The Evolution of Remote Access to Applications

賴長生 (Johnson Lai)

通路暨客戶關係經理
+e: clai@fortinet.com
大 綱
• 市場需求
• 商業需求與差異
• 簡單與安全的 ZTNA 方案
• Fortinet ZTNA 的應用場景
• ZTNA 授權種類
• 總結

© Fortinet Inc. All Rights Reserved. 2

企業網路的存取趨勢演化
單一認證 身份和風險的持續驗證 持續增長的遠端存取需求

到 2024 年，70% 的應用程序存取將使用 到 2021 年底，透過遠端存取的工作者將從4%

多因子認證，遠高於今日的10% *1 成長到30%的幅度 *2

BYOD IoT 從傳統資料中心轉化為混合雲端的架構

On-prem On-prem Private Public

Data center Data center Cloud Cloud

到 2025 年, 有超過 120 億個 IoT 裝 從 Gartner 的客戶統計中，IT 建構混合雲的模

置會被安裝啟用 *3 式日漸普及 *4
1 Gartner Magic Quadrant for Access Management, 12 August 2019
2 Global Workplace Analytics
3 Gartner IoT Forecast
4 Gartner Magic Quadrant for Public Cloud Managed Services, 4 May 2020
© Fortinet Inc. All Rights Reserved. 3
整體存取架構的改變

Remote SaaS

DMZ Remote HQ

Campu Data
s Center
Private
Branch
Data Cloud

Center Public
Cloud

© Fortinet Inc. All Rights Reserved. 4

零信任存取的世代

2020 以前
With 7.0

Zero Trust Access Zero Trust Access

用戶 & 設備 存取 用戶 & 設備 存取

Identity & Access Zero

VPNTrust User
Tunnel Network Access Identity & Access Zero Trust Network Access
Management Access (ZTNA) Control (NAC) Management Network Access Control (NAC)
(IAM) (IAM) (ZTNA)

用戶身份認證 遠端存取接入
Application Access 設備驗證 用戶身份認證 應用程式存取 設備驗證

© Fortinet Inc. All Rights Reserved. 5

ZTNA 商業需求與差異
ZTNA (Zero Trust Network Access)
ZTNA 商業需求

異地辦公 雲端存取 勒索病毒攻擊

Work From Anywhere Cloud Journey Ransomware
Attacks

用戶不因所在地點 應用服務 細膩化的

而影響到資料存取的 不因用戶的所在地點而 應用程式控管
便利性 有所差異

提升用戶的 彈性化的 減少攻擊發生

生產力 管理機制 的機會

© Fortinet Inc. All Rights Reserved. 7

現行常見的遠端資料存取方式
SAAS、IPSEC VPN、SSLVPN

© Fortinet Inc. All Rights Reserved. 8

例：FortiClient - SSL VPN客戶端應用
強化型安全遠端連線

1. 用戶登入 2. 雙因子認證 3. 連線！

© Fortinet Inc. All Rights Reserved. 9

Virtual Private Networking (VPN) 概觀
存取資料中心與雲端資源

雲端應用

NGFW
(FortiGate)

資料中心

使用者 VPN閘道
客戶端 (FortiGate)
(FortiClient)

© Fortinet Inc. All Rights Reserved. 10

WFH：居家辦公Off-Net設備上網的情況

Public/私有雲 SaaS 應用
缺乏與公司內網一般的 Internet
安全保護措施

WFH使用者的安全隱患

資料中心
不好的使用者體驗 Thin Edge Off-Net Device
/ Corporate
分點辦公室 WFH
Off-Net 使用者

© Fortinet Inc. All Rights Reserved. 11

簡單與安全的 ZTNA 方案
Work From Anywhere
零信任原則
從用戶身份到設備安全

• 持續的檢視
• 用戶與設備的認證與檢測 – 持續不中斷的進行 ✓
• 嚴格的管制
• 細緻的網路區域存取控制
• 針對所有的應用程式、數據與資源的存取控制
• 基於需求或用戶角色授予最低的訪問權限

