым доверием», динамическую защиту в облаке и управляемые искусственным интеллектом ИБ-операции. Разработки Fortinet дополнены экосистемой гибко интегрируемых сторонних продуктов, которые закрывают возможные пробелы в безопасности, обусловленные спецификой конкретной компании, и улучшают показатели возврата инвестиций.

 

Рисунок 1. Схема работы Fortinet Security Fabric

Схема работы Fortinet Security Fabric

 

Fortinet Security Fabric позволяет нескольким технологиям обеспечения безопасности работать вместе во всех средах и поддерживать общий источник аналитики угроз на единой консоли. Все компоненты комплексного ИБ-решения управляются сетевой операционной системой FortiOS. Благодаря этому обеспечиваются согласованная настройка и управление политиками каждого отдельного компонента. Такой подход также даёт возможность организовать быстрый и безопасный обмен данными в режиме реального времени через единую инфраструктуру. Это сводит к минимуму время, затрачиваемое на обнаружение и устранение угроз, снижает риски для безопасности, возникающие из-за ошибок конфигурации и ручной обработки данных.

При этом Fortinet Security Fabric не является закрытой экосистемой и позволяет гибко подключать к единой среде защиты и сторонние решения. Продукты других производителей могут обмениваться данными с компонентами Security Fabric, выступая в роли как поставщиков, так и получателей информации. Например, FortiSOAR может запрашивать сведения из внешних баз данных для обогащения информации при расследовании инцидента или же передавать команды реагирования на ИБ-событие сторонней системе, установленной на конечной точке.

 

Рисунок 2. Интеграции экосистемы Security Fabric

Интеграции экосистемы Security Fabric

 

Коннекторы Fortinet Security Fabric обеспечивают связь с более чем 70 партнёрскими решениями, которые можно включить в систему с минимальными усилиями. Если готового коннектора «из коробки» ещё нет, его можно быстро разработать используя встроенный интерфейс для программирования приложений, соответствующий директивам REST, а также готовые DevOps-скрипты. При этом именно API является ключевым элементом, обеспечивающим открытость и универсальность Fortinet Security Fabric — механизмом, который даёт возможность строить на его основе индивидуализированные системы безопасности, отвечающие потребностям конкретной организации.

Возможности и функции Fortinet Security Fabric API

Разрабатывая собственный общедоступный API, инженеры Fortinet ставили своей целью создание открытой экосистемы, призванной объединить различные средства обеспечения безопасности и дать им возможность работать совместно, эффективно обмениваясь информацией в режиме реального времени. Такая экосистема включает в себя несколько категорий интерфейсов, перечисленных далее.

  • Управление. Интерфейсы для развёртывания решений Fortinet и их гибкой интеграции с внешними системами, предназначенными для мониторинга, контроля изменений, выделения ресурсов и инвентаризации.
  • Облако. Специальные интерфейсы, а также виртуализированные среды для связи с облачными платформами и IaaS-решениями.
  • Оркестровка программно определяемых сетей (SDN). Инструменты для организации взаимодействия FortiGate и FortiManager с контроллерами программно определяемых сетей. Применяются для согласования политик безопасности, а также управления логическими и динамическими средами.
  • Конечные точки и IoT. Интеграция FortiSandbox с решениями по защите конечных точек производства сторонних поставщиков. Технология Fortinet для заблаговременного выявления усовершенствованных угроз используется для проведения проверки и анализа, а также обмена данными об угрозах в режиме реального времени.
  • Виртуализация. Обеспечение функций программно определяемых сетей в виртуальных средах и программно конфигурируемых центрах обработки данных.
  • SIEM. Создание единой среды для синхронизации журналов сторонних SIEM-систем с FortiManager и FortiAnalyzer для проведения анализа безопасности, проверки соответствия требованиям, а также формирования отчётов об аудите в режиме реального времени.
  • Управление уязвимостями. Интеграция FortiWeb со сканерами уязвимостей для распространения патчей, устраняющих проблемы безопасности в средах приложений.
  • Операции сети и безопасности. Интерфейсы для получения информации из сторонних баз данных для управления сетевой безопасностью, отслеживания производительности и соответствия.

Работа с Fortinet Security Fabric API

За работу с API отвечает компонент FortiAuthenticator, который предназначен для управления безопасным доступом не только на уровне пользователей, но и применительно к любым внешним подключениям. Посредством API можно решать задачи взаимодействия с компонентами Fortinet Security Fabric, такие как получение, передача или изменение данных. Приложения взаимодействуют с REST API через HTTP — типовой протокол для работы с веб-страницами — или через формат передачи данных SOAP / XML.

 

Рисунок 3. Форматы интеграции Fortinet Security Fabric

Форматы интеграции Fortinet Security Fabric

 

Работа API основана на взаимодействии с определённой статической веб-страницей. Интерфейс позволяет выполнять следующие операции:

  • Добавление данных на страницу (POST).
  • Получение данных со страницы (GET).
  • Обновление данных на странице (PUT).
  • Частичное обновление данных (PATCH).
  • Удаление данных с веб-страницы (DELETE).

Получив API-запрос, FortiAuthenticator отправляет обратно код ответа HTTP.

Доступ к FortiAuthenticator API не требует приобретения дополнительных компонентов и лицензирования, однако по умолчанию сервер отключён и требует настройки. Чтобы работать с API, пользователь должен обладать правами администратора и иметь доступ к веб-сервису. Также потребуется действующий адрес электронной почты, куда будет отправлен ключ вызова API.

