用户身份验证与授权(IAM)、多因素认证(MFA),与微分段、*小权限原则、数据加密、持续监控以及自动化响应构成了零信任网络构建的核心部件。
Fortinet 可提供覆盖零信任网络构建的完整且灵活的部件。 FortiGate 不止是NGFW、SD-WAN CPE设备,还可作为 零信任接入网关(策略控制点) ,提供安全接入策略控制、通讯加密与微分段;FortiClient作为终端安全产品确保只有安全且合规的设备访问网络资源并做安全态势的持续监控与响应,同时配合FortiGate提供SSO单点登录;FortiAuthenticator(IAM产品)与FortiToken(MFA产品)结合提供了用户身份识别、验证、授权,以及多因素包括电子令牌、邮件及短信发送的验证、或者手机端软验证或生物信息验证等方式。
既有FortiGate客户,可快速启动ZTNA功能结合IAM与FortiClient终端扩展升级为零信任网络,进一步保护IT投资。而新的客户可以从身份管理的独立视角,通过对现有的RADIUS与LADP或者Windows AD添加身份验证开启构建零信任网络。
Fortinet 基于零信任的用户身份全生命周期管理解决方案
Fortinet的综合身份和访问管理(IAM)方案为用户身份的全生命周期管理提供了全面的解决策略。涵盖了从创建和定义用户身份分组,实施多因素认证确保安全访问,强化密码策略并实现跨系统密码同步,及严格的IAM准则和合规性要求,支持用户自助服务来更新密码和个人信息,支持用户身份变更或结束时撤销访问权限的完整身份操作流程,将数据违规访问风险降至*。
接下来重点聊聊Fortinet的身份验证与授权(IAM)FortiAuthencitor产品,包括与多因素认证FortiToken的集成。
FortiAuthenticator是一款*许可的IAM产品,没有隐藏成本;主要可分为六大功能区域:
首先是基于RADIUS用户身份及其网络访问控制
通过VPN的访问连接仍是是诸多企业对于不同位置远程用户访问的方式之一,FortiAuthenticator可使用RADIUS协议验证通过VPN访问用户的身份。同时在验证用户身份后,根据其角色与权限自动分配到相应的网段,并在用户角色或者状态发生变化时更新其认证状态,始终与其*的状态相匹配,避免过时的访问权限可能带来的安全风险。
另外, FortiAuthenticator 能够作为 RADIUS 服务器,支持基于 802.1X 的网络访问控制,也就是通过有线或者无线方式连接到网络设备进行身份验证,这是保护企业网络不受未经授权访问的重要手段,特别是在涉及多种设备和连接类型的环境中。
该功能模块还包括管理员(Admin)验证,只有经过认证的管理员才能访问用于配置和管理网络设备的敏感接口,提高网络的安全管理。
第二是基于TACACS+对网络设备的管理访问控制
与基于RADIUS的管理员(Admin)验证不同,基于TACACS+的管理员(Admin)验证颗粒度更细一点,不仅提供管理员登录到网络设备(例如路由器、交换机)管理接口的验证,还可以提供命令验证,特定执行哪些命令,确保只能执行与该管理员角色及权限相符合的命令,提升网络安全性与合规性。
第三,支持单点登录SSO,友好用户体验的同时确保授权用户访问敏感资源
SSO单点登录允许用户在一次登录后自动获得对多个系统和应用的访问权限,无需重复进行身份验证。通过减少重复登录和自动化用户权限的管理,SSO 可以显著降低管理和运维的复杂性和成本。FortiAuthenticator 可通过多种方法识别用户身份,并与第三方 LDAP 或 Active Directory 系统全面集成,将组数据或角色数据应用于用户,并就基于身份验证的策略与NGFW FortiGate 建立通信。例如,在某大型企业中,可选择 AD 轮询或FortiAuthenticator SSO 移动代理作为无感身份验证的主要方法,并将非域系统用户或访客用户回退至认证门户界面进行身份验证管理。
FortiAuthenticator 通过支持阿里云、 Google、AWS、 Azure 以及 Microsoft 365 云服务的单点登录SSO,满足了用户访问云资源的便利性,同时也增强了企业对云资源访问的安全和管理能力。这种集成对于使用多个云服务的企业来讲极大的简化身份管理和访问控制流程。
另外,FortiAuthenticator 还支持 OAuth 2.0/OIDC 提供商,更方便与各种在线服务和平台进行集成,这在多云和混合IT环境中尤其重要。
第四,支持多因素验证(MFA)
多因素验证是通过要求用户输入多个凭据以及因素来增加对用户身份的验证强度,这样的多因素,可以是用户的密码、或者通过电子邮件或短信发送给用户、硬件令牌生成器或安装在用户智能手机上的身份验证器应用程序的令牌或代码,或者是用户的特定生物识别信息。
FortiToken是可提供基于FIDO认证的USB形式、手机应用方式、以及基于用户证书认证的USB以及FortiToken Cloud的多因素验证方案。
FortiAuthenticator支持与FortiToken相互集成,提供基于FortiToken的多因素验证。另外还可提供基于短信与邮件、FIDO无密码的认证。多因素的验证增加了额外一个安全层大大降低了数据泄露的可能性,同时帮助公司满足与政府和企业隐私法规相关的审计要求。
支持Portal配置是第五个功能模块
在提供公共访问、临时访问服务的wifi接入场景下,提供自注册和强制性门户方式;例如酒店无线服务场景中,访客接入,只有授权访客才可被允许使用网络。
FortiAuthenticator*后一个功能模块是支持PKI证书管理
在VPN、无线网络配置访问、邮件加密与数字签名、以及配置访问Web服务器的场景下,证书与密钥的发行与管理。
IAM产品FortiAuthenticator灵活的部署方式
FortiAuthenticator提供硬件以及虚拟化形式,可部署在物理数据中心或者云数据中心。另外, FortiAuthenticator 的IAM服务还通过 FortiTrust Identity的云产品提供SaaS的身份认证服务。
FortiTrust Identity的SaaS
提供以下六项服务:
集中认证授权服务
身份和多因素身份验证管理
云应用程序和本地服务的单点登录 (SSO)
访客、BYOD 和证书管理
简化部署和身份访问管理
与安全目录集成,并可与外部云身份提供商 (idPS) 互操作
FortiTrust Identity(FTI)基于云,与Fortinet Security Fabric原生集成,可提供丰富的安全控制和用户身份验证的集中管理,包括多因素身份验证。
FTI 使您能够通过可靠的用户验证和强大的身份验证以及*终用户的易用性开始零信任之旅。
以上内容是IAM产品FortiAuthenticator的主要内容,接下来的二到五条,将聚焦在四个场景的配置视频及其效果 演示 。
— FortiAuthenticator作为IDP发起SAML门户的功能
— 在FortiAuthenticator配置启动EAP-TLS (802.1x, 机器证书)验证
— 还靠密码登录?FIDO2开启无密码且安全的网络访问新快捷
— FortiAuthenticator可作为Windows代理进行无密码验证
成都科汇科技有限公司( 一站式 安全解决方案 服务商 )
地址:四川省成都市人民南路四段一号时代数码大厦18F
电话咨询热线:400-028-1235
QQ:132 5383 361
手机:180 8195 0517(微信同号 )
