皆さんこんにちは！SB C&Sで Fortinet 製品のプリセールスを担当している長谷川です。

今回は、v7.0から実装した新機能である、ZTNAについて紹介いたします。

事前準備

FortiGateを利用したZTNA構成で最低限必要なものは下記3つになります。

・FortiGate (v7.0.x)

・FortiClient EMS (v7.0.x) (VPN&ZTNAもしくは、Zero Trust Fabric Agent を含むFortiClient EMSのSKUであること)

・FortiClient (v7.0.x)

そのほか、ユーザ規模の多い環境など、LDAP(ADなど)の外部認証サーバがある場合は、連携可能です。

実現ができること

ZTNAの特徴として、FortiGateが、アクセスプロキシとなり、IPSecVPNやSSL-VPNといったVPN接続を行わずに、保護対象リソースへのアクセスが可能となります。

インターネット経由でアクセスする場合は、Full ZTNA接続構成にて環境を構築します。

社内からのアクセスの場合は、動的オブジェクトを利用したIP/MACフィルタリング接続という構成も可能です。

ネットワークイメージ

従来より実装している宛先NAT(VIP)を拡張させ、認証を強化します。

実際に行うことの可能な認証方法としては、下記3つの要素になります。

・クライアント証明書

・デバイスポスチャーチェック

・ユーザID/PASS

事前準備

ZTNAを構成した後、目的のサイトにアクセスすると、指定した認証が行われます。

クライアント証明書のチェック後、デバイスポスチャーチェックは、自動的に行われ、ID/PASSを入力し、3要素の認証がすべて成功するとアクセスが行われます。

いかがでしたでしょうか。

ZTNA構成は、FortiGate や FortiClient EMS を v7.0 にアップグレードを行うことで、既存の資産を有効に活用することができます。

VPNといった従来の機能と併用し、高いセキュリティとユーザビリティをご検討ください。

詳細な設定手順につきましては、こちらよりダウンロードが可能です。

以上、ご拝読ありがとうございました。