Fortinet:SASE: Unterschied zwischen den Versionen
4Tinu (Diskussion | Beiträge) |
4Tinu (Diskussion | Beiträge) |
||
| Zeile 141: | Zeile 141: | ||
=== Wann solltest du EMS einsetzen?=== | === Wann solltest du EMS einsetzen?=== | ||
Du solltest FortiEMS einsetzen, wenn du eine robuste, zentralisierte Lösung zur Verwaltung und Absicherung deiner Endpoints benötigst – | |||
unabhängig davon, ob sie im LAN, remote oder hybrid betrieben werden. FortiEMS ist sinnvoll, wenn: | |||
* Zentrale Endpoint-Kontrolle benötigt wird – z. B. zur Verwaltung, Überwachung und Konfiguration von FortiClient-Installationen. | |||
* Du Zero-Trust-Konzepten folgen möchtest, bei denen der Sicherheitsstatus eines Endgeräts vor dem Netzwerkzugriff geprüft wird. | |||
* Du Endpoint-Telemetrie und Compliance-Checks brauchst (OS-Versionen, Patch-Status, AV-Status, Vulnerabilities). | |||
* Du Automatisierung von Sicherheitsmassnahmen auf Endgeräten benötigst – etwa Quarantäne, Policy-Durchsetzung oder automatisierte Reaktionen auf Vorfälle. | |||
* Endgeräte sowohl im Unternehmensnetz als auch remote konsistent abgesichert werden müssen. | |||
* Du eine Integration mit FortiGate, FortiAnalyzer oder FortiSASE planst und eine robuste Endpoint-Security-Basis benötigst. | |||
Kurz: FortiEMS ist die richtige Wahl, wenn Du Endgeräte aktiv verwalten, überwachen und absichern willst – unabhängig davon, wo sich die Nutzer befinden. | |||
Typische Szenarien: | Typische Szenarien: | ||
* | * ✅ Unternehmen mit starker On-Prem-Firewall-Infrastruktur | ||
FortiGate + EMS ist ein klassisches Duo. | FortiGate + EMS ist ein klassisches Duo. | ||
* | * ✅ Geräteverwaltung und Compliance im Fokus | ||
Wenn du granular steuern willst, wie Software, AV, Quarantäne, Realtime-Tags, etc. verwaltet werden. | Wenn du granular steuern willst, wie Software, AV, Quarantäne, Realtime-Tags, etc. verwaltet werden. | ||
* | * ✅ VPN-first Unternehmen | ||
Wenn viele interne Applikationen über klassischen FortiClient VPN genutzt werden. | Wenn viele interne Applikationen über klassischen FortiClient VPN genutzt werden. | ||
* | * ✅ Unternehmen, die noch nicht "Cloud-first" sind | ||
Oder ihre Security nicht aus der Cloud beziehen dürfen (Compliance). | Oder ihre Security nicht aus der Cloud beziehen dürfen (Compliance). | ||
---- | ---- | ||
<small>add 21.11.2025 - 4Tinu <nowiki>|</nowiki>'' [https://cloud.also.mp/de/de/microsoft-copilot-trainings/ Microsoft Copilot] [[File:copilot-icon.png|20px|link=https://cloud.also.mp/de/de/microsoft-copilot-trainings/]] hat mir geholfen''</small> | |||
===Wann solltest du FortiSASE einsetzen?=== | ===Wann solltest du FortiSASE einsetzen?=== | ||
Typische Funktionen, wo SASE klar überlegen ist: | Typische Funktionen, wo SASE klar überlegen ist: | ||
Version vom 21. November 2025, 10:18 Uhr
Fortinet:SASE
Vorwort
Diese Seite erklärt das FortiSASE Produkt
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
FortiSASE - Dokumentationen
Admin Guides
- Datei:FortiSASE-AdminGuide.pdf 25.2.30
add 04.06.2025 - 4Tinu
Starthilfe Dokumente
add 04.06.2025 - 4Tinu
Referenz Guides
- Datei:FortiSASE-ReferenceGuide.pdf 25.2
- Datei:FortiSASE-ArchitectureGuide.pdf 25.2
- Datei:FortiSASE-ConceptGuide.pdf 25.2
edit 22.07.2025 - 4Tinu
Release Notes
Version 25.2
add 04.06.2025 - 4Tinu
Deployment Guides
- Datei:FortiSASE-Public-IP-DeploymentGuide.pdf 25.2
- Datei:FortiSASE-SSA-Using Inline-CASB and DLP.pdf 25.2
- Datei:FortiSASE-Multitenant-Deployment for MSSP using OU.pdf 25.2
- Datei:FortiSASE-FortiGate NGFW to FortiSASE SPA Hub Conversion Using Fabric Overlay Orchestrator Deployment Guide.pdf 25.2
- Datei:FortiSASE-EndpointManagement-DeploymentGuide.pdf 25.2
- Datei:FortiSASE-SWG with VPN-DeploymentGuide.pdf 25.2
- Datei:FortiSASE-SAML-SSO Using FortiTrust as IdP Proxy DeploymentGuide.pdf 25.2
- Datei:FortiSASE-Agent-based VPN Autoconnect Using Entra ID SSO.pdf 25.2
- Datei:FortiSASE-SIA-Site-based-DeploymentGuide.pdf 25.2
- Datei:FortiSASE-SIA-Agent-based-DeploymentGuide.pdf 25.2
- Datei:FortiSASE-SIA-Agentless-SWG-DeploymentGuide.pdf 25.2
- Datei:FortiSASE-SPA-UsingZTNA-DeploymentGuide.pdf 25.2
- Datei:FortiSASE-FortiGate NGFW to FortiSASE SPA Hub Conversion DeploymentGuide.pdf 25.2
- Datei:FortiSASE-SPA with a FortiGate SD-WAN-DeploymentGuide.pdf 25.2
Instutitionen:
add 04.06.2025 - 4Tinu
FortiSASE oder FortiEMS
Welche Feature Unterscheiden den FortiEMS und das FortiSASE?
Um die Unterschiede zwischen FortiEMS und FortiSASE zu verstehen, betrachtest du zwei Lösungen, die unterschiedliche Schwerpunkte innerhalb der Endpoint- und Cloud-Security-Architektur setzen. Während FortiEMS primär auf das zentrale Management und die Absicherung von Endgeräten ausgerichtet ist, kombiniert FortiSASE Netzwerk- und Security-Funktionen zu einem cloudbasierten Zugriffsmodell.
Diese Unterscheidung bildet den Rahmen für die folgenden Feature-Vergleiche.
| - | FortiEMS (klassisch / on-prem / Cloud EMS) | FortiSASE (Cloud SASE + integrierte EMS-Lite) |
| Fokus: | Endpoint-Management | Sicheres Arbeiten von überall |
| Features ✅ |
✅ Tiefes Endpoint-Management |
✅ Integrierte EMS-Cloud (für FortiClient Management) |
| Features ❌ |
❌ Keine Cloud-Security |
❌ FortiSASE-EMS ist nicht so tief wie On-Prem EMS |
| Bemerkung: | EMS ist ein Management-Tool – keine Security-Cloud. | SASE ist eine Sicherheitsplattform – kein vollständiges Endpoint-Management. |
add 21.11.2025 - 4Tinu | Microsoft Copilot 
hat mir geholfen
Wann solltest du EMS einsetzen?
Du solltest FortiEMS einsetzen, wenn du eine robuste, zentralisierte Lösung zur Verwaltung und Absicherung deiner Endpoints benötigst – unabhängig davon, ob sie im LAN, remote oder hybrid betrieben werden. FortiEMS ist sinnvoll, wenn:
- Zentrale Endpoint-Kontrolle benötigt wird – z. B. zur Verwaltung, Überwachung und Konfiguration von FortiClient-Installationen.
- Du Zero-Trust-Konzepten folgen möchtest, bei denen der Sicherheitsstatus eines Endgeräts vor dem Netzwerkzugriff geprüft wird.
- Du Endpoint-Telemetrie und Compliance-Checks brauchst (OS-Versionen, Patch-Status, AV-Status, Vulnerabilities).
- Du Automatisierung von Sicherheitsmassnahmen auf Endgeräten benötigst – etwa Quarantäne, Policy-Durchsetzung oder automatisierte Reaktionen auf Vorfälle.
- Endgeräte sowohl im Unternehmensnetz als auch remote konsistent abgesichert werden müssen.
- Du eine Integration mit FortiGate, FortiAnalyzer oder FortiSASE planst und eine robuste Endpoint-Security-Basis benötigst.
Kurz: FortiEMS ist die richtige Wahl, wenn Du Endgeräte aktiv verwalten, überwachen und absichern willst – unabhängig davon, wo sich die Nutzer befinden.
Typische Szenarien:
- ✅ Unternehmen mit starker On-Prem-Firewall-Infrastruktur
FortiGate + EMS ist ein klassisches Duo.
- ✅ Geräteverwaltung und Compliance im Fokus
Wenn du granular steuern willst, wie Software, AV, Quarantäne, Realtime-Tags, etc. verwaltet werden.
- ✅ VPN-first Unternehmen
Wenn viele interne Applikationen über klassischen FortiClient VPN genutzt werden.
- ✅ Unternehmen, die noch nicht "Cloud-first" sind
Oder ihre Security nicht aus der Cloud beziehen dürfen (Compliance).
add 21.11.2025 - 4Tinu | Microsoft Copilot hat mir geholfen
Wann solltest du FortiSASE einsetzen?
Typische Funktionen, wo SASE klar überlegen ist:
- ✔ Remote-Work / Home-Office / weltweites Arbeiten
Traffic geht direkt zum PoP → niedrige Latenz.
- ✔ Absicherung von Internet + SaaS + Remote-User
Du bekommst: SWG, CASB, DLP, FWaaS, DNS-Protection, ZTNA, DEM.
- ✔ Standortlose Benutzer oder kleine Niederlassungen
Kein Backhauling mehr zur Zentrale.
- ✔ Zero Trust Access ohne VPN
Schneller, moderner, flexibler.
- ✔ Unternehmen, die "Firewall in der Cloud" wollen
SASE ersetzt oder ergänzt die FortiGate am Edge.
Wann ist welche Loesung Sinnvoll?
Empfehlung 1: Modernes Remote-Work Unternehmen → FortiSASE Wenn du viele mobile User hast: SASE first. Empfehlung 2: Klassisches Netzwerk + Geräteverwaltung → EMS On-Prem-Netzwerk, viele Windows-Clients: EMS lohnt sich. Empfehlung 3: Kombi sinnvoll → Wenn starke Endpoint-Kontrolle + SASE benötigt Beispiele:
- regulierte Branchen
- Unternehmen mit komplexem Client-Hardening
- „Hybrid Infrastructure“: On-Prem + Cloud-Security
Kann man von EMS auf SASE migrieren?
Ja — es gibt einen offiziellen Migrationspfad. ABER:
- ⚠ EMS-Konfiguration wird NICHT 1:1 übernommen.
- ⚠ Profile müssen neu in der SASE-EMS erstellt werden.
- ⚠ Einige Funktionen fehlen in der SASE-EMS.
Für die meisten Kunden gilt: → Kombination aus EMS jetzt + später SASE ist problemlos möglich.
Integration mit FortiGate Sehr gut, aber:
- Policies sind NICHT 1:1 identisch
- SASE hat eigene Policy-Engines (SWG/FWaaS/ZTNA)
- FortiGate kann über Secure Edge / SD-WAN angebunden werden
- Dynamische EMS-Tags können weiter genutzt werden
➡ Wird laufend besser, aber noch keine komplette Policy-Fusion.
Wann macht EMS + SASE zusammen wirklich Sinn?
Beste Kombination in diesen Fällen: Szenario Empfehlung Tiefe Device-Posture + Cloud Security EMS + SASE Starke Governance / Compliance Anforderungen EMS + SASE Gemischte Remote + On-Prem Workforce EMS + SASE SASE-Pilot, vorbereitende Phase EMS jetzt, später SASE Nur Cloud-Remote-Worker SASE reicht aus Nur On-Prem VPN EMS reicht aus
Zusammenfassung als Executive Summary
- ✔ EMS = Endpoint-Management
- ✔ SASE = Cloud-Security für User überall auf der Welt
- ✔ SASE enthält EMS, aber ersetzt nicht alle EMS-Features
- ✔ Beides zusammen = maximale Kontrolle + moderne Cloud Security
FortiSASE - Registration
Wie kann ich die FortiSASE Instanz aktiveren?
Um die FortiSASE Instanz zu aktivieren muss man diese vorab im Supportportal registrieren:
Wenn man die SASE Instanz erworben hat, bekommt man ein PDF Dokument mit dem Registrierungs Key. Dieser muss im Portal auf dem entsprechenden Account aktiviert werden.
Kann ich eine EMS Cloud Instanz und eine FortiSASE Instanz auf dem selben FortiCloud Account betreiben?
