ZTNA com FortiGate: acesso seguro por aplicação sem expor a rede inteira

O problema com VPN tradicional

A VPN SSL resolve o problema de acesso remoto, mas com uma concessão importante: o usuário autenticado recebe acesso à rede interna — podendo alcançar qualquer sistema nela. Em caso de dispositivo comprometido ou credencial roubada, o atacante tem o mesmo acesso que o usuário legítimo.

O ZTNA (Zero Trust Network Access) muda isso: em vez de acesso à rede, o usuário recebe acesso apenas à aplicação específica solicitada — e apenas se o dispositivo estiver em conformidade com os critérios de postura definidos.

Componentes do ZTNA com FortiGate

A implementação de ZTNA com FortiGate envolve três componentes que trabalham integrados:

FortiGate como ZTNA Access Proxy: o FortiGate atua como o ponto de aplicação de políticas. Ele recebe as solicitações de acesso, valida identidade e postura, e faz proxy para a aplicação de destino — sem expor a aplicação diretamente à internet.

FortiClient EMS (Endpoint Management Server): gerencia o agente FortiClient nos endpoints. Emite certificados de dispositivo, coleta informações de postura (SO, antivírus, patches, compliance) e disponibiliza essas informações em tempo real ao FortiGate via tags dinâmicas.

FortiAuthenticator (opcional): centraliza autenticação e MFA. Para ambientes com Active Directory, o FortiGate pode validar identidade diretamente via LDAP/FSSO sem FortiAuthenticator dedicado.

Como funciona o acesso via ZTNA

O fluxo de um acesso via ZTNA com FortiGate funciona assim:

1. Solicitação de acesso: o usuário tenta acessar uma aplicação protegida (ex: ERP interno). O FortiClient no dispositivo intercepta a solicitação e a encaminha para o FortiGate ZTNA Access Proxy.

2. Verificação de identidade: o FortiGate valida o certificado de dispositivo emitido pelo FortiClient EMS e autentica o usuário via AD, LDAP ou FortiAuthenticator com MFA.

3. Verificação de postura: o FortiGate consulta o FortiClient EMS sobre a postura atual do dispositivo — SO atualizado, antivírus ativo, disco criptografado, etc. Dispositivos fora de conformidade são negados ou redirecionados para rede de remediação.

4. Acesso concedido: se identidade e postura estão em conformidade, o FortiGate faz proxy da sessão para a aplicação de destino. O usuário acessa a aplicação sem nunca ter acesso direto à rede interna.

Configurando ZTNA no FortiGate

Pré-requisito: FortiClient EMS instalado e os agentes FortiClient implantados nos endpoints com o certificado de dispositivo emitido pelo EMS.

1. Criar ZTNA Server: em Policy & Objects > ZTNA > ZTNA Servers, defina o servidor ZTNA — o endereço virtual exposto externamente e o endereço real da aplicação interna (ex: servidor web do ERP na porta 443).

2. Criar ZTNA Tags no EMS: no FortiClient EMS, defina as tags de postura — critérios que o dispositivo precisa atender para receber a tag (ex: tag Compliant para dispositivos com Windows 10/11 atualizado e antivírus ativo).

3. Criar regra de acesso ZTNA: em Policy & Objects > ZTNA > ZTNA Rules, crie uma regra vinculando: grupo de usuários autorizado + tag de postura necessária + ZTNA Server de destino.

4. Publicar DNS: o endereço virtual do ZTNA Server deve ser publicado no DNS externo para que usuários remotos consigam resolver o nome da aplicação.

ZTNA agentless: para dispositivos não gerenciados

O ZTNA com FortiClient requer o agente instalado no dispositivo — o que limita o acesso a dispositivos gerenciados pela empresa. Para dispositivos pessoais ou parceiros externos sem o FortiClient, o FortiGate suporta ZTNA agentless via portal web.

No modo agentless, o usuário acessa um portal web publicado pelo FortiGate, autentica via MFA, e acessa aplicações web específicas através do portal — sem instalar nenhum software. A verificação de postura é limitada nesse modo (não há agente para coletar informações do dispositivo), mas ainda há autenticação forte e acesso por aplicação.