飞塔Fortinet零信任网络访问ZTNA_企业应用安全访问_零信任访问控制系统-云巴巴 -云巴巴

立即咨询

立即试用

商务合作

飞塔Fortinet零信任网络访问ZTNA

ZTNA 是零信任访问 (ZTA) 中的一项功能，用于控制对应用程序的访问。它扩展了 ZTA 的原则，在每个应用程序会话之前验证用户和设备。ZTNA 确认他们符合组织访问该应用程序的政策。

立即咨询

首页

数字化产品

零信任

飞塔Fortinet零信任网络访问ZTNA

零信任基本原则针对用户和设备 icon

永不信任，持续验证（Never Trust, Always Verify）

最小化访问授权

控制对应用、数据和资源的访问，而不是网络。基于需求或角色给予最小访问权限（Just-In-Time + Just Enough）。

假设已经“失陷”

以网络内和网络外都存在攻击者为安全设计前提，无论在企业网内还是企业网外访问，都一致对待：全不受信。

Fortinet ZTA, FMC 和 ZTNA icon

Fortinet Security Fabric icon

全面

对全部数字化攻击面提供极佳可见性，以进行更好的风险管理

协同

让多点安全产品和方案能够有机结合与协同，降低管理和运营复杂度

智能

通过可定义的工作流进行联动，提升运营效率和威胁响应速度

零信任访问

零信任进化

零信任访问（ZTNA）模型概要 icon

评估访问者的身份和设备安全态势，匹配应用的风险控制级别，结合对应的身份和授权，对在互联网实现“隐身”的内部关键应用访问进行持续验证。

对VPN的颠覆

将零信任原则带入到远程访问场景 = ZTNA

持续验证

每次连接都对用户身份进行校验, 支持SSO

每次新会话对设备身份进行校验

每次新会话对设备态势进行校验

OS版本，AV状态，脆弱性评估

更细粒度的控制

仅对待访问应用进行授权

不像VPN一样将权限授予整个网络/子网

更好的用户体验

用户访问应用时自动建立安全隧道

无论是否在企业网内，都有一致的优异体验

传统VPN和Full ZTNA的区别 icon

VPN vs ZTNA 详细对比 icon

	VPN	ZTNA
网络体验	VPN对网络质量要求高，易断线；	轻量级加密隧道，对网络质量依赖低，不易断线；
访问体验	同时只能建立一条VPN隧道，无法同时安全访问多应用	可以同时面向多个应用建立多条安全隧道，且免拨号，也无需进行VPN配置
安全机制	先建立用户-网关的连接，然后验证，带来了网关被攻击的风险	先验证后连接模式，网关不会响应无法被验证的访问源，大幅规避了针对网关的攻击
管控颗粒度	网络为单位，认证通过后网关保护的网段内应用都可以访问	应用为单位，授权用户只能访问当前应用，而不会发现网络中其他应用，规避了内网扫描攻击
权限控制	无法对接入用户执行统一管控，权限管理和分配难度大	结合用户身份、设备和环境等多因素进行动态评估，基于判定结果对用户授予最小访问权限
管理运维	根据场景配置多种VPN策略和隧道，维护量大，扩容麻烦，变更复杂	仅需维护用户-应用访问关系与代理-应用安全策略，大幅降低管理与维护的人力和时间成本
网络流量	流量需统一汇集至VPN网关，可能会产生流量绕路，单点故障等问题	无需绕路，优化访问体验，延迟更低，节省总部出口带宽，同时规避总部出口故障

ZTNA 商业价值

支持任意工作地点(WFA) icon

改善用户体验

从办公室内/外访问

自动安全加固隧道和应用

SSO支持

无需应用位置

ZTNA用户体验

不受位置限制的用户

用户在办公室或不在办公室

自动安全连接到应用程序

应用程序位于任何地方

按需求提供多因子认证

支持业务上云

控制混合云架构下的应用访问

应用可位于任何位置

集中管理网内或远程端点

用户组打包配置

可细颗粒管理

减少攻击界面

细颗粒应用访问控制

用户凭证：每连接验证

多种认证 (MFA) & 单点登录 (SSO)

设备凭证：会话级验证

设备安全态势：会话级验证

用户仅被允许访问必要应用和数据

代理隐藏应用的位置信息

ZTNA灵活的架构

Fortinet 将 ZTNA 引入 Fortinet 安全结构我们独特的方法将 ZTNA 作为FortiGate下一代防火墙 (NGFW) 的一部分提供，使其具有独特的灵活性，可以在用户处于远程或办公室时覆盖。ZTNA 功能在运行 FortiOS 7.0 的任何设备或服务上自动启用。这包括硬件设备、云中的虚拟机和 FortiSASE 服务。

FortiGate 和 FortiClient ZTNA 代理是为远程用户提供更安全的访问和更好的体验所需的一切，无论是在网络上还是网络外。

ZTNA自动安全连接 icon

ZTNA过程

Full ZTNA - HTTPS 访问代理逻辑图-客户端要访问内部HTTP/HTTPS应用 icon

Full ZTNA - HTTPS 访问逻辑-客户端要访问内部HTTP/HTTPS应用 icon

Full ZTNA - TCP访问代理逻辑图-客户端要访问内部TCP应用 icon

Full ZTNA - TCP forwarding 访问逻辑-客户端要访问内部TCP应用 icon

ZTNA - IP/MAC filtering逻辑图-On net客户端要访问特定应用 icon

ZTNA IP/MAC filtering访问逻辑图 icon

ZTNA使用场景

应用安全加固

保护对象：部署在数据中心或公有云IaaS（如AWS）中开放互联网访问的内部业务应用（如OA, CRM）。

方案价值：大幅缩减攻击面。FortiGate零信任网关屏蔽了基于网络向业务应用发起的攻击。访问来源安全可控。基于客户端安全检测和身份认证，确保只有身份、设备验证合法的授权用户才能正常访问业务系统。规避VPN漏洞，提升安全效果。基于轻量级隧道的安全访问，免疫针对VPN网关的各种攻击。应用微隔离。基于用户访问对应用服务进行微隔离，一个应用受感染不会传播到其他非授权应用。

ZTNA使用场景

业务应用远程访问保护（企业员工与合作伙伴）

保护对象：需要被企业员工及合作伙伴人员远程通过互联网访问的内部业务应用（如ERP）。

方案价值：使用方便。免拨VPN，同时在外安全访问多个应用。无需绕路到企业总部VPN网关。按需授权。根据访问人员身份给予对应权限，不会向合作伙伴人员过多暴露应用。动态评估。根据人员所处位置和当前状态，进行安全风险评估，确保身份、设备、环境均无异常才可访问应用。持续验证。每次新会话和连接都会验证安全态势，发现异常即刻阻断连接或者发起强认证挑战。

Fortinet ZTNA的独特优势-完全覆盖的Fortinet ZTNA vs其他ZTNA解决方案 icon

Secure ZTNA，不止做零信任，更做访问流量安全检查。升级FortiOS到7.0 即可获得ZTNA能力，无需采购额外硬件，甚至无需变更当前网络架构，用户采用ZTNA无负担。 FortiGate（ZTNA Proxy）能够部署在各种环境。公有云VM，私有云VM，机房和办公室硬件。

自有IAM（FortiAuthenticator），支持单点登录和多因子认证；也与客户现有身份平台轻松集成（AD, LDAP等等）。ZTNA客户端（FortiClient）具备终端安全保护能力，具有行业评测优异结果。与SD-WAN和SD-Branch相结合，实现全面的流量智能调度和分支机构安全。