FortiGate para ambientes Zero Trust
Zero Trust não é um produto — é uma arquitetura. Entenda como o FortiGate se encaixa nesse modelo e quais recursos habilitar para reduzir a confiança implícita na sua rede.
O que é Zero Trust e por que importa
O modelo tradicional de segurança assume que tudo dentro do perímetro de rede é confiável. Um usuário na rede corporativa recebe acesso amplo a sistemas internos — sem verificação contínua, sem análise de comportamento, sem reautenticação.
O problema é que esse modelo não funciona mais. Funcionários trabalham remotamente, aplicações migraram para a nuvem e ameaças internas (acidentais ou maliciosas) tornaram o perímetro irrelevante como fronteira de segurança.
Zero Trust parte do princípio oposto: nenhum usuário, dispositivo ou sistema deve receber confiança implícita — independentemente de estar dentro ou fora da rede corporativa. Cada acesso deve ser verificado, o acesso concedido deve ser mínimo e o comportamento deve ser monitorado continuamente.
Princípios Zero Trust: verificar sempre (never trust, always verify) — acesso com menor privilégio (least privilege) — assumir comprometimento (assume breach). Esses três princípios guiam todas as decisões de arquitetura.
O FortiGate no ecossistema Zero Trust da Fortinet
A Fortinet chama sua abordagem Zero Trust de ZTNA (Zero Trust Network Access), parte do portfólio Fortinet Security Fabric. O FortiGate atua como o ponto de aplicação de políticas (Policy Enforcement Point) dessa arquitetura.
No modelo Fortinet, o FortiGate trabalha em conjunto com:
FortiClient EMS: gerencia o agente nos endpoints, coleta informações de postura (sistema operacional, versão de antivírus, patches instalados, certificado de dispositivo) e disponibiliza essas informações ao FortiGate para tomada de decisão.
FortiAuthenticator: centraliza autenticação e fornece tokens MFA. Integra com Active Directory, LDAP e provedores de identidade externos via SAML.
FortiAnalyzer: agrega logs de todos os dispositivos Fortinet para análise centralizada de comportamento e detecção de anomalias.
ZTNA vs VPN tradicional
A VPN tradicional (IPsec ou SSL-VPN) concede ao usuário remoto acesso amplo à rede interna — semelhante a estar fisicamente no escritório. Uma vez autenticado, o usuário acessa tudo que está na mesma rede. Isso vai contra os princípios Zero Trust.
O ZTNA muda esse modelo: em vez de acesso à rede, o usuário recebe acesso apenas às aplicações específicas que precisa. Cada acesso é verificado individualmente, a postura do dispositivo é avaliada em tempo real e o acesso é revogado automaticamente se a postura mudar (ex: antivírus desativado, sistema desatualizado).
O FortiGate suporta ZTNA em dois modos: ZTNA Access Proxy (para aplicações web, RDP e SSH com acesso baseado em identidade e postura) e ZTNA IP/MAC Based Access Control (para controle de acesso baseado em atributos de dispositivo na rede local).
Habilitando ZTNA no FortiGate
Pré-requisito: FortiClient EMS configurado com o agente instalado nos endpoints. O EMS é responsável por emitir o certificado de dispositivo usado pelo FortiGate para verificar a identidade do endpoint.
1. Configurar ZTNA Server: no FortiGate, em Policy & Objects > ZTNA, crie um servidor ZTNA definindo o endereço real da aplicação protegida e o endereço virtual exposto aos usuários remotos.
2. Definir regras de acesso: crie ZTNA Access Proxy Rules especificando quais grupos de usuários (via FortiAuthenticator ou AD) e quais posturas de dispositivo (via EMS tags) têm acesso a cada aplicação.
3. Configurar verificação de postura: no EMS, defina os critérios de postura — versão mínima de SO, antivírus ativo, últimas atualizações instaladas. Dispositivos fora de conformidade recebem acesso negado ou acesso a uma rede de remediação.
Dica Fortilab: Não é necessário migrar tudo para ZTNA de uma vez. Comece pelas aplicações mais críticas (ERP, acesso remoto a servidores) e expanda gradualmente. ZTNA e VPN tradicional podem coexistir durante a transição.
Controle de acesso baseado em identidade (FSSO)
Mesmo para usuários internos (não remotos), é possível aplicar princípios Zero Trust usando FSSO (Fortinet Single Sign-On). O FSSO monitora eventos de login no Active Directory e envia as informações de usuário/grupo em tempo real ao FortiGate.
Com o FSSO, as políticas de firewall podem ser associadas a grupos do AD em vez de endereços IP. Um usuário do grupo Financeiro recebe uma política diferente de um usuário do grupo TI — mesmo que estejam no mesmo segmento de rede, com o mesmo endereço IP do DHCP.
Isso possibilita controle granular sem depender da posição física na rede — um dos pilares do Zero Trust aplicado a redes locais.
Maturidade Zero Trust: por onde começar
Implementar Zero Trust é uma jornada, não um projeto com data de conclusão. Uma progressão realista para médias empresas:
Fase 1 — Fundação: segmentação de rede com VLANs, MFA para acesso remoto e administrativo, inventário de dispositivos e aplicações.
Fase 2 — Visibilidade: FSSO para políticas baseadas em identidade, inspeção SSL para visibilidade do tráfego criptografado, centralização de logs no FortiAnalyzer.
Fase 3 — Verificação contínua: FortiClient EMS com verificação de postura, ZTNA para substituição gradual de VPN, resposta automatizada a incidentes via FortiSOAR.