JAN VÁCLAVÍK

Senior SE / Fortinet

JAROSLAV VAZAČ
FORTINET – ZTNA MON / AC MM

endpoint na výsluní 09.09.2021

Svět se mění, decentralizuje…

Remote SaaS

DMZ Remote HQ

Campus
Data
Center
Private
Branch
Cloud
Data
Center
Public
Cloud
Fortinet Cybersecurity Platform
Enterprise Security Fabric

Zero-Trust Access Security-driven Dynamic Cloud AI-driven Security

Networking Security Operations Fabric
Management
Center

Endpoint
Access Network Firewall Applications Endpoint Security
ZTNA

NAC SD-WAN Platform Breach Prevention

Identity Secure WLAN/LAN Network Incident Response

SASE/SWG
 Zero Trust principy
• Určeno pro zařízení i uživatele
• Autentizace
• Autentizujme a ověřujme – neustále a všechno ✓
• Minimální práva a možnosti
• Tvořme nejmenší možné síť. segmenty, zóny kontroly
• Kontrolujme (evidujme) přístup k aplikacím, datům, zdrojům
• Přidělme pouze nutná práva odpovídající potřebě, nebo roli
• Očekávejme narušení
• Plánujme, že útočník už je uvnitř, nejen vně naší sítě
• Zapomeňme koncept „důvěryhodných zón“ např. „v kanceláři“
Úskalí jsou lidé i zranitelnosti instalované SW báze
• LIDÉ – práce ze soukromých zařízení
• ZRANITELNOSTI – otevřená vrátka, pozvánka pro útočníka

FortiClient EMS
Zero-Trust Network Access (ZTNA)
Od tunelů k řízenému přístupu k aplikaci
• Granulární kontrola
• Per aplikace a per session autentizace
• Již ne široký přístup do vnitřní sítě
• Příjemnější pro uživatele
• Automatické navázání bezpečných tunelů
(na pozadí) v okamžiku, jakmile uživatel
aplikaci použije
• Centrální správa konfigurace skrze EMS
• Politika nezávislá na místě přístupu
• Stejná bezpečnost On-prem/Off-prem
• Nezáleží na typu lokaci aplikace (vč
cloudových)
Od tradiční VPN k bezpečným aplikacím (ZTNA)

VPN ZTNA
Cloud
Access Proxy
Client DCFW Client
Cloud

Data Center
OFF Network ON/OFF Network
Data Center

Jednorázové ověření, důvěra Neustálá kontrola

na bázi uživatele důvěryhodnosti zařízení a
- ne však zařízení uživatele

Široký přístup do sítě Konkrétní úroveň přístupu

- často bez omezení a filtrů zvlášť ke každé aplikaci

Statická a neměnná politika Kontextuální řízení přístupu

(rule set) (dynamická změna pověření)
Jak to funguje? Data Centre
Public Cloud
Aplikace
SaaS
Aplikace

Trust Verification
✓ Kontrola uživatelské identity (SSO/MFA)
✓ Ověření Security postoje (On-net*)
✓ Ověření přístupových práv
ZTNA Tagy
Device Certificate
✓ Značkování endpointy Access
podle rolí
Proxy ✓ Kontrola certifikátu zařízení

✓ Odesílá list značkovaných Inicializace přenosu k cíli

endpointů na FortiGate(ty) ✓ Agent bezpečně přenáší data na Access Proxy
EMS Certificate ✓ SSL encrypted
✓ Sign & Install ✓ Certificate s konkrétním Device ID

Komplexní identita
✓ Informace o zařízení (OS, network info, model)
✓ Informace o přihlášeném uživateli
FortiClient
EMS ✓ Security postoj (AV software, Vul. detekce atd.)
ZTNA agenti
Device Certificate
✓ Certifikát podepsaný přímo EMS CA
✓ Instalován na zařízení
Fortinet ZTNA (ukázkové příklady)
1) Řízený přístup k cloud-based aplikacím (off-network)
Global
Internet
SAML (No split
tunnel)

1 Public-Cloud
Automatic Tunnel FTGT VM FortiAuthenticator Active Directory
2 (HTTPS/SSH) pokud je SaaS
off-network 3 5

Private
ZTNA database
FortiClient Cloud
ZTNA
agent User Groups Applications

Out-of-band mgmt
FortiClient EMS
Fortinet ZTNA (ukázkové příklady)
3) Řízený přístup k (Premise-based) aplikacím (on-network)
Global
Internet
SAML

FortiAuthenticator Active Directory

On-prem FTGT SaaS
2 4

ZTNA database 1
User Groups Applications Private
Cloud
3

FortiClient
ZTNA
agent
Public
Out-of-band mgmt Cloud
FortiClient EMS
Fortinet ZTNA (ukázkové příklady)
4) Řízený přístup k aplikacím pomocí SASE (off-network)
Global
Internet
SAML

