ゼロトラストネットワークアクセス（ZTNA）

これ、完全に自分用の設定情報メモでして。
「FortiDemo FortiOS7.0.2 ZTNAアクセス」デモ設定の備忘録です。せっかくなので、ゼロトラストネットワークアクセスについてもさらっと書いておきましょう。

ゼロトラストネットワーク

生まれた背景について。歴史的な話はググってください！

1. 「VPN接続」の限界
   クレデンシャル情報ユーザー／パスワードだけでは、個別の接続が適正なユーザーであるかの判断は難しい事実上無理。接続しようとしているユーザは、流出したパスワードを使っているかもしれない。

2. 信頼できる端末はない
   社内ネットワークに接続しているすべてのPC端末が健全かどうか識別する必要がある。家や外WFAでマルウェアに感染しているかもしれない。

3. ユーザーだけでなく、デバイスも認証しよう
   こうすることで、たまたまゲットしたユーザー情報ではログインできなくなり、拾ったデバイスだけでは認証されない、安全セキュアなネットワークを作ることができます。

「盲目的に接続を信頼するトラストネットワークアクセス」ことを「やめるゼロにする」

FNDN（Fortinet Developer Network）とは

FNDNはFortinet社が提供する技術者向けフォーラムで、「FortiDemo」という仮想デモバーチャル環境があります。本記事はFortiDemo内でFortiOS7.0.2によるZTNAデモ環境構築のポイントをまとめたものです。

Fortinet Developer Network

FortiOS 7.0.2 ZTNA

使用コンポーネント

1. FortiGate（Enterprise Core FortiGate）
   ZTNAのアクセスプロキシとして動作

2. FortiClient EMS
   エンドポイントと同期し、タグとポリシー配布

3. エンドポイント（Windows-Client-Branch_1）
   インストール済みのFortiClientがZTNAエージェントとして動作

4. FortiAuthenticator（認証サーバ）
   ２要素認証を有効にします

デモ１設定

1「1.FortiGate」のS/Nを確認

2「2.FortiClient EMS」にて
Administration > Fabric Devices メニューで、「1.Fortigate」を選択し、Edit

Share tag info from all FortiClients

こうして、save。

3「1.Fortigate」にて
Policy ＆ Objects>ZTNA>ZTNA Rulesメニューで、既存の「ZTNA-Rule」を開き、

Tagを設定します

こうして、OK。

4「3.エンドポイント」にて、
FortiClient コンソールを開き、「ems.fortidemo.fortinet.com」のEMSに接続

John…！

これでデモ１の準備完了です。

デモ２設定

「1.Fortigate」にて
先ほどと同じくPolicy ＆ Objects>ZTNA>ZTNA Rulesメニューで、既存の「ZTNA-Rule」を開き、

送信元ユーザーを設定します

これでデモ２の準備完了です。

デモ３設定

「4.FortiAuthenticator」にて
Authentication>User Management>Remote Usersで、「johnlocus」を開き、

Emailによる２要素認証を設定します

そのあと念の為「Test Token」するといいです。

これでデモ３の準備完了です。

（デモ４設定）

上手く動かなったので切り分けしていません。そのうち更新するかもです。

最後に

FNDNは設定どおりに一発デモを行う上ではお手軽便利ですが、多種多様なデモを実現できるように様々な設定が入っているので、動作をみたりするのには不向きな印象です。

とはいえビデオ撮りには楽でいいですね。今後も使っていきたいです。

おしまい。