FortiManager 7.6 – zaawansowane doświadczenie w zarządzaniu siecią.

FortiManager to platforma do zarządzania urządzeniami Fortinet, umożliwiająca konfigurację i utrzymanie rozległych infrastruktur składających się z FortiGate, FortiSwitchy, FortiAP, czy też FortiExtender. FortiManager pozwala na zbiorczą konfigurację polityk dostępowych, obiektów, szablonów portów dla przełączników oraz szablonów ustawień dla Access Pointów. Dzięki FortiManager możemy też tworzyć szablony wdrożeniowe, których używa się tworząc infrastrukturę Fortinet SD-WAN – dzięki nim możliwe jest ZTP (Zero Touch Provisioning) i bezobsługowe wdrażanie kolejnych szprych topologii hub and spoke. Od kilku miesięcy dostępna jest najnowsza wersja 7.6, która niesie szereg poprawek i udoskonaleń.

Jakie są najważniejsze oraz najciekawsze i jak wyglądają w kontekście uruchamiania i zarządzania środowiskiem Fortinet Secure SD-WAN?

Zmiany w szablonach wdrożeniowych

Szablony wdrożeniowe są aktualnie głównym (choć nie jedynym) sposobem wdrażania i zarządzania SD-WANem. Szablony dotykają konfiguracji tuneli IPsec, routingu BGP, czy samych polityk SD-WAN. Korzystają z nich urządzenia zarówno w trakcie onboardingu, jak i później – podczas normalnej pracy. Nadrzędny szablon, który częściowo konfiguruje pozostałe – Overlay Template, zyskał bezpośrednią integrację z szablonami certyfikatów oraz szablonami tras statycznych.

Co to oznacza dla administratora?

Kilka kliknięć, żeby zabezpieczyć tunele IPsec certyfikatem (który może być automatycznie podpisany przez lokalne CA) oraz automatyczne tworzenie potrzebnych statycznych tras routingu (należy pamiętać, że dynamiczny routing BGP zadziała dopiero w momencie uruchomienia tuneli IPsec i następnie uruchomienia samych sesji BGP).

Możliwość budowania bardziej złożonych architektur

Do tej pory FortiManager w ramach Overlay Template zapewniał wsparcie dla najpopularniejszych topologii SD-WAN – złożonych z pojedynczego lub podwójnego huba (centralnego węzła, który agreguje szyfrowane tunele ze zdalnych lokalizacji). FortiManager 7.6 pozwala na bardziej rozbudowane instalacje, które mogą zawierać nawet do 4 hubów.

Oprócz tworzenia więszkej ilości hubów, FortiManager umożliwia tworzenie większej ilości grup urządzeń podłączonych do huba (branch group). Dla poszczególnej grupy można wykorzystywać osobne ustawienia i zmienne dot. interfejsów WAN lub rozgłaszanych sieci. Zyskujemy tym większą elastyczność w różnicowaniu konfiguracji naszych urządzeń.

Segmentacja w ramach jednej warstwy nakładkowej

Na FortiManager 7.6, konfiguracje SD-WAN, VPN i BGP, obsługują segmentację warstwy 3 w ramach pojedynczej warstwy nakładkowej. Dzięki temu możliwe jest zbudowanie architektury SD-WAN ze wspólnym hubem i urządzeniami jednostek zdalnych, z których korzystać będą różne firmy lub klienci, których w łatwy sposób będzie można odseparować. Każdy z nich może korzystać z osobnego VRF.

Obsługa ADVPN 2.0

ADVPN pozwala na komunikację tzw. szprych, czyli zdalnych lokalizacji ze sobą. W ramach tej komunikacji tworzony jest bezpośredni tunel pomiędzy nimi, jednak do jego zawiązania potrzebny jest hub. FortiOS 7.4 wprowadził ADVPN 2.0, który dzięki wiadomościom Expand IKE Shortcut-Reply dostarcza informację o połączeniu WAN drugiej strony i pozwala uniknąć huba w negocjacji i nawiązywaniu bezpośredniego połączenia pomiędzy szprychami naszej infrastruktury.

Walidacja danych w skryptach

Do tej pory FortiManager nie przewidywał opcji sprawdzania poprawności tworzenia skryptów. W wersji 7.6 pojawiła się opcja walidacji (skrypt walidować można pod kątem konkretnej platformy). Ta funkcjonalność znacząco przyspiesza proces tworzenia skryptów i zmniejsza ryzyko błędów ludzkich.

FortiAI

Nowa wersja FortiManagera przyniosła również implementację wirtualnego asystenta, bazującego na sztucznej inteligencji – FortiAI.

Co on potrafi?

Na bazie danych z podłączonych FortiGate możliwa jest analityka dot. urządzeń IoT i wskazanie potencjalnie podatnych urządzeń oraz generowanie raportów. FortiAI potrafi również wygenerować skrypt CLI lub skrypt Jinja na podstawie słownego polecenia. Inny przykład zastosowania to tworzenie tuneli IPsec np. na podstawie przesłanego rzutu topologii oraz późniejsza ich diagnostyka.

Co jeszcze?

Oprócz powyższych, w nowej wersji FortiManagera pojawil się szereg mniejszych udoskonaleń – nowe widżety Wan Optimization Monitor, Cache Monitor, wykrywanie klastrów FortiGate w trybie MVC (czyli takich, gdzie urządzenia posiadają różne wersje firmware), poprawiona integracja z FortiNDR, czy też nowy tryb zrzutu ekranu polityk (polityki są zapisywane jako obraz np. dla celów tworzenia dokumentacji) . W kwestii polityk – opcja „znajdź nieużywane polityki” potrafi teraz znalezione reguły wyłączać, natomiast podgląd zmian w politykach zyskał opcję podglądu jako linie CLI, które zostaną wykonane.

Nie są to oczywiście wszystkie nowości, pokazują one jednak, że FortiManager jest dynamicznie rozwijany, a nowe funkcjonalności zwiększają efektywność zarządzania siecią i poprawiają bezpieczeństwo. Sama technologia Fortinet Secure SD-WAN, stała się jeszcze bardziej zautomatyzowana i łatwiejsza w obsłudze.