Sora Yazılım
Deutsch
Maßgeschneiderte Softwarelösungen aus der Türkei

FortiGate CNF: Leitfaden zur Azure Cloud-Native Firewall (2026)

FortiGate CNF (Cloud-Native Firewall) ist der als SaaS bereitgestellte Next-Generation-Firewall-Dienst (NGFW) von Fortinet für Cloud-Umgebungen. Er schützt in Clouds wie Azure betriebene Workloads, ohne dass Sie Infrastruktur aufbauen oder die Netzwerkarchitektur neu gestalten müssen; Funktionen wie IPS, Web-Filterung, DNS-Sicherheit und SSL-Inspektion werden nach dem Pay-as-you-go-Modell bereitgestellt. Fortinet verwaltet Aktualisierungen, Patches und die Skalierung selbst.

Was ist FortiGate CNF?

FortiGate CNF ist ein Firewall-as-a-Service-Ansatz, der für vollständig in der Cloud betriebene Workloads konzipiert ist. Anstatt wie bei einer herkömmlichen Firewall ein Gerät oder eine virtuelle Maschine zu verwalten, betreibt Fortinet die Infrastruktur und Sie konzentrieren sich ausschließlich auf die Sicherheitsrichtlinien.

Mit zunehmender Cloud-Adoption erwarten Sicherheitsteams in der Cloud eine ebenso starke Kontrolle wie im Rechenzentrum; die dynamische Natur der Cloud stellt jedoch die herkömmlichen Firewall-Modelle vor Herausforderungen. Das manuelle Dimensionieren virtueller Maschinen, das Einrichten hoher Verfügbarkeit und das Routing des Datenverkehrs kosten Zeit. FortiGate CNF beseitigt diese Last: NGFW-Funktionen werden als Cloud-Dienst bereitgestellt, die Kapazität skaliert automatisch und die Wartung übernimmt Fortinet.

CNF baut auf dem ausgereiften FortiOS-Sicherheitsstack von Fortinet auf; das heißt, in der Cloud erhalten Sie dieselbe Threat-Intelligence und Inspektionsqualität wie im Rechenzentrum. Sora Yazılım integriert diesen Dienst als autorisierter Fortinet-Channel-Partner mit einem NSE-4-7-zertifizierten Team in die Cloud-Architektur von Unternehmen. Das gesamte Markenportfolio finden Sie auf unserer Seite zu Fortinet-Lösungen.

FortiGate CNF ist Teil der Security-Fabric-Architektur von Fortinet. Das bedeutet, dass die Cloud-Firewall nicht als isolierte Insel arbeitet, sondern als integrierte Schicht, die mit den übrigen Sicherheitskomponenten des Unternehmens (FortiGate, FortiAnalyzer, FortiClient) kommuniziert. Richtlinienverteilung und Ereigniskorrelation über eine einzige Konsole sorgen für eine konsistente Sicherheitslage zwischen Cloud- und On-Premises-Umgebungen.

Wie funktioniert es in Azure?

In Azure-Umgebungen wird cloud-native Sicherheit über den FortiGate-CNF-Dienst oder durch die Positionierung von FortiGate-VM im Modus für hohe Verfügbarkeit und Skalierbarkeit (Azure Virtual Machine Scale Sets) bereitgestellt. Der Datenverkehr wird über Azure Load Balancer und Route Server/benutzerdefinierte Routen (UDR) zur Sicherheitsschicht geleitet.

In einer cloud-nativen Architektur besteht das Ziel darin, den aus mehreren virtuellen Netzwerken (VNet) ausgehenden Datenverkehr durch eine zentrale Sicherheitsschicht zu leiten. Dies wird meist mit einer Hub-and-Spoke-Topologie umgesetzt: Während die Workloads in Spoke-VNets laufen, erfolgt die Sicherheitsinspektion im zentralen Hub. Über UDR wird der Datenverkehr zu diesem Hub geleitet, geprüft und an sein Ziel weitergeleitet.

