在本节课中,你将学习零信任网络访问(ZTNA)。
这节课你将学习上图显示的主题。
通过展示ZTNA的能力,你将能够理解关键的ZTNA概念和如何配置ZTNA。
ZTNA是一种访问控制方法,它使用客户端设备标识、认证和零信任标记来提供基于角色的应用程序访问。ZTNA为管理员提供了管理on-fabric的本地用户和off-fabric远程用户网络访问的灵活性。ZTNA只有在设备验证、认证用户身份、授权用户,然后使用零信任标签执行基于上下文的姿态检查后,才能授予应用程序访问权限。
传统上,用户和设备对on-fabric的VPN访问和off-fabric的VPN访问公司资源有不同的规则集。对于分布式的员工队伍,以及跨越公司网络、数据中心和云的访问,管理规则可能会很复杂。当组织需要多个VPN来访问各种资源时,用户体验也会受到影响。
ZTNA有两种模式:
● ZTNA访问代理允许用户通过SSL加密的访问代理安全地访问资源。这通过消除VPN的使用简化了远程访问。
● IP/MAC过滤使用ZTNA标记提供额外的身份识别因素,并通过安全态势检查实现基于角色的零信任访问。基于IP/MAC的访问控制增强了终端物理位于企业网络中的安全性,而ZTNA访问代理专注于远程用户的访问。基于IP/MAC的访问控制将IP/MAC与ZTNA标签结合起来进行身份识别和安全态势检测,实现了基于角色的零信任访问。通过配置防火墙策略,使用ZTNA标签来控制网内设备和内部web服务器之间的访问。这种方式不需要使用访问代理,只使用ZTNA标签进行访问控制。
上图展示了ZTNA遥测、标签和策略执行。在FortiClient EMS中配置ZTNA标签条件和策略。FortiClient EMS通过安全架构集成与FortiGate共享标签信息。FortiClient直接与FortiClient EMS通信,通过ZTNA遥测持续共享设备状态信息。然后,FortiGate可以使用ZTNA标签,通过ZTNA访问来对传入的流量实施访问控制规则。
设备身份和信任是ZTNA不可或缺的。通过客户端证书建立设备身份认证,建立FortiClient、FortiClient EMS和FortiGate设备之间的信任。在ZTNA中,设备扮演特定的角色。
FortiClient在注册时向FortiClient EMS提供以下信息:
● 设备信息(网络详细信息、操作系统、型号等)
● 登录用户信息
● 安全态势(on-fabric和off-fabric、反病毒软件、漏洞状态等)FortiClient还在首次尝试连接到访问代理时向EMS ZTNA证书颁发机构(CA)请求并获取客户端设备证书。客户端使用这个证书向FortiGate表明自己的身份。
FortiClient EMS使用FortiClient UID、证书序列号和EMS序列号签发客户端证书并签名。FortiClient EMS随后与FortiGate同步证书。FortiClient EMS还与FortiGate共享其EMS ZTNA CA证书,以便FortiGate使用该证书对客户端进行认证。FortiClient EMS使用零信任标记规则根据它在每个端点上拥有的信息标记端点。FortiClient EMS也与FortiGate共享标签。
FortiGate与FortiClient EMS保持持续连接,同步FortiClient的UID、客户端证书SN、FortiClient EMS SN、网络详细信息(IP、MAC地址)等终端设备信息。当设备信息发生变化时,例如客户端从on-fabric切换到off-fabric,或者客户端安全态势发生变化时,FortiClient EMS先更新设备信息,然后再更新FortiGate。
FortiClient为你基于windows、mac和linux的台式机、笔记本电脑、文件服务器和移动设备(如iOS和Android)提供全面的终端保护。它可以帮助你用先进的安全技术保护你的系统,所有这些都可以从单个管理控制台进行管理。
FortiClient使每个设备(本地或远程,固定或移动)都能与FortiClient EMS和FortiGate集成。FortiClient支持Windows、Mac OS、Linux、iOS、Android移动设备和Chromebook,还集成了你的家庭办公室,移动工作者和访问合作伙伴。
FortiClient必须与FortiClient EMS一起使用。FortiClient必须连接到FortiClient EMS才能激活其许可证,并由管理员在FortiClient EMS中配置的终端配置文件提供。在FortiClient连接到FortiClient EMS并获得许可之前,你不能使用任何FortiClient功能。
