「WEST-SEC」ウェビナーから学ぶ、FortiGateユーザーのリモートアクセス現在地
フォーティネットの「SSL-VPN廃止」 IPsec移行と脱VPN、それぞれの注意点を総ざらい
レガシーVPNからSASEへの融合 ゼロトラスト時代の特権アクセス制御も
そして、FortiClient EMSも内包する「FortiSASE」は、すべてのユーザー、デバイス、アプリを保護する統合プラットフォームだ。「いわば信頼と実績のあるFortiGateをクラウド上で利用できるソリューション」だと本間氏。
FortiClientによる接続から、プロキシ機能によるエージェントレスな接続、拠点からのVPN接続、アクセスポイントからの接続まで、すべての接続を融合。さらには、FWaaSやSD-WANを始め、SWG、CASB・SSPM、前述のユニバーサルZTNAまで、様々なセキュリティ・ネットワーク機能が統合されている。「EMSを導入するより、EMS目的でFortiSASEを導入して、SSL-VPNも移行してしまう方がスムーズ」(本間氏)
FortiSASE
FortiGateユーザーにおける検討例では、SD-WANを活用して自宅や出張先からのアクセスをデータセンターのVPN経由(IPsec)で集約するというのがよくある現行構成だという。この場合、FortiSASEは「スポーク」としてSD-WANに参加し、自宅や出張先からのアクセスはFortiSASE経由に切り替わる。
リモートユーザーのセキュリティもすべてFortiSASEに集約。ADVPN(オートディスカバリーVPN)の活用でスポーク間で直接トンネルを確立できるため、「オンプレミスVPNからのシームレスな移行と、より安全で高速なネットワークを実現できる」(本間氏)という。
リモートアクセスのFortiSASE移行例
なお、リモートユーザーのための脱VPNであればFortiSASEが選択肢となるが、リモートメンテナンスに対しては「FortiPAM」が用意されている。
データサーバーへの特権アクセスを管理・監視するソリューションであり、いわゆる「踏み台サーバー」と呼ばれるものだ。FortiPAMのユーザーチェックを経ることで、管理対象機器でのリモートメンテナンスが可能になる仕組みである。
このFortiPAMは、パスワードの自動更新や三段階認証プロセス、作業画面録画機能、ゲスト用ポータルなどの機能に加え、ZTNAのアクセス制御も統合している。そのため、FortiClient EMSとZTNAタグを同期して、FortiPAMへのアクセスを制御することも可能だ。
FortiPAMの動作イメージ
本記事はアフィリエイトプログラムによる収益を得ている場合があります