Fortinet:SASE: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
 
(68 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
Fortinet:SASE
[[Datei:FortiSASE-icon.svg|100px|link=]] <big>'''Fortinet:SASE'''</big>


[[Category:Fortinet]]
[[Category:Fortinet]]
Zeile 27: Zeile 27:
</small>
</small>
=FAQ=
=FAQ=
== FortiSASE - Registration ==
= FortiSASE - Dokumentationen =
 
=== Admin Guides ===
* [[Datei:FortiSASE-AdminGuide.pdf]] <small>25.2.30</small>
----
<small>add 04.06.2025 - 4Tinu</small>
=== Starthilfe Dokumente ===
* [[Datei:FortiSASE-GettingStarted.pdf]] <small>24.3.42</small>
* [[Datei:FortiSASE-GettingStarted-EndUserGuide.pdf]]
----
<small>add 04.06.2025 - 4Tinu</small>
 
=== Referenz Guides ===
* [[Datei:FortiSASE-ReferenceGuide.pdf]] <small>25.2</small>
* [[Datei:FortiSASE-ArchitectureGuide.pdf]] <small>25.2</small>
* [[Datei:FortiSASE-ConceptGuide.pdf]] <small>25.2</small>
----
<small>edit 22.07.2025 - 4Tinu</small>
 
=== Release Notes ===
'''Version 25.2'''
* [[Datei:FortiSASE-ReleaseNotes-25.2.30.pdf]]
----
<small>add 04.06.2025 - 4Tinu</small>
 
=== Deployment Guides ===
 
* [[Datei:FortiSASE-Public-IP-DeploymentGuide.pdf]] <small>25.2</small>
* [[Datei:FortiSASE-SSA-Using_Inline-CASB_and_DLP.pdf]] <small>25.2</small>
* [[Datei:FortiSASE-Multitenant-Deployment_for_MSSP_using_OU.pdf]] <small>25.2</small>
* [[Datei:FortiSASE-FortiGate_NGFW_to_FortiSASE_SPA_Hub_Conversion_Using_Fabric_Overlay_Orchestrator_Deployment_Guide.pdf]] <small>25.2</small>
 
 
* [[Datei:FortiSASE-EndpointManagement-DeploymentGuide.pdf]] <small>25.2</small>
* [[Datei:FortiSASE-SWG_with_VPN-DeploymentGuide.pdf]] <small>25.2</small>
* [[Datei:FortiSASE-SAML-SSO_Using_FortiTrust_as_IdP_Proxy_DeploymentGuide.pdf]] <small>25.2</small>
* [[Datei:FortiSASE-Agent-based_VPN_Autoconnect_Using_Entra_ID_SSO.pdf]] <small>25.2</small>
 
 
* [[Datei:FortiSASE-SIA-Site-based-DeploymentGuide.pdf]] <small>25.2</small>
* [[Datei:FortiSASE-SIA-Agent-based-DeploymentGuide.pdf]] <small>25.2</small>
* [[Datei:FortiSASE-SIA-Agentless-SWG-DeploymentGuide.pdf]] <small>25.2</small>
 
 
* [[Datei:FortiSASE-SPA-UsingZTNA-DeploymentGuide.pdf]] <small>25.2</small>
* [[Datei:FortiSASE-FortiGate_NGFW_to_FortiSASE_SPA_Hub_Conversion_DeploymentGuide.pdf]] <small>25.2</small>
* [[Datei:FortiSASE-SPA_with_a_FortiGate_SD-WAN-DeploymentGuide.pdf]] <small>25.2</small>
 
 
* [[Datei:FortiSASE-CloudDeployment.pdf]] <small>25.2</small>
* [[Datei:FortiSASE-VDI-DeploymentBrief.pdf]] <small>25.2</small>
 
'''Instutitionen:'''
* [[Datei:FortiSASE-Education-Deployment-Brief.pdf]] <small>25.2</small>
* [[Datei:FortiSASE-Healthcare-Guide.pdf]] <small>25.2</small>
----
<small>add 04.06.2025 - 4Tinu</small>
 