当FortiClient只与FortiClient EMS连接时,FortiClient EMS为FortiClient提供供应和管理。FortiClient EMS还向FortiClient发送零信任标记规则,并根据FortiClient的标记结果对EMS中的端点进行动态分组。只有FortiClient EMS才能控制FortiClient和FortiClient EMS之间的连接。然而,FortiClient不能参与Fortinet的安全架构。
安全架构中的FortiClient连接到FortiClient EMS以接收配置信息配置文件,作为终端策略的一部分。FortiClient EMS与FortiGate连接,参与安全架构。FortiClient EMS向FortiGate发送FortiClient终端信息。FortiGate还可以从FortiClient EMS接收动态终端组列表,并使用它们来构建动态防火墙策略。
FortiClient还通过VPN提供对企业资产的安全远程访问。
FortiClient EMS是一种安全管理解决方案,支持对多个终端(计算机)进行可扩展和集中管理。它还提供了对运行FortiClient的终端的高效和有效的管理,以及跨网络的可见性,以安全地共享信息并为端点分配安全配置文件。它旨在最大限度地提高操作效率,并包括用于设备管理和故障排除的自动化功能。
FortiClient EMS还与FortiClient网页过滤扩展一起工作,为谷歌Chromebook用户提供网页过滤。
部署FortiClient EMS的好处包括:
● 远程部署FortiClient软件到Windows计算机
● 为终端用户更新配置文件,而不考虑访问位置
● 管理FortiClient终端连接,例如接受、断开和阻止连接
● 管理和监视终端,如状态、系统和签名信息
● 识别过时版本的FortiClient软件
● 在配置文件中定义网页过滤规则,并将配置文件远程部署到谷歌Chromebook终端上的FortiClient网页过滤扩展
你可以使用统一的组织安全策略管理Windows和macOS平台的终端安全。组织安全策略提供了组织中定义的安全策略的完整、可理解的视图。你可以在单个统一视图中看到所有策略规则、分配和异常。FortiClient EMS是Fortinet终端安全管理套件的一部分,可确保企业网络的全面策略管理和强制执行。
你可以在FortiGate上单击Security Fabric > Fabric Connectors配置现场FortiClient EMS连接器。申请FortiClient EMS设置后,FortiGate必须接受FortiClient EMS服务器证书。但是,当你配置到FortiClient EMS服务器的新连接时,证书可能不受信任。要解决这个问题,你必须手动导出根CA证书并在FortiGate上安装。说明SDN连接默认使用的FortiClient EMS证书是由首次安装FortiClient EMS时保存在Windows服务器上的CA证书签名的。该证书保存在服务器的受信任的根证书颁发机构文件夹中。有关在FortiGate上导出和安装证书的更多信息,请参阅FortiOS-7.0.1管理指南。
接下来,你必须在FortiClient EMS上授权FortiGate。当你登录FortiClient EMS时,会弹出一个窗口,要求你对FortiGate进行授权。如果你没有登录,您可以单击管理>设备,选中FortiGate设备,进行授权。注意,FortiClient EMS连接器状态显示为down,直到你对FortiClient EMS授权FortiGate为止。
FortiGate连接到FortiClient EMS后,自动同步ZTNA标签。
你可以为Windows、macOS、Linux、iOS和Android终端创建、编辑和删除零信任标记规则。当对FortiClient EMS和FortiClient使用零信任标记规则时,会发生以下情况:
● FortiClient EMS通过遥测通信向终端发送零信任标记规则。
● FortiClient使用提供的规则检查终端,并将结果发送给FortiClient EMS。
● FortiClient EMS收到FortiClient的结果。
● FortiClient EMS使用为每个规则配置的标记动态地将终端分组在一起。你可以通过单击零信任标签>零信任标签监视器来查看动态终端组。