Доступ к FortiAuthenticator API можно получить из большинства браузеров, поддерживающих запросы GET, однако для части операций, таких как метод PUT, могут потребоваться дополнительные расширения. Более сложные сценарные запросы можно выполнять с помощью утилит наподобие cURL. Кроме того, в большинстве скриптовых языков, например Perl или Python, есть встроенные библиотеки для взаимодействия с RESTful API.

API поддерживает фильтрацию результатов запроса при помощи аргументов вида «format» (возвращает данные в виде XML или JSON), «limit» (ограничивает количество возвращаемых записей), «offset» (указывает количество элементов в списке ресурсов, которые нужно пропустить) и «order» (сортирует список по определённому полю). Кроме того, API обладает возможностью поиска точного соответствия тому или иному вхождению либо же элемента, соответствующего множественным критериям. Для удобства работы и формирования длинных списков можно установить число записей, выводимых на одну страницу. По умолчанию этот параметр равен 20, но программным запросом возможно увеличить это значение до 1000 записей на одну страницу.

Доступ к API

Для доступа к Fortinet Security Fabric REST API не требуется дополнительная лицензия. Программный интерфейс снабжён подробной документацией с примерами наиболее общеупотребимых запросов, что существенно облегчает разработку собственных коннекторов и интеграцию сторонних решений в открытую экосистему безопасности Fortinet.

Документация доступна на всех уровнях подписки Fortinet Developer Network — сообщества разработчиков, помогающего администраторам и опытным пользователям расширять возможности продуктов Fortinet. Уже на бесплатном уровне «Basic» разработчики получают электронную версию руководства пользователя и доступ к базе знаний, сформированной из ответов на вопросы других участников программы.

 

Рисунок 4. Интерфейс Fortinet Developer Network

Интерфейс Fortinet Developer Network

 

Примеры использования Fortinet Security Fabric API

Одним из базовых сценариев использования API экосистемы Fortinet Security Fabric может служить поддержка среды самообслуживания для клиентов MSSP.

Используя JSON API, разработчики могут создать свой собственный web-портал, ориентированный на клиентов, и получать необходимые данные из FortiManager, чтобы заполнить свои собственные шаблоны веб-страниц. API поддерживает получение информации, а также выполнение действий, таких как отправка политик, перезагрузка устройства, очистка счетчиков и т. д.

 

Рисунок 5. Пример загрузки политик с использованием API

Пример загрузки политик с использованием API

 

Другой распространенный сценарий предполагает использовании API «песочницы» FortiSandbox. Такая интеграция дает возможность создания шлюза передачи данных между защищенными сегментами сети, когда файл с помощью скрипта проверяется на неизвестные угрозы в FortiSandbox, а затем, если он чистый, копируется в указанную директорию.

 

Рисунок 6. Пример использования FortiSandbox API

Пример использования FortiSandbox API

 

В рамках этой же интеграции можно настроить передачу файлов или ссылок с любого другого источника, например, с мессенджеров Telegram, WhatsApp, электронной почты и файловых хранилищ.

Существует огромное количество других примеров использования Fortinet API для интеграции с другими системами такими как СКУД, охранные системы, решения централизованного управления и мониторинга, сервисы работы с инцидентами и другие ИБ-продукты.

Выводы

С точки зрения специалистов по безопасности постоянно вводимые цифровые инновации приводят ко множеству инфраструктурных изменений. Пользователи становятся значительно более мобильными и могут подключаться к сети из мест, которые не контролируются корпоративной системой информационной безопасности. При этом сотрудники компании способны напрямую взаимодействовать с облачными сервисами, чтобы работать с распространёнными бизнес-приложениями, такими как Office 365. Количество IoT-оборудования превышает число конечных точек, управляемых людьми, сами устройства интернета вещей зачастую расположены в удалённых и труднодоступных для контроля местах. Довершают картину территориально удалённые филиалы, самостоятельно работающие с облачными сервисами и мобильными операторами минуя корпоративные системы безопасности.

Все эти изменения делают концепцию жёсткого контура защиты устаревшей и требуют от поставщиков облачных услуг принятия новой стратегии многоуровневой, всесторонней безопасности. Концепция Fortinet Security Fabric охватывает всю инфраструктуру организации, сегментируя сеть начиная от устройств интернета вещей (IoT) и заканчивая облачной средой, чтобы обеспечить высокоэффективную защиту от изощрённых угроз.

Однако любое моновендорное решение, какими бы развитыми возможностями оно ни обладало, неспособно удовлетворить всё разнообразие потребностей потенциальных заказчиков. Для гибкой подстройки всего комплекса ИБ-компонентов, применяемых для защиты компании от киберугроз, Fortinet использует идеологию открытой среды безопасности, одним из ключевых элементов которой является общедоступный API.

С одной стороны, программный интерфейс даёт возможность повышать эффективность работы ИБ-компонентов от Fortinet — получать дополнительную информацию из внешних источников, передавать запросы и получать ответы из других приложений, синхронизировать журналы работы. С другой стороны, открытый подход позволяет интегрировать в общую среду, управляемую из единой консоли, решения других вендоров, расширяя таким образом возможности системы защиты, индивидуализируя её для конкретных условий конкретного предприятия. В ряде случаев это решает вопрос использования специализированных наложенных средств безопасности, не всегда предлагающих готовые средства взаимодействия с внешними разработками.

Важно, что механизм интеграции Fortinet Security Fabric строится на директивах REST. Это значительно упрощает создание коннекторов — по сути, такая задача становится по плечу любому опытному пользователю, обладающему базовыми навыками программирования. Таким образом, наличие открытого механизма интеграции сторонних решений значительно расширяет возможности Fortinet Security Fabric и позволяет создавать на её базе комплексные ИБ-решения, уникальные для каждого предприятия.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru