SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

【3分で分かるFortinet】【第24回】FortiGate ZTNA手順

セキュリティ
2021.11.16

皆さんこんにちは!SB C&Sで Fortinet 製品のプリセールスを担当している長谷川です。

今回は、v7.0から実装した新機能である、ZTNAについて紹介いたします。

事前準備

FortiGateを利用したZTNA構成で最低限必要なものは下記3つになります。

FortiGate (v7.0.x)

・FortiClient EMS (v7.0.x) (VPN&ZTNAもしくは、Zero Trust Fabric Agent を含むFortiClient EMSのSKUであること)

・FortiClient (v7.0.x)

そのほか、ユーザ規模の多い環境など、LDAP(ADなど)の外部認証サーバがある場合は、連携可能です。

実現ができること

ZTNAの特徴として、FortiGateが、アクセスプロキシとなり、IPSecVPNやSSL-VPNといったVPN接続を行わずに、保護対象リソースへのアクセスが可能となります。

インターネット経由でアクセスする場合は、Full ZTNA接続構成にて環境を構築します。

社内からのアクセスの場合は、動的オブジェクトを利用したIP/MACフィルタリング接続という構成も可能です。

hasegawa-ztna (1).png

ネットワークイメージ

従来より実装している宛先NAT(VIP)を拡張させ、認証を強化します。

hasegawa-ztna (2).png

実際に行うことの可能な認証方法としては、下記3つの要素になります。

・クライアント証明書

・デバイスポスチャーチェック

・ユーザID/PASS

hasegawa-ztna (3).png

事前準備

ZTNAを構成した後、目的のサイトにアクセスすると、指定した認証が行われます。

クライアント証明書のチェック後、デバイスポスチャーチェックは、自動的に行われ、ID/PASSを入力し、3要素の認証がすべて成功するとアクセスが行われます。

hasegawa-ztna (4).png

いかがでしたでしょうか。

ZTNA構成は、FortiGate や FortiClient EMS を v7.0 にアップグレードを行うことで、既存の資産を有効に活用することができます。

VPNといった従来の機能と併用し、高いセキュリティとユーザビリティをご検討ください。

詳細な設定手順につきましては、こちらよりダウンロードが可能です。

以上、ご拝読ありがとうございました。

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
長谷川 聡