Fort Lox

ONTBIJTSESSIE TECHNICAL DEEP DIVE – ZTNA & FortiOS 7.2

Het leek ons gepast om ook dit jaar de belangrijkste maaltijd van de dag aan een al even belangrijk hot topic binnen businessbeveiliging te koppelen. Zo kwam op 15 september 2022 een nieuwe ontbijtsessie tot stand, waarbij een talrijke opkomst kon genieten van een technische sessie rond Zero Trust Network Access (ZTNA) gecombineerd met een kop koffie en wat lekkers.

Zero Trust Network Access met FortiClient, EMS en Fortigate

Een denkwijze – geen feature – dat is het idee achter Zero Trust Network Access. Onze vrienden van Exclusive Networks toonden ons hoe we met de FortiClient, EMS en een Fortigate het ZTNA-principe konden toepassen op remote werkers.

Bij een klassieke VPN is de vereiste voor netwerktoegang het doorstaan van een éénmalige identity check. Ook is opzet vatbaarder voor ‘te ruime’ toelatingen, waarbij te grote netwerksegmenten beschikbaar gesteld worden voor de verbindende partij. Deze toepassing van ZTNA onderscheidt zich van de klassieke VPN met:

  • Constante checks van niet alleen identiteit, maar ook context en security posture (staat het AntiVirus aan, zijn er kwetsbaarheden op het toestel, ...)
  • Configuratie van ZTNA-toegang per applicatie. Dit zorgt voor meer overhead tijdens opzet, maar geen blind spots waarbij meer toegang dan nodig verleend wordt.

De werkwijze kan op volgende manier samengevat worden:

Een clienttoestel met FortiClient (met minstens de ZTNA-licentie) staat in contact met de FortiClient Endpoint Management Server (EMS), en wisselt gegevens over het toestel uit (OS, Software en kwetsbaarheden, Antivirusdetecties, webfilterevents, toepassingen die uitgevoerd worden, user die aangemeld is,...). In EMS kunnen tag assignment regels aangemaakt worden op basis van deze informatie, en kan een toestel bijgevolg één of meerdere tags toegewezen krijgen. EMS staat op zijn beurt in contact met Fortigate(s), die informatie over het clienttoestel en de tags binnenkrijgt. Op de Fortigate kan deze informatie dan gebruikt worden in gewone firewallpolicies, maar kunnen ook dedicated ZTNA-regels aangemaakt worden. Deze ZTNA-regels kunnen gezien worden als een TLS-tunnel tussen remote clienttoestel en firewall, waarbij het verkeer door de firewall naar de juiste server en poort doorgestuurd wordt, als de client voldoet aan de geconfigureerde ZTNA-tags en voorwaarden.


FortiOS 7.2

Naast de bespreking van de ZTNA_opzet, werd ook nog even kort door de nieuwe features van de 7.2 branch gegaan. Deze update mogen we zien als de Quality-of-life-update voor firewallbeheerders. De meest in het oog springende feautures:

  • Goedkeuringsflow policy changes
  • Tijdelijke policies met expiry
  • GUI-gebruik van packet sniffer en trace flow
  • Audit trail en samenvattingen van policy changes
  • Staging van firewallchanges
  • HTTP/3-ondersteuning en security profiling op QUIC-verkeer
  • Onderscheid tussen ‘feature’ en ‘stability’-branches
  • Manuele licentiering, voor airgapped omgevingen
  • Fortigate als 802.1x supplicant

De 7.2-branch steken we voor live-omgevingen nog even in de koelkast, tot een stabiele release. Verken deze wel al gerust in labo-omgevingen!

Ontdek hier of uw toestelmodel ondersteund wordt via de release notes.

(Door Kyentl Mortier)