FortiGate & NGFW8 Temmuz 202610 dakika okuma

FortiGate ZTNA: SSL-VPN'den Sıfır Güven Erişimine Geçiş Rehberi

Fortinet'in ZTNA (Zero Trust Network Access) mimarisi, geleneksel SSL-VPN'in yerini alıyor. SSL-VPN'in güvenlik açıkları, ZTNA'nın getirdiği avantajlar ve FortiGate üzerinde geçiş adımları.

ZTNASSL-VPNFortiGateSıfır GüvenFortiClientZero TrustUzaktan Erişim

SSL-VPN Neden Artık Yeterli Değil?

SSL-VPN teknolojisi 2000'lerin başında kurumsal uzaktan erişim için devrimsel bir çözümdü. Ancak 2020'lerden itibaren saldırı yüzeyi olarak ciddi bir hedef haline geldi. Fortinet dahil tüm büyük üreticilerin SSL-VPN ürünlerinde yıl boyunca kritik CVE'ler yayımlanıyor.

SSL-VPN'in temel problemi mimariseldir: kullanıcıya ağ erişimi verildiğinde, yetkilendirme kontrolü tek bir noktada (kimlik doğrulama) yapılır. Kullanıcı ağa girince içeride çok geniş bir hareket alanı bulur. Bu durum lateral movement saldırılarını kolaylaştırır.

SSL-VPN'in Bilinen Güvenlik Riskleri

  • FortiOS SSL-VPN buffer overflow CVE'leri (CVE-2023-27997, CVE-2024-21762 vb.)
  • Kimlik bilgisi çalınmasına karşı tek nokta savunması
  • Bağlandıktan sonra uç nokta güvenliği kontrolü yapılmaması
  • Granüler uygulama bazlı erişim kontrolünün zorluğu
  • Ağ seviyesi erişim — uygulama seviyesi değil

ZTNA Nedir?

Zero Trust Network Access (ZTNA), "asla güvenme, her zaman doğrula" prensibine dayalı bir erişim modelidir. Kullanıcı veya cihazın ağın içinde mi dışında mı olduğundan bağımsız olarak, her uygulama erişimi ayrı ayrı doğrulanır ve yetkilendirilir.

FortiGate ZTNA, FortiOS 7.0 ile birlikte genel kullanıma sunuldu ve her sürümde olgunlaştırıldı. Temel fark şudur: SSL-VPN ağa erişim sağlarken, ZTNA uygulamaya erişim sağlar.

ZTNA Mimarisinin Bileşenleri

  • ZTNA Access Proxy: FortiGate üzerinde çalışır, uygulama trafiğini proxy'ler
  • FortiClient EMS: Uç nokta güvenlik durumunu merkezi olarak yönetir ve ZTNA etiketleri (tags) üretir
  • FortiClient: İstemci tarafında çalışan ajan — cihaz durumunu EMS'e raporlar
  • ZTNA Tags: Cihazın güvenlik durumuna göre üretilen etiketler (antivirüs aktif mi, disk şifreleme var mı, OS güncel mi vb.)

SSL-VPN ile ZTNA Karşılaştırması

ÖzellikSSL-VPNZTNA
Erişim seviyesiAğ (network)Uygulama (application)
Kimlik doğrulamaBağlantı başında bir kezHer oturumda sürekli
Cihaz güvenlik kontrolüOpsiyonel / zayıfZorunlu, granüler
Lateral movement riskiYüksekÇok düşük
Uygulama bazlı politikaZorYerel, kolay
Saldırı yüzeyiBüyük (ağ erişimi)Küçük (sadece uygulama)

FortiGate ZTNA Yapılandırması

1. FortiClient EMS Kurulumu

ZTNA'nın çalışması için FortiClient EMS (Endpoint Management Server) zorunludur. EMS, cihazların güvenlik durumunu toplar ve FortiGate'e ZTNA etiketleri olarak iletir.

# EMS bağlantısı FortiGate üzerinde
config endpoint-control fctems
  edit "EMS-SERVER"
    set server "ems.sirket.local"
    set https-port 443
  next
end

2. ZTNA Server Tanımı

Erişilecek uygulama için ZTNA server objesi oluşturun:

config firewall access-proxy
  edit "RDP-PROXY"
    set vip "ZTNA-VIP"
    set client-cert enable
    config api-gateway
      edit 1
        set url-map "/"
        set service tcp-forwarding
        config realservers
          edit 1
            set addr "RDP-SERVER"
            set port 3389
          next
        end
      next
    end
  next
end

3. ZTNA Policy

ZTNA erişim politikasında cihaz etiketlerini koşul olarak ekleyin:

config firewall policy
  edit 0
    set name "ZTNA-RDP-Policy"
    set srcintf "wan1"
    set dstintf "lan"
    set action accept
    set srcaddr "all"
    set dstaddr "ZTNA-VIP"
    set ztna-status enable
    set ztna-tags "EMS-Compliant" "Antivirus-Active"
  next
end

4. ZTNA Etiket Kuralları (EMS'te)

EMS üzerinde hangi koşullarda cihaza "uyumlu" etiketi verileceğini belirleyin:

  • FortiClient sürümü ≥ belirli versiyon
  • Real-time protection aktif
  • OS patch seviyesi güncel
  • Disk şifreleme (BitLocker/FileVault) aktif
  • Güvenli olmayan yazılım yüklü değil

Geçiş Stratejisi: SSL-VPN'den ZTNA'ya

SSL-VPN'den ZTNA'ya tek seferde geçmek yerine aşamalı bir yaklaşım önerilir:

  1. Envanter: SSL-VPN üzerinden erişilen uygulamaları listeleyin (RDP, SSH, web uygulamaları, dosya paylaşımı)
  2. EMS kurulumu: FortiClient EMS'i devreye alın, mevcut endpoint'lere FortiClient dağıtın
  3. Pilot: Önce dahili BT ekibi için ZTNA erişimi kurun, SSL-VPN'i paralel çalıştırın
  4. Uygulama geçişi: Her uygulamayı birer birer ZTNA'ya taşıyın
  5. SSL-VPN kapatma: Tüm geçişler tamamlandıktan sonra SSL-VPN portalını devre dışı bırakın

Sonuç

ZTNA, SSL-VPN'in güvenlik açıklarını mimarisel olarak çözen modern bir yaklaşımdır. FortiGate + FortiClient EMS kombinasyonu ile kurumsal ortamlarda ZTNA geçişi artık pratikte uygulanabilir hale gelmiştir. Lider Network olarak ZTNA tasarımı, EMS kurulumu ve geçiş projelerinde yanınızdayız.

FortiGate ZTNA: SSL-VPN'den Sıfır Güven Erişimine Geçiş Rehberi | Lider Network Blog | Lider Network