Le FortiClient Zero Trust Telemetry se connecte à EMS pour recevoir un profil d’informations de configuration en tant que politique de point de terminaison. EMS est connecté au FortiGate pour participer au Security Fabric. EMS envoie les informations de point de terminaison de FortiClient au FortiGate.
Le FortiGate peut également recevoir des listes de groupes de point de terminaison dynamiques d’EMS et les utiliser pour créer des stratégies de pare-feu dynamiques. EMS envoie les mises à jour de groupe à FortiOS, et FortiOS utilise ces mises à jour pour ajuster les politiques en fonction de ces groupes. Cette fonctionnalité nécessite FortiOS 6.2.0 ou une version ultérieure.
FortiClient peut également recevoir un certificat de périphérique d’EMS qu’il peut utiliser pour crypter et acheminer de manière sécurisée le trafic TCP ou HTTPS via HTTPS vers le FortiGate. Cette fonctionnalité nécessite FortiClient 7.0.0 ou une version ultérieure et FortiOS 7.0.0 ou une version ultérieure.
FortiGate ne fournit pas d’informations de configuration pour FortiClient et le point de terminaison. Un administrateur doit configurer FortiClient à l’aide d’une politique de point de terminaison EMS.
Voici un résumé du fonctionnement de la connexion Zero Trust Telemetry dans ce scénario. Ce qui suit suppose qu’EMS est déjà connecté au FortiGate en tant que participant au Security Fabric, et que FortiClient et FortiOS sont également en version 7.0.0 ou ultérieure:
- EMS envoie son certificat CA au FortiGate.
- FortiClient Telemetry tente de se connecter à EMS. En fonction de la configuration d’EMS, FortiClient peut recevoir un certificat SSL d’EMS pour vérifier la connexion. Si le certificat est valide, FortiClient Telemetry se connecte à EMS. Si le certificat est invalide, FortiClient peut autoriser ou refuser la connexion à EMS en fonction de l’action de certificat invalide configurée.
- FortiClient reçoit les éléments suivants d’EMS:
- Licences. Voir les licences Windows, macOS, et Linux.
- Profil d’informations de configuration en tant que politique de point de terminaison. Voir les profils de point de terminaison.
- Certificat de périphérique qui inclut l’UID FortiClient. FortiClient installe le certificat reçu dans le magasin de certificats de l’utilisateur actuel pour les navigateurs Chrome et Edge, et l’installe dans le magasin de certificats du navigateur pour Firefox. Cette fonctionnalité peut ne pas être disponible pour Firefox.
- FortiClient envoie des informations sur l’état de sécurité à EMS, y compris des informations sur les logiciels tiers, les processus en cours d’exécution, les informations réseau, etc.
- EMS regroupe dynamiquement le point de terminaison en fonction des informations qu’il a reçues, en utilisant les règles de balisage Zero Trust configurées. Voir les règles de balisage Zero Trust.
- FortiOS récupère les informations de groupe de point de terminaison dynamiques d’EMS. L’administrateur FortiOS peut utiliser ces données pour créer des politiques de pare-feu dynamiques.
- Lorsque le point de terminaison initie du trafic TCP ou HTTPS, FortiClient fonctionne comme une passerelle proxy locale pour crypter et acheminer de manière sécurisée le trafic via HTTPS vers le FortiGate, en utilisant le certificat reçu d’EMS.
- Le FortiGate récupère l’UID pour identifier le périphérique et vérifier d’autres informations en utilisant les informations de point de terminaison qu’EMS a fournies au FortiGate. Le FortiGate autorise ou refuse l’accès selon les cas.
- EMS envoie des mises à jour dynamiques du groupe de point de terminaison à FortiOS. FortiOS utilise les mises à jour pour ajuster les politiques en fonction de ces groupes.
Pour plus de détails sur les groupes de point de terminaison dynamiques, consultez les politiques dynamiques FortiOS à l’aide des groupes de point de terminaison dynamiques EMS.
FortiClient suit la configuration du profil de point de terminaison qu’il reçoit d’EMS. EMS verrouille les paramètres de FortiClient afin que l’utilisateur du point de terminaison ne puisse pas modifier manuellement la configuration de FortiClient.
Seul EMS peut contrôler la connexion entre FortiClient et EMS. Vous ne pouvez déconnecter FortiClient que lorsque vous êtes connecté à EMS.
Les adresses IP du serveur EMS sont intégrées aux packages de déploiement FortiClient créés dans EMS. Cela permet au point de terminaison de connecter le FortiClient Telemetry au serveur EMS spécifié.
EMS envoie les informations de point de terminaison suivantes à FortiOS:
- Profil utilisateur:
- Nom d’utilisateur connecté
- Nom complet
- Adresse e-mail
- Numéro de téléphone
- Avatar utilisateur
- Identifiants de compte de réseau social
- Adresse MAC
- Type de système d’exploitation
- Version du système d’exploitation
- Version de FortiClient
- UUID de FortiClient
FortiGate ouvre également un websocket avec EMS. EMS ajoute un nouveau démon FcmNotify pour gérer la connexion websocket. EMS informe le FortiGate si l’une des informations suivantes sur le périphérique a changé. FortiOS charge les informations mises à jour:
- Informations système
- Avatar utilisateur
- Vulnérabilités
- Balises Zero Trust
EMS envoie également les informations de point de terminaison suivantes à FortiAnalyzer:
- Télémétrie/informations système
- Avatar utilisateur
- Inventaire des logiciels
- Processus
- Statistiques réseau
- Balises de classification
FortiClient envoie directement les informations suivantes à FortiAnalyzer:
- Journaux
- Événements Windows pour l’hôte
Consultez le Guide d’administration FortiAnalyzer pour plus de détails.