چک‌لیست آمادگی Security Fabric در FortiGate قبل از اجرا

قبل از اجرای Security Fabric در FortiGate بهتر است چند سؤال ساده اما تعیین‌کننده جواب داشته باشد. آیا root FortiGate درست انتخاب شده؟ آیا FortiAnalyzer لاگ کافی می‌گیرد؟ آیا نسخه FortiOS و FortiGuard روی دستگاه‌ها وضعیت قابل قبولی دارد؟ آیا policyها و objectها قابل فهم‌اند؟ اگر این سؤال‌ها روشن نباشند، فعال‌سازی Fabric معمولاً خروجی تمیزی نمی‌دهد.

در مستند رسمی Fortinet، Security Fabric به عنوان معماری هماهنگ بین اجزای امنیتی معرفی می‌شود؛ یعنی قرار نیست فقط یک گزینه روشن شود. برای همین چک‌لیست قبل از اجرا باید هم فنی باشد، هم عملیاتی.

۱. انتخاب root FortiGate

root FortiGate باید دستگاهی باشد که دید مرکزی و مسیر مدیریتی قابل اعتماد دارد. انتخاب دستگاهی که فقط قوی‌تر است، همیشه درست نیست. باید route، HA، VDOM، نسخه FortiOS، DNS، NTP، دسترسی مدیریتی و ارتباط با FortiAnalyzer بررسی شود.

۲. آماده بودن FortiAnalyzer

Fabric بدون لاگ قابل اتکا، ارزش محدودی دارد. قبل از اجرا باید مشخص باشد چه لاگ‌هایی ارسال می‌شوند، retention چقدر است، زمان دستگاه‌ها sync است یا نه، و گزارش‌های مورد نیاز تیم فنی از FortiAnalyzer قابل استخراج هستند یا نه.

۳. وضعیت FortiManager و کنترل تغییرات

اگر چند FortiGate در شبکه دارید، FortiManager می‌تواند مدیریت policy و configuration را منظم‌تر کند. اما قبل از ورود FortiManager باید فرایند approve، deploy window، rollback و مسئولیت تغییرات روشن باشد. مدیریت مرکزی بدون نظم تغییرات، خطا را سریع‌تر پخش می‌کند.

۴. تمیز بودن policyها و objectها

قبل از Fabric، ruleهای قدیمی، objectهای تکراری، ruleهای temporary، دسترسی‌های vendor و ruleهای بدون لاگ باید بررسی شوند. Fabric قرار نیست policy بد را خوب کند؛ فقط اثر آن را در سطح بزرگ‌تری نشان می‌دهد.

۵. استاندارد شعب و downstream FortiGateها

در شبکه چندشعبه‌ای، هر branch باید حداقل baseline داشته باشد: نسخه مجاز FortiOS، نام‌گذاری استاندارد، NTP، DNS، logging، backup، دسترسی remote و policyهای پایه. اگر هر شعبه سبک خودش را داشته باشد، troubleshooting Fabric زمان زیادی می‌گیرد.

۶. سازگاری نسخه‌ها و سرویس‌ها

برخی قابلیت‌های Fabric به نسخه FortiOS، مدل دستگاه و وضعیت سرویس‌ها وابسته‌اند. قبل از اجرا باید ماتریس ساده‌ای از مدل‌ها، نسخه‌ها، FortiGuard، FortiAnalyzer و FortiManager آماده شود. این کار جلوی بخشی از خطاهای عجیب و زمان‌بر را می‌گیرد.

۷. خروجی قابل اندازه‌گیری

قبل از پروژه باید بدانیم موفقیت یعنی چه: کاهش زمان عیب‌یابی، کامل شدن لاگ شعب، دید بهتر روی endpoint، استاندارد شدن policyها، آماده شدن Security Rating، یا کنترل مرکزی تغییرات. اگر خروجی مشخص نباشد، پروژه از نظر ظاهری تمام می‌شود ولی ارزش عملیاتی آن معلوم نیست.

چک‌لیست کوتاه قبل از اجرا

• root FortiGate و دلیل انتخاب آن مشخص است.
• FortiAnalyzer آماده دریافت، نگهداری و گزارش‌گیری لاگ است.
• نسخه FortiOS و وضعیت FortiGuard دستگاه‌ها بررسی شده است.
• NTP، DNS، route و دسترسی مدیریتی پایدار است.
• policyها، objectها، NAT و VPN قبل از توسعه Fabric مرور شده‌اند.
• برای branchها baseline حداقلی تعریف شده است.
• مسئولیت تغییرات بین FortiGate، FortiManager و تیم عملیات روشن است.
• شاخص موفقیت پروژه قبل از اجرا نوشته شده است.

از چک‌لیست به اجرا

اگر چند مورد از این چک‌لیست مبهم است، بهتر است اجرای Fabric به دو فاز تقسیم شود: اول مرتب کردن FortiGate، policy، لاگ و branchها؛ بعد فعال‌سازی و توسعه Fabric. برای مسیر خدماتی، صفحه مشاوره و پیاده‌سازی FortiGate و Security Fabric نقطه شروع مستقیم‌تر است. برای نگاه عمومی‌تر هم طراحی امنیت شبکه و هاردنینگ زیرساخت و پیاده‌سازی فایروال سازمانی مرتبط‌اند.

منابع رسمی برای بررسی بیشتر

• Fortinet Security Fabric در FortiOS Administration Guide
• Deploying the Security Fabric در FortiGate Administration Guide
• Security Fabric در FortiAnalyzer Administration Guide
• Using FortiManager with FortiAnalyzer در مستند رسمی Fortinet