= FortiSASE oder FortiEMS =
=== Welche Feature Unterscheiden den FortiEMS und das FortiSASE? ===
Um die Unterschiede zwischen FortiEMS und FortiSASE zu verstehen, betrachtest du zwei Lösungen,
die unterschiedliche Schwerpunkte innerhalb der Endpoint- und Cloud-Security-Architektur setzen.
Während FortiEMS primär auf das zentrale Management und die Absicherung von Endgeräten ausgerichtet ist,
kombiniert FortiSASE Netzwerk- und Security-Funktionen zu einem cloudbasierten Zugriffsmodell.
Diese Unterscheidung bildet den Rahmen für die folgenden Feature-Vergleiche.</br>
{| class="wikitable" style="width:100%px"
|-
| -
|style="width:40%px; background:#006A7C ; color:#FFFFFF" | [[Datei:FortiEMS-icon.svg|35px|link=]] '''FortiEMS''' (klassisch / on-prem / Cloud EMS)
|style="width:40%px; background:#7E55FC ; color:#FFFFFF" | [[Datei:FortiSASE-icon.svg|35px|link=]] '''FortiSASE''' (Cloud SASE + integrierte EMS-Lite)
|-
| style="background:#D0F6C6" |  '''Fokus:'''
| style="background:#B1F3FF" | Endpoint-Management
| style="background:#E5DDFE" | Sicheres Arbeiten von überall
|-
| style="background:#D0F6C6" |  '''Features ✅'''
| style="background:#B1F3FF" |
✅ Tiefes Endpoint-Management</br>
✅ Vollständige FortiClient-Policy-Kontrolle</br>
✅ Patching / Vulnerability / Branding / Quarantäne / Tags</br>
✅ Volle ZTNA Device Posture</br>
✅ AD-Integration, Tags zur FortiGate Fabric</br>
✅ Ideal für klassische VPN / On-Prem Security</br>
| style="background:#E5DDFE" |
✅ Integrierte EMS-Cloud (für FortiClient Management)<br>
✅ Secure Web Gateway (SWG)<br>
✅ Cloud-Firewall / FWaaS<br>
✅ CASB (Inline & API)/<br>
✅ DLP in der Cloud/<br>
✅ ZTNA Universal Access<br>
✅ SD-WAN On-Ramp / Private App Zugriff<br>
✅ Digital Experience Monitoring (DEM)<br>
✅ Globale PoPs → niedrige Latenz<br>
|-
| style="background:#D0F6C6" |  '''Features ❌'''
| style="background:#B1F3FF" |
❌ Keine Cloud-Security</br>
❌ Keine globalen PoPs</br>
❌ Kein SWG / CASB / FWaaS</br>
❌ Kein SASE-Datenverkehrslenkung</br>
| style="background:#E5DDFE" |
❌ FortiSASE-EMS ist nicht so tief wie On-Prem EMS</br>
❌ Einige alte EMS-Features fehlen (z. B. spezielle AV-/Patch-Profile)<br>
❌ Weniger granular bei Endpoint-Posture als volles EMS<br>
|-
| style="background:#D0F6C6" |  '''Bemerkung:'''
| style="background:#B1F3FF" |EMS ist ein Management-Tool – keine Security-Cloud.
| style="background:#E5DDFE" |SASE ist eine Sicherheitsplattform – kein vollständiges Endpoint-Management.
|}
----
<small>add 21.11.2025 - 4Tinu <nowiki>|</nowiki>'' [https://cloud.also.mp/de/de/microsoft-copilot-trainings/ Microsoft Copilot] [[File:copilot-icon.png|20px|link=https://cloud.also.mp/de/de/microsoft-copilot-trainings/]] hat mir geholfen''</small>
 
=== Wann solltest du EMS einsetzen?===
Du solltest FortiEMS einsetzen, wenn du eine robuste, zentralisierte Lösung zur Verwaltung und Absicherung deiner Endpoints benötigst –
unabhängig davon, ob sie im LAN, remote oder hybrid betrieben werden. FortiEMS ist sinnvoll, wenn:
* Zentrale Endpoint-Kontrolle benötigt wird – z. B. zur Verwaltung, Überwachung und Konfiguration von FortiClient-Installationen.
* Du Zero-Trust-Konzepten folgen möchtest, bei denen der Sicherheitsstatus eines Endgeräts vor dem Netzwerkzugriff geprüft wird.
* Du Endpoint-Telemetrie und Compliance-Checks brauchst (OS-Versionen, Patch-Status, AV-Status, Vulnerabilities).
* Du Automatisierung von Sicherheitsmassnahmen auf Endgeräten benötigst – etwa Quarantäne, Policy-Durchsetzung oder automatisierte Reaktionen auf Vorfälle.
* Endgeräte sowohl im Unternehmensnetz als auch remote konsistent abgesichert werden müssen.
* Du eine Integration mit FortiGate, FortiAnalyzer oder FortiSASE planst und eine robuste Endpoint-Security-Basis benötigst.
Kurz: FortiEMS ist die richtige Wahl, wenn Du Endgeräte aktiv verwalten, überwachen und absichern willst – unabhängig davon, wo sich die Nutzer befinden.
 
Typische Szenarien:
* ✅ Unternehmen mit starker On-Prem-Firewall-Infrastruktur
FortiGate + EMS ist ein klassisches Duo.
* ✅ Geräteverwaltung und Compliance im Fokus
Wenn du granular steuern willst, wie Software, AV, Quarantäne, Realtime-Tags, etc. verwaltet werden.
* ✅ VPN-first Unternehmen
Wenn viele interne Applikationen über klassischen FortiClient VPN genutzt werden.
* ✅ Unternehmen, die noch nicht "Cloud-first" sind
Oder ihre Security nicht aus der Cloud beziehen dürfen (Compliance).
----
<small>add 21.11.2025 - 4Tinu <nowiki>|</nowiki>'' [https://cloud.also.mp/de/de/microsoft-copilot-trainings/ Microsoft Copilot] [[File:copilot-icon.png|20px|link=https://cloud.also.mp/de/de/microsoft-copilot-trainings/]] hat mir geholfen''</small>
 
===Wann solltest du FortiSASE einsetzen?===
Du solltest FortiSASE einsetzen, wenn du Sicherheits- und Netzwerkfunktionen cloudbasiert bereitstellen möchtest –
insbesondere für verteilte Nutzer, Remote-Mitarbeiter und Standorte ohne eigene Security-Infrastruktur.
 
FortiSASE ist ideal, wenn:
* du global verteilte User über die Cloud schützen möchtest (SSE / SASE).
* du Secure Web Gateway (SWG), Cloud Firewall, CASB, ZTNA und DNS-Sicherheit zentral aus der Cloud benötigst.
* du die Skalierbarkeit, Resilienz und geringe Latenz eines globalen Fortinet-Backbones nutzen willst.
* deine User von überall sicher ins Internet oder zu internen Apps verbinden sollen – ohne lokale Hardware.
* du eine moderne SASE-Architektur umsetzen willst, um hybride oder komplett cloudbasierte Umgebungen zu schützen.
Kurz: FortiSASE ist die richtige Wahl, wenn der Fokus auf cloudbasierter Netzwerk- und Nutzerabsicherung liegt – besonders in verteilten oder remote-first Umgebungen.
 