请注意,当终端网络发生更改或用户登录和注销事件时,即使没有标记更改,FortiClient也会向EMS触发XFFCK-TAG消息。在FortiClient EMS收到标签后,它立即处理它们,并在REST API响应的五秒钟内更新FortiOS标签。对于其他标签更改,FortiClient定期将信息发送给FortiClient EMS。
FortiClient EMS默认生成一个default_ZTNARootCA证书,ZTNA CA使用该证书对FortiClient终端的CSR进行签名。单击刷新按钮会撤销和更新根CA,通过为每个客户端生成新证书,强制更新到FortiGate和FortiClient终端。FortiClient EMS还可以管理单个客户端证书。当证书私钥显示出被泄露的迹象时,你还可以撤销终端使用的证书。单击终端>所有终端,选择客户端,然后单击操作>撤销客户端证书。
请不要将FortiClient EMS CA证书(ZTNA)与SSL证书混淆。后者是FortiClient EMS使用的服务器证书,用于FortiClient EMS通过HTTPS协议访问FortiClient EMS服务器,并实现与服务器的fabric连接。
在Windows操作系统下,FortiClient会自动在证书存储中安装证书。存储中的证书信息,如证书UID和SN,应该与FortiClient EMS和FortiGate上的信息相匹配。要定位其他操作系统上的证书,请参考厂商文档。
可以使用CLI命令diagnostic endpoint record list来验证是否存在匹配的终端记录,以及FortiGate上的客户端UID、客户端证书SN、EMS证书SN等信息。如果任何信息缺失或不完整,客户端证书认证可能会失败,因为FortiClient无法找到相应的终端条目。
上图显示客户端证书信息与FortiGate同步。
终端在注册FortiClient EMS时获取客户端证书。FortiClient自动提交CSR请求,FortiClient EMS签名并返回客户端证书。此证书存储在操作系统证书存储中,用于后续连接。终端信息在FortiGate和FortiClient EMS之间同步。当终端与FortiClient EMS断开连接或注销注册时,其证书将从证书存储中删除,并在FortiClient EMS上撤销。终端重新连接FortiClient EMS时再次获取证书。
默认情况下,在访问代理上启用了客户端证书认证,因此当FortiGate接收到HTTPS请求时,FortiGate WAD进程会挑战客户端用自己的证书来标识自己。FortiGate会根据特定的可能性做出决定。
如果客户端响应了正确的证书,则客户端UID和证书SN可以从中提取:
● 如果客户端UID和证书序列号与FortiGate上的记录匹配,则允许客户端继续ZTNA代理规则处理。
● 如果客户端UID和证书序列号与FortiGate上的记录不匹配,则阻止该客户端进一步处理ZTNA代理规则。
如果客户端取消证书并返回空的客户端证书,当可以将empty-cert-action设置为accept时,允许客户端继续进行ZTNA代理规则处理。如果empty-cert-action为block,则FortiGate阻止客户端进一步处理ZTNA代理规则。
FortiGate HTTPS访问代理作为HTTP服务器的反向代理。当客户端连接到受保护服务器托管的网页时,地址解析为FortiGate访问代理VIP(100.64.1.10:8443),如上图所示。FortiGate代理连接,并采取步骤验证设备。它提示用户在浏览器上输入终端证书,并根据从FortiClient EMS同步的ZTNA端点记录进行验证。
要在GUI上启用ZTNA,必须单击System > Feature Visibility,然后启用Zero Trust Network Access。
在FortiGate上配置ZTNA需要进行如下配置:
● FortiClient EMS在安全fabric中增加了fabric连接器。FortiGate与EMS服务器保持持续的连接,以同步终端设备信息,并自动同步ZTNA标签。你可以创建组和添加标记,以在ZTNA规则和防火墙策略中使用。
● ZTNA服务器定义了接入代理VIP和客户端连接的真实服务器。也可以启用认证功能。
● ZTNA规则是一种用于实施访问控制的代理策略。你可以定义ZTNA标记或标记组来实施基于角色的零信任访问。你可以配置安全配置文件来保护这种流量。
也可以配置接入代理认证。ZTNA支持基本的HTTP和SAML方法。
在你将FortiClient EMS配置为fabric连接器并将ZTNA标签与FortiGate同步后,你必须创建ZTNA服务器或访问代理。访问代理VIP是客户端进行HTTPS连接的FortiGate ZTNA网关。服务和服务器映射定义了虚拟主机匹配规则和真实服务器映射HTTPS请求。