Skalierbarkeit ist eine kritische Anforderung der Cloud-Sicherheit. Bei steigender Nachfrage muss die Sicherheitsschicht automatisch wachsen und bei sinkender Nachfrage schrumpfen. VM Scale Sets und Load Balancer bieten diese Flexibilität; beim CNF-Dienst wird diese Skalierung vollständig von Fortinet verwaltet. Der Aufbau der richtigen Architektur erfordert Fachwissen im Bereich Cloud-Netzwerkdesign und Routing; daher empfiehlt sich die Planung zusammen mit unserer FortiGate-Beratung.

Transparenz ist eine oft vernachlässigte Dimension der Cloud-Sicherheit. Die Inspektion verschlüsselten Datenverkehrs (SSL Inspection) verhindert auch in der Cloud, dass sich Bedrohungen verbergen; sie erfordert jedoch ein korrektes Zertifikatsmanagement und eine sorgfältige Performance-Planung. Zudem ist das zentrale Sammeln aller Inspektionsprotokolle sowohl für die Threat-Hunting als auch für die Compliance erforderlich. Werkzeuge wie FortiAnalyzer sammeln diese Protokolle und erzeugen Korrelationen.

Funktionen und Umfang

FortiGate CNF stellt Next-Generation-Firewall-Funktionen als Cloud-Dienst bereit: Intrusion Prevention (IPS), Web-Filterung, DNS-Sicherheit, Anti-Malware, SSL-Inspektion (Man-in-the-Middle-Termination), Data Loss Prevention (DLP) und Sandbox. Über die FortiManager-Integration werden diese Dienste zentral verwaltet.

Die folgende Tabelle fasst die wichtigsten Funktionen zusammen:

FunktionAufgabeNutzen
IPSIntrusion Prevention, Blockieren von Schwachstellen-ExploitsSchutz vor bekannten und neuen Threats
Web-FilterungURL- und kategoriebasierte ZugriffskontrolleBlockieren des Zugriffs auf schädliche Websites
DNS-SicherheitBlockieren schädlicher DomänennamensauflösungUnterbrechen der Command-and-Control-Kommunikation
SSL-InspektionEntschlüsseln und Prüfen verschlüsselten DatenverkehrsSichtbarmachen verschlüsselter Threats
DLP und SandboxVerhinderung von Datenabfluss, Datei-DetonationSchutz vor Zero-Day-Angriffen und Datenverlust

Der Umfang des Dienstes konzentriert sich überwiegend auf die Inspektion des aus Cloud-Netzwerken ausgehenden (Outbound-) sowie des Ost-West-Datenverkehrs. Einige klassische Firewall-Funktionen wie VPN und NAT liegen möglicherweise außerhalb des CNF-Umfangs; diese Funktionen werden bei Bedarf durch FortiGate-VM oder hardwarebasierte Lösungen wie eine FortiGate 90G ergänzt.

CNF, FortiGate-VM und Hardware

FortiGate-Sicherheit wird in drei Modellen angeboten: Hardware-Appliances (z. B. FortiGate 90G), in der Cloud betriebene FortiGate-VM und der vollständig verwaltete FortiGate-CNF-Dienst. Die Wahl hängt davon ab, ob die Umgebung in der Cloud oder On-Premises liegt, welchen Verwaltungsaufwand Sie bevorzugen und welches Kostenmodell gewünscht ist.

ModellVerwaltungTypischer Einsatz
FortiGate-HardwareKunde verwaltetBüro, Niederlassung, Rechenzentrums-Edge
FortiGate-VMKunde verwaltet (in der Cloud)Cloud-VNet-Sicherheit, volle Kontrolle
FortiGate CNFFortinet verwaltet (SaaS)Cloud-native, geringer Betriebsaufwand

Die meisten Unternehmen verfolgen einen hybriden Ansatz: Für On-Premises- und Niederlassungssicherheit kommt Hardware zum Einsatz, für Cloud-Workloads CNF oder FortiGate-VM. Da alle im selben FortiOS- und FortiManager-Ökosystem zusammenlaufen, bleibt die Richtlinienkonsistenz gewahrt. Dieses ganzheitliche Design vereinfacht auch die Firewall-Wartung und das Lifecycle-Management.

Ein weiterer entscheidender Faktor bei der Modellauswahl ist die Aufteilung der Verantwortung. Bei Hardware und FortiGate-VM liegen Patching, Versions-Upgrades und Redundanz in der Verantwortung des Kunden; bei CNF geht ein Großteil dieser Verantwortung auf Fortinet über. Verfügt ein Unternehmen nur über begrenzte interne Ressourcen, reduziert das Modell eines verwalteten Dienstes das operative Risiko; verfügt es über ein starkes Netzwerkteam, können selbstverwaltete Modelle mehr Flexibilität bieten.

Vorteile

Der grundlegende Vorteil von FortiGate CNF ist die operative Einfachheit: Der Aufwand für Infrastrukturaufbau, Patching und Skalierung entfällt. Der Dienst wird in etwa 15 Minuten in Betrieb genommen und nach dem Pay-as-you-go-Modell abgerechnet; das bietet sowohl Geschwindigkeit als auch Kostenplanbarkeit.

Als verwalteter Dienst ermöglicht CNF es Sicherheitsteams, sich auf Richtlinien- und Threat-Management statt auf Infrastrukturwartung zu konzentrieren. Software-Aktualisierungen, Sicherheits-Patches und Kapazitätsplanung übernimmt Fortinet; das ist besonders für Unternehmen mit begrenztem Personal im Bereich Cloud-Sicherheit wertvoll.

Das Pay-as-you-go-Modell bietet anstelle einer festen Hardware-Investition (CapEx) verbrauchsabhängige Betriebskosten (OpEx). Ändern sich Datenverkehr und Workload, passen sich die Kosten entsprechend an; das sorgt für eine natürliche Anpassung an Cloud-Umgebungen mit saisonaler oder variabler Last.

Ein weiterer Vorteil ist die Konsistenz. CNF nutzt dieselbe FortiOS-Sicherheits-Engine und die FortiGuard-Threat-Intelligence wie die FortiGate im Rechenzentrum. So kann das Sicherheitsteam die gewohnten Richtlinien und Oberflächen verwenden, ohne in der Cloud ein neues Werkzeug erlernen zu müssen. Eine einheitliche Sicherheitssprache reduziert sowohl Betriebsfehler als auch Schulungskosten.

Für wen ist es geeignet?

FortiGate CNF ist ideal für Unternehmen, deren Workloads überwiegend in der Cloud laufen, die über zahlreiche virtuelle Netzwerke verfügen und den Betriebsaufwand für Sicherheit reduzieren möchten. Besonders für Teams mit einer Cloud-First-Strategie und der Erwartung einer schnellen Inbetriebnahme ist es hervorragend geeignet.

Softwareunternehmen, die cloud-native Anwendungen entwickeln, Unternehmen mit einer Multi-Cloud-Architektur und Betriebe im Prozess der Cloud-Migration profitieren von diesem Modell. Anstatt zu versuchen, klassische Firewall-Hardware in die Cloud zu übertragen, ist die Einführung eines cloud-gerechten Sicherheitsmodells sowohl agiler als auch nachhaltiger.

Andererseits kann FortiGate-VM in Umgebungen mit komplexen VPN-Topologien, NAT-Anforderungen oder dem Wunsch nach vollständiger Kontrolle besser geeignet sein. Die Bestimmung des richtigen Modells erfordert eine Analyse des Workload-Profils und der Anforderungen; Sora Yazılım nimmt diese Bewertung von Anfang an vor.

Auch Compliance-Anforderungen beeinflussen die Modellauswahl. Rahmenwerke wie KVKK, PCI-DSS oder ISO 27001 stellen konkrete Anforderungen daran, wo Daten verarbeitet und wie Inspektionsprotokolle aufbewahrt werden. Die Cloud-Sicherheitsarchitektur muss so gestaltet sein, dass sie diese Anforderungen erfüllt; Log-Sammlung, Aufbewahrungsfristen und Reporting sind von Anfang an zu planen.

Sora-Ansatz und Migration

Als autorisierter Fortinet-Channel-Partner führt Sora Yazılım Cloud-Sicherheitsprojekte von der Architekturplanung über die Inbetriebnahme bis zum laufenden Betrieb durch. NSE-4-7-zertifizierte Ingenieure verwalten das Azure-Netzwerkdesign, das Routing und die Richtlinienmigration durchgängig.

Ein CNF- oder cloud-natives Sicherheitsprojekt beginnt mit der Analyse der bestehenden Cloud-Topologie, dem Hub-and-Spoke-Design, dem Plan für das Traffic-Routing (UDR) und dem Richtliniendesign. Anschließend folgen Tests in einer Pilotumgebung, ein kontrollierter Übergang in die Produktion und die Validierung. Dieser Prozess sorgt dafür, dass bestehende Sicherheitsrichtlinien konsistent in die Cloud übertragen werden.

In der Phase des laufenden Betriebs stellt Sora Yazılım Richtlinienoptimierung, Threat-Monitoring und regelmäßige Zustandsberichte bereit. Cloud-Sicherheit wird nicht als einmalige Einrichtung, sondern als verwalteter Prozess behandelt. Für eine detaillierte Planung empfiehlt sich das Vorgehen zusammen mit unserer FortiGate-Beratung. Für die regelmäßige Überwachung und Optimierung nach der Einrichtung werden die Prozesse des FortiGate-Support aktiviert.

Häufig gestellte Fragen

Was ist FortiGate CNF?

Es handelt sich um einen verwalteten Next-Generation-Firewall-Dienst (NGFW), den Fortinet als SaaS für Cloud-Umgebungen bereitstellt. Fortinet übernimmt die Verwaltung der Infrastruktur; der Kunde konzentriert sich ausschließlich auf die Sicherheitsrichtlinien.

Welche Sicherheitsfunktionen bietet FortiGate CNF?

Es bietet NGFW-Funktionen wie IPS, Web-Filterung, DNS-Sicherheit, Anti-Malware, SSL-Inspektion, DLP und Sandbox. Die zentrale Verwaltung erfolgt über FortiManager. Einige Funktionen wie VPN und NAT können außerhalb des Umfangs liegen.

Wie wird FortiGate CNF in Azure positioniert?

Cloud-native Sicherheit wird über den CNF-Dienst oder durch die Einrichtung von FortiGate-VM im skalierbaren Modus mit VM Scale Sets bereitgestellt. Der Datenverkehr wird über Azure Load Balancer und UDR zur Sicherheitsschicht geleitet.

Was ist der Unterschied zwischen CNF und FortiGate-VM?

CNF ist ein vollständig von Fortinet verwalteter SaaS-Dienst; FortiGate-VM hingegen ist eine vom Kunden selbst verwaltete virtuelle Maschine, die volle Kontrolle bietet. CNF reduziert den Betriebsaufwand, FortiGate-VM bietet Flexibilität und vollständige Kontrolle.

Wie lange dauert die Inbetriebnahme?

FortiGate CNF wird in der Regel in etwa 15 Minuten in Betrieb genommen und monatlich nach dem Pay-as-you-go-Modell abgerechnet; das ermöglicht einen schnellen Start und Kostenflexibilität.

Wird weiterhin eine Hardware-Firewall benötigt?

Ja, die meisten Unternehmen arbeiten hybrid. Für Büro- und Niederlassungssicherheit kommt Hardware wie die FortiGate 90G zum Einsatz, für Cloud-Workloads CNF oder FortiGate-VM; alle laufen im selben FortiOS-Ökosystem zusammen.

Fazit

FortiGate CNF verwandelt die Firewall für cloud-native Workloads in einen Dienst und reduziert so den Betriebsaufwand: schnelle Inbetriebnahme, automatische Skalierung, Pay-as-you-go und von Fortinet verwaltete Wartung. Zusammen mit Hardware und FortiGate-VM bildet CNF den Cloud-Baustein einer konsistenten hybriden Sicherheitsarchitektur. Der Schlüssel liegt nicht darin, sich an eine einzige Technologie zu binden, sondern für jeden Workload das am besten geeignete Modell auszuwählen und unter der Security Fabric zu vereinen.

Um Ihre Azure-Cloud-Sicherheit mit dem FortiGate-Ökosystem zu gestalten und das richtige Modell zu bestimmen, können Sie ein kostenloses Erstgespräch mit dem Team von Sora Yazılım vereinbaren.

Brauchen Sie Hilfe zu den Themen dieses Beitrags?

Vereinbaren Sie ein kostenloses Discovery-Gespräch mit Sora Yazılım — wir schlagen eine konkrete Roadmap vor.

WhatsApp-Support