1 FortiAuthenticator Active Directory

2 Automatic Tunnel FortiSASE SaaS
(off-network) 3

Private
FortiClient Cloud
ZTNA ZTNA database
agent
User Groups Applications

4
Public
Cloud
Out-of-band mgmt
FortiClient EMS
Fortinet ZTNA (ukázkové příklady)
5) ZTNA v rozlehlé síti WAN
Public
Cloud

Campus

Private
Cloud

Branch
Policy

Remote Data Center

Kdekoli je uživatel… Ověřená uživitelská identita, Kdekoli je aplikace…

identita zařízení & posture
kontrola před přístupem k
aplikaci
Fortinet’s ZTNA
Jaké jsou základní komponenty? Fortinet Sec. Fabric produkty, které již máte!

• FortiGate staví zabezpečený tunel, udržuje přístupovou tabulku skupin

uživatelů/aplikací
FortiGate

• FortiClient EMS konfiguruje agenta ZTNA ve FortiClientu pro

FortiClient EMS
zabezpečené připojení zpět k FortiGate (FortiClient 6.6+)

• FortiAuthenticator poskytuje vícefaktorové ověřování a připojení SAML

FortiAuthenticator
pro jednotné přihlašování napříč cloudovými aplikacemi

• FortiManager poskytuje multi-site konfigurace a koordinuje multi-

FortiManager
FortiGate prostředí vč. SD-WAN vrstvy
Fortinet’s ZTNA komponenty
Fortinet’s Components

Fabric – Zero Trust Access

FortiAuthenticator
EMS
FortiToken
Campus

Data Center

Branch

Access Cloud
Proxy
User FortiClient
ZTNA Home
FortiGate s
FortiOS 7.0
SaaS
Travel
Vize spol. Fortinet v Zero Trust Security

Zero Trust Networking

Users & Devices, Access & Segmentation

Phase 1 Phase 2
Zero Trust Access Zero Trust Segmentation
Users & Device Access
Network Security

Identity & Access ZeroVPN

Trust Network
Tunnel Network Access Segmentace Segmetnace
Management (IAM) Access (ZTNA) Control (NAC) (North-South) (East-West)

Autentizace uživatele Vzdálený

Přístup přístup
k aplikacím Řízený přístup Micro segmentace
zařízení k síti
Uživatelská zkušenost - ZTNA
Uživatelé nejsou omezování svou lokací

• Uživatelé v kanceláři nebo

doma
• Automatické spojení s
aplikacemi, bez nutnosti
manuálně vytáčet VPN
• Řízený přístup k aplikacím
všeho druhu vč. cloudovým
• MFA k rovněž k dispozici,
tam kde jej je třeba
Administrátorský pohled na ZTNA
Aplikace nejsou omezování lokací

• Granulární kontrola
• Autentizace per session
• Dvojitá autentizace (MFA)
SaaS
• Rozeznání zařízení a jejich rizikovosti
• Centrálně spravovatelné řešení
• Jeden a více bodů vynucení (access-proxy, FGT)
Private
• Centrální správa konfigurací klientů pomocí EMS Cloud
• Uživatelské skupiny umožňují rychlé zavedení;
detailní nastavení konfigurací i přístupů
• Nezávislé na typu nebo lokaci aplikace
• Přístup uživatele je povolen vždy jen k nutné Public
Cloud
množině aplikací a jejich dat
Fortinet ZTNA výhody
Kompletní pokrytí v porovnání s konkurencí

• Využijte své investice do on-prem firewallu(lů) naplno!

• Potřebné komponenty patrně již máte.
• Většina ostatních ZTNA řešení jsou tzv. SASE-only s poměrně
drahými poplatky při nasazení napříč firmou/organizací v plné šíři
• Využívá integrovaných SD-WAN, SD-Branch schopností

• Nejsou přímo požadovány žádné další licence

• Prostě a jednoduše jde o integrální funkce ve FOS & FortiClientu,
které stačí jen ZAPNOUT!
Zero Trust Access Value Prop
Bezpečnostní výzvy Benefity ZTNA

Slabé a zcizené přihlašovací údaje Zvyšuje bezpečnost pomocí 2-Factor

(hesla) Autentizace (2FA)

Granulární kontrola přístupu uživatele

Kontrola přístupu k aplikacím napříč
jednotlivě ke každé aplikaci -
hybridními cloud architekturami
nezávisle na místě připojení

Off-network telemetrie a
Visibilita & kontrola vzdálených uživatelů
politikou řízený přístup
NĚJAKÉ OTÁZKY?
Kontaktujte nás

JAROSLAV VAZAČ JAN VÁCLAVÍK

tel.: +420 777 669 222 e-mail: jvaclavik@fortinet.com
e-mail: jv@autocont.cz
ZAUJALI JSME VÁS? obraťte se na AC ve vaší blízkosti