Security Rating در FortiGate؛ چطور از آن برای Hardening استفاده کنیم؟

Security Rating در FortiGate یکی از آن قابلیت‌هایی است که اگر درست استفاده شود، برای hardening بسیار مفید است؛ اما اگر اشتباه فهمیده شود، به یک عدد امتیاز ساده تبدیل می‌شود. هدف این نیست که فقط score بهتر شود. هدف این است که ضعف‌های قابل اصلاح در Security Fabric و تنظیمات FortiGate دیده و اولویت‌بندی شوند.

Fortinet در مستند رسمی FortiGate توضیح می‌دهد که Security Rating با مانیتورینگ real-time، استقرار Security Fabric را تحلیل می‌کند، ضعف‌های احتمالی و best practiceها را نشان می‌دهد و برای Fabric امتیاز محاسبه می‌کند. همین تعریف نشان می‌دهد Security Rating ابزار تصمیم‌سازی است، نه جایگزین بازبینی فنی.

Security Rating دقیقاً به چه درد می‌خورد؟

وقتی چند FortiGate، چند شعبه یا چند بخش امنیتی دارید، پیدا کردن ضعف‌های تکراری سخت می‌شود. Security Rating کمک می‌کند مواردی مثل تنظیمات ضعیف، قابلیت‌های غیرفعال، وضعیت لاگ، firmware، سرویس‌ها و بعضی best practiceها سریع‌تر دیده شوند. این خروجی برای شروع خوب است، چون به تیم فنی یک فهرست اولیه می‌دهد.

اما خروجی آن باید با واقعیت شبکه تطبیق داده شود. ممکن است یک پیشنهاد از نظر best practice درست باشد، ولی اجرای فوری آن روی یک سرویس حساس ریسک قطعی داشته باشد. در نتیجه باید پیشنهادها به تغییرات کم‌ریسک، متوسط و پرریسک تقسیم شوند.

چطور از Security Rating برای hardening استفاده کنیم؟

روش بهتر این است که اول خروجی Security Rating را به دسته‌های عملیاتی تقسیم کنیم: دسترسی مدیریتی، logging، firmware، policy، VPN، admin account، سرویس‌های امنیتی و branchها. بعد برای هر دسته مشخص شود کدام مورد سریع و کم‌ریسک است و کدام نیاز به change window دارد.

برای مثال، اصلاح NTP، بررسی firmware، حذف دسترسی مدیریتی غیرضروری یا فعال‌کردن log روی ruleهای مهم ممکن است در بسیاری از محیط‌ها شروع مناسبی باشد. اما تغییر گسترده policy، security profile یا VPN باید با برنامه rollback انجام شود.

اشتباه رایج: دنبال کردن امتیاز به جای ریسک

اگر تیم فقط دنبال بهتر شدن score باشد، ممکن است تغییراتی انجام دهد که در ظاهر امتیاز را بهتر می‌کند اما ریسک عملیاتی را بالا می‌برد. hardening خوب یعنی کاهش ریسک واقعی با تغییر قابل کنترل. Security Rating باید کمک کند اولویت‌ها دیده شوند، نه اینکه جای تحلیل شبکه را بگیرد.

نقش FortiManager و FortiAnalyzer

در محیط‌های چنددستگاهی، FortiManager هم می‌تواند Security Rating را برای FortiGateهایی که در Security Fabric group هستند نمایش دهد. FortiAnalyzer هم برای گزارش و تحلیل رخدادها نقش مکمل دارد. اگر لاگ و مدیریت مرکزی ناقص باشد، تحلیل Security Rating هم تصویر کامل‌تری نمی‌دهد.

یک مسیر عملی برای شروع

• خروجی Security Rating را export یا مستند کنید.
• موارد را بر اساس ریسک و سختی اجرا دسته‌بندی کنید.
• اصلاحات کم‌ریسک مثل NTP، logging و دسترسی مدیریتی را اول انجام دهید.
• برای تغییرات policy، VPN و security profile برنامه rollback داشته باشید.
• بعد از هر تغییر، دوباره score و لاگ‌ها را بررسی کنید.
• نتیجه را به برنامه hardening دوره‌ای وصل کنید، نه یک بار اجرای مقطعی.

جمع‌بندی عملی

Security Rating در FortiGate ابزار خوبی برای پیدا کردن ضعف‌ها و شروع hardening است، اما نباید به score تقلیل پیدا کند. اگر خروجی آن با وضعیت واقعی شبکه، ریسک سرویس‌ها و برنامه تغییرات ترکیب شود، می‌تواند به یک برنامه hardening قابل اجرا تبدیل شود.

برای بررسی اجرایی‌تر، طراحی امنیت شبکه و هاردنینگ زیرساخت و مشاوره و پیاده‌سازی FortiGate و Security Fabric مرتبط‌اند.

منابع رسمی

• Security Rating در FortiGate Administration Guide
• Security Rating در FortiGate Best Practices
• Security Rating در FortiManager Administration Guide