FortiClientFortiNACGuías técnicas

FortiNAC: Zero Trust con FortiNAC y FortiClient EMS (parte 2)

En una entrada anterior describíamos una arquitectura Zero Trust genérica, y qué funcionalidades de FortiNAC se acomodan a cada una de las fases de la siguiente figura:

FortiNAC es suficientemente flexible para acomodar diferentes escenarios, en los que hay componentes de diferentes fabricantes. En este caso, nos vamos a centrar en la fase de Identificación y Compliance, aprovechando la integración con FortiClient EMS. Esta integración permite usar FortiClient como suerte de agente de FortiNAC, eliminando la necesidad de instalar ambos en el endpoint.  

FortiClient puede desplegarse con todas las funcionalidades habilitadas, o combinarse con otra solución de antivirus.

La siguiente figura representa, a alto nivel, los diferentes bloques funcionales de la arquitectura:

La política de acceso podría ser similar a la siguiente:

  • Endpoints Corporativos (Windows, MAC, Linux)
      • Se gestionan centralizadamente desde FortiClient EMS,  permitiendo al administrador registrar endpoints y asociarles una política de protección de endpoint y compliance.
      • FortiNAC interactúa con FortiClient EMS para recuperar la información de los equipos registrados y su grado de cumplimiento de la política de seguridad, para poder tomar decisiones en función del resultado. Un equipo registrado en Forticlient EMS será registrado automáticamenten la red. 
      • FortiGate también interactúa con FortiClient EMS para recuperar la información de telemetría y los tags asociados al usuario, que se pueden utilizar en las políticas de seguridad que habilitan la segmentación vertical.
      • Tanto FortiNAC como FortiClientEMS usan el Directorio Activo de la organización como repositorio de identidades y grupos.
  • Dispositivos Headless
      • Los equipos headless IOT se perfilan en función de sus características (Fingerprint, puertos Abiertos…)
      • A los diferentes equipos se les asocia una VLAN y un tag en el firewall, habilitando la segmentación vertical y horizontal.

Configuración de la interacción entre FortiNAC y FortClient EMS

FortiClient EMS es un MDM para FortiNAC, que hay que dar de alta como se indica en la guía pública (https://docs.fortinet.com/document/fortinac/8.5.0/forticlient-ems-device-integration).

Una vez integrado, podemos configurar cómo van a interactuar ambos sistemas en System -> System Configuration -> MDM. En este caso particular hemos habilitado todas las opciones:

  • Enable On demand Registration: Cuando se descubre un nuevo dispositivo, FortiNAC comprueba si está registrado en FortiClient EMS. En caso de que lo esté, se registra en FortiNAC usando la misma información disponible en el servidor MDM. Tiene que estar registrado, no es necesario que esté marcado como conectado, puesto que entonces no se cumpliría nunca el requisito.
  • Revalidate Health Status on Connect: Cuando el dispositivo se conecta, FortiNAC comprueba que cumple con las políticas definidas en EMS (sería equivalente a la política de compliance)
  • Remove Host Deleted from MDM Server: Desregistra aquellos dispositivos que ya no estén en el EMS
  • Enable Application Updating: Importa las aplicaciones detectadas por FortiClient EMS en FortiNAC. Lo hemos deshabilitado porque la información ya está disponible en EMS.

Configuración Compliance

En este caso será FortiClient EMS quien verifique que un equipo sea o no compliance. FortiNAC recogerá la información y actuará en consonancia. Existen varios eventos asociados a la interacción con MDM’s (logs -> Event Management).

Estos eventos se tienen que logar al menos internamente. A continuación se pueden configurar alarmas en función de los eventos (logs -> Event to alarm Mappings). Aquí podremos añadir nuevos mapeos, que indican a FortiNAC qué hacer cuando suceden estos eventos, como el caso que se describe en la figura:

Para esta prueba, vamos a crear una regla sencilla de compliance en FortiClient EMS: El dispositivo tiene que pertenecer a nuestro dominio y ser un Windows 10.

La lista de verificaciones posibles (en versión 6.2.6) está disponible en docs.

De esta manera, cuando se conecta el dispositivo se verifica el resultado del cumplimiento de compliance de FortiClient.

En este caso, el equipo para el test, y permanece en la vlan. En este momento, hemos asociado el equipo a la vlan que le corresponde. 

Si en FortiGate hemos creado una política que permita el tráfico de los usuarios marcados con el TAG que se recibe de EMS cuando pasan satisfactoriamente la política de compliance, los podremos monitorizar en el propio firewall, asociados a esa política.

De esta manera hemos logrado la contención vertical. 

Con esta configuración nos permite ganar:

  • Visibilidad de red: sabemos dónde están conectados nuestros activos IT, así como verificado que cumplen con los criterios de seguridad de la compañía, a la vez que recabamos información de riesgo del equipo. La visibilidad de los activos IOT se logra gracias a las reglas de perfilado.
  • Aproximación Zero Trust: Se limita la conectividad de los equipos no reconocidos o que no cumplen las políticas de seguridad.
  • Intend based Segmentation: Segmentamos vertical (a nivel de VLAN) y horizontalmente (en políticas del firewall) todos nuestros activos, permitiendo agruparlos por criterios de negocio (por ejemplo, por departamentos) y no tanto por su ubicación física.
Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *