1、Fortinet 胡丹丹5/14 20212 Fortinet Inc.All Rights Reserved.AgendaAgendal零信任演进及零信任演进及FortinetFortinet的零信任架构的零信任架构l零信任结合零信任结合SASESASE落地落地l总结总结零信任演进及零信任演进及FortinetFortinet的零信任架构的零信任架构4 Fortinet Inc.All Rights Reserved.风声风声/悬崖之上悬崖之上 非典型零信任场景非典型零信任场景5 Fortinet Inc.All Rights Reserved.企业攻击源追溯企业攻击源追溯6 Fortine

2、t Inc.All Rights Reserved.企业企业ITIT架构的三大支柱架构的三大支柱传输(Transmission)内容载荷(Context)网络网络端点端点权限(Permissions)数据(Data)设备(Devices)用户(People)应用应用7 Fortinet Inc.All Rights Reserved.Hosted Apps(on Public IP)企业传统应用访问架构企业传统应用访问架构SSL VPN 接入企业员工企业服务人员BYOD设备NGFWVPNMFASSO/SAML公司内部公司外部私有云部署企业Apps远程访问MFASSO/SAML VPN Opti

3、onalMFASSO/SAML访问控制&隔离使用SaaS Apps公有云部署企业Apps8 Fortinet Inc.All Rights Reserved.BYODBYOD企业应用访问的趋势企业应用访问的趋势单次单次身份认证身份认证持续验证身份持续验证身份和监控风险和监控风险1 Gartner Magic Quadrant for Access Management,12 August 20192 Global Workplace Analytics3 Gartner IoT Forecast 4 Gartner Magic Quadrant for Public Cloud Managed

4、 Services,4 May 2020到2025年，将有120亿的物联网设备将会被使用3IoTIoT企业使用动态混合云企业使用动态混合云每一家企业在数字化转型的路上都离不开它，混合IT架构的需求变的越来越普遍4到2021年底，远程办公的员工数量将从4%增加到30%2移动办公移动办公到2024,70%的企业应用的访问将会使用MFA技术,比现在提升10%1Private CloudPublic CloudOn-premData centerOn-premData center9 Fortinet Inc.All Rights Reserved.零信任对于企业应用访问的价值零信任对于企业应用访问的

5、价值VPNVPNZTNAZTNA端点端点DCFW DCFW 企企业网路内部业网路内部云端云端设备设备/用户用户Access Proxy Access Proxy 任意位置任意位置数据中心数据中心访问具体企业网络层访问具体企业网络层仅一次信任检查仅一次信任检查基于网络策略规则基于网络策略规则细粒度细粒度的的应用控制应用控制持续的设备信任检查持续的设备信任检查基于用户场景的策略控制基于用户场景的策略控制云端云端数据中心数据中心区分设备和用户身份区分设备和用户身份用用户内外网访问行为一致性户内外网访问行为一致性企企业网络外部业网络外部SSLVPNSSLVPN10 Fortinet Inc.All R

6、ights Reserved.Fortinet Fortinet 零信任访问零信任访问了解和控制了解和控制企业网络内外企业网络内外任何设备和人任何设备和人的任何应用访问的任何应用访问确保跨内部网络、云、外部网络的安全策略一致工业技术工业技术IoTIoT手机手机终端终端家家合作伙伴合作伙伴客户客户分支分支园区园区工厂工厂边缘计算边缘计算数据数据中心中心呼叫呼叫中心中心多云环境多云环境11 Fortinet Inc.All Rights Reserved.FortinetFortinet零信任访问工作流程零信任访问工作流程所有终端所有终端终端管理服务器终端管理服务器EMS公共云应用程序SaaS 应

7、用程序数据中心ZTNAZTNA标签标签按规则标记终端将标记的终端列表发送到FortiGate信任验证信任验证验证用户身份（SSO/MFA）验证安全态势（On-net*）验证访问权限用户登录用户登录设备信息（操作系统、网络信息、型号）登录用户信息安全态势（病毒库软件、漏洞检测）启动到目的地的流量启动到目的地的流量代理安全地将流量转发到访问代理SSL 加密带设备 ID 的证书7 7.0.0InternetInternetFortiGate12 Fortinet Inc.All Rights Reserved.无论企业应用在何处，提供无处不在的安全访问无论企业应用在何处，提供无处不在的安全访问数据中

8、心远程用户远程用户ZTNA ZTNA 传感器传感器登记报道登记报道Fabric Fabric 同步同步ZTNA ZTNA 隧道隧道检查检查访问访问按应用会话隔离按应用会话隔离EMSFortiGateFortiGate边界防火墙边界防火墙企业总部企业总部瘦瘦CPECPE公有云IaaSFortiGateFortiGate-VMVM公有云SaaSTLS TLS 加密隧道加密隧道TLS TLS 加密隧道加密隧道TLS TLS 加密隧道加密隧道FortiAuthenticatorFortiManagerInternetInternetNP7,CP9 NP7,CP9 FortiGateFortiGate-

9、VM NSXVM NSX-T T网内、网外一致性体验13 Fortinet Inc.All Rights Reserved.FortinetFortinet零信任访问用户体验零信任访问用户体验不受位置限制的用户 网内、网外的用户 自动安全连接到应用程序 访问任意地点的应用程序 提供 MFA14 Fortinet Inc.All Rights Reserved.零信任实现的难点零信任实现的难点Forrester Zero Trust ModelForrester Zero Trust ModelDevices Devices -设备控制设备控制People People -身份控制身份控制Net

