Fortinet DLP-Rezension und Alternativen
Fortinet ist auf Systemsicherheit spezialisiert und besonders stark bei seinen Firewall-Produkten. Fortinet bietet Firewalls sowohl als Netzwerk-Appliances als auch als Cloud-Dienste an. Die Cloud-Bereitstellung von Firewalls wird als bezeichnet Firewall-as-a-Service . Dieses Produktmodell führt Fortinet in den Bereich der Edge-Services. Das Unternehmen bietet außerdem softwaredefinierte Weitverkehrsnetze (SD-WANs) und Secure Access Service Edge (SASE)-Produkte an.
Verhinderung von Datenverlust (DLP) beinhaltet den Schutz sensibler Daten vor Diebstahl oder versehentlicher Offenlegung. Fortinet bietet drei Produkte an, die einen teilweisen DLP-Dienst bereitstellen. Diese sind:
Was ist ein Datenverlust?
Die Verhinderung von Datenverlust ist eng damit verbunden Datenschutzstandards . Darüber hinaus können Datenlecks peinlich oder unangenehm sein. Im Gegensatz zu einem Ransomware-Angriff hindert dieses Ereignis das Unternehmen jedoch nicht daran, seine Geschäftstätigkeit fortzusetzen.
Abhängig von der Art der gestohlenen Daten kann ein Datenleck schwerwiegende Folgen haben. Dies liegt an Industriestandards und auch Gesetzgebung von Regierungen . Diese Regeln schaffen Datenschutzstandards. Bei gesetzlich vorgeschriebenen Standards können Unternehmen wegen der Offenlegung von Daten mit einem Bußgeld belegt werden. Im Falle von Branchenstandards kann es passieren, dass Unternehmen von Ausschreibungen ausgeschlossen werden, wenn sie den Standard nicht einhalten. In beiden Fällen können Kunden, deren Daten gestohlen wurden, Schadensersatz verlangen. Ein Datenleck kann auch den Ruf eines Unternehmens schädigen und Kunden verlieren.
Die Art der Daten, die geschützt werden müssen, hängt davon ab wo das Unternehmen tätig ist und das Geschäftsart Es ist beteiligt. Einige Standards gelten für bestimmte Regionen der Welt, beispielsweise für Länder oder Staaten. Es gibt weitere Standards, die von der Industrie für bestimmte Informationen festgelegt werden, beispielsweise für Gesundheitsdaten oder Zahlungskarteninformationen. In allen Fällen handelt es sich bei den zu schützenden Daten um Privatpersonen. Wenn sich diese Informationen auf Personen in ihrem Beruf beziehen, fallen sie nicht unter die Datenschutzstandards.
Natürlich würdest du deine nicht wollen geistiges Eigentum oder Geschäftsgeheimnisse, wie z. B. Kundenlisten oder variable Preisvereinbarungen, gegenüber Wettbewerbern preisgegeben werden. Daher müssen auch diese Informationen geschützt werden.
Datenweitergabe kann sein zufällig oder das Ergebnis von ein Diebstahl . Beispielsweise könnte die vorsätzliche Datenaneignung durch Diebe, einen Einbruch in das System oder durch Insider, die dem Unternehmen schaden oder durch den Verkauf der gestohlenen Daten Profit machen wollen, angestiftet werden.
Wie funktioniert die Verhinderung von Datenverlust?
Es gibt zwei Möglichkeiten, Daten zu schützen: im Ruhezustand Und in Bewegung .
Schutz ruhender Daten
Beim Schutz vor Datendiebstahl geht es zunächst darum, zu ermitteln, welche Daten geschützt werden müssen – das nennt man heikle Informationen – und wo es ist. Der nächste Schritt besteht darin Zugriff kontrollieren zu diesen Daten. Dies kann eine Feinabstimmung der Zugriffsrechteverwaltung umfassen und auch den Dateischutz durchsetzen Verschlüsselung .
