恒景動態
FortiGate | Fortinet零信任網絡構建之接入及策略中心
今天來談Fortinet零信任網絡解決方案的核心:零信任接入及策略中心網關FortiGate。
以下架構中的組件FortiAuthenticator身份識別與管理(IAM)以及FortiClient終端設備安全管理和其集中管理組件FortiClient EMS,我們在該系列文章的前兩篇中有詳細介紹。FortiAnalyzer作為Fortinet的日志數據湖,在該架構中可以記錄、收集、分析FortiGate設備的日志和事件,同時是一款輕量級的SOC做安全事件自動響應,可選擇性部署。
基于以上架構,無論用戶位于總部公司網絡內,還是遠程辦公如咖啡店、家中,或在分支機構網絡,執行零信任網絡接入與訪問ZTNA策略,都可以安全地訪問內部資源,而無需額外的VPN連接。FortiGate可作為訪問代理在允許訪問之前驗證設備身份、用戶身份、設備運行狀況、地理位置、時間和應用程序權限,在企業網絡內外提供一致的用戶體驗。
設計零信任訪問解決方案時,請考慮與通過 VPN 的傳統遠程訪問有何不同。傳統上,VPN用于保護不安全連接中的數據流。然而,通過VPN進行訪問的方法通常無法考慮受病毒感染或不合規的終端感染網絡設備的風險。鑒于允許遠程設備進入網絡的風險更大,它們的訪問通常受到限制。
ZTNA通過保護SSL連接上的流量、驗證設備身份、驗證適當的PC上的安全功能是否已打開,以及驗證用戶身份來解決其中一些問題。這些措施有助于減少安全風險因素,為遠程用戶提供與在辦公室本地工作時類似的訪問級別。這也引發了基于角色的應用程序訪問,其中根據用戶和設備角色而不是網絡的源地址和目的地址授予訪問權限。
第一種是ZTNA訪問代理 ZTNA訪問代理允許用戶通過SSL加密的訪問代理安全地訪問資源。這樣就無需使用撥號 VPN,從而簡化了遠程訪問。ZTNA 規則和標記提供額外的身份和安全態勢檢查。
FortiGate在ZTNA安全訪問(非訪問代理)部署中的功能為:
-對本地網絡用戶或遠程VPN用戶實施ZTNA規則和標記。
-根據從FortiClient EMS接收到的ZTNA標簽驗證設備身份、用戶身份、設備運行狀況和其他屬性。
-根據ZTNA標簽和動態地址列表拒絕或允許訪問網段或應用程序。
無論以上哪種部署,FortiGate還是零信任網絡接入與訪問ZTNA的策略執行中心:
-對訪問代理應用ZTNA規則和多重身份驗證 (MFA) 要求。
-使用從ZTNA標簽派生的動態IP地址列表,通過ZTNA狀態檢查強制執行防火墻策略。
-根據用戶身份、設備身份和狀態合規性授予基于角色的應用程序訪問權限。
在整體的的零信任架構中FortiGate與其他組件FortiAuthenticator、FortiClient(FortiClient EMS)與FortiAnalzyer的關系以及交互可以簡單的概括為:
-與FortiClient EMS連接接收ZTNA標簽和終端證書以進行設備身份驗證。
-通過FortiAuthenticator與Active Directory、LDAP或SAML提供商等身份提供商 (IdP) 集成,以進行用戶身份驗證和MFA。
-將日志發送到FortiAnalyzer以進行ZTNA日志記錄、報告和分析。
總之,FortiGate在零信任架構中發揮著核心作用,提供安全訪問代理、執行ZTNA策略和接入設備狀態檢查、與其他 ZTNA 組件集成,實現基于用戶、設備、基于角色的應用程序訪問和安全態勢及合規性的檢查。
-
最新動態
-
光傳感產品 Niagara Bypass交換機 Netscout 網絡設備 Uila 虛擬化性能監控 Fortinet 網絡安全 iRecovery網絡故障自愈系統 NetAlly手持儀表 Napatech 網絡加速卡 恒景數據包中轉交換機 思科Cisco 光電模塊 星融元 安立Anritsu Mellanox交換機 安全加速器
-
Niagara Networks解決方案 Netscout 解決方案 Uila解決方案 FORTINET解決方案 iRecovery 網絡故障自愈系統 NetAlly解決方案 MultiLane端口測試解決方案
-
公司介紹 廠商介紹 聯系我們 加入我們 最新動態
郵箱 y.k@whpermanent.com
電話 027-87569272
地址 湖北省武漢市洪山區文化大道555號融創智谷A10-5
關注恒景
獲取最新案例及解決方案