ZTNA规则是一种用于实施访问控制的代理策略。你可以定义ZTNA标记或标记组来实施基于角色的零信任访问。创建规则时,输入规则名称,并添加允许或禁止访问的IP地址、ZTNA标签或标签组。你还选择ZTNA服务器作为目的地。你还可以应用安全配置文件来保护此流量。
注意,流量的UTM处理发生在ZTNA规则上。
接入代理添加认证,需要在FortiGate命令行中配置认证方案和认证规则。使用认证方案和认证规则对基于代理的策略进行认证,类似于为显式代理和透明代理配置认证。
身份验证方案定义了应用的身份验证方法。ZTNA支持基本的HTTP和SAML方法。每个方法都有额外的设置来定义数据源。例如,使用基本HTTP身份验证时,用户数据库可以引用LDAP服务器、RADIUS服务器、本地数据库或其他支持的对用户进行身份验证的身份验证服务器。
身份验证规则定义需要身份验证的代理源和目的地,以及应用哪个身份验证方案。ZTNA支持主动认证方法。主动身份验证方法引用了一种方案,其中用户被主动提示进行身份验证,就像他们使用基本身份验证一样。在身份验证规则触发方法对用户进行身份验证之后,成功的身份验证将返回用户所属的组。
在ZTNA规则和代理策略中,可以定义一个用户或用户组作为允许的源。只有匹配该用户或用户组的用户才能通过代理策略。上图展示了ZTNA规则示例,在认证方案和认证规则被添加到FortiGate之后,用户组ZTNAaccess_group被添加到认证配置中。
在上图展示的示例中,配置了一个TCP转发访问代理(TFAP)来演示一个HTTPS反向代理,它将TCP流量转发到指定的资源。接入代理将客户端和FortiGate之间的TCP流量通过HTTPS隧道传输,然后将TCP流量转发到受保护的资源中。在授予对受保护源的访问权之前,它会验证用户身份、设备身份和信任上下文。
RDP访问配置为Winserver, SSH访问配置为FortiAnalyzer。上图显示的拓扑使用了IP地址10.0.3.11和端口8443作为外部访问代理VIP。
你还可以为TCP转发访问代理添加身份验证和安全状态检查,这是你在本课前面了解到的内容。
ZTNA可以配置SSH接入代理,提供与服务器的无缝SSH连接。
使用SSH访问代理代替TCP转发访问代理的优点包括:
● 使用用户标识和设备标识检查建立设备信任上下文
● 通过SSH相关配置文件对流量应用SSH深度检测
● 执行服务器的可选SSH主机密钥验证
● ZTNA SSH接入代理连接和SSH服务器连接使用一次性用户认证
要充当SSH服务器的反向代理,FortiGate必须执行SSH主机密钥验证来验证SSH服务器的身份。FortiGate通过将SSH服务器的公钥存储在其SSH主机密钥配置中来实现这一点。当终端与SSH服务器建立连接时,如果公钥与服务器使用的公钥相匹配,则建立连接。如果不匹配,则连接失败。
基于ZTNA IP/MAC的访问控制增强了终端物理位于企业网络中的安全性,而ZTNA访问代理专注于远程用户的访问。基于IP/MAC的访问控制将IP/MAC与ZTNA标签结合起来进行身份识别和安全态势检测,实现基于角色的零信任访问。配置防火墙策略,使用ZTNA标签来控制内网设备和内部web服务器之间的访问。这种方式不需要使用访问代理,只使用ZTNA标签进行访问控制。
上图的示例防火墙策略使用现有标记来控制访问。当FortiClient终端被标记为FCTEMS_ALL_FORTICLOUD_Malicious时,流量将被拒绝进入互联网。
如果终端不再符合ZTNA策略,终端姿态变化会触发活动ZTNA代理会话被重新验证并终止。FortiGate监视由FortiClient EMS更新的终端标记的更改。当检测到更改时,终端的活动ZTNA会话必须再次匹配ZTNA策略,数据才能通过。
注意,对ZTNA策略的更改(例如更改ZTNA标签匹配逻辑)也将触发针对该策略的客户端设备的验证。
在上图的示例中,配置了一个ZTNA规则,允许对具有AVenabled标记的终端进行访问。RDP会话建立后,在远程端点上禁用Windows反病毒功能。日志含义FortiGate重新验证会话,激活的RDP会话从FortiGate会话表中删除,导致RDP会话断开。
答案:A
答案:B
干得漂亮!你已经了解了关键的ZTNA概念以及如何配置ZTNA,现在你将比较ZTNA与SSL和IPsec VPN。
通过展示你理解ZTNA远程访问演变的能力,你将能够从VPN迁移到ZTNA HTTPS访问代理。
SSL VPN和ZTNA接入与IPsec VPN有何不同?