Typische Funktionen, wo SASE klar überlegen ist:
* ✅ Remote-Work / Home-Office / weltweites Arbeiten
Traffic geht direkt zum PoP → niedrige Latenz.
* ✅ Absicherung von Internet + SaaS + Remote-User
Du bekommst: SWG, CASB, DLP, FWaaS, DNS-Protection, ZTNA, DEM.
* ✅ Standortlose Benutzer oder kleine Niederlassungen
Kein Backhauling mehr zur Zentrale.
* ✅ Zero Trust Access ohne VPN
Schneller, moderner, flexibler.
* ✅ Unternehmen, die "Firewall in der Cloud" wollen
SASE ersetzt oder ergänzt die FortiGate am Edge.
----
<small>add 21.11.2025 - 4Tinu <nowiki>|</nowiki>'' [https://cloud.also.mp/de/de/microsoft-copilot-trainings/ Microsoft Copilot] [[File:copilot-icon.png|20px|link=https://cloud.also.mp/de/de/microsoft-copilot-trainings/]] hat mir geholfen''</small>
 
<!--
-=== Wann ist welche Loesung Sinnvoll? ===
Empfehlung 1: Modernes Remote-Work Unternehmen → FortiSASE
Wenn du viele mobile User hast: SASE first.
Empfehlung 2: Klassisches Netzwerk + Geräteverwaltung → EMS
On-Prem-Netzwerk, viele Windows-Clients: EMS lohnt sich.
Empfehlung 3: Kombi sinnvoll → Wenn starke Endpoint-Kontrolle + SASE benötigt
Beispiele:
* regulierte Branchen
* Unternehmen mit komplexem Client-Hardening
* „Hybrid Infrastructure“: On-Prem + Cloud-Security
----
-->
 
<!--
=== Kann man von EMS auf SASE migrieren?===
Ja — es gibt einen offiziellen Migrationspfad.
ABER:
* ⚠ EMS-Konfiguration wird NICHT 1:1 übernommen.
* ⚠ Profile müssen neu in der SASE-EMS erstellt werden.
* ⚠ Einige Funktionen fehlen in der SASE-EMS.
Für die meisten Kunden gilt:
→ Kombination aus EMS jetzt + später SASE ist problemlos möglich.
----
Integration mit FortiGate
Sehr gut, aber:
* Policies sind NICHT 1:1 identisch
* SASE hat eigene Policy-Engines (SWG/FWaaS/ZTNA)
* FortiGate kann über Secure Edge / SD-WAN angebunden werden
* Dynamische EMS-Tags können weiter genutzt werden
➡ Wird laufend besser, aber noch keine komplette Policy-Fusion.
----
-->
 
<!--
=== Wann macht EMS + SASE zusammen wirklich Sinn?===
Beste Kombination in diesen Fällen:
Szenario Empfehlung
Tiefe Device-Posture + Cloud Security EMS + SASE
Starke Governance / Compliance Anforderungen EMS + SASE
Gemischte Remote + On-Prem Workforce EMS + SASE
SASE-Pilot, vorbereitende Phase EMS jetzt, später SASE
Nur Cloud-Remote-Worker SASE reicht aus
Nur On-Prem VPN EMS reicht aus
----
Zusammenfassung als Executive Summary
* ✔ EMS = Endpoint-Management
* ✔ SASE = Cloud-Security für User überall auf der Welt
* ✔ SASE enthält EMS, aber ersetzt nicht alle EMS-Features
* ✔ Beides zusammen = maximale Kontrolle + moderne Cloud Security
-->
 
= FortiSASE - Registration =
=== Wie kann ich die FortiSASE Instanz aktiveren?===
=== Wie kann ich die FortiSASE Instanz aktiveren?===
Um die FortiSASE Instanz zu aktivieren muss man diese vorab im Supportportal registrieren:
Um die FortiSASE Instanz zu aktivieren muss man diese vorab im Supportportal registrieren:
Zeile 34: Zeile 248:
  [[Datei:fortiSASE-0001.png|550px|link=]]
  [[Datei:fortiSASE-0001.png|550px|link=]]


  [[Datei:fortiSASE-0002.png]]
  [[Datei:fortiSASE-0002.png|550px|link=]]


  [[Datei:fortiSASE-0003.png]]
  [[Datei:fortiSASE-0003.png|550px|link=]]


  [[Datei:fortiSASE-0004.png]]
  [[Datei:fortiSASE-0004.png|550px|link=]]


  [[Datei:fortiSASE-0005.png]]
  [[Datei:fortiSASE-0005.png|550px|link=]]


  [[Datei:fortiSASE-0006.png]]
  [[Datei:fortiSASE-0006.png|550px|link=]]
=== Kann ich eine EMS Cloud Instanz und eine FortiSASE Instanz auf dem selben Account betreiben? ===
----
 
=== Kann ich eine EMS Cloud Instanz und eine FortiSASE Instanz auf dem selben FortiCloud Account betreiben? ===


Momentan ist es nur möglich eine INstanz pro Account zu haben. Entweder eine FortiEMS Cloud Instanz oder dann eine FortiSASE Instanz.
Momentan ist es nur möglich eine INstanz pro Account zu haben. Entweder eine FortiEMS Cloud Instanz oder dann eine FortiSASE Instanz.
Zeile 51: Zeile 267:
Mann kann dann über ein Customer Service Ticket die bestehende Instanz auf einen anderen Account verschieben lassen.
Mann kann dann über ein Customer Service Ticket die bestehende Instanz auf einen anderen Account verschieben lassen.
----
----
<small>add 14.03.2024 - 4Tinu</small>
<small>edit 21.11.2025 - 4Tinu</small>


== FortiSASE - Authentifizierung ==
=== Wie kann ich bei einer FortiSASE Instanz die Lizenz um ein weiteres Jahr verlängern? ===
=== Wie kann ich auf der FortiGate die Public IP Adressen von FortiSASE einbinden? ===
 
