「WEST-SEC」ウェビナーから学ぶ、FortiGateユーザーのリモートアクセス現在地
フォーティネットの「SSL-VPN廃止」 IPsec移行と脱VPN、それぞれの注意点を総ざらい
次なるステップ“脱VPN”
IPsec-VPNはVPNの強化に当たるが、その先のステップとしてZTNAやSASEへの移行がある。これらについては、ゲスト登壇したフォーティネットジャパンの本間圭亮氏が解説した。
フォーティネットジャパン 技術統括本部 パートナービジネス技術本部 第一技術部 本間圭亮氏
まずは、根幹技術となるZTNA(ゼロトラストネットワークアクセス)についてだ。
従来型VPNは、基本的に「境界型防御モデル」である。ここでは、VPNの認証を経て接続したクライアントに「暗黙の信頼」が与えられるため、広い範囲に(社内ネットワーク全体に)アクセスができる弱点を抱える。また、なりすましにより認証が成功してしまうと、正規の端末と区別をつけるのが難しいという構造的な限界もある。
これに対してゼロトラスト・アーキテクチャは、接続するものを「すべて信用しない」という基本原則に基づく。フォーティネットも、プロキシ経由でアプリケーションにアクセスさせることで、攻撃対象面を最小化。加えて、セッション毎にアクセスを許可して「オープンパイプ」を作らず、ユーザーIDやコンテキストベースの制御で正当なユーザー・デバイスからのアクセスのみを許可するといったアプローチを取る。
こうしたZTNAの実現に向け、フォーティネットが掲げているのが、「Fortinet ユニバーサルZTNAソリューション」だ。これは、コロナ禍を経て、接続元の多様化やマルチデバイス化が進む、現在の複雑なネットワーク環境に応えるものだ。あらゆる場所のあらゆるユーザーから、あらゆるアプリケーションへアクセスできるようにする、柔軟な構成とプロダクト群を用意している。
Fortinet ユニバーサルZTNAソリューション
今回はこうしたプロダクトの中から、「FortiClient EMS(Endpoint Management Server)」と「FortiSASE」について紹介された。
ZTNAの根幹を支える「FortiClient EMS」
FortiClient EMSは、FortiClientの中央管理ソリューションであり、「フォーティネットの生命線」だと本間氏は語る。
EMSサーバーが、クライアント証明書の発行やVPN・ZTNAの設定配布を担うだけではなく、FortiGateの物理・仮想のアプライアンスやFortiSASEと定期的にテレメトリを同期して、端末の属性や状態をポスチャとして収集する。こうした仕組みにより、FortiClientをFortiClient EMSに登録さえすれば、どんなアクセスに対しても、デバイス・ユーザー認証からデバイスポスチャ、アプリ制御まで、まとめて実行できるようになる。
FortiClient EMSの役割
このポスチャは、端末の場所や設定、脆弱性の有無、過去のマルウェア検知、所属組織・端末種別など、さまざまな条件で動的にタグ付け(ZTNAタグ)をして、ファイアウォールのルール同様にポリシーを適用可能だ。本間氏は、端末のアンチウイルス無効時にタグが自動で外れ、それがFortiGateに共有されることで、サイトへのアクセスが遮断されるというデモを披露している。
ポスチャタグの種類
このFortiClient EMSの導入方法は大きくわけて2種類となる。オンプレミスとクラウドの場合は、LinuxやDockerコンテナ、Kubernetes、VMアプライアンス、AWS EC2などをサポートし、FortiClient CloudでSaaSサービスとしても提供される。ただ、VPNやZTNAのポリシーを設定する接続先のFortiGateが必須となる。
もうひとつは、「FortiSASE」だ。同ソリューションでは、FortiClient EMSと接続先となるFortiOSを内包している。
本間氏は、「従来のVPNからZTNAへ進化することで、一度きりの信頼確認を60秒に一度などの継続的な確認に変え(テレメトリの同期)、特定アプリケーションの限定アクセス、ポスチャに基づく動的ルール、セッション毎のトンネルを実現できる。EMSにより、境界型防御+ゼロトラストな環境を提供する」と語った。
FortiClient EMSの導入オプション
本記事はアフィリエイトプログラムによる収益を得ている場合があります