FortiGate CNF: руководство по облачно-нативному межсетевому экрану для Azure (2026)
FortiGate CNF (Cloud-Native Firewall) — это межсетевой экран нового поколения (NGFW), который Fortinet предоставляет как SaaS для облачных сред. Он защищает рабочие нагрузки, работающие в облаках вроде Azure, без развёртывания инфраструктуры и без перепроектирования сетевой архитектуры; такие возможности, как IPS, веб-фильтрация, DNS-безопасность и SSL-инспекция, предоставляются по модели оплаты по мере использования. Обновления, установку исправлений и масштабирование Fortinet берёт на себя.
Что такое FortiGate CNF?
FortiGate CNF — это подход «межсетевой экран как услуга» (Firewall-as-a-Service), разработанный для рабочих нагрузок, полностью работающих в облаке. Вместо управления устройством или виртуальной машиной, как в случае с традиционным межсетевым экраном, инфраструктурой управляет Fortinet, а вы сосредотачиваетесь только на политиках безопасности.
По мере роста внедрения облака команды безопасности хотят иметь в облаке такой же строгий контроль, как и в центре обработки данных; однако динамическая природа облака создаёт трудности для традиционных моделей межсетевого экрана. Ручное определение размера виртуальных машин, построение высокой доступности и маршрутизация трафика требуют времени. FortiGate CNF снимает эту нагрузку: возможности NGFW предоставляются как облачный сервис, ёмкость масштабируется автоматически, а обслуживание выполняет Fortinet.
CNF основан на зрелом стеке безопасности FortiOS от Fortinet; это означает, что в облаке достигаются такое же качество аналитики угроз и инспекции, как и в центре обработки данных. Sora Yazılım как авторизованный канальный партнёр Fortinet и командой с сертификатами NSE 4-7 интегрирует этот сервис в облачную архитектуру организаций. Ознакомиться со всем портфелем бренда можно на странице наших решений Fortinet.
FortiGate CNF является частью архитектуры Security Fabric от Fortinet. Это означает, что облачный межсетевой экран работает не как изолированный остров, а как интегрированный слой, который взаимодействует с остальными компонентами безопасности организации (FortiGate, FortiAnalyzer, FortiClient). Развёртывание политик и корреляция событий из единой консоли обеспечивают согласованную защитную позицию между облачными и локальными средами.
Как это работает в Azure?
В средах Azure облачно-нативная безопасность обеспечивается сервисом FortiGate CNF либо размещением FortiGate-VM в режиме высокой доступности и масштабируемости (Azure Virtual Machine Scale Sets). Трафик направляется к слою безопасности с помощью Azure Load Balancer и Route Server/пользовательских маршрутов (UDR).
Цель облачно-нативной архитектуры — пропустить трафик, выходящий из нескольких виртуальных сетей (VNet), через централизованный слой безопасности. Чаще всего это строится по топологии hub-and-spoke: рабочие нагрузки работают в spoke-VNet, а инспекция безопасности выполняется в центральном hub. С помощью UDR трафик направляется в этот hub, проверяется и передаётся к месту назначения.
Масштабируемость — это критическое требование облачной безопасности. При росте спроса слой безопасности должен автоматически расширяться, а при снижении — уменьшаться. VM Scale Sets и балансировщик нагрузки обеспечивают эту гибкость; в сервисе CNF же это масштабирование полностью управляется Fortinet. Построение правильной архитектуры требует экспертизы в проектировании облачной сети и маршрутизации; поэтому рекомендуется планировать это вместе с услугой консалтинга FortiGate.
Видимость — часто упускаемое измерение облачной безопасности. Инспекция зашифрованного трафика (SSL inspection) не позволяет угрозам скрываться и в облаке; однако это требует правильного управления сертификатами и планирования производительности. Кроме того, централизованный сбор всех записей инспекции необходим как для охоты за угрозами, так и для соответствия требованиям. Такие инструменты, как FortiAnalyzer, собирают эти записи и производят корреляцию.
Возможности и охват
FortiGate CNF предоставляет возможности межсетевого экрана нового поколения как облачный сервис: предотвращение вторжений (IPS), веб-фильтрация, DNS-безопасность, защита от вредоносного ПО, SSL-инспекция (man-in-the-middle termination), предотвращение утечек данных (DLP) и sandbox. Благодаря интеграции с FortiManager эти сервисы управляются централизованно.