SSL和TLS通常用于封装和保护互联网(HTTP)上的电子商务和网上银行。SSL VPN和ZTNA使用类似的技术,也支持非HTTP协议封装。SSL在网络堆栈中的位置高于IP,因此,SSL VPN报头通常需要更多的带宽。相比之下,IPsec采用了不同的方法来提供机密性和完整性。IPSec使用的主要协议是ESP,它对IPsec隧道内的UDP、RDP、HTTP或其他协议进行封装和加密。
IPSec也是一种行业标准协议,可以与多个供应商合作,并支持设备和网关对等体,而不仅仅是像SSL VPN或ZTNA那样只支持使用FortiGate的用户客户端。
客户端软件也不同。在SSL VPN或ZTNA中,你的web浏览器可能是你需要的唯一客户端软件。可以通过FortiGate SSL VPN管理界面(HTTPS web界面)登录。你也可以安装FortiClient或将FortiGate配置为SSL VPN客户端。如果使用IPsec VPN,则需要安装专用的客户端软件或使用本地网关(如桌面型FortiGate)来连接远端网关。你可能还需要在VPN对等点之间配置防火墙,以允许IPsec协议。
登录后,SSL VPN将你的计算机连接到你的私有网络。不需要用户配置设置,防火墙通常配置为允许传出HTTP,因此不太可能调用技术支持。简单性使得ZTNA和SSL VPN非常适合非技术用户,或者从公共计算机(如公共图书馆和网吧)连接的用户。ZTNA更进一步,使管理员更容易执行设备合规检查和配置。ZTNA还为访问控制提供了额外的认证机制,而无需终端用户进行任何交互。
ZTNA遵循零信任理念来保护攻击面,即网络内外的任何人都不应被信任,除非他们的身份已被彻底检查。零信任还假定每一次访问网络或应用程序的尝试都是威胁。
IPSec和SSL VPN都是传统的基于边界的安全方法,只不信任外部因素现有的网络和无法解决已经存在于网络内部的威胁。
你可以使用ZTNA来取代基于VPN的远程工作解决方案。上图的示例显示,你可以通过HTTPS访问代理将使用SSL VPN隧道或web门户模式访问ZTNA的远程工作配置迁移到远程工作配置,并继续使用相同的身份验证服务器和组对远程用户进行身份验证。
此外,通过与FortiClient EMS集成,还可以确保FortiGate使用客户端证书进行设备识别,并在允许远程用户进入网站之前检查安全态势。这提供了使用基于角色的访问控制来控制谁可以访问web资源的粒度控制。它还让用户只使用他们的浏览器就可以透明地访问网站。你甚至可以为fabric上的设备配置ZTNA IP/MAC过滤模式,以便在用户在网络上时提供类似的访问控制。
答案:A
答案:A
恭喜你!你已经完成了这节课。现在,你要复习本课所学到的目标。
通过掌握本课所涵盖的目标,你了解了如何配置和使用ZTNA。
扫一扫
2630
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
