Chystám se přejít z perimeter81. Máme ho téměř rok a čím dál tím víc mi vadí. Naší společnosti se často objevují problémy s připojením a musíme přepínat věci zapnuté a vypnuté, aby se lidé mohli připojit, nebo často vypnout a zapnout. Nikdy jsem neměl tolik problémů s VPN.
Poslední firma používala Global Protect od Palo Alto, ale ta byla on-premise a moje současná společnost je hybridní, většinou SaaS.
Máte nějaké doporučení?
Pokud se odkazujete na VPN proti firewalu FortiGate, pak použijte vlastní klient FortiClient od Fortinet. Jinak jejich produkt SaaS, jak zmínili jiní.
Tailscale je pro nás spolehlivý.
Jsem rád, že už se nemusím starat o VPN 
Ale jen udržujte svůj firewall aktuální, všechny mají problémy.
Jsem teď v podobné situaci, ale na on-premise. Rád bych šel s Fortinetem kvůli integraci a přehledu, ale ty poslední slabé zranitelnosti mě odrazuji. Hlavně se dívám na PA440 jen na VPN za Fortigate.
Perimeter81 je produkt SaaS, takže budete chtít jít touto cestou:
Tato věc mě také velmi zajímá. Jsem prakticky ve stejné situaci. SSLVPN je hrozné s neustálým odpojením.
Prisma Access (Palo Alto), pokud máte 200 nebo více uživatelů. Nejkomplexnější SaaS na trhu právě teď. Existují jiné dobré, ale málo které dokážou plně transparentně spravovat sítě, jako by tam nic nebylo. Vyžaduje to trochu plánování.
Také už nepotřebujete dalších velkých řešení, kromě možná lokální segmentace.
Pro většinu SaaS potřebujete něco s silným CASB. Myslím, že Netscape je dobrý, i když jsou to samostatné produkty a nemusí zůstat na trhu samostatně dlouho. Jako Perimeter 81 je nyní Check Point.
Jsme velmi spokojeni s OpenVPN na VM v DMZ.
Mohu poskytnout pohled na FortiSASE
Dávejte pozor na rychlosti 2 Mbps, zkontrolujte datový list.
Pokud vaši uživatelé používají hodně aplikací, je to docela pomalé.
Split tunnel je tak napůl, například naše Zoom nefungoval, ale MS Teams se zdály v pořádku.
Dobré pro méně náročné uživatele.
Sandbox zpomaluje, někdy až na limit časového limitu.
Pokud používáte Mac, chybí některé funkce.
minimální nákup 50 licencí.
Myslím, že za 1-2 roky bude produkt skvělý, ale v současnosti má hodně chybějících věcí, nebo momentů WTF. Po otevření asi 20 tiketů s technickou podporou jsme se rozhodli koupit EMS cloud, protože je levnější a výhoda SaaS je méně důležitá. Použití pouze VPN připojení FortiClient k našemu firewallu bez dalších balíčků je zatím velmi spolehlivé.
Jsme shop s Fortinetem, ale používáme ZScaler ZPA (Zero Private Access) už přes 2 roky a nemáme žádné problémy. Rychlost je skvělá a spojení se nikdy nevypíná, protože je založen na reverzním proxy. Žádné přímé IP spojení do datového centra je skvělou bezpečnostní funkcí. Kombinujeme to s modulem ZIA pro bezpečnou webovou bránu pro všechny vzdálené uživatele. Jeden klient pro bezpečné prohlížení webu a soukromý přístup do on-premise datacentra. Mimo cenu bych jiný produkt nepoužíval. Dříve jsme používali Cisco AnyConnect, ale změnili jsme všechny zařízení na Fortinet z mnoha důvodů.
Proč ne IPsec? Používáme FortiClient s IPsec VPN a je skvělý. Nikdy jsem nezaznamenal žádné větší zranitelnosti.
Každý výrobce má podobné zranitelnosti od času k času, včetně Palo Alto, takže vyhýbat se jedné značce jen kvůli zranitelnosti (kterou již opravili) nemá smysl, když budete mít problémy s jakoukoli jinou značkou, kterou si vyberete.
Vyzkoušeli jsme starý ASA 5506-X pro proof-of-concept AnyConnect.
Produkt SSE od Axis Security, který koupili, je docela skvělý a velmi snadno se nastavuje.
Stále čelíme častým odpojením s FortiClientem, bylo to, když jsem pracoval v MSP a je to teď na mém současném místě. Nezapomeňte, že FortiClient neumí správně DNS.
Testujeme AnyConnect s starým ASA 5506-X jako důkaz, že problém je u FortiClienta.
A podařilo se mi integrovat MFA pomocí Duo a Radius serveru.
100 %, nasazuji prostředí VDI a tenké klienty pro lidi na home office.
Přechod z jedné značky UTM firewallu na jinou je jako naslepo řešit problém; 99,9 % problémů u všech vendorů je ovládací rozhraní HTTPS, kterým klienti komunikují při ověřování, a nikoli datová vrstva, která se používá pro tunelový provoz.
Myslím, že každý by měl přepsat část ovládacího rozhraní v programovacím jazyce, který zajišťuje bezpečnost paměti - (například) Go, Rust atd.
Právě jsem přecházel z AnyConnect na Cisco Secure Client a současně integroval Umbrella, který klient právě také nabízí.
Nepřerušované spojení? Mám kolem 50 nasazených — odpojování je sníženo funkcí automatického opětovného připojení a mírnou změnou udržovacích signálů. Odpojování bylo způsobeno zpřísněním bezpečnosti… žádné udržovací signály na 30 sekund? Vypadnutí… přepnutí z Wi-Fi na kabelové připojení atd.. Všechno to lze vyřešit… jen je potřeba používat novější funkce.