В таблице ниже кратко изложены основные возможности:
| Возможность | Функция | Польза |
|---|---|---|
| IPS | Предотвращение вторжений, блокировка эксплуатации уязвимостей | Защита от известных и новых угроз |
| Веб-фильтрация | Контроль доступа на основе URL и категорий | Блокировка доступа к вредоносным сайтам |
| DNS-безопасность | Блокировка разрешения вредоносных доменных имён | Разрыв коммуникации командного управления |
| SSL-инспекция | Расшифровка и инспекция зашифрованного трафика | Выявление скрытых в шифровании угроз |
| DLP и sandbox | Предотвращение утечки данных, детонация файлов | Защита от угроз нулевого дня и потери данных |
Охват сервиса в основном сосредоточен на инспекции исходящего (outbound) трафика из облачных сетей и трафика восток-запад. Некоторые традиционные функции межсетевого экрана, такие как VPN и NAT, могут находиться за пределами охвата CNF; при необходимости эти функции дополняются решениями FortiGate-VM или аппаратным решением, таким как FortiGate 90G.
CNF, FortiGate-VM и оборудование
Безопасность FortiGate предоставляется в трёх моделях: аппаратные устройства (например, FortiGate 90G), FortiGate-VM, работающий в облаке, и полностью управляемый сервис FortiGate CNF. Выбор зависит от того, является ли среда облачной или локальной, от предпочтений по нагрузке управления и от модели затрат.
| Модель | Управление | Типичное применение |
|---|---|---|
| Оборудование FortiGate | Управляет заказчик | Офис, филиал, периметр центра обработки данных |
| FortiGate-VM | Управляет заказчик (в облаке) | Безопасность облачной VNet, полный контроль |
| FortiGate CNF | Управляет Fortinet (SaaS) | Облачно-нативная, низкая операционная нагрузка |
Большинство организаций применяют гибридный подход: для локальной безопасности и безопасности филиалов используется оборудование, а для облачных рабочих нагрузок — CNF или FortiGate-VM. Поскольку все они объединяются в одной экосистеме FortiOS и FortiManager, согласованность политик сохраняется. Этот целостный дизайн упрощает также обслуживание файрвола и управление его жизненным циклом.
Ещё один определяющий фактор при выборе модели — разделение ответственности. В оборудовании и FortiGate-VM установка исправлений, обновление версий и резервирование являются ответственностью заказчика; в CNF же большая часть этой ответственности переходит к Fortinet. Если внутренние ресурсы организации ограничены, модель управляемого сервиса снижает операционный риск; если же есть сильная сетевая команда, самостоятельно управляемые модели могут предложить больше гибкости.
Преимущества
Ключевое преимущество FortiGate CNF — операционная простота: нагрузка по развёртыванию инфраструктуры, установке исправлений и масштабированию исчезает. Сервис разворачивается примерно за 15 минут и выставляется по модели оплаты по мере использования; это обеспечивает как скорость, так и предсказуемость затрат.
То, что это управляемый сервис, позволяет командам безопасности сосредоточиться на управлении политиками и угрозами вместо обслуживания инфраструктуры. Обновления программного обеспечения, исправления безопасности и планирование ёмкости выполняет Fortinet; это особенно ценно для организаций с ограниченным штатом облачной безопасности.
Модель оплаты по мере использования предлагает эксплуатационные расходы, основанные на потреблении (OpEx), вместо фиксированной инвестиции в оборудование (CapEx). По мере изменения трафика и рабочей нагрузки затраты корректируются соответственно; это обеспечивает естественное соответствие для облачных сред с сезонной или переменной нагрузкой.
Ещё одно преимущество — согласованность. CNF использует тот же движок безопасности FortiOS и аналитику угроз FortiGuard, что и FortiGate в центре обработки данных. Это позволяет команде безопасности использовать привычные политики и интерфейс, не изучая новый инструмент в облаке. Единый язык безопасности одновременно снижает операционные ошибки и уменьшает затраты на обучение.
Для кого подходит?
FortiGate CNF идеален для организаций, у которых большая часть рабочих нагрузок работает в облаке, которые имеют множество виртуальных сетей и хотят снизить операционную нагрузку безопасности. Особенно он выделяется в командах с облачно-ориентированной стратегией, ожидающих быстрого развёртывания.
Из этой модели извлекают пользу компании-разработчики программного обеспечения, создающие облачно-нативные приложения, организации с мультиоблачной (multi-cloud) архитектурой и предприятия в процессе облачной миграции. Вместо попыток перенести традиционное аппаратное обеспечение межсетевого экрана в облако, принятие подходящей для облака модели безопасности одновременно более гибко и более устойчиво.
