A modern vállalati IT környezetekben a felhasználók, az alkalmazások és az adatok már rég nem egyetlen belső hálózatban helyezkednek el. A hagyományos VPN alapú távoli hozzáférési modellek egyre nehezebben biztosítanak megfelelő védelmet, miközben a felhasználói élmény és az üzemeltetési komplexitás is romlik. A Fortinet SASE platformja, a FortiSASE, ezt a problémát a Zero Trust architektúra felhőalapú megvalósításával kezeli.
A modern IT-biztonságban a Zero Trust Network Access (ZTNA) azt jelenti, hogy semmilyen felhasználót vagy eszközt nem tekintünk automatikusan megbízhatónak — minden hozzáférést folyamatosan autentikálunk és engedélyezünk.
A FortiSASE egyik fontos képessége az Agentless ZTNA, amely lehetővé teszi a privát alkalmazásokhoz való biztonságos hozzáférést anélkül, hogy a felhasználó eszközére bármilyen kliensszoftvert, tanúsítványt telepíteni kellene, vagy az eszközön egyéb módosításokat kellene végrehajtani. A hozzáférés teljes egészében böngészőn keresztül történik, miközben a hitelesítés, a jogosultságellenőrzés és a forgalom közvetítése a FortiSASE felhőinfrastruktúrában zajlik.
Ebben a modellben a FortiSASE cloud gateway-ek veszik át a kapcsolatvezérlés szerepét. A felhasználó nem közvetlenül a belső hálózathoz csatlakozik, hanem egy biztonságos webes hozzáférési ponton keresztül, ahol a rendszer minden egyes kérést külön hitelesít és engedélyez a Zero Trust elveknek megfelelően.
A Secure Private Access – kliens nélküli működési logikája
A kliens nélküli hozzáférés a FortiSASE Secure Private Access (SPA) szolgáltatására épül.
Secure Private Access (SPA) a FortiSASE-en belül egy privát hálózati alkalmazásokhoz való biztonságos hozzáférést biztosító szolgáltatás, amely lehetővé teszi a felhasználók (és PoP-ok) számára, hogy biztonságos, titkosított csatornán keresztül érjék el az on-premise vagy felhőben található privát alkalmazásokat vagy erőforrásokat.
Ez a funkcionalitás tipikusan akkor hasznos, amikor a szervezetnek nemcsak internetes forgalmat kell biztosan és monitorozottan kezelnie (SIA – Secure Internet Access), hanem belül elhelyezett alkalmazásokhoz és adatokhoz (pl. DC szerverekhez) is kell privát hozzáférést biztosítani a felhasználók számára.
Ahhoz, hogy a FortiSASE elérje a belső alkalmazásokat, a felhőplatformnak biztonságos kapcsolatot kell fenntartania a privát hálózattal. Ez az SPA által dedikált privát hozzáférési mechanizmuson keresztül történik, amely folyamatosan fenntartott, titkosított kommunikációt biztosít a felhő és a belső környezet között.
A rendszer tehát nem a felhasználó és a belső hálózat között épít közvetlen kapcsolatot, hanem a FortiSASE és a privát infrastruktúra között hoz létre állandó, kontrollált csatornát. A felhasználói forgalom ezen a útvonalon keresztül kerül továbbításra.
Az Agentless ZTNA esetében az SPA-t használva a rendszer lényegében egy felhőben működő alkalmazásproxyként viselkedik, amely közvetíti a forgalmat a felhasználó böngészője és a belső alkalmazás között.
A működés egyik legfontosabb sajátossága, hogy a felhasználói élmény teljes egészében a FortiSASE portálon belül valósul meg. Bár a háttérben titkosított kommunikáció zajlik a privát hálózattal, a felhasználó számára a hozzáférés egyetlen webes felületen keresztül történik. A FortiSASE felhő szolgál belépési pontként, hitelesítési rétegként és forgalomközvetítőként is.
A felhasználó tehát nem hálózati kapcsolatot kap a belső infrastruktúrához, hanem alkalmazás-szintű hozzáférést, amelyet a FortiSASE explicit módon publikál és szabályoz.
Webportál és alkalmazásszintű publikáció
Az Agentless ZTNA központi eleme a FortiSASE webes hozzáférési portálja. A felhasználók HTTPS kapcsolaton keresztül jelentkeznek be, majd egy személyre szabott felületet kapnak, ahol kizárólag az általuk elérhető alkalmazások jelennek meg.
Ez a portál nem egyszerű linkgyűjtemény, hanem egy szabályozott alkalmazásindító felület, amely a hitelesített identitáshoz és a hozzáférési szabályokhoz kötődik. A felhasználó egy alkalmazás ikonra kattintva a FortiSASE reverse proxy rétegén keresztül jut el a belső szerverhez, miközben a kommunikáció végig titkosított marad.