[[Datei:Fortinet-3477.jpg|550px|link=]]
 
[[Datei:Fortinet-3478.jpg|550px|link=]]
 
[[Datei:Fortinet-3479.jpg|550px|link=]]
 
[[Datei:Fortinet-3480.jpg|550px|link=]]
 
[[Datei:Fortinet-3481.jpg|550px|link=]]
 
[[Datei:Fortinet-3482.jpg|750px|link=]]
----
<small>add 06.01.2024 - 4Tinu</small>
 
= FortiSASE - Authentifizierung =
== Wie kann ich auf der FortiGate die Public IP Adressen von FortiSASE einbinden? ==


Es gibt die Möglichkeit über einen Feed die IP Adressen von FortiSASE auf die FortiGate einzubinden. Dies hat der Vorteil, dass explizit Firewallregeln von oder zu FortiSASE erstellt werden können.
Es gibt die Möglichkeit über einen Feed die IP Adressen von FortiSASE auf die FortiGate einzubinden. Dies hat der Vorteil, dass explizit Firewallregeln von oder zu FortiSASE erstellt werden können.
Zeile 65: Zeile 297:
|-  
|-  
|  
|  
  [[Datei:FortiSASE-0008.png|750px|link=]]
  [[Datei:FortiSASE-0008.png|550px|link=]]
Navigiere über ''Security Fabric &rarr; External Connectors'' im Abschnitt ''Thread Feeds'' den Button ''IP Adress'' auswählen
Navigiere über ''Security Fabric &rarr; External Connectors'' im Abschnitt ''Thread Feeds'' den Button ''IP Adress'' auswählen
|-
|-
|
|
  [[Datei:FortiSASE-0009.png|750px|link=]]
<big>Feed definieren:</big>
  [[Datei:FortiSASE-0009.png|550px|link=]]
* Im Namen Feld einen Sinnvollen Namen definieren. Das Objekt findet man bei den Firewallregeln dann unter diesem Namen.  
* Im Namen Feld einen Sinnvollen Namen definieren. Das Objekt findet man bei den Firewallregeln dann unter diesem Namen.  
* Die Update Methode ist der ''External Feed'' (dies ist die default Einstellung)
* Die Update Methode ist der ''External Feed'' (dies ist die default Einstellung)
Zeile 75: Zeile 308:
* Die ''HTTP basic authentication'' Option deaktivieren.
* Die ''HTTP basic authentication'' Option deaktivieren.
* in der ''Refresh rate'' kann definiert werden, in welchem Zeitinterval die Liste auf der FortiGate abgeglichen wird (Default 5 Minuten)
* in der ''Refresh rate'' kann definiert werden, in welchem Zeitinterval die Liste auf der FortiGate abgeglichen wird (Default 5 Minuten)
[[Datei:FortiSASE-0009.png]]
|-
|-
|
|
<big>Erfolgskontrolle:</big><br>
Solange das Rote x angezeigt wird, ist der Feed nicht erfolgreich gezogen worden. Mit dem Refresh Button kann der Synch forciert werden.
Solange das Rote x angezeigt wird, ist der Feed nicht erfolgreich gezogen worden. Mit dem Refresh Button kann der Synch forciert werden.
  [[Datei:FortiSASE-0010.png]]
  [[Datei:FortiSASE-0010.png|350px|link=]]
Sobald der Feed erfolgreich auf die FortiGate gezogen wurde, erscheint ein grünen Hacken. Die Liste ist jetzt aktiv auf der FortiGate vorhanden
Sobald der Feed erfolgreich auf die FortiGate gezogen wurde, erscheint ein grünen Hacken. Die Liste ist jetzt aktiv auf der FortiGate vorhanden
  [[Datei:FortiSASE-0011.png]]
  [[Datei:FortiSASE-0011.png|350px|link=]]
Wenn mit dem Mauscursor direkt auf das grüne Icon navigiert wird, öffnet sich ein Menu. Es werden Informationen über den letzen Synch angezeigt. Weiter ist es möglich unter dem Menupunkt ''View Entries'' die IP Adressen, welche in der Liste sind, aneigen zu lassen
Wenn mit dem Mauscursor direkt auf das grüne Icon navigiert wird, öffnet sich ein Menu. Es werden Informationen über den letzten Synch angezeigt. Weiter ist es möglich unter dem Menupunkt ''View Entries'' die IP Adressen, welche in der Liste sind, anzeigen zu lassen
  [[Datei:FortiSASE-0012.png]]
  [[Datei:FortiSASE-0012.png|550px|link=]]
|}
|}


