皆さんこんにちは！SB C&Sで Fortinet 製品のプリセールスを担当している長谷川です。

今回は、FortiOS v7.6.1から実装された、エージェントレスZTNAについて紹介いたします。

FortiClientを利用しないため、タグ情報を利用することができないなど一部の制限がありますが、リモートアクセスの1構成として活用いただけたらと存じます。

免責

エージェントレスZTNAとは

利用できる機能は、ブラウザ上で実施するため一部のプロトコルに限ります。

エージェントレスZTNAについての検証環境です。

FortiGateのZTNAが基本となるため、仮想IPを利用した構成となります。

エージェントレスZTNAの設定

エージェントレスZTNAでは、FortiGateでユーザ認証を行うため、ユーザおよびユーザグループをあらかじめ作成します。

エージェントレスZTNAはまだ実装したばかりのため、WebUIでの設定に対応しておらず、CLIでの設定が必要となります。

VIPの設定で、アクセスプロキシを有効にします。

バーチャルホストを作成します。

認証スキームとしてベーシック認証を利用します。

認証のルールを作成します。

本機能によりポータル画面が動作します。

ポータルに各設定を紐づけます。

管理者側でのブックマークを有効にします。

プロキシポリシにてエージェントレスZTNAのポータルを割り当てます。

動作検証

今回の検証では、FortiGateにエージェントレスZTNAでログイン後、ターゲットなるサーバに対してSSHでアクセスを行います。

https://ztna.sbcas.local にアクセスすると、ポータル画面が表示されます。

ログインを行うと、ベーシック認証に移行するため、あらかじめ作成したユーザ情報を用いてログインします。

ログインすると、ユーザポータル画面に遷移します。

管理者ブックマークにより、目的のサーバへのリンクが表示されます。

リンクを押下すると、目的のサーバにアクセスるためのアカウント情報の入力が求められます。

アカウント情報に間違いなければ目的のサーバにアクセスができます。

いかがでしたでしょうか。

動作としてSSL-VPNのウェブモードと同じような使い方になるため、違いが分かりづらいかもしれません。

Fortinet社としては、SSL-VPNのウェブモードをデフォルトで無効化するなど、少し消極的な傾向になっています。

対してエージェントレスZTNAはまだ実装したばかりとなっており、機能について拡充される可能性が十分あります。

今後に期待いただけますと幸いです。

以上、ご拝読ありがとうございました。

---

※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
　正確性、最新性、完全性は保証できませんのでご了承ください。