FortiGate ZTNA (Zero Trust Network Access)

Principe

FortiGate ZTNA represente une evolution majeure par rapport aux VPN traditionnels en implementant le modele Zero Trust "never trust, always verify". Chaque tentative de connexion est verifiee et validee en fonction de multiples criteres avant d'accorder l'acces, application par application, sans jamais exposer l'ensemble du reseau a l'utilisateur distant.

Architecture

L'architecture ZTNA FortiGate s'articule autour de :

  • FortiClient : agent sur le poste utilisateur
  • FortiGate : proxy d'acces et enforcement point

L'integration avec Microsoft Entra ID permet l'authentification SSO via SAML/OIDC avec MFA obligatoire.

Mecanismes de securite

  • Verification continue de l'identite utilisateur : authentification forte via SAML/OIDC avec Microsoft Entra ID, MFA obligatoire (TOTP, push, FIDO2)
  • Controle de la posture du device : verification antivirus a jour, OS patche, chiffrement disque actif, certificat machine valide
  • Acces granulaire par application : l'utilisateur n'accede qu'aux applications autorisees, pas d'acces reseau complet
  • Tunnel chiffre applicatif : connexion HTTPS entre FortiClient et FortiGate avec inspection du trafic
  • Policies dynamiques : adaptation des droits d'acces en fonction du contexte (localisation, heure, risque)

Flux d'authentification

  1. L'utilisateur lance FortiClient et demande l'acces a une application (HTTPS)
  2. FortiGate redirige vers Microsoft Entra ID pour authentification SAML
  3. Challenge MFA (Mobile/FIDO2)
  4. Token d'acces valide retourne
  5. Verification de la conformite du poste (certificat, AV a jour)
  6. Tunnel applicatif chiffre etabli vers l'application demandee uniquement