С другой стороны, в средах со сложными VPN-топологиями, требованиями NAT или желанием полного контроля более подходящим может быть FortiGate-VM. Определение правильной модели требует анализа профиля рабочей нагрузки и требований; Sora Yazılım проводит эту оценку с самого начала.
Требования соответствия также влияют на выбор модели. Такие рамки, как KVKK, PCI-DSS или ISO 27001, устанавливают определённые требования к тому, где обрабатываются данные и как хранятся записи инспекции. Архитектура облачной безопасности должна проектироваться так, чтобы удовлетворять этим требованиям; сбор логов, сроки хранения и отчётность должны планироваться с самого начала.
Подход Sora и переход
Sora Yazılım как авторизованный канальный партнёр Fortinet ведёт проекты облачной безопасности от проектирования архитектуры до развёртывания и непрерывной эксплуатации. Инженеры с сертификатами NSE 4-7 полностью управляют проектированием сети Azure, маршрутизацией и миграцией политик.
Проект CNF или облачно-нативной безопасности начинается с анализа существующей облачной топологии, проектирования hub-and-spoke, плана маршрутизации трафика (UDR) и проектирования политик. Затем выполняются тестирование в пилотной среде, контролируемый переход в продуктивную среду и валидация. Этот процесс обеспечивает согласованный перенос существующих политик безопасности в облако.
На этапе непрерывной эксплуатации Sora Yazılım обеспечивает оптимизацию политик, мониторинг угроз и регулярную отчётность о состоянии. Облачная безопасность рассматривается не как единовременная установка, а как управляемый процесс. Для детального планирования рекомендуется двигаться вместе с нашей услугой консалтинга FortiGate. Для регулярного мониторинга и улучшения после установки задействуются процессы технической поддержки FortiGate.
Часто задаваемые вопросы
Что такое FortiGate CNF?
Это управляемый сервис межсетевого экрана нового поколения (NGFW), который Fortinet предоставляет как SaaS для облачных сред. Управление инфраструктурой берёт на себя Fortinet; заказчик сосредотачивается только на политиках безопасности.
Какие функции безопасности предлагает FortiGate CNF?
Он предлагает такие возможности NGFW, как IPS, веб-фильтрация, DNS-безопасность, защита от вредоносного ПО, SSL-инспекция, DLP и sandbox. Управляется централизованно через FortiManager. Некоторые функции, такие как VPN и NAT, могут быть вне охвата.
Как FortiGate CNF размещается в Azure?
Облачно-нативная безопасность обеспечивается сервисом CNF либо развёртыванием FortiGate-VM в масштабируемом режиме с VM Scale Sets. Трафик направляется к слою безопасности с помощью Azure Load Balancer и UDR.
В чём разница между CNF и FortiGate-VM?
CNF — это SaaS-сервис, полностью управляемый Fortinet; FortiGate-VM же — это управляемая заказчиком виртуальная машина, предлагающая полный контроль. CNF снижает операционную нагрузку, FortiGate-VM обеспечивает гибкость и полный контроль.
За какое время он разворачивается?
FortiGate CNF обычно разворачивается примерно за 15 минут и выставляется ежемесячно по модели оплаты по мере использования; это обеспечивает быстрый старт и гибкость затрат.
Нужен ли ещё аппаратный файрвол?
Да, большинство организаций работают в гибридном режиме. Для безопасности офиса и филиала используется оборудование, такое как FortiGate 90G, а для облачных рабочих нагрузок — CNF или FortiGate-VM; все они объединяются в одной экосистеме FortiOS.
Заключение
FortiGate CNF снижает операционную нагрузку, превращая межсетевой экран для облачно-нативных рабочих нагрузок в сервис: быстрое развёртывание, автоматическое масштабирование, оплата по мере использования и обслуживание, управляемое Fortinet. Вместе с оборудованием и FortiGate-VM он образует облачную часть согласованной гибридной архитектуры безопасности. Ключ не в том, чтобы привязываться к одной технологии, а в том, чтобы выбрать наиболее подходящую модель для каждой рабочей нагрузки и объединить их под Security Fabric.
Чтобы спроектировать безопасность облака Azure с экосистемой FortiGate и определить правильную модель, вы можете провести бесплатную ознакомительную встречу с командой Sora Yazılım.