Zeile 103: Zeile 336:
----
----
<small>add 25.03.2024 - 4Tinu</small>
<small>add 25.03.2024 - 4Tinu</small>
== Wie kann ich einen User in die FortiSASE Instanz integrieren? ==
Im folgenden Beispiel zeige ich euch, wie man einen neuen Client mit Benutzer im FortiSASE onboardet und den FortiClient auf dem Endgerät installiert:
Als erstes musst du dich in die SASE Instanz einloggen:
{|class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration im SASE Portal:'''
|-
|
[[Datei:Fortinet-3450.jpg|550px|link=]]
# Über das Seiten Menu <code> Configuration </code>&rarr;<code> Users & Groups </code> kommst die in die User Verwaltung
# Mit <code> + Create </code> kann ein neuer User erstellt werden
[[Datei:Fortinet-3451.jpg|550px|link=]]
|-
|
Du bist jetzt im folgenden Menu:
[[Datei:Fortinet-3452.jpg|550px|link=]]
Wir legen in diesem Beispiel einen Lokalen User auf der SASE Instanz an:
# Wähle den Menupunkt <code> User </code>
# Mit <code> Next </code> gelangst du in das User Erstellung Fenster 
|-
|
[[Datei:Fortinet-3453.jpg|550px|link=]]
# Über die Email Adresse wird dem User der aktivierungs Link zugestellt
# Es kann ein Temporäres Adminpasswort optional gesetzt werden
# Der Aktivierungscode kann hier rauskopiert werden, es wird aber im User der Code per Email automatisch zugestellt
# Mit <code> OK </code> wird der User erstellt und ein initiales Email an den User gesendet, damit er Installations Instruktionen bekommt.
|-
|
[[Datei:Fortinet-3454.jpg|550px|link=]]
|-
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration beim Client:'''
|-
Der User bekommt eine Email an die konfigurierte Email Adresse mit Instruktionen.
[[Datei:Fortinet-3455.jpg|550px|link=]]
Um den Account zu aktivieren auf den Button <code> Activate </code> klicken.
|-
Es öffnet sich eine Seite der SASE Instanz um ein Passwort zu definieren:
[[Datei:Fortinet-3456.jpg|550px|link=]]
# Der Display Name kann definiert werden.
# Passwort zweimal gleich eingeben
# Mit <code> Activate </code> wird der User aktiviert.
[[Datei:Fortinet-3457.jpg|550px|link=]]
|-
Der User kann sich jetzt anmelden:
[[Datei:Fortinet-3458.jpg|550px|link=]]
# Die AccountID wird automatisch übernommen
# Username eingeben
# Passwort eingeben
# mit <code> Loging </code> sich anmelden
|-
Wenn der User sich erfolgreich angemeldet hat, kann er den FortiClient herunterladen und den aktivierungs Kode entnehmen:
[[Datei:Fortinet-3459.jpg|550px|link=]]
# Die entsprechende FortiClient Version auswählen
# Der Aktivierungscode am besten in eine Textdatei kopieren, wir brauchen diesen nach der Installation.
|-
|
Die ausgewählte FortiClient Version wird heruntergeladen: 
[[Datei:Fortinet-3460.jpg|550px|link=]]
Nach dem herunterladen die Datei ausführen um die Installation zu starten. 
|-
Es öffnet sich der Installations Wizard:
[[Datei:Fortinet-3461.jpg|350px|link=]]
# Die Lizenzvereinbarungen gut durchlesen
# Wenn die Lizenzvereinbarung durchgelesen und verstanden ist kann dies bestätigt werden
# Mit <code> Next </code> wird der Installationsprozess vorangetrieben, mit <code> Cancel </code> wird die Installation abgebrochen. 
|-
[[Datei:Fortinet-3462.jpg|350px|link=]]
# Die gewünschten Features anwählen welche Installiert werden sollen.
# weiter mit <code> Next </code>
|-
|
ATP/Webfilter Services:
[[Datei:Fortinet-3463.jpg|350px|link=]]
# Die gewünschten UTP Services können aktiviert werden
# Mit <code> Next </code> geht es weiter
|-
[[Datei:Fortinet-3464.jpg|350px|link=]]
# Installationspfad wird vorgeschlagen
# Installationspfad ändern
# Mit <code> Next </code> geht es weiter
|-
[[Datei:Fortinet-3465.jpg|350px|link=]]
# Mit <code> Install </code> wird die Installation mit den angegebenen Parametern gestartet 
|-
|
Windows kann eine Sicherheitsabfrage aufpoppen lassen: 
[[Datei:Fortinet-3466.jpg|350px|link=]]
Bestätige mit Ja und falls erforderlich gib das Administrations Passwort ein.
|-
|
Die Installation läuft:
[[Datei:Fortinet-3467.jpg|350px|link=]]
|-
|
Sobald die Installation durchgeführt ist, wird sich der Client melden:
[[Datei:Fortinet-3468.jpg|350px|link=]]
Mit <code> Finish </code> verlässt du das Installations Programm. 
|-
|
Starte das FortiClient Programm
[[Datei:Fortinet-3469.jpg|150px|link=]]
|-
|
Um dich an die SASE Instanz anzumelden, musst du den Client aktivieren:
[[Datei:Fortinet-3470.jpg|550px|link=]]
# Navigiere auf <code> ZERO TRUST TELEMTRIE </code>
# gib den vorher kopierte ''Aktivierungscode'' ein 
# wähle <code> Verbinden </code> um den Code zu übermitteln. Hab ein paar Sekunden geduld und warte bis die Authentifizierung im SASE verifiziert wurde.
|-
|
Gratuliere, der User ist jetzt über das FortiSASE verbunden:
[[Datei:Fortinet-3471.jpg|550px|link=]]
|-
|}
{|class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration im SASE Portal:'''
|-
|
Auf der SASE Instanz findest du jetzt den User von Toni als angemeldet:
[[Datei:Fortinet-3472.jpg|750px|link=]]
# Navigiere auf <code> Dashboards </code>&rarr;<code> Status </code>
# suche das Widget <code> Managed Endpoints </code> und klicke ins Widget rein.
|-
[[Datei:Fortinet-3473.jpg|750px|link=]]
Du siehst den angemeldeten User in der Übersicht.
|-
|}
----
<small>add 24.07.2024 - 4Tinu</small>
=FortiSASE - Betrieb =
=== Wie binde ich eine FortiGate im FortiSASE ein?===
'''Auf der FortiGate:'''
[[Datei:Fortinet-3542.jpg|550px|link=]]
[[Datei:Fortinet-3543.jpg|550px|link=]]
[[Datei:Fortinet-3544.jpg|550px|link=]]
[[Datei:Fortinet-3545.jpg|550px|link=]]
'''Auf der SASE Instanz:'''
[[Datei:Fortinet-3537.jpg|550px|link=]]
[[Datei:Fortinet-3538.jpg|550px|link=]]
[[Datei:Fortinet-3539.jpg|550px|link=]]
[[Datei:Fortinet-3540.jpg|550px|link=]]
'''Auf der FortiGate:'''
[[Datei:Fortinet-3541.jpg|550px|link=]]
----
<small>add 10.10.2025 - 4Tinu</small>

Aktuelle Version vom 24. November 2025, 13:38 Uhr

FortiSASE-icon.svg Fortinet:SASE

Vorwort

Diese Seite erklärt das FortiSASE Produkt

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

FortiSASE - Dokumentationen

Admin Guides

add 04.06.2025 - 4Tinu

Starthilfe Dokumente

add 04.06.2025 - 4Tinu

Referenz Guides

edit 22.07.2025 - 4Tinu

Release Notes

Version 25.2

add 04.06.2025 - 4Tinu

Deployment Guides





Instutitionen:

add 04.06.2025 - 4Tinu

FortiSASE oder FortiEMS

Welche Feature Unterscheiden den FortiEMS und das FortiSASE?

Um die Unterschiede zwischen FortiEMS und FortiSASE zu verstehen, betrachtest du zwei Lösungen, die unterschiedliche Schwerpunkte innerhalb der Endpoint- und Cloud-Security-Architektur setzen. Während FortiEMS primär auf das zentrale Management und die Absicherung von Endgeräten ausgerichtet ist, kombiniert FortiSASE Netzwerk- und Security-Funktionen zu einem cloudbasierten Zugriffsmodell.

Diese Unterscheidung bildet den Rahmen für die folgenden Feature-Vergleiche.

- FortiEMS-icon.svg FortiEMS (klassisch / on-prem / Cloud EMS) FortiSASE-icon.svg FortiSASE (Cloud SASE + integrierte EMS-Lite)
Fokus: Endpoint-Management Sicheres Arbeiten von überall
Features ✅

✅ Tiefes Endpoint-Management
✅ Vollständige FortiClient-Policy-Kontrolle
✅ Patching / Vulnerability / Branding / Quarantäne / Tags
✅ Volle ZTNA Device Posture
✅ AD-Integration, Tags zur FortiGate Fabric
✅ Ideal für klassische VPN / On-Prem Security

✅ Integrierte EMS-Cloud (für FortiClient Management)
✅ Secure Web Gateway (SWG)
✅ Cloud-Firewall / FWaaS
✅ CASB (Inline & API)/
✅ DLP in der Cloud/
✅ ZTNA Universal Access
✅ SD-WAN On-Ramp / Private App Zugriff
✅ Digital Experience Monitoring (DEM)
✅ Globale PoPs → niedrige Latenz

Features ❌

❌ Keine Cloud-Security
❌ Keine globalen PoPs
❌ Kein SWG / CASB / FWaaS
❌ Kein SASE-Datenverkehrslenkung

❌ FortiSASE-EMS ist nicht so tief wie On-Prem EMS
❌ Einige alte EMS-Features fehlen (z. B. spezielle AV-/Patch-Profile)
❌ Weniger granular bei Endpoint-Posture als volles EMS

Bemerkung: EMS ist ein Management-Tool – keine Security-Cloud. SASE ist eine Sicherheitsplattform – kein vollständiges Endpoint-Management.

add 21.11.2025 - 4Tinu | Microsoft Copilot Copilot-icon.png hat mir geholfen

Wann solltest du EMS einsetzen?

Du solltest FortiEMS einsetzen, wenn du eine robuste, zentralisierte Lösung zur Verwaltung und Absicherung deiner Endpoints benötigst – unabhängig davon, ob sie im LAN, remote oder hybrid betrieben werden. FortiEMS ist sinnvoll, wenn:

  • Zentrale Endpoint-Kontrolle benötigt wird – z. B. zur Verwaltung, Überwachung und Konfiguration von FortiClient-Installationen.
  • Du Zero-Trust-Konzepten folgen möchtest, bei denen der Sicherheitsstatus eines Endgeräts vor dem Netzwerkzugriff geprüft wird.
  • Du Endpoint-Telemetrie und Compliance-Checks brauchst (OS-Versionen, Patch-Status, AV-Status, Vulnerabilities).
  • Du Automatisierung von Sicherheitsmassnahmen auf Endgeräten benötigst – etwa Quarantäne, Policy-Durchsetzung oder automatisierte Reaktionen auf Vorfälle.
  • Endgeräte sowohl im Unternehmensnetz als auch remote konsistent abgesichert werden müssen.
  • Du eine Integration mit FortiGate, FortiAnalyzer oder FortiSASE planst und eine robuste Endpoint-Security-Basis benötigst.

Kurz: FortiEMS ist die richtige Wahl, wenn Du Endgeräte aktiv verwalten, überwachen und absichern willst – unabhängig davon, wo sich die Nutzer befinden.

Typische Szenarien:

  • ✅ Unternehmen mit starker On-Prem-Firewall-Infrastruktur

FortiGate + EMS ist ein klassisches Duo.

  • ✅ Geräteverwaltung und Compliance im Fokus

Wenn du granular steuern willst, wie Software, AV, Quarantäne, Realtime-Tags, etc. verwaltet werden.

  • ✅ VPN-first Unternehmen

Wenn viele interne Applikationen über klassischen FortiClient VPN genutzt werden.

  • ✅ Unternehmen, die noch nicht "Cloud-first" sind

Oder ihre Security nicht aus der Cloud beziehen dürfen (Compliance).

add 21.11.2025 - 4Tinu | Microsoft Copilot Copilot-icon.png hat mir geholfen

Wann solltest du FortiSASE einsetzen?

