Giới thiệu về Zero Trust Network Access được tích hợp trên FortiOS 7.0

Thảo luận trong 'Firewall Fortigate' bắt đầu bởi bathien, 7/3/23.

  1. bathien

    bathien New Member

    - Zero Trust Network Access (ZTNA) là phương pháp kiểm soát truy cập nhằm dùng để nhận dạng thiết bị cuối, xác thực, và gắn thẻ Zero Trust để cung cấp quyền truy cập ứng dụng dịa trên vai trò. Nó mang đến cho người quản trị tính linh hoạt để quản lý truy cập mạng cho người dùng On-net cục bộ và Off-net từ xa. Quyền truy cập vào các ứng dụng chỉ được cấp sau khi xác mình thiết bị, xác thực danh tính người dùng, ủy quyền của người dùng, và sau đó thực hiện kiểm tra ngữ cảnh dựa trên hành động sử dụng các thẻ 'Zero Trust tags'.

    - Thông thường, một người dùng và thiết bị có các thiết lập về quy tắc khác nhau cho truy cập on-net và off-net VPN tới các nguồn tài nguyên của công ty. Với lực lượng lao động phân tán và quyền truy cập mở rông mạng công ty, trung tâm dữ liệu và đám mây, quản lý các quy tắc có thể trở nên phức tạp. Trải nghiệm người dùng cũng bị ảnh hưởng khi cần nhiều VPN dể truy cập các tài nguyên khác nhau.

    FULL ZTNA VÀ IP/MAC FILTERING:
    - Có hai loại ZTNA: Full ZTNA và IP/MAC filtering:
    • Full ZTNA - cho người người dùng truy cập vào các nguồn tài nguyên bảo mật thông qua một truy cập proxy được mã hóa SSL. Đơn giản hóa cho việc truy cập từ xa bằng cách loại bỏ việc sử dụng VPN.
    • IP/MAC filtering - sử dụng ZTNA tags để cung cấp một yếu tố bổ sung để kiểm tra trạng thái nhận dạng và bảo mật nhằm triển khai quyền truy cập Zero Trust dựa trên vai trò.
    ZTNA Telemetry, Tags, và Thực Thi Policy:
    [​IMG]
    - Khi những On-net và Off-net FortiClient endpoint đăng ký tới FortiClient EMS, thông tin thiết bị, thông tin người đăng nhập, và hành động bảo mật được chia sẻ toàn bộ thông qua ZTNA Telemetry với EMS server. Các client cũng đưa ra yêu cầu ký chứng thư số để lấy chứng thi client từ EMS đang đóng vai trò là cơ quan cấp 'ZTNA Certificate Authority (CA)'.

    - Dựa trên thông tin client, EMS áp dụng theo các thẻ quy tắc Zero Trust tagging để đánh thẻ các client. Các thẻ này, và thông tin chứng chỉ client được đồng bộ với thiết bị tường lửa FortiGate theo thời gian thực. Việc này cho phép FortiGate được xác định danh tính của client thong qua Client Certificate và cập nguyền truy cập dựa trên các ZTNA tag được áp dụng trong ZTNA rule.

    Access Proxy:
    [​IMG]
    - FortiGate Access Proxy có thể ủy quyền lưu lượng HTP và TCP qua các kết nối bảo mật HTTPS với client. Điều này cho phép truy cập liền mạch từ client đến server được bảo vệ, mà không cần tạo IPsec hay SSL VPN tunnel.

    HTTPS Access Proxy:
    - FortiGate HTTPS Access Proxy hoạt động như một proxy trung gian cho HTTP server. Khi một client kết nối tới trang web được quản lý bởi server được bảo vệ, địa chỉ sẽ được phân giải thành các truy cập Proxy VIP của FortiGate. FortiGate ủy quyền kết nối và thực hiện các bước để xác thực người dùng. Nó nhắc người dùng về chứng chỉ của họ trên trình duyệt và xác mình điều này trên bản ghi ZTNA endpoint được đồng bộ từ EMS. Nếu một cấu trúc xác thực, ví như xác thực SAML được cấu hình, thì client được chuyển hướng tới một cổng thông tin để đăng nhập. Nếu qua được bước này, lưu lượng được cho phép dựa trên các quy tăc thiết lập trong ZTNA, và FortiGate trả lại trang web cho client.

    TCP Forwarding Access Proxy (TFAP):
    - TCP Forwarding Access Proxy hoạt động như một loại đặc biệt của HTTPS reverse proxy. Thay vì ủy quyền lưu lượng tới web server, TCP traffic được đi qua tunnel giữa client và Access Proxy thông qua HTTPS, và được chuyển tiếp tới tài nguôn được bảo vệ. FortiClient endpoint cấu hình kết nối ZTNA bằng cách trỏ đến Proxy Gateway, và sau đó chỉ định host đích đến mà nó muốn kết nối tới. Một kết nối HTTPS được thực hiện tới Access Proxy VIP của FortiGate, tại đây Client Certificate được kiểm tra và truy cập được cho phép dựa trên các quy tắc trong ZTNA. TCP traffic được chuyển tiếp từ FortiGate để bảo vệ tài nguyên, và kết nối End-to-End được thiết lập.

    NHỮNG THÀNH PHẦN CÓ TRONG CẤU HÌNH ZTNA CƠ BẢN:
    - Sự cơ bản được yêu cầu để cấu hình Full ZTNA trên thiết bị tường lửa FortiGate là:
    • FortiClient EMS fabric connector và ZTNA tags.
    • FortiClient EMS đang chạy phiên bản 7.0.0 hoặc cao hơn.
    • FortiClient đang chạy bản 7.0.0 hoặc cao hơn.
    • ZTNA server
    • ZTNA rule
    • Firewall Policy
     
    bathien, 7/3/23
    #1

trang này