以零信任原则管理网络接入与访问｜保护整网IT、OT 和 IIoT 设备，从零基础到精通，收藏这篇就够了！

在IT与OT融合的网络安全系列中我们已经介绍了**「资产识别与可视化｜构建IT与OT融合网络安全的开局」与「网络分段与微隔离｜OT网络安全最有效架构及其关键实践」**，在这样的实践部署之后，自然而然将进入下一个阶段，如何对接入网络的用户、设备、应用程序分配访问的权限与资源，零信任原则成为“解题思路”。Fortinet 基于零信任原则OT网络策略“永不信任，始终验证”的安全方法，为接入网络及网络内的设备、用户、终端、云和 IT/OT 基础设施提供全面保护。

以零信任原则，Fortinet监控及控制对数字资产以及网络的接入与访问解决方案包含如下关键组件：

FortiGate

FortiGate防火墙通过深度数据包检测（DPI）实现对用户、设备和应用的严格访问控制策略。

FortiAuthenticator

FortiAuthenticator通过统一身份验证，确保每个用户的身份经过强验证，支持单点登录（SSO）、多因子认证（MFA）等功能，有效防止凭据滥用。

FortiToken与FortiClient

FortiToken 提供双因素身份验证，使用带有推送通知的一次性密码 (OTP) 应用程序或基于硬件时间的 OTP 令牌。FortiToken通过动态密码生成增强访问安全性，FortiClient作为终端管理软件，为每台终端设备提供零信任网络访问（ZTNA），确保其仅能访问授权资源。

**FortiPAM

FortiPAM专注于特权账户管理，通过监控和记录管理员操作，防止关键系统被恶意操控。

“谁”在连接网络：

验证接入网络的用户身份

当用户进行网络连接时，FortiAuthenticator 会验证其身份。它简化并集中了用户身份信息的管理和存储，同时对每个区域和管道的访问进行精细控制。它还与 Active Directory、RADIUS、LDAP、802.1x 无线身份验证、证书管理和单点登录 (SSO) 集成。

**FortiAuthenticator与 FortiToken 兼容并为其提供补充。**FortiToken 是一种基于软件和硬件的令牌技术，用于双因素身份验证和安全访问，可实现与多个 FortiGate 网络安全设备和第三方设备的身份验证。FortiToken 要求用户拥有适当的软件或硬件令牌，而不仅仅是正确的用户名和密码。

**FortiAuthenticator 以 Fortinet 单点登录 (SSO) 为基础，增加了更广泛的用户识别方法和更高的可扩展性。**FortiAuthenticator识别用户、查询、访问第三方系统的权限，并将这些信息传达给 FortiGate 设备，以便它们可以实施基于身份的策略。

**Fortinet SSO 通过提供对 Fortinet 连接网络的安全身份和基于角色的访问，节省时间并提高工作效率。**通过与现有 Active Directory 或 LDAP 身份验证系统集成，Fortinet SSO 可实现企业范围内基于用户身份的安全性，而不会妨碍用户或增加网络管理员的工作量。

“是什么”在连接网络：

验证接入网络的设备与所访问的应用

**Fortinet 零信任网络访问 (ZTNA) 框架可以安全地将用户连接到应用程序，无论用户位于何处，也无论应用程序托管在何处。**FortiGate与 FortiClient、FortiPAM 可协同实现零信任网络接入控制。与 FortiPAM 结合，FortiClient 可建立应用程序身份并向 FortiGate 确认是否应授予这些应用程序访问权限以及授予哪些用户。

ZTNA确保了到OT网络接入与访问路径与通道的安全，FortiPAM是在OT系统内部对关键资产有特权访问的账户做严格的控制与监控。FortiPAM 可与对多个运行FortiClient终端的可扩展和集中管理对的FortiClient EMS集成，为每个会话启用持续的零信任端点验证，同时可确保只有经过授权和验证的设备才能访问关键 OT 资产。

ZTNA IAM：用户＆设备的认证

在FortiAuthenticatoru人证平台

添加IoT终端设备账号

通过认证的loT终端设备被划分到不同VLAN

ZTNA-用户认证

FortiAuthenticator + FortiToken

+ SAML 完成双因子认证SSO

左右滑动查看更多

Fortinet 零信任OT网络接入及访问控制方案组件角色及与其他组件的协同

FortiGate

核心控制器和策略执行中心

- 作为网络的主要控制器，负责分析用户和设备的身份、行为和上下文。

- 执行细粒度的零信任访问控制策略，包括基于用户、设备、应用程序和地理位置的访问限制。

**-**集成SSL检查、威胁检测和分段隔离功能，确保流量经过验证后才允许进入目标资源。

与其他组件协同

- 与FortiAuthenticator结合验证用户身份。

- 接收FortiPAM的访问请求授权指令，并根据ZTNA策略管理访问权限。

- 通过FortiToken验证多因素身份（MFA）。

场景举例

一名员工尝试从远程设备访问公司内部CRM系统，FortiGate根据身份验证结果和ZTNA策略决定是否允许访问，并限制其访问范围。

FortiAuthenticator

身份认证与管理

- 提供集中化的用户身份验证和目录管理。

**-**支持与现有的LDAP/AD系统集成，统一管理用户账户。

- 验证用户凭据并生成会话令牌。

与其他组件协同

- 向FortiGate发送用户认证结果，确保只允许已验证的用户通过。

- 支持FortiToken生成的MFA代码，提升用户认证的安全性。

场景举例

一名工程师登录到企业网络，FortiAuthenticator验证其凭据，并将认证状态发送给FortiGate用于策略执行。

FortiClient

终端访问与安全管理工具

- 提供安全的终端接入功能，包括ZTNA代理和远程VPN连接。

- 实现设备健康检查（如补丁状态及修复、杀毒软件运行情况），确保仅合规设备可访问网络资源。

与其他组件协同

- 通过与FortiGate通信，报告设备的健康状况和风险级别。

- 提交认证信息至FortiAuthenticator并请求访问目标资源。

- 与FortiPAM结合，提供安全的设备登录体验。

场景举例

一名员工通过FortiClient连接到公司网络，其设备被扫描并确认符合安全策略后才允许访问企业应用。

FortiPAM

特权访问管理

- 管理和控制特权账户的访问权限，减少滥用风险。对特权账户的使用进行实时监控和审计。

- 提供紧急访问模式，确保关键时刻能快速获得授权访问。

与其他组件协同

- 通过FortiAuthenticator验证特权账户用户的身份。

- 将访问请求发送至FortiGate，由其根据ZTNA策略执行权限管理。

- 为FortiToken提供多因素验证支持，增强特权账户访问的安全性。

场景举例

数据库管理员需要访问核心数据库服务器，FortiPAM验证其权限并将请求传递给FortiGate进行进一步控制，同时实时记录其操作行为。

Fortinet基于零信任的网络接入与访问控制解决方案中各个组件在Fortinet Security Fabric框架内无缝协作，减少复杂性和管理成本；提供了从身份验证到终端设备检查，再到特权访问管理，全面的安全保护。支持大规模部署，满足中小企业到大型企业的需求，兼具灵活性与易用性，并可通过统一平台和无额外许可费用的策略，降低总拥有成本。