Momentan ist es nur möglich eine INstanz pro Account zu haben. Entweder eine FortiEMS Cloud Instanz oder dann eine FortiSASE Instanz.
Versucht man eine FortiSASE Instanz zu aktivieren aber es ist noch eine FortiEMS Cloud Instanz aktiv, wird folgende Fehlermeldung angezeigt.
Mann kann dann über ein Customer Service Ticket die bestehende Instanz auf einen anderen Account verschieben lassen.
edit 21.11.2025 - 4Tinu
Wie kann ich bei einer FortiSASE Instanz die Lizenz um ein weiteres Jahr verlängern?
add 06.01.2024 - 4Tinu
FortiSASE - Authentifizierung
Wie kann ich auf der FortiGate die Public IP Adressen von FortiSASE einbinden?
Es gibt die Möglichkeit über einen Feed die IP Adressen von FortiSASE auf die FortiGate einzubinden. Dies hat der Vorteil, dass explizit Firewallregeln von oder zu FortiSASE erstellt werden können.
Folgende URL muss im Feed konfiguriert werden: https://portal.prod.fortisase.com/api/v1/public/egress/ips
 Konfiguration über das WebGui:
|
|
Navigiere über Security Fabric → External Connectors im Abschnitt Thread Feeds den Button IP Adress auswählen |
|
Feed definieren:
|
|
Erfolgskontrolle: Sobald der Feed erfolgreich auf die FortiGate gezogen wurde, erscheint ein grünen Hacken. Die Liste ist jetzt aktiv auf der FortiGate vorhanden Wenn mit dem Mauscursor direkt auf das grüne Icon navigiert wird, öffnet sich ein Menu. Es werden Informationen über den letzten Synch angezeigt. Weiter ist es möglich unter dem Menupunkt View Entries die IP Adressen, welche in der Liste sind, anzeigen zu lassen |
 Konfiguration über die CLI:
|
config system external-resource
edit "FortiSASE-IP-PublicCloud"
set type address
set comments "IP Adressen FortiSASE Cloud"
set resource "https://portal.prod.fortisase.com/api/v1/public/egress/ips"
next
end
|
add 25.03.2024 - 4Tinu
Wie kann ich einen User in die FortiSASE Instanz integrieren?
Im folgenden Beispiel zeige ich euch, wie man einen neuen Client mit Benutzer im FortiSASE onboardet und den FortiClient auf dem Endgerät installiert:
Als erstes musst du dich in die SASE Instanz einloggen:
| Konfiguration im SASE Portal:
|
|
|
Du bist jetzt im folgenden Menu: Wir legen in diesem Beispiel einen Lokalen User auf der SASE Instanz an:
|
|
|
|
| Konfiguration beim Client:
|
|
Der User bekommt eine Email an die konfigurierte Email Adresse mit Instruktionen. Um den Account zu aktivieren auf den Button |
|
Es öffnet sich eine Seite der SASE Instanz um ein Passwort zu definieren:
|
|
Der User kann sich jetzt anmelden:
|
|
Wenn der User sich erfolgreich angemeldet hat, kann er den FortiClient herunterladen und den aktivierungs Kode entnehmen:
|
|
Die ausgewählte FortiClient Version wird heruntergeladen: Nach dem herunterladen die Datei ausführen um die Installation zu starten. |
|
Es öffnet sich der Installations Wizard:
|
|
|
ATP/Webfilter Services:
|
|
|
|
Windows kann eine Sicherheitsabfrage aufpoppen lassen: Bestätige mit Ja und falls erforderlich gib das Administrations Passwort ein. |
|
Die Installation läuft: |
|
Sobald die Installation durchgeführt ist, wird sich der Client melden: Mit |
|
Starte das FortiClient Programm |
|
Um dich an die SASE Instanz anzumelden, musst du den Client aktivieren:
|
|
Gratuliere, der User ist jetzt über das FortiSASE verbunden: |
| Konfiguration im SASE Portal:
|
|
Auf der SASE Instanz findest du jetzt den User von Toni als angemeldet:
|
|
Du siehst den angemeldeten User in der Übersicht. |
add 24.07.2024 - 4Tinu
FortiSASE - Betrieb
Wie binde ich eine FortiGate im FortiSASE ein?
Auf der FortiGate:
Auf der SASE Instanz:
Auf der FortiGate:
add 10.10.2025 - 4Tinu