• 已遭受入侵
• 攻擊者可能是從內網或外網進行入侵
• 要將 ”信任區網“ 當作是一個不存在的觀念

© Fortinet Inc. All Rights Reserved. 13

遠距辦公端點安全要看得到，管得到，防得住

安全可視性 自我保護

預先的安全控制 快速修復
端點安全
強軔性

© Fortinet Inc. All Rights Reserved. 14

從 VPN 進化到 ZTNA

VPN ZTNA
雲端
Access Proxy
Client NGFW Client
雲端

OFF Network 資料中心 ON/OFF Network

資料中心

登入時一次性的檢查 持續的可信任性檢查

基於網段的存取 可針對指定應用提供存取

傳統的防火牆控制策略 跟使用者狀態有關的控制策略

© Fortinet Inc. All Rights Reserved. 15

遠距辦公端點安全：透過 ZTNA Agent
提供端點控制以提高安全性

防毒，應用識別 ，
4 預防性安全控制
Web 過濾單點登錄

Zero-day， 進階威脅
3 自我保護/進階持續威脅
防護和減緩
Fabric 遙感
2 安全可視性/Fabric 代理 終端合規
弱掃/緩解/

SSL & IPSec VPN

已註冊 威脅評分 (Points) 1 安全遠端連接
雙因子認證
Device Type MAC FGT Identity Traffic

© Fortinet Inc. All Rights Reserved. 16

預先的安全控制：
遠距辦公下更嚴格的存取權限控管
分配存取權限 禁止存取

ACCESS
DENIED

風險評估 訪客存取

設備識別 受限制的內部存取

身份識別 無限制的存取

© Fortinet Inc. All Rights Reserved. 17

預先的安全控制：不讓遠端辦公成為資安破口

Internet

Access Denied
Engineering
Segment ENGINEERING INTRANET

Tag Sales Segment

SALES INTRANET

Finance
FortiGate
FortiClient Segment FINANCE INTRANET
EMS

Critical
Vulnerability

使用者: Kate 使用者: Jenny 使用者: Jack

© Fortinet Inc. All Rights Reserved. 18
Group: Engineering Group: Sales Group: Finance
常見的 ZTNA 應用場景
Work From Anywhere
ZTNA 元件與場景
Fortinet 的方案元件

Fabric – Zero Trust Access

FortiAuthenticato
r EMS
FortiToken
Campus

Data Center

Branch

Cloud
User FortiClient
Home FortiOS

SaaS
Travel

© Fortinet Inc. All Rights Reserved. 20

現行遠端 VPN 與 ZTNA 技術差異性
允許存取應用

© Fortinet Inc. All Rights Reserved. 21

ZTNA 彈性架構
不須擔心資料位置與網路架構問題
Policy

Public
Cloud

Campus

Private
Cloud

Branch

Remote Data Center

持續檢查用戶的身份、設備的
不論用戶的位址 狀態，確保存取的安全性 不需擔憂應用系統的位置

© Fortinet Inc. All Rights Reserved. 22

ZTNA 的多種應用方式
基於內部網路的應用程式存取控制 (on-network)

Global
Internet
SAML

FortiAuthenticat Active Directory

On-prem FTGT
or SaaS
2 4

ZTNA 資料庫 1
使用者 群組 應用 私有雲

FortiClient
with ZTNA
agent
公有雲
Out-of-band mgmt
FortiClient
EMS
© Fortinet Inc. All Rights Reserved. 23
ZTNA 的多種應用方式
基於公司外網的應用程式存取控制 (off-network)

SAML

1 FortiAuthenticat Active Directory

2 Automatic Tunnel when On-prem FTGT
or SaaS
off-network 3 5

ZTNA 資料庫

Global 使用者 群組 應用 私有雲

Internet FortiClient
with ZTNA
agent 4

公有雲

Out-of-band mgmt
FortiClient
EMS
© Fortinet Inc. All Rights Reserved. 24
ZTNA 的多種應用方式
基於雲端應用程式存取控制 (off-network)

Global
Internet
SAML

Public-Cloud
1 FTGT VM FortiAuthenticat Active Directory
2 Automatic Tunnel or SaaS
(HTTPS/SSH) when 3 5
off-network

私有雲
ZTNA 資料庫
FortiClient
with ZTNA
agent 使用者 群組 應用

Out-of-band mgmt
FortiClient
EMS
© Fortinet Inc. All Rights Reserved. 25
WFH 使用者安全防護
對於 WFH 的使用者提供的雲端安全防護

INTERNET
效果
• 透過輕量的 Agent 為居家/行動
辦公的使用者提供完整的安全
• 對於雲端應用存取提供使用者更
流暢的體驗 Off-Net 使用者

• 對於遠端辦公使用者提供進階威
協防護
• 透過雲端訂閱服務機制提供與企
業內網同等級的防火牆與其它安
全功能的保護 Off-Net 使用者

Off-Net 使用者

© Fortinet Inc. All Rights Reserved. 26

Fortinet ZTNA 授權種類
ZTNA 授權種類 - 1

© Fortinet Inc. All Rights Reserved. 28

ZTNA 授權種類 - 2

© Fortinet Inc. All Rights Reserved. 29

競爭品牌
ZTNA 市場的競品分佈
Gartner ZTNA Market Guide

SASE
Zscaler Private Access (ZPA) Prisma Access Netskope Private Access Netskope Private Access

Identity

Cisco Duo Beyond BeyondCorp Enterprise Azure AD Application Proxy Okta Cloud Identity

Legacy VPN
AnyConnect Remote User Secure Access Global Protect Pulse SDP

© Fortinet Inc. All Rights Reserved. 31

總結 - 嶄新的 ZTNA 方案如何對抗新型態攻擊…
• ZTNA 可以有效抵禦以下攻擊的發生…

• 資料外洩, 簡化的帳號與密碼, 不安全的 UI 與 API, 系統或應用程式的弱點漏洞, 帳號竊取

綁架, 內網的惡意威脅, DDoS 阻斷攻擊, 勒索軟體加密.

• 隱藏的系統應用程式/系統…

攻擊者無法透過Internet 的連線來進行刺探與攻擊, 在 ZTNA 架構下即使應用服務具有漏洞

或未修補的程序, 也是安全無慮的. 因為無法從外部進行直接與應用系統直接接觸.

• 用戶搭配多因子認證, 設備認證, 持續檢測設備狀態…

• 除了安裝 ZTNA 終端的設備外, 其他類型設備透過標記設定也可進行信任管理.

• 阻斷多樣攻擊手法: 外部遠端服務漏洞攻擊 / 暴力破解 / 漏洞探測 / 未授權的訪問存

取行為。

© Fortinet Inc. All Rights Reserved. 32