Schutz der Daten in Bewegung
Es kann zu Datenübertragungen kommen über das Internet . Allerdings kann auch die Bewegung von Daten innerhalb eines Netzwerks ein Problem darstellen. Sobald sensible Daten verschoben werden kontrollierte Standorte , es kann einfacher sein, es zu stehlen. Neben der Übertragung von Daten aus dem Netzwerk mit Dateiübertragungssystemen können Daten auch im Text von E-Mails oder als Anhänge nach außen dringen. Es kann auch ausgedruckt oder auf einen USB-Stick kopiert und aus dem Büro mitgenommen oder per Fax versendet werden.
Wie funktioniert Fortinet DLP?
Bei den drei Fortinet-Produkten, die DLP implementieren, handelt es sich um alle Arten von Firewalls. Diese Dienste bieten beides Forward- und Reverse-Firewall Funktionen. Eine herkömmliche Firewall prüft eingehenden Datenverkehr aus dem Internet, bevor er in das Netzwerk zugelassen wird. Eine Reverse-Firewall überwacht die Daten, die vom Netzwerk ins Internet gelangen.
Die Reverse-Firewall ist der ideale Ort, um die Übertragung sensibler Daten aus dem Netzwerk zu blockieren. Zu den drei Fortinet-Systemen, die DLP implementieren, gehören FortiGate und FortiProxy Netzwerkgeräte FortiSASE ist ein cloudbasiertes System .
Das Fortinet-System erfordert, dass die Anwendungen, die über das Internet kommunizieren, ihre Daten teilen Verschlüsselungsschlüssel mit der Firewall. Ohne diesen Mechanismus wäre die Firewall nicht in der Lage, ausgehende Paketinhalte zu scannen.
Alle sicheren Systeme über das Internet den Inhalt verschlüsseln der Pakete, aber nicht die Paket-Header. Der am weitesten verbreitete Dienst für diese Verschlüsselung ist SSL Transportschichtsicherheit (TLS), normalerweise mit RSA-Verschlüsselung . Die Methode hinter TLS besteht darin, dass eine Verschlüsselung angewendet wird Ende zu Ende, und der Webbrowser verwaltet die Clientseite.
Der Browser verschlüsselt Daten mit dem ihm vom Webserver übermittelten Verschlüsselungsschlüssel und Daten kann nicht entschlüsselt werden mit dem Verschlüsselungsschlüssel, und nur der Remote-Server verfügt über diesen Schlüssel. Wenn ein Browser eine HTTPS-Verschlüsselung erstellt, ist TLS zum Schutz der Paketinhalte in Kraft, was es der Reverse-Firewall unmöglich machen würde, Paketinhalte nach sensiblen Daten zu durchsuchen.
Fortinet Deep Packet Inspection für DLP
FortiGate schützt Verbindungsclients und FortiProxy dient dem Schutz von Webservern. Endlich, FortiSASE erstellt ein sicheres Netzwerk, das alle Standorte und Cloud-Ressourcen eines Unternehmens vereint.
FortiProxy-Operationen
Die Aufgaben zum Erstellen einer HTTPS-Verbindung mit FortiProxy sind unkompliziert, da die Firewall dies erledigt SSL-Offloading . Das FortiProxy-Gerät übernimmt die Verantwortung für die Verwaltung der Verbindungssicherheit vom Webserver – ihm handelt die Verschlüsselung aus mit den Remote-Clients und verfügt daher sowohl über den Verschlüsselungs- als auch den Entschlüsselungsschlüssel.
Der gesamte Datenverkehr, der den Webserver verlässt, wird über die FortiProxy-Einheit geleitet. Das scannt alle Paketinhalte, die im Klartext ankommen, genannt Deep Packet Inspection (DPI). Der Dienst sucht nach Datenmustern, die angeben sensible Daten , wie z. B. Layouts für Sozialversicherungsnummern und Kreditkartennummern.
Wenn ein Paket keine Übereinstimmung mit einem sensiblen Datenformat enthält, wird die Firewall verschlüsselt es und sendet es an den Kunden.
FortiGate-Operationen
FortiGate schützt ein typisches Büronetzwerk, in dem der meiste Internetverkehr von Clients (normalerweise Webbrowsern) initiiert wird. innerhalb des Netzwerks , Kommunikation mit Remote-Webservern, Diktieren der Verschlüsselungsschlüssel .
FortiGate muss Kunden zum Betrieb zwingen HTTP, so dass ausgehende Pakete ankommen Klartext . Die Firewall führt DPI durch und sucht nach sensiblen Datenformaten. Wenn keine gefunden werden, verschlüsselt sie das Paket und sendet es als HTTPS . Wenn eine Antwort eingeht, entschlüsselt die Firewall sie, scannt den Inhalt und leitet sie dann, wenn alles in Ordnung ist, im Klartext über das Netzwerk an den Browser weiter.
FortiSASE-Operationen
FortSASE fungiert als ein Knotenpunkt, Daher muss der gesamte ein- und ausgehende Datenverkehr aller Standorte über den Remote-FortiSASE-Server geleitet werden. Damit dieser Dienst DPI ausführen kann, muss der gesamte Datenverkehr ihn durchlaufen unverschlüsseltes Format . Diese Pakete müssen das Internet durchqueren, um zum FortiSASE-Server zu gelangen. Verlassen der Datennutzlast im Klartext ist keine Option.
FortiSASE wird eingerichtet ein VPN mit jeder Website. Somit wird der gesamte Datenverkehr, der von einem Standort ausgeht, über das VPN geleitet, das eine Verschlüsselung anwendet. Der FortiSASE-Server entschlüsselt ankommende Pakete und führt DPI durch, um nach sensiblen Daten zu suchen.
Wenn der Datenverkehr für eine andere Site bestimmt ist, könnte der Dienst ihn je nach Sicherheitsrichtlinie entweder weiterleiten oder blockieren, wenn sensible Daten erkannt werden. Wenn Datenverkehr zwischen Standorten übertragen wird, leitet FortiSASE ihn an seinen Zielstandort weiter ein anderes VPN Verbindung. Wenn der Datenverkehr aus dem SASE-Netzwerk fließt, wird die Firewall aktiviert verschlüsselt es mit den entsprechenden Systemen, wie zum Beispiel SSL, und sendet es weiter.
Probleme mit Fortinet DLP
Bei Fortinet-Produkten, die DLP ausführen, muss diese Funktion im Bedienfeld des Geräts oder Dienstes aktiviert sein – das ist der Fall nicht angefangen automatisch. In den Geräteeinstellungen wird die DLP-Funktion aufgerufen SSL/SSH-Inspektion .
Die Fortinet-Methode zur Überprüfung Ausgehender Internetverkehr für sensible Daten schützt nur einen Ausgangspunkt für Daten. Es steuert keine USB-Laufwerke und prüft nicht die Drucker- oder Faxaktivität. Der Dienst implementiert auch keine Überwachung der Dateiintegrität und identifiziert auch keine vertraulichen Daten im Ruhezustand. Somit fehlt dieser Lösung ein großer Teil der zur Vorbeugung eingesetzten Techniken versehentliche Offenlegung , Insider-Bedrohungen , oder Kontoübernahme .
Für einen Hacker ist es auch einfach herauszufinden, wie er den Fortinet-DPI-Dienst umgehen kann. Beispielsweise sucht der Scanner einfach nach ein Datenformat , wie zum Beispiel eine typische Kreditkartennummernfolge. Um diesen Prozess zu täuschen, müsste der Hacker lediglich die Zahl in zwei Teile teilen, jede Zahl in einen entsprechenden Buchstaben umwandeln und die beiden Hälften im Abstand von zwei Minuten versenden, und er würde die Inspektion überstehen.
Daher ist Fortinet DLP eine optionale Funktion eines teuren Systems, das normale Prozesse zum Schutz des Internetverkehrs erschwert und leicht getäuscht werden kann. Außerdem handelt es sich nur um eine Teil-DLP-Lösung.
Stärken und Schwächen von Fortinet DLP
Wir können beim Fortinet-System mehr Schwächen als Stärken finden.
