FortiSASE를 이용한 ZTNA 연동 소개

FortiSASE는 FortiSASE에 등록되고 연결된 사용자에게 안전한 인터넷 액세스를 제공하지만,  공용 인터넷 트래픽 외에 회사 네트워크로의 트래픽이 안전한 연결이라면 FortiSASE를 통하지 않고 직접 연결을 원할 수 있다.

 

FortiSASE의 경우 사용자마다 BandWidth 제한이 있기 때문에, 안전한 연결에 대해서는 FortiSASE를 통하지 않고 직접 연결하는 것이 좋다. 안전한 연결은 VPN, SSLVPN 등이 있지만, FortiClient를 FortiSASE agent로 SSLVPN 터널을 연결해서사용하는 상황이라서 다른 FortiGate와 터널 연결이 불가능하다.(IPsec의 경우 3rd party VPN 클라이언트를 이용하면 가능)

 

별도의 터널 연결없이 클라이언트 디바이스를 식별(인증서)하고, 보안상태(백신 동작 여부, 취약점 패치 등)를 확인하여 안전하게 암호화 통신을 하는 ZTNA가 좋은 방법이 된다.

 

ZTNA는 FortiClient를 FortiClient EMS에 등록하여 클라이언트의 정보 및 보안상태를 FortiClient EMS가 수집한다. FortiGate는 FortiClient EMS와 연동하여 FortiClient의 정보를 공유하고, 조건을 만족하는 보안상태를 가진  클라이언트에 대해서만 내부 서버와의 연결을 허용한다.

 

FortiSASE는 FortiClient EMS의 역할을 하게되고, 클라이언트의 정보를 FortiGate와 공유하게된다.

 

◉ FortiClient (v7.0.8 권장)

• FortiSASE에 등록되면 네트워크 세부 정보, 운영 체제, 로그온한 사용자와 같은 장치 정보를 FortiSASE에 제공
• FortiSASE의 엔드포인트 프로필을 동기화하고 현재 보안 태세에 대한 정보를 제공
• 치명적인 취약성 감지등 상태가 변경되면 FortiSASE에 즉각 정보 제공
• 초기 등록 시 FortiClient는 FortiSASE에서 클라이언트 장치 인증서 받음
• 클라이언트 장치는 이 인증서를 사용하여 FortiGate에 자신을 식별

 

◉ FortiSASE (FortiGate와 동일한 FortiCloud 계정)

• 클라이언트 인증서를 발급
• FortiSASE는 인증서 세부 정보를 FortiGate와 동기화
• FortiSASE는 CA 인증서를 FortiGate와 공유하므로, FortiGate는 이를 사용하여 동일한 CA가 서명한 클라이언트 인증서의 유효성 검사
• 보안속성의 Tag를 이용하여 클라이언트의 보안상태 확인
• Tag와 이에 해당하는 클라이언트를 FortiGate와 동기화

 

◉ FortiGate (FortiOS 7.0.10 이상 권장)

• FortiSASE에서 엔드포인트 장치 정보와 보안 Tag를 동기화
• 클라이언트 장치의 정보가 변경되면 FortiClient는 변경 사항을 FortiSASE에 전달한 다음 FortiGate로 업데이트 됨
• 보안 상태 변경으로 인해 기존 세션의 ZTNA 정책 기준과 더 이상 일치하지 않는 경우 FortiGate는 세션을 종료