Como Implementar ZTNA com Fortinet: Guia Completo de Zero Trust
Aprenda como implementar ZTNA de forma prática e segura. Guia completo de Zero Trust, etapas, arquitetura, políticas, postura, integração e migração da VPN.
A transição de VPN tradicional para ZTNA (Zero Trust Network Access) tornou-se inevitável para empresas que desejam segurança real em ambientes híbridos, remotos e distribuídos. No entanto, muitas organizações ainda não sabem como implementar ZTNA na prática, quais etapas seguir ou como integrar tudo com o ecossistema Fortinet.
Zero Trust na prática: substituindo a VPN e elevando a segurança corporativa
Este blog é um manual completo, passo a passo, cobrindo:
-
Arquitetura ZTNA Fortinet
-
O que mudar na rede, identidade e endpoint
-
Configurações essenciais
-
Como integrar FortiGate + FortiClient + EMS + FortiAuthenticator
-
Estratégia de migração gradual da VPN
-
Políticas Zero Trust e postura de dispositivo
-
Melhores práticas e recomendações avançadas
Este é um dos guias mais completos que você encontrará sobre ZTNA Fortinet, adaptado para o contexto de empresas brasileiras e necessidades atuais de segurança.
1. Antes de tudo: Por que implementar ZTNA?
Os desafios que tornam a VPN obsoleta:
-
Acesso amplo à rede
-
Falta de validação do dispositivo
-
Ataques laterais
-
Roubo de credenciais
-
Backhaul e lentidão
-
Ausência total de contexto
-
Zero integração com nuvem/SaaS
ZTNA resolve todos esses problemas com:
-
acesso mínimo
-
verificação contínua
-
controle por aplicação
-
postura de dispositivo
-
autenticação forte
-
latência reduzida
-
segurança orientada à identidade
2. Arquitetura ZTNA Fortinet — Como funciona na prática
A implementação ZTNA com Fortinet usa três pilares:
2.1. FortiGate – ZTNA Application Gateway
O FortiGate é o gateway Zero Trust:
-
valida contexto
-
aplica políticas
-
inspeciona tráfego
-
registra logs
-
garante segmentação
-
disponibiliza as aplicações privadas
2.2. FortiClient + EMS – Postura do dispositivo
O FortiClient funciona como “sensor Zero Trust”:
-
coleta postura
-
valida compliance
-
mantém sessão segura
-
detecta vulnerabilidades
O EMS gerencia:
-
perfis de postura
-
vulnerabilidades
-
versões
-
políticas por grupo/usuário
2.3. FortiAuthenticator – Identidade
Responsável por:
-
MFA
-
SAML/OAuth
-
certificados
-
User-ID
-
autenticação granular
2.4. FortiSASE (opcional)
Para usuários remotos globais que precisam de:
-
baixa latência
-
ZTNA em PoPs distribuídos
-
acesso a aplicações cloud sem backhaul
3. Antes de iniciar: Checklist técnico
?? Checklist para iniciar o projeto ZTNA
-
FortiGate com FortiOS atualizado (preferencialmente 7.x ou superior)
-
Licenciamento ZTNA (FortiCare + FortiGuard)
-
FortiClient EMS operacional
-
Definição de quais aplicações serão disponibilizadas
-
Base de identidade (AD/LDAP/Azure AD/IdP)
-
MFA configurado (FortiToken, FortiAuthenticator, SSO, push)
-
Certificados atualizados
-
Políticas claras de acesso mínimo
Sem esses elementos, a implementação fica incompleta.
4. Etapa 1 – Inventário e categorização de aplicações
? ZTNA funciona por aplicação, não por rede.
Portanto, o primeiro passo é identificar:
-
aplicações internas (ERP, CRM, sistemas legados)
-
aplicações web privadas
-
bancos de dados (com cuidados especiais)
-
aplicações industriais (OT/ICS)
-
serviços administrativos (AD, RH, DP, arquivos internos)
Depois classifique por criticidade:
-
Alta (financeiro, ERPs, sistemas críticos)
-
Média (intranets, ferramentas internas)
-
Baixa (documentações, consultas internas)
E por tipo de acesso:
-
usuário interno
-
terceirizado
-
remoto
-
parceiro
-
fornecedor
-
administrador
Esse mapeamento é a base do ZTNA.
5. Etapa 2 – Implementar políticas de identidade Zero Trust
ZTNA começa pela identidade — tudo depende dela.
Passos essenciais:
5.1. Integrar AD/Azure AD ao FortiGate
Via LDAP/LDAPS ou SAML.
5.2. Criar grupos lógicos de acesso
Exemplo:
-
GRP-TI-ADM
-
GRP-FINANCEIRO
-
GRP-RH
-
GRP-SUPORTE
-
GRP-TERCEIROS
5.3. Ativar MFA
Use:
-
FortiToken Mobile
-
Tokens físicos
-
SAML com IdP externo
-
Azure AD MFA
5.4. Criar políticas de acesso baseadas em identidade
ZTNA só libera a aplicação se:
-
usuário + grupo + MFA + postura do dispositivo estiverem OK
Identidade é o núcleo do Zero Trust.
6. Etapa 3 – Implementar postura de dispositivo com FortiClient + EMS
O FortiClient EMS permite criar políticas de postura que garantem que apenas dispositivos seguros possam acessar recursos.