Vorteile:
- Kombinierbar mit anderen Firewall- und Reverse-Firewall-Diensten
- Es wird in drei Firewall-Szenarien angeboten
- Blockiert die Übermittlung sensibler Daten über das Internet
Nachteile:
- Erschwert etablierte und erfolgreiche Datenverschlüsselungsroutinen
- Erfordert Daten, um das Netzwerk im Klartext zu verbreiten
- Sucht nur nach einer begrenzten Anzahl sensibler Datenformate
- Arbeitet nur auf Paket-für-Paket-Basis
- Es schützt keine sensiblen Daten im Ruhezustand
- Steuert keine Wechselspeichergeräte, Drucker oder Faxgeräte
- Die Zugriffsrechteverwaltung wird dadurch nicht verfeinert
Alternativen zu Fortinet DLP
Andere DLP-Dienste sind in Firewalls implementiert und viele Pakete decken alle Aspekte von DLP ab.
Unsere Methodik zur Auswahl einer Fortinet DLP-Alternative
Wir haben den Markt für Data Loss Prevention-Systeme untersucht und die Optionen anhand der folgenden Kriterien analysiert:
- Ein Dienst zur Erkennung und Klassifizierung sensibler Daten, der auf spezifische Standardanforderungen zugeschnitten werden kann
- Erkennung und Klassifizierung sensibler Daten
- Prüfung der Zugriffsrechteverwaltung
- Verwaltung der Dateiintegrität
- Steuert die gesamten Datenexfiltrationspunkte
- Aktivitätsverfolgung für Benutzer
- Eine kostenlose Testversion oder ein Demokonto für eine kostenlose Beurteilung
- Preis-Leistungs-Verhältnis mit einem angemessenen Preis für ein umfassendes DLP
- Unter Berücksichtigung dieser Kriterien haben wir einige gute Konkurrenten von Fortinet im Bereich Datenverlustprävention identifiziert
Hier ist unsere Liste der fünf besten Alternativen zu Fortinet DLP:
- ManageEngine Endpoint DLP Plus (KOSTENLOSE TESTVERSION) Dieses Paket wird auf Windows Server heruntergeladen und filtert Aktivitäten auf Endpunkten, anstatt sich an der Grenze des Netzwerks zu befinden. Das System erstreckt sich auf die Steuerung von USB-Anschlüssen und erzwingt Datenverwaltungsrichtlinien für Transaktionen wie Dateiübertragungen und E-Mail. Es blockiert nicht alle Datenbewegungen, sondern passt sie entsprechend den Zugriffsberechtigungen an. Greifen Sie auf eine 30-tägige kostenlose Testversion zu.
- Palo Alto Enterprise DLP Dies passt gut zu Fortinet DLP, da es von hier aus betrieben wird die Firewall . Der Dienst kann Ausgehende Übertragungen blockieren von sensiblen Daten, kontrolliert jedoch keine Drucker, Faxgeräte oder USB-Wechselspeicher. Dieses System sucht nach sensiblen Daten und klassifiziert diese. Dieser Dienst ist in ein Netzwerkgerät integriert.
- Endpunktschutz Ein vollständiger DLP verwendet Endpunktagenten für Windows , Mac OS , Und Linux um Endpunkte zu scannen, sensible Daten (PII, Kreditkartendaten, PHI und IP) zu identifizieren und Peripheriegeräte zu steuern. Angeboten als SaaS-Plattform , als Service auf AWS , GCP , oder Azurblau , oder als virtuelle Appliance vor Ort. Darüber hinaus können Sie darauf zugreifen ein Demosystem .
- Zscaler DLP A SASE-Dienst das lokale Datenspeicher als Cloud-Speicher behandelt; Daher müssen selbst Benutzer im selben Netzwerk die Zscaler-Steuerelemente durchlaufen, um darauf zuzugreifen. Dieser DLP überwacht keine Peripheriegeräte, kann jedoch alle Aktivitäten protokollieren sensible Daten und blockieren Sie es bei Bedarf. Du kannst Eine Demo anfordern um zu sehen, wie Zscaler funktioniert.
- Digital Guardian DLP A SaaS-Plattform verwendet Endpunktagenten für Windows , Mac OS , Und Linux Implementierung der Datenermittlung und -klassifizierung für personenbezogene Daten und geistiges Eigentum. Dieses System steuert USB-Geräte, Drucker, Faxgeräte, Dateiübertragungssysteme, Messaging-Dienste und E-Mails. Darüber hinaus können Sie zugreifen ein Demokonto um diesen Service zu beurteilen.