Per ansamblu, este mai simplu să folosești certificate individuale cu forticlient pentru resursele/grupurile ZTNA? Sau să folosești ceva precum FSSO sau un IDP extern/SAML?
Depinde de cazul tău de utilizare. Unul dintre principalele beneficii ale ZTNA cu certificate permite “postura dispozitivului” pentru a înțelege starea endpoint-ului înainte de a acorda acces la resursa specifică. Dacă nu ai nevoie de asta, nu este necesar ZTNA dacă vrei doar să acorzi acces pe bază de identitate.
5
Dacă am înțeles corect, am putea folosi SAML-ul nostru extern pentru a oferi MFA suplimentar unui sistem intern. Totuși, mi se pare oarecum redundant dacă, de exemplu, utilizatorul a trecut deja MFA pe VPN de la început.
ZTNA limitează cantitatea de acces pe care o are un utilizator, specific pe aplicație sau resursă, pe baza fiecărei sesiuni. Cu VPN-ul, după autentificarea și autorizarea inițială, utilizatorul are libertatea de a accesa orice le este permis prin politică.
a5
Am găsit un caz de utilizare esențial pentru ZTNA în comparație cu configurarea și setarea metodelor sau politicilor tradiționale și mă întreb dacă aceasta ar trebui să fie modul de configurare pentru a-l porni sau dacă efortul pe termen lung este același, merită.
Care este cazul de utilizare esențial la care te referi? În cele din urmă, trebuie să decizi dacă funcționalitatea suplimentară oferită de ZTNA justifică efortul de a-l implementa în mediul tău.
a5
Ideea de a adăuga un utilizator sau dispozitive într-un tag al unei politici mi se pare mai atractivă decât să-mi amintesc să adaug X, Y și Z într-o altă interfață sau să consider o singură VLAN pentru acea regulă, dar care e în zone și astfel trebuie să zonez regula și apoi să adaug Src și dst.
Da, este un beneficiu excelent să utilizezi steagurile FortiClient Zero Trust pentru a obține mai multe informații despre endpoint înainte de a te conecta la aplicație. Încă mai este o oarecare misiune în crearea obiectelor ZTNA pentru fiecare nivel de acces.
a5
Dar nu știu prea multe despre forti ZTNA și nivelul de efort comparativ cu metodele mai vechi.
Fortinet ZTNA este bine documentat. Multe dintre detalii sunt definite în următoarele link-uri:
https://docs.fortinet.com/document/fortigate/7.2.2/ssl-vpn-to-ztna-migration-guide/813800/deployment-overview
https://docs.fortinet.com/document/fortigate/7.4.0/administration-guide/855420/zero-trust-network-access-introduction