Exemplos de políticas essenciais:
-
SO atualizado
-
Antivírus ativo
-
Firewall ativo
-
Criptografia no disco
-
Sem processos maliciosos
-
Sem vulnerabilidades críticas
-
Certificado válido
-
Aplicações mínimas instaladas
Se algo falhar → bloqueia antes de autenticar.
Benefícios:
-
evita acesso com malware
-
impede dispositivos comprometidos
-
bloqueia máquinas sem patch
-
separa BYOD de dispositivos gerenciados
A postura é verificada de forma contínua, não só no login.
7. Etapa 4 – Configurar o ZTNA Application Gateway no FortiGate
Agora começa a parte “hands-on”.
7.1. Habilitar ZTNA no FortiGate
$config system global
set ztna enable
end
(Ou via GUI → OPAQUE → ZTNA Settings)
7.2. Criar ZTNA Applications
Você deve definir:
-
hostname da aplicação
-
porta
-
endereço interno
-
tipo (web / TCP / RDP / SSH)
-
certificados
7.3. Criar ZTNA Servers (Gateways)
Associa as aplicações ao gateway.
7.4. Criar ZTNA Rules
As políticas definem:
-
quem acessa
-
de onde acessa
-
qual aplicação pode acessar
-
se precisa de MFA
-
se precisa de postura X, Y ou Z
Exemplo de política ZTNA:
“Usuários de Financeiro, com MFA + postura compliant, podem acessar o ERP financeiro via ZTNA, somente por HTTPS, sem acesso a rede interna.”
Isso encerra completamente a possibilidade de movimento lateral.
8. Etapa 5 – Publicar aplicações internas via ZTNA
Agora, entregue as aplicações:
-
ERP
-
CRM
-
intranet
-
relatórios
-
ambiente de desenvolvimento
-
sistemas internos legados
O ZTNA encapsula a aplicação e a torna acessível sem expor a rede.
9. Etapa 6 – Migrar usuários da VPN para ZTNA (com zero impacto)
A migração deve ser gradual:
9.1. Fase 1 — Paralela
VPN e ZTNA coexistem.
Aplicações mais simples & web → ZTNA.
Legadas e administrativas → VPN.
9.2. Fase 2 — Expandir ZTNA
Migrar:
-
equipes inteiras
-
aplicações internas
-
ferramentas web privadas
9.3. Fase 3 — Minimizar a VPN
VPN fica restrita a:
-
administração avançada
-
sistemas extremamente legacy
9.4. Fase 4 — ZTNA como padrão
VPN vira exceção, não regra.
ZTNA governa 90% do acesso privado.
10. Etapa 7 – Monitoramento, logs e auditoria
ZTA exige visibilidade total.
O Fortinet Security Fabric oferece:
-
FortiAnalyzer → logs, auditoria, trilhas
-
FortiSIEM → correlação de eventos
-
FortiNAC → visibilidade IoT
-
FortiEDR → proteção de endpoint
-
FortiSOC → automação de resposta
Benefícios:
-
rastreamento total de sessões
-
detecção de anomalias
-
análise de risco contínua
-
compliance LGPD reforçado
11. Políticas Zero Trust avançadas (expert level)
Aqui estão diretrizes de segurança maduras:
11.1. Políticas baseadas em risco (Adaptive ZTNA)
-
comportamento suspeito → restrição
-
localização incomum → mais MFA
-
postura baixa → acesso mínimo
11.2. Acesso por tempo limitado
Perfeito para:
-
terceirizados
-
fornecedores
-
consultores
11.3. Microsegmentação absoluta
Cada aplicação isolada.
Cada porta controlada.
Nada visível na rede.
11.4. Hardening de sistemas internos
-
TLS 1.2/1.3 apenas
-
certificados válidos
-
força mínima de criptografia
-
PFS obrigatório
11.5. Sessões efêmeras
Encerrar:
-
sessões inativas
-
sessões de dispositivos alterados
-
sessões suspeitas
Benefícios reais após a implementação
Depois de implementar ZTNA Fortinet, empresas relatam:
Segurança:
-
Zero movimentação lateral
-
Zero credenciais vazadas usadas com sucesso
-
Zero exposição da rede
-
Redução drástica de ransomware
Desempenho:
-
30%–70% mais rápido que VPN
-
Menos latência para Teams, 365, Zoom
-
Dispositivos móveis funcionam melhor
Operacional:
-
Menos chamados
-
Menos manutenção
-
Menos dependência de firewall gigante
-
Menos túnel, mais aplicação
Quanto tempo leva para implementar ZTNA?
Depende da maturidade:
-
Pequenas empresas → 1 a 2 semanas
-
Médias empresas → 3 a 6 semanas
-
Grandes e multi-site → 2 a 4 meses
-
Governos → varia conforme integração AD / legado
Com consultoria especializada → prazo reduzido em 50%.
Conclusão — ZTNA com Fortinet é o futuro da segurança remota
A VPN não foi feita para o mundo moderno.
ZTNA foi.
E o ecossistema Fortinet oferece:
-
Zero Trust nativo
-
integração total
-
postura + identidade + contexto
-
políticas granulares
-
segurança real
-
desempenho superior
Se sua empresa está crescendo, adotando nuvem, permitindo home office ou quer reduzir riscos, ZTNA não é mais tendência — é obrigatório.