Du solltest FortiSASE einsetzen, wenn du Sicherheits- und Netzwerkfunktionen cloudbasiert bereitstellen möchtest – insbesondere für verteilte Nutzer, Remote-Mitarbeiter und Standorte ohne eigene Security-Infrastruktur.

FortiSASE ist ideal, wenn:

  • du global verteilte User über die Cloud schützen möchtest (SSE / SASE).
  • du Secure Web Gateway (SWG), Cloud Firewall, CASB, ZTNA und DNS-Sicherheit zentral aus der Cloud benötigst.
  • du die Skalierbarkeit, Resilienz und geringe Latenz eines globalen Fortinet-Backbones nutzen willst.
  • deine User von überall sicher ins Internet oder zu internen Apps verbinden sollen – ohne lokale Hardware.
  • du eine moderne SASE-Architektur umsetzen willst, um hybride oder komplett cloudbasierte Umgebungen zu schützen.

Kurz: FortiSASE ist die richtige Wahl, wenn der Fokus auf cloudbasierter Netzwerk- und Nutzerabsicherung liegt – besonders in verteilten oder remote-first Umgebungen.

Typische Funktionen, wo SASE klar überlegen ist:

  • ✅ Remote-Work / Home-Office / weltweites Arbeiten

Traffic geht direkt zum PoP → niedrige Latenz.

  • ✅ Absicherung von Internet + SaaS + Remote-User

Du bekommst: SWG, CASB, DLP, FWaaS, DNS-Protection, ZTNA, DEM.

  • ✅ Standortlose Benutzer oder kleine Niederlassungen

Kein Backhauling mehr zur Zentrale.

  • ✅ Zero Trust Access ohne VPN

Schneller, moderner, flexibler.

  • ✅ Unternehmen, die "Firewall in der Cloud" wollen

SASE ersetzt oder ergänzt die FortiGate am Edge.

add 21.11.2025 - 4Tinu | Microsoft Copilot Copilot-icon.png hat mir geholfen



FortiSASE - Registration

Wie kann ich die FortiSASE Instanz aktiveren?

Um die FortiSASE Instanz zu aktivieren muss man diese vorab im Supportportal registrieren:

Wenn man die SASE Instanz erworben hat, bekommt man ein PDF Dokument mit dem Registrierungs Key. Dieser muss im Portal auf dem entsprechenden Account aktiviert werden. 

FortiSASE-0001.png

FortiSASE-0002.png

FortiSASE-0003.png

FortiSASE-0004.png

FortiSASE-0005.png

FortiSASE-0006.png

Kann ich eine EMS Cloud Instanz und eine FortiSASE Instanz auf dem selben FortiCloud Account betreiben?

Momentan ist es nur möglich eine INstanz pro Account zu haben. Entweder eine FortiEMS Cloud Instanz oder dann eine FortiSASE Instanz.

Versucht man eine FortiSASE Instanz zu aktivieren aber es ist noch eine FortiEMS Cloud Instanz aktiv, wird folgende Fehlermeldung angezeigt. 

FortiSASE-0007.png

Mann kann dann über ein Customer Service Ticket die bestehende Instanz auf einen anderen Account verschieben lassen.

edit 21.11.2025 - 4Tinu

Wie kann ich bei einer FortiSASE Instanz die Lizenz um ein weiteres Jahr verlängern?

Fortinet-3477.jpg

Fortinet-3478.jpg

Fortinet-3479.jpg

Fortinet-3480.jpg

Fortinet-3481.jpg

Fortinet-3482.jpg

add 06.01.2024 - 4Tinu

FortiSASE - Authentifizierung

Wie kann ich auf der FortiGate die Public IP Adressen von FortiSASE einbinden?

Es gibt die Möglichkeit über einen Feed die IP Adressen von FortiSASE auf die FortiGate einzubinden. Dies hat der Vorteil, dass explizit Firewallregeln von oder zu FortiSASE erstellt werden können.

Folgende URL muss im Feed konfiguriert werden: https://portal.prod.fortisase.com/api/v1/public/egress/ips

Config webgui.png Konfiguration über das WebGui: 
FortiSASE-0008.png

Navigiere über Security Fabric → External Connectors im Abschnitt Thread Feeds den Button IP Adress auswählen

Feed definieren: 

FortiSASE-0009.png
  • Im Namen Feld einen Sinnvollen Namen definieren. Das Objekt findet man bei den Firewallregeln dann unter diesem Namen.
  • Die Update Methode ist der External Feed (dies ist die default Einstellung)
  • Die folgende URL im URL of external resource eintragen: https://portal.prod.fortisase.com/api/v1/public/egress/ips
  • Die HTTP basic authentication Option deaktivieren.
  • in der Refresh rate kann definiert werden, in welchem Zeitinterval die Liste auf der FortiGate abgeglichen wird (Default 5 Minuten)

Erfolgskontrolle:
Solange das Rote x angezeigt wird, ist der Feed nicht erfolgreich gezogen worden. Mit dem Refresh Button kann der Synch forciert werden. 

FortiSASE-0010.png

Sobald der Feed erfolgreich auf die FortiGate gezogen wurde, erscheint ein grünen Hacken. Die Liste ist jetzt aktiv auf der FortiGate vorhanden 

FortiSASE-0011.png

Wenn mit dem Mauscursor direkt auf das grüne Icon navigiert wird, öffnet sich ein Menu. Es werden Informationen über den letzten Synch angezeigt. Weiter ist es möglich unter dem Menupunkt View Entries die IP Adressen, welche in der Liste sind, anzeigen zu lassen 

FortiSASE-0012.png
Config cli.png Konfiguration über die CLI: 
 
config system external-resource
    edit "FortiSASE-IP-PublicCloud"
        set type address
        set comments "IP Adressen FortiSASE Cloud"
        set resource "https://portal.prod.fortisase.com/api/v1/public/egress/ips"
    next
end

add 25.03.2024 - 4Tinu

Wie kann ich einen User in die FortiSASE Instanz integrieren?