10、works Networks -网络权限控制网络权限控制Workloads Workloads-工作流控制工作流控制Data Data -数据访问控制数据访问控制Visibility&AnalyticsVisibility&Analytics-可视化可视化&分析控制分析控制Automation&OrchestrationAutomation&Orchestration-可自动化和编排化响应可自动化和编排化响应改造目标改造目标市面上提供的方案市面上提供的方案如何合规合法？如何构建信任？方案的易用性？成本？如何审计？SASESASECloudCloud数据中心数据中心资产和数据可控？零信任结合零信

11、任结合SASESASE落地落地16 Fortinet Inc.All Rights Reserved.案例:某在华外资企业-需求分析1.在国内实现海外已有的SASE技术架构本土化落地；2.在SASE本土化融合过程中考虑零信任架构；3.降低IT运维复杂度；4.提高用户在使用过程中的简便透明性。17 Fortinet Inc.All Rights Reserved.整体业务访问结构总部及分支结构总部及分支结构ZTA TunnelZTA Tunnel数据中心数据中心InternetInternet公有云公有云基础基础架构即服架构即服务务(IaaS)(IaaS)应用即服务应用即服务(SaaS)(Saa

12、S)远程用户远程用户公有云公有云基础环境基础环境FortiGate VMFortiGate VMEMSEMS集中日志集中日志&报告报告IPsec VPNIPsec VPNIPsec VPNIPsec VPNHAAPIAPI18 Fortinet Inc.All Rights Reserved.App2App2App1App1客户端自动信息注册(ZTNA标签)所有互联网和企业应用访问流量(默认 路由/策略)自动建立ZTNA的隧道EMS远端企业用户远端企业用户业务访问流公有云公有云基础环境基础环境企业内部企业内部云端FortiGate VMIPsec VPNInternetInternet企业内部

13、用户企业内部用户标签信息同步(ZTNA标签)FortiGate19 Fortinet Inc.All Rights Reserved.解决方案的思考1.用户可以在任何云平台或者客户线下环境的任何位置使用FortiGate进行SASE POP节点部署；2.EMS提供用户终端的统一管理和身份持续验证3.FortiGate提供一致的安全策略体系架构，无需多点配置4.终端自动与FortiGate建立访问Tunnel，访问者在企业内部和企业外部访问行为完全一致。总结总结21 Fortinet Inc.All Rights Reserved.This graphic was published by Ga

14、rtner,Inc.as part of a larger research document and should be evaluated in the context of the entire document.The Gartner document is available upon request from FortinetGartner does not endorse any vendor,product or service depicted in its research publications,and does not advise technology users

15、to select only those vendors with the highest ratings or other designation.Gartner research publications consist of the opinions of Gartners research organization and should not be construed as statements of fact.Gartner disclaims all warranties,expressed or implied,with respect to this research,inc

16、luding any warranties of merchantability or fitness for a particular purpose.20202020年网络防火墙年网络防火墙魔力象限图魔力象限图20202020年年广域网边缘基础设施广域网边缘基础设施魔力象限图魔力象限图独一无二的FortiOSOne OS,One OS,TwoTwo leadersleaders22 Fortinet Inc.All Rights Reserved.融合安全服务的零信任架构融合安全服务的零信任架构防病毒高级威胁防御反垃圾邮件网站过滤内容消除与重建入侵防范漏洞管理应用控制Web安全工控安全危害

17、分析威胁爆发保护威胁爆发保护安全风险评级应用应用 IoT IoT 安全安全内容安全内容安全高级恶意软件防护高级恶意软件防护防范传输过程中的威胁防范传输过程中的威胁主动防范和违规行为检测主动防范和违规行为检测消除常见的攻击渠道消除常见的攻击渠道扩大攻击面的保护范围扩大攻击面的保护范围零信任架构零信任架构FortiGuard FortiGuard 实验室实验室23 Fortinet Inc.All Rights Reserved.2 2个魔力象限图领导者个魔力象限图领导者Fortinet同时位列4个Gartner 2019和2020的魔力象限图,体现出Fortinet的全面的技术能力被市场认可:F

18、ortinet还在另外两个Gartner2020年魔力象限图报告中被认为是Vendor To Consider:网络网络防火墙防火墙WAF有线与无线网络SIEM端点防护系统（EPP）*广域网广域网边界基础边界基础设施设施安全网页网关（SWG）室内定位服务Gartner is a registered trademark and service mark of Gartner,Inc.and/or its affiliates in the U.S.and internationally and is used herein with permission.All rights reserved

19、.Gartner does not endorse any vendor,product or service depicted in its research publications,and does not advise technology users to select only those vendors with the highest ratings or other designation.Gartner research publications consist of the opinions of Gartners Research&Advisory organizati

20、on and should not be construed as statements of fact.Gartner disclaims all warranties,express or implied,with respect to this research,including any warranties of merchantability or fitness for a particular purpose.*This report last publishes in 2019 and is provided here for historical purposes.Fortinet还被列在6个Gartner的市场指引中：SOARZTNANACOTIDPS邮件安全不追求安全“银弹”，一步一个脚印FortinetFortinet稳固的安全体系稳固的安全体系