Professional Documents
Culture Documents
Senior SE / Fortinet
JAROSLAV VAZAČ
FORTINET – ZTNA MON / AC MM
Remote SaaS
DMZ Remote HQ
Campus
Data
Center
Private
Branch
Cloud
Data
Center
Public
Cloud
Fortinet Cybersecurity Platform
Enterprise Security Fabric
Endpoint
Access Network Firewall Applications Endpoint Security
ZTNA
SASE/SWG
Zero Trust principy
• Určeno pro zařízení i uživatele
• Autentizace
• Autentizujme a ověřujme – neustále a všechno ✓
• Minimální práva a možnosti
• Tvořme nejmenší možné síť. segmenty, zóny kontroly
• Kontrolujme (evidujme) přístup k aplikacím, datům, zdrojům
• Přidělme pouze nutná práva odpovídající potřebě, nebo roli
• Očekávejme narušení
• Plánujme, že útočník už je uvnitř, nejen vně naší sítě
• Zapomeňme koncept „důvěryhodných zón“ např. „v kanceláři“
Úskalí jsou lidé i zranitelnosti instalované SW báze
• LIDÉ – práce ze soukromých zařízení
• ZRANITELNOSTI – otevřená vrátka, pozvánka pro útočníka
FortiClient EMS
Zero-Trust Network Access (ZTNA)
Od tunelů k řízenému přístupu k aplikaci
• Granulární kontrola
• Per aplikace a per session autentizace
• Již ne široký přístup do vnitřní sítě
• Příjemnější pro uživatele
• Automatické navázání bezpečných tunelů
(na pozadí) v okamžiku, jakmile uživatel
aplikaci použije
• Centrální správa konfigurace skrze EMS
• Politika nezávislá na místě přístupu
• Stejná bezpečnost On-prem/Off-prem
• Nezáleží na typu lokaci aplikace (vč
cloudových)
Od tradiční VPN k bezpečným aplikacím (ZTNA)
VPN ZTNA
Cloud
Access Proxy
Client DCFW Client
Cloud
Data Center
OFF Network ON/OFF Network
Data Center
Trust Verification
✓ Kontrola uživatelské identity (SSO/MFA)
✓ Ověření Security postoje (On-net*)
✓ Ověření přístupových práv
ZTNA Tagy
Device Certificate
✓ Značkování endpointy Access
podle rolí
Proxy ✓ Kontrola certifikátu zařízení
Komplexní identita
✓ Informace o zařízení (OS, network info, model)
✓ Informace o přihlášeném uživateli
FortiClient
EMS ✓ Security postoj (AV software, Vul. detekce atd.)
ZTNA agenti
Device Certificate
✓ Certifikát podepsaný přímo EMS CA
✓ Instalován na zařízení
Fortinet ZTNA (ukázkové příklady)
1) Řízený přístup k cloud-based aplikacím (off-network)
Global
Internet
SAML (No split
tunnel)
1 Public-Cloud
Automatic Tunnel FTGT VM FortiAuthenticator Active Directory
2 (HTTPS/SSH) pokud je SaaS
off-network 3 5
Private
ZTNA database
FortiClient Cloud
ZTNA
agent User Groups Applications
Out-of-band mgmt
FortiClient EMS
Fortinet ZTNA (ukázkové příklady)
3) Řízený přístup k (Premise-based) aplikacím (on-network)
Global
Internet
SAML
ZTNA database 1
User Groups Applications Private
Cloud
3
FortiClient
ZTNA
agent
Public
Out-of-band mgmt Cloud
FortiClient EMS
Fortinet ZTNA (ukázkové příklady)
4) Řízený přístup k aplikacím pomocí SASE (off-network)
Global
Internet
SAML
Private
FortiClient Cloud
ZTNA ZTNA database
agent
User Groups Applications
4
Public
Cloud
Out-of-band mgmt
FortiClient EMS
Fortinet ZTNA (ukázkové příklady)
5) ZTNA v rozlehlé síti WAN
Public
Cloud
Campus
Private
Cloud
Branch
Policy
FortiAuthenticator
EMS
FortiToken
Campus
Data Center
Branch
Access Cloud
Proxy
User FortiClient
ZTNA Home
FortiGate s
FortiOS 7.0
SaaS
Travel
Vize spol. Fortinet v Zero Trust Security
Phase 1 Phase 2
Zero Trust Access Zero Trust Segmentation
Users & Device Access
Network Security
• Granulární kontrola
• Autentizace per session
• Dvojitá autentizace (MFA)
SaaS
• Rozeznání zařízení a jejich rizikovosti
• Centrálně spravovatelné řešení
• Jeden a více bodů vynucení (access-proxy, FGT)
Private
• Centrální správa konfigurací klientů pomocí EMS Cloud
• Uživatelské skupiny umožňují rychlé zavedení;
detailní nastavení konfigurací i přístupů
• Nezávislé na typu nebo lokaci aplikace
• Přístup uživatele je povolen vždy jen k nutné Public
Cloud
množině aplikací a jejich dat
Fortinet ZTNA výhody
Kompletní pokrytí v porovnání s konkurencí
Off-network telemetrie a
Visibilita & kontrola vzdálených uživatelů
politikou řízený přístup
NĚJAKÉ OTÁZKY?
Kontaktujte nás