Im folgenden Beispiel zeige ich euch, wie man einen neuen Client mit Benutzer im FortiSASE onboardet und den FortiClient auf dem Endgerät installiert:

Als erstes musst du dich in die SASE Instanz einloggen:

Config webgui.png Konfiguration im SASE Portal: 
Fortinet-3450.jpg
  1. Über das Seiten Menu Configuration Users & Groups kommst die in die User Verwaltung
  2. Mit + Create kann ein neuer User erstellt werden
Fortinet-3451.jpg

Du bist jetzt im folgenden Menu: 

Fortinet-3452.jpg

Wir legen in diesem Beispiel einen Lokalen User auf der SASE Instanz an:

  1. Wähle den Menupunkt User
  2. Mit Next gelangst du in das User Erstellung Fenster
Fortinet-3453.jpg
  1. Über die Email Adresse wird dem User der aktivierungs Link zugestellt
  2. Es kann ein Temporäres Adminpasswort optional gesetzt werden
  3. Der Aktivierungscode kann hier rauskopiert werden, es wird aber im User der Code per Email automatisch zugestellt
  4. Mit OK wird der User erstellt und ein initiales Email an den User gesendet, damit er Installations Instruktionen bekommt.
Fortinet-3454.jpg
Config webgui.png Konfiguration beim Client:

Der User bekommt eine Email an die konfigurierte Email Adresse mit Instruktionen. 

Fortinet-3455.jpg

Um den Account zu aktivieren auf den Button Activate klicken.

Es öffnet sich eine Seite der SASE Instanz um ein Passwort zu definieren: 

Fortinet-3456.jpg
  1. Der Display Name kann definiert werden.
  2. Passwort zweimal gleich eingeben
  3. Mit Activate wird der User aktiviert.
Fortinet-3457.jpg

Der User kann sich jetzt anmelden: 

Fortinet-3458.jpg
  1. Die AccountID wird automatisch übernommen
  2. Username eingeben
  3. Passwort eingeben
  4. mit Loging sich anmelden

Wenn der User sich erfolgreich angemeldet hat, kann er den FortiClient herunterladen und den aktivierungs Kode entnehmen: 

Fortinet-3459.jpg
  1. Die entsprechende FortiClient Version auswählen
  2. Der Aktivierungscode am besten in eine Textdatei kopieren, wir brauchen diesen nach der Installation.

Die ausgewählte FortiClient Version wird heruntergeladen: 

Fortinet-3460.jpg

Nach dem herunterladen die Datei ausführen um die Installation zu starten.

Es öffnet sich der Installations Wizard: 

Fortinet-3461.jpg
  1. Die Lizenzvereinbarungen gut durchlesen
  2. Wenn die Lizenzvereinbarung durchgelesen und verstanden ist kann dies bestätigt werden
  3. Mit Next wird der Installationsprozess vorangetrieben, mit Cancel wird die Installation abgebrochen.
Fortinet-3462.jpg
  1. Die gewünschten Features anwählen welche Installiert werden sollen.
  2. weiter mit Next

ATP/Webfilter Services: 

Fortinet-3463.jpg
  1. Die gewünschten UTP Services können aktiviert werden
  2. Mit Next geht es weiter
Fortinet-3464.jpg
  1. Installationspfad wird vorgeschlagen
  2. Installationspfad ändern
  3. Mit Next geht es weiter
Fortinet-3465.jpg
  1. Mit Install wird die Installation mit den angegebenen Parametern gestartet

Windows kann eine Sicherheitsabfrage aufpoppen lassen: 

Fortinet-3466.jpg

Bestätige mit Ja und falls erforderlich gib das Administrations Passwort ein.

Die Installation läuft: 

Fortinet-3467.jpg

Sobald die Installation durchgeführt ist, wird sich der Client melden: 

Fortinet-3468.jpg

Mit Finish verlässt du das Installations Programm.

Starte das FortiClient Programm 

Fortinet-3469.jpg

Um dich an die SASE Instanz anzumelden, musst du den Client aktivieren: 

Fortinet-3470.jpg
  1. Navigiere auf ZERO TRUST TELEMTRIE
  2. gib den vorher kopierte Aktivierungscode ein
  3. wähle Verbinden um den Code zu übermitteln. Hab ein paar Sekunden geduld und warte bis die Authentifizierung im SASE verifiziert wurde.

Gratuliere, der User ist jetzt über das FortiSASE verbunden: 

Fortinet-3471.jpg
Config webgui.png Konfiguration im SASE Portal:

Auf der SASE Instanz findest du jetzt den User von Toni als angemeldet: 

Fortinet-3472.jpg
  1. Navigiere auf Dashboards Status
  2. suche das Widget Managed Endpoints und klicke ins Widget rein.
Fortinet-3473.jpg

Du siehst den angemeldeten User in der Übersicht.

add 24.07.2024 - 4Tinu

FortiSASE - Betrieb

Wie binde ich eine FortiGate im FortiSASE ein?

Auf der FortiGate: 

Fortinet-3542.jpg

Fortinet-3543.jpg

Fortinet-3544.jpg

Fortinet-3545.jpg

Auf der SASE Instanz: 

Fortinet-3537.jpg

Fortinet-3538.jpg

Fortinet-3539.jpg

Fortinet-3540.jpg

Auf der FortiGate: 

Fortinet-3541.jpg

add 10.10.2025 - 4Tinu

Abgerufen von „http://fortinet.also.ch/wiki/index.php?title=Fortinet:SASE&oldid=42961