A Fortinet dokumentációi szerint a könyvjelző jellegű portál megjelenítése és a privát alkalmazások publikálása teljes mértékben szabály vezérelt, így a hozzáférési jogosultságok központilag és dinamikusan kezelhetők.
Identitásközpontú hozzáférés és hitelesítés
Mivel az agentless modellben nincs végponti kliens, a biztonság kulcsa az identitásalapú hitelesítés. A FortiSASE ezért szorosan integrálható külső Identity Provider rendszerekkel, elsősorban SAML-alapú federációval.
(A SAML protokollt a következő iDP-k támogatják pl.: Microsoft Azure Entra ID (Azure AD), Google Cloud Identity / Cloud Identity Platform / Google Workspace, Okta, AWS Cognito, Oracle Identity Cloud Service, Fortinet FortiAuthenticator, stb.)
A felhasználó a böngészőben történő bejelentkezés során azonosítja magát a vállalati identitásszolgáltatón keresztül. A FortiSASE csak a sikeres hitelesítés után jeleníti meg az alkalmazásportált, és csak azokat az erőforrásokat teszi elérhetővé, amelyekhez a felhasználó jogosultságot kapott.
Ez a megközelítés biztosítja, hogy a hozzáférés nem hálózati helyhez, hanem identitáshoz és szabályokhoz kötődjön, ami a Zero Trust modell alapelve.
A felhasználói élmény folyamata
A gyakorlati működés egyszerű, de erősen kontrollált. A felhasználó megnyitja a szervezet FortiSASE hozzáférési portálját, ahol a rendszer átirányítja a vállalati identitásszolgáltatóhoz. A sikeres hitelesítés után a felhasználó egy alkalmazásindító felületet kap, amely csak az engedélyezett erőforrásokat mutatja.
Amikor egy alkalmazást elindít, a kommunikáció a FortiSASE felhőn keresztül halad, amely reverse proxyként közvetíti a kéréseket a belső szerver felé, majd vissza a felhasználó böngészőjébe. A felhasználó nem kap hálózati hozzáférést, csak alkalmazásszintű munkamenetet.
Mit jelent ez biztonsági és üzemeltetési szempontból?
Az agentless megközelítés egyik legnagyobb előnye az egyszerűség. Nincs végponti telepítés, nincs klienskezelés, nincs frissítési ciklus. Ez különösen előnyös olyan felhasználók esetében, akik nem menedzselt eszközről dolgoznak, vagy csak ideiglenes hozzáférést igényelnek.
Tipikus agentless ZTNA use case-ek
- Contractor vagy vendég felhasználók hozzáférése belső webes erőforrásokhoz, anélkül hogy bármilyen kliens telepítésre lenne szükség (vagy lehetőség).
- Rugalmas telephelyfüggetlen hozzáférés olyan eszközökről, amelyek nem tartoznak a szervezet endpoint menedzsmentjébe.
- Egyszerűsített onboarding új felhasználók vagy projektcsapatok számára.
A hozzáférés szigorúan alkalmazásszintű, így a felhasználó nem „lát rá” a teljes belső hálózatra. Csak az a szolgáltatás érhető el, amely explicit módon publikálva van számára.
Ugyanakkor a Fortinet dokumentációi azt is egyértelművé teszik, hogy az agentless modell elsősorban webalapú alkalmazásokhoz készült, és nem biztosít olyan mélységű végpontellenőrzést, mint az agent alapú megoldások. A biztonság itt elsősorban az identitásellenőrzésen és a proxy alapú forgalomvezérlésen nyugszik.
Licenc és termékfeltételek
A FortiSASE Advanced vagy magasabb szintű előfizetéssel rendelkező ügyfelek számára az agentless ZTNA funkció támogatott — Az SPA szolgáltatáshoz a megfelelő eszközök és licencek szükséges.
FortiSASE Agentless ZTNA – felhőalapú, kliensmentes hozzáférés privát alkalmazásokhoz
Szerző:
Csere István | Presales- / Rendszermérnök – HRP Europe Kft.
Összegzés
A FortiSASE Agentless ZTNA a Zero Trust elvek felhőalapú, alkalmazásszintű megvalósítása, amely teljesen kiküszöböli a kliensszoftver telepítésének szükségességét. A felhasználók böngészőn keresztül, identitásalapú hitelesítéssel lépnek be egy szabályozott alkalmazásportálra, a forgalmat pedig a FortiSASE felhő közvetíti a privát infrastruktúra felé.
A modell nem hálózati hozzáférést ad, hanem kontrollált, publikált alkalmazáselérést. Ez egyszerűbb üzemeltetést, skálázhatóbb partnerhozzáférést és következetes Zero Trust biztonságot tesz lehetővé a felhőből.
