FortiGate Backup Automatisierung mit der Security Fabric Automation

In einem vorherigen Beitrag bin ich bereits auf die Sicherung der Konfiguration von FortiGates über die auto-script CLI Befehle eingegangen.

Ab FortiOS 6.2 hat Fortinet zusätzlich die Möglichkeit von Automatisierungen über die Security Fabric implementiert. Dadurch lässt sich das Backup auch über diesen Weg realisieren. Der Vorteil ist die Anzeige und Nachverfolgbarkeit über die GUI, sowie der modulare Aufbau eines ganzen Backup Workflows.

Konfiguriert werden müssen ein Auslöser (Trigger), eine Aktion (Aktion) und ein Ablauf (Stitch). Dies kann per GUI realisiert werden oder per CLI wie folgt.

Im folgenden Beispiel möchte ich einen Schedule Trigger für Mitternacht und eine Script Action für das Backup auf einen SFTP-Server erstellen. Dann wird das Ganze in einem Ablauf zusammen gebracht.

Automation Trigger

config system automation-trigger
  edit "Schedule Daily at Midnight"
    set trigger-type scheduled
    set trigger-frequency daily
    set trigger-hour 00
    set trigger-minute 00
  next
end

Automation Action

config system automation-action
  edit "Backup Configuration to SFTP"
    set action-type cli-script
    set minimum-interval 0
    set delay 0
    set required enable
    set accprofile <Admin-Profile-Name>*)
    set script "execute backup config sftp /<Remote-Pfad>/FGT-Backup.cfg <SFTP-Server-Name|IP> <SFTP-Benutzername> <SFTP-Passwort>"
  next
end

*) Da die Automation Action für das Backup ein CLI Script ist, benötigt es ein Account Profile, also ein Profil, mit welchen Rechten das Script ausgeführt wird. Da für das Backup nur Leserechte benötigt werden, empfiehlt es sich, hierfür ein Read-Only Admin Profil anzulegen und dieses zu verwenden.

Automation Stitch

config system automation-stitch
  edit "Backup Configuration Daily at Midnight"
    set status enable
    set trigger "Schedule Daily at Midnight"
    set action "Backup Configuration to SFTP"
  next
end

Der Automation Stitch kann natürlich noch beliebig erweitert werden, z.B. kann nach dem Backup eine Email, ein Webhook oder eine Teams Channel Notification (seit FortiOS 7) versendet werden.


Quellen:
https://docs.fortinet.com/document/fortigate/7.0.1/cli-reference/84566/fortios-cli-reference

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.