Fortinet ZTNA - Architecture

Pour effectuer un déploiement ZTNA dans Fortinet, trois composants sont nécessaires. Tout d'abord, un FortiGate est requis pour l'authentification des utilisateurs et des appareils, ainsi que pour appliquer la politique de sécurité. Ensuite, il faut déployer le serveur EMS ou Endpoint Management Server à partir duquel les profils de sécurité sont définis, la télémétrie est effectuée et nous faisons une gestion centralisée de tous les appareils. Enfin, il est nécessaire d'installer l'agent FortiClient sur les appareils finaux pour pouvoir effectuer les contrôles de sécurité, c'est-à-dire que c'est le logiciel qui vérifiera le degré de conformité de la sécurité et établira les connexions avec le FortiGate.
 
Fortinet ZTNA - Architecture

Si l'on rentre dans le détail de l'interaction entre ces trois éléments, on constate qu'il existe plusieurs flux de communication entre tous les composants. D'une part, le FortiClient communiquera avec le serveur EMS pour lui envoyer toutes les informations de télémétrie, c'est-à-dire qu'il enverra toutes les informations relatives aux données de l'utilisateur. De plus, le serveur EMS enverra au FortiClient les politiques et profils de sécurité de ce FortiClient. Il existe donc une communication bidirectionnelle entre les deux composants. D'autre part, lors du processus d'enregistrement du FortiClient sur le serveur EMS, un processus de génération de certificat numérique aura lieu pour identifier de manière unique le FortiClient. De cette façon, nous allons avoir une authentification des appareils basée sur des certificats numériques totalement transparente pour l'utilisateur. Par conséquent, chaque FortiClient disposera d'un certificat signé par le serveur EMS qu'il présentera ultérieurement au FortiGate lors de la phase d'authentification. Lorsque le FortiClient veut se connecter au FortiGate, le pare-feu aura toutes les informations de l'appareil de l'utilisateur car elles ont été préalablement envoyées par le serveur EMS, c'est-à-dire que le serveur EMS enverra au FortiGate l'état de conformité de tous les appareils comme ainsi que les informations des utilisateurs et les certificats que les FortiClients doivent présenter pour vérifier l'identité des appareils.
 
Architecture - Flux de gestion et d'acces aux applications

Au moment où l'utilisateur souhaite établir une connexion avec une application, ce que FortiGate va faire initialement est une vérification de certificat pour authentifier l'appareil. Heureusement, la conformité de la sécurité et la vérification des certificats sont transparentes pour l'utilisateur et, par conséquent, aucune action de l'utilisateur n'est requise. De cette manière, l'utilisateur pourra accéder aux applications Web en utilisant FortiGate comme proxy, c'est-à-dire qu'en aucun cas une connexion directe ne sera établie avec les applications. Cela nous aide également à protéger les applications contre d'éventuelles intrusions. Cependant, pour les connexions TCP uniquement, telles qu'une connexion SSH ou RDP, un tunnel TLS sera établi contre le FortiGate et le pare-feu initiera la connexion contre le serveur SSH ou RDP.
 
Flux pour les connexions TCP uniquement

Vous souhaitez implémenter une architecture ZTNA ?

Commentaires