Cómo solucionar el respaldo de configuraciones desde un firewall FortiGate a Azure Blob Storage usando SFTP

En este artículo, abordaremos un tema crucial para los administradores de red: la configuración de respaldos automáticos desde un firewall FortiGate hacia Azure Blob Storage utilizando el protocolo de transferencia de archivos SSH (SFTP). Este procedimiento no solo garantiza la seguridad de sus datos, sino que también mejora la resiliencia de su infraestructura de red al permitir una recuperación rápida en caso de incidentes. A través de esta guía, proporcionaremos un enfoque paso a paso para realizar esta configuración de manera efectiva.

Descripción del problema

La necesidad de realizar copias de seguridad de la configuración de un firewall es fundamental para cualquier administración de red. Sin embargo, la transferencia de estas configuraciones a un almacenamiento seguro puede presentar desafíos, especialmente al integrar múltiples plataformas como FortiGate y Azure. En este artículo, detallaremos cómo facilitar este proceso mediante el uso de SFTP, garantizando la seguridad y eficiencia en la administración de copias de seguridad.

Alcance

Este artículo se centra en la integración de FortiGate con Azure Blob Storage, específicamente a través del establecimiento de conexiones SFTP para la transferencia de copias de seguridad.

Diagnóstico paso a paso

Paso 1: Habilitar soporte SFTP para Azure Blob Storage

En el portal de Azure, navegue a ‘Cuenta de Almacenamiento -> Configuración’ y seleccione ‘SFTP’. Luego, elija ‘Habilitar SFTP’.

Artículos relacionados  Cómo solucionar el alto consumo de CPU del daemon 'node' al tener múltiples administradores conectados en la GUI de Fortinet

Paso 2: Configurar permisos de acceso para clientes SFTP

Cree un usuario local. Para acceder al endpoint SFTP, necesitará asociar una identidad llamada usuario local, que puede asegurarse con una contraseña generada por Azure o un par de claves SSH con la cuenta de almacenamiento.

En el portal de Azure, dirígete a ‘Cuenta de Almacenamiento -> Configuración’ y seleccione ‘SFTP’, luego elija ‘Agregar usuario local’.

En el panel de configuración de ‘Agregar usuario local’, introduzca el ‘nombre de usuario’ y seleccione un método de autenticación para este usuario. En este caso, se elegirá el método de autenticación ‘Contraseña SSH’.

Mantenga las otras opciones predeterminadas y navegue al panel de ‘Permisos’, donde debe seleccionar o crear un contenedor.

Asigne los permisos apropiados al contenedor. En este escenario, se selecciona ‘Todos los permisos’‘ y se dejan las otras opciones por defecto.

Paso 3: Conectar a Azure Blob Storage utilizando un cliente SFTP

Utilice el siguiente script en el CLI de FortiGate para enviar el archivo de copia de seguridad de configuración al Blob Storage:

# execute backup full-config sftp %%log.devname%%-%%date%%.cfg edteststorage2024.blob.core.windows.net:22 edteststorage2024.edtestcontainer.edtestuser xxxxxxxxxx
                

Donde:

  • ‘execute backup full-config’ respaldará la configuración actual guardada.
  • ‘sftp’ especifica el protocolo de transferencia utilizado.
  • ‘%%log.devname%%-%%date%%.cfg’ especifica las variables utilizadas para nombrar el archivo de respaldo con el nombre actual del dispositivo y la fecha.
  • ‘edteststorage2024.blob.core.windows.net’ especifica la ruta de almacenamiento —> segunda parte de la cadena de conexión después del símbolo @.
  • ‘:22’ es el puerto de conexión SFTP.
  • ‘edteststorage2024.edtestcontainer.edtestuser’ especifica el nombre de usuario —> primera parte de la cadena de conexión antes del símbolo @.
  • ‘xxxxxxxxxx’ es la contraseña SSH para este usuario.
Artículos relacionados  Cómo solucionar problemas de seguridad en FortiGate configurando un portal cautivo externo con FortiAuthenticator

Solución recomendada

Asegúrese de que el método de autenticación por contraseña esté seleccionado para este usuario. Tras agregar al usuario local, aparecerá un cuadro de diálogo con la contraseña generada por Azure. Asegúrese de guardar esta contraseña localmente, ya que no se podrá recuperar más tarde.

Navegue nuevamente a ‘Cuenta de Almacenamiento -> Configuración’ y seleccione ‘SFTP’. Copie la cadena de conexión de este usuario localmente. Reemplace el campo <NOMBRE_CONTENEDOR> con el nombre de contenedor adecuado, que en este escenario se llama ‘testcontainer’.

Comandos CLI utilizados

Todos los comandos discutidos anteriormente pueden ser utilizados en el CLI de FortiGate. Recuerde que si el script se ejecuta manualmente, las variables mencionadas anteriormente no se convertirán en el nombre real del dispositivo y la fecha; para que tengan efecto, es necesario crear un Automation Stitch en el FortiGate.

Buenas prácticas y recomendaciones

Se recomienda probar la conexión mediante un cliente SFTP como WinSCP o FileZilla para asegurar que la configuración de Azure sea correcta. Tras la configuración de un Automation Stitch con una copia de seguridad automatizada diaria a las 11:59 PM, debería poder ver una salida similar en el Contenedor de Azure.

Notas adicionales

Si se recibe un error al aplicar el script en el CLI, es recomendable verificar la configuración con un cliente SFTP. Esta validación ayuda a asegurar que todas las partes de la configuración en Azure estén correctamente establecidas.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *