Logo of CSN Groep

Fortigate firewalls en Azure AD: gouden combi voor veilig thuiswerken

Binnen CSN Groep werken wij dit jaar, net als de rest van Nederland, veelal vanuit huis. Onze medewerkers hebben daarom thuis toegang nodig tot de resources binnen ons datacenter. En dat op een manier die de veiligheid van de data niet in het geding brengt. Wij combineren daarom twee van de beste securityproducten met elkaar: Fortigate firewalls en Azure Active Directory (Azure AD). Benieuwd hoe deze producten samenwerken? Ik leg het hieronder in een notendop uit.

Mogelijk is het ten overvloede, maar de securityproducten doen los van elkaar het volgende:

Fortigate
Een Fortigate is een zogenaamde next-gen firewall. Deze firewall biedt brede bescherming tegen ontelbaar veel cyber threats. Als deze firewall goed is geconfigureerd, zullen aanvallen zoals ransomware worden afgeweerd. Daarnaast biedt het oplossingen voor connectiviteitsvraagstukken. Zo koppelen wij locaties met datacenters op basis van SD-WAN technologieën. De Fortigates bieden de mogelijkheid om thuiswerkers veilig toegang te geven tot netwerkresources. Een zeer veelzijdig apparaat wat bij de meeste mensen tot de verbeelding zal spreken.

Azure Active Directory (Azure AD)
Azure AD is de Identity Manager van Microsoft. Deze wordt nog weleens verward met de traditionele Windows Active Directory. Echter zijn dit op zichzelf staande producten. De producten hebben overigens wel wat van elkaar weg. Zo kunnen beiden autorisaties uitdelen en authenticatieverzoeken afhandelen. Azure AD biedt daarnaast ook een centrale plek voor accountadministratie en kan bovengenoemde zaken ook voor cloudapplicaties regelen. Zo wordt aanmelding op Office365 afgehandeld door Azure AD, en kunnen de accounts binnen Azure AD aan alle SaaS applicaties gekoppeld worden zodat je één account hebt waarmee je overal kunt aanmelden. De talloze losse accounts die je voor iedere online dienst moet onthouden, komen hiermee te vervallen.

Hoe zet CSN deze tools in voor het veilig thuiswerken?
Onze medewerkers die door corona vanuit huis werken, krijgen veilig toegang tot de benodigde resources binnen het datacenter door de Fortigate SSL-VPN client. Deze creëert een veilige tunnel door het internet van de endpoint tot de Fortigate firewall. Om het voor de medewerkers eenvoudig te houden, gebruiken zij hetzelfde account als voor Office365. Dit houdt ook in dat dezelfde Multi-Factor Authenticatie (MFA) wordt gebruikt. In ons geval is dit een pushbericht waarmee je met één druk op de knop de inlogpoging autoriseert. In de onderstaande diagram wordt de connectie en authenticatie schematisch weergegeven:

Forti Azure AD

Wat moeten onze medewerkers doen om de verbinding op te zetten? Bekijk het in onderstaande video.

Technische invulling 
Nu we het doel hebben behandeld, kunnen we kijken naar de technische invulling. Er wordt gebruik gemaakt van SAML. We hebben in deze configuratie te maken met drie betrokkenen:

  1. User: de medewerker die vanuit huis werkt en toegang tot de content wil.
  2. Identity Provider: de partij die de identiteiten van de medewerkers bevat, oftewel Azure AD.
  3. Service Provider: de partij die toegang biedt tot de content, oftewel Fortigate firewall.

Wil je meer lezen over de configuratie? In deze handleiding vind je alle details.

De configuratie start met het maken van een enterprise application binnen Azure AD. Vul de Fully Qualified Domain Name (FQDN) of het IP-adres van de Fortinet in.

Enterprise app

Nadat de enterprise application is geconfigureerd kan je deze toekennen aan users. Hiermee worden medewerkers gemachtigd de applicatie te gebruiken. Dit kan ook op basis van groepen.

Enterprise toegang

De medewerker kan vervolgens eenvoudig de verbinding vinden door in te loggen op Office365. Hier staat nu de snelkoppeling.

Enterprise app

Als je de Fortigate-ssl-vpn-tutorial handleiding hebt gevolgd, is nu de user en Identity Provider geconfigureerd. Nu moet alleen de Service Provider nog. Dat is in dit geval de Fortigate firewall. Nadat het certificaat in de Fortigate geïmporteerd is, kan de SAML configuratie starten.

SAML config

Vergeet niet de SSL-VPN portal toe te kennen. De SAML authenticatie is voor de web-access en tunnel-access mogelijk.

VPN portal

Als laatste stap moeten we de firewall voorzien van een security policy. In ons geval willen we de SSL-VPN users toegang geven tot een specifieke applicatie server met een fileshare en een database.

Firewall policy

Hoe je vervolgens vanuit de Office 365 portal inlogt naar de Fortigate? Bekijk onderstaande video voor een korte uitleg.



Wilt u na het lezen van dit artikel meer weten over beveiligingsmaatregelen in het algemeen of Fortigate firewalls en Azure Active Directory (Azure AD) in het bijzonder? Neem dan contact met ons op!

Ivo van Ketten, Security Consultant CSN Groep

Advies

Thuiswerk

Security

Karste de Vries

Vraag het aan Karste

Bel 088 999 09 79, mail naar k.vries@csngroep.nl of plan direct een afspraak.

Andere interessante technische content