FortiClient VPN mit MFA und ZTNA: So erreichen Sie echten Zero-Trust-Zugriff

forticlient

In einer Zeit, in der Cyberbedrohungen immer raffinierter werden, reicht traditionelles VPN nicht mehr aus. FortiClient VPN kombiniert mit Multi-Factor Authentication (MFA) und Zero Trust Network Access (ZTNA) ermöglicht echten Zero-Trust-Zugriff: Nie wieder „vertrau dem Netz“ – stattdessen kontinuierliche Überprüfung von Identität, Gerät und Kontext für jeden Zugriff. Seit FortiOS 7.6+ ist IPsec VPN der Standard (SSL Tunnel Mode deprecated), und ZTNA wird nahtlos integriert. Hier erfahren Sie, wie Sie das umsetzen und maximale Sicherheit erreichen.

Warum Zero Trust mit FortiClient VPN?

Klassisches VPN gewährt nach Login vollen Netzzugriff – ein Einbruchspunkt reicht für Lateral Movement. Zero Trust dreht das um:

  • Kein implizites Vertrauen: Jeder Zugriff wird verifiziert (User + Device + Context).
  • Granulare Kontrolle: Nur autorisierte Apps/Server, nicht das gesamte Netz.
  • Kontinuierliche Validierung: Posture-Checks laufen permanent, nicht nur beim Connect.

FortiClient (Unified Agent) unterstützt sowohl IPsec VPN (für Full-Network-Zugriff) als auch Universal ZTNA (für app-spezifische, tunnelbasierte Zugriffe). Mit FortiClient EMS teilt der Endpoint Telemetrie (Security Posture Tags), die FortiGate für dynamische Policies nutzt.

MFA-Integration: Die erste Verteidigungslinie

MFA ist in FortiClient essenziell für Zero Trust:

  • Unterstützte Methoden: FortiToken Mobile (Push/OTP), Hardware-Token, Zertifikate, SAML mit Entra ID/Azure MFA, FortiAuthenticator.
  • Für VPN: IPsec VPN mit MFA (z. B. FortiToken + Username/Password).
  • Für ZTNA: Oft über SAML + MFA (FortiAuthenticator als IdP) oder integriertes FortiToken.
  • Vorteile: Verhindert Credential-Stuffing; Push-MFA ist nutzerfreundlich und sicher.

In EMS-Profilen aktivieren: „Require MFA“ oder „Two-Factor Authentication“ – bei Always-On/Auto-Connect erfolgt Re-Auth nahtlos.

ZTNA mit FortiClient: Der Kern des echten Zero Trust

ZTNA ersetzt oder ergänzt VPN für app-basierte Zugriffe:

  • FortiClient baut Tunnel zu FortiGate ZTNA Access Proxy (HTTPS/TCP/SSH).
  • Device Posture Checks via EMS: Antivirus-Status, OS-Patchlevel, Zertifikat, Geo-Location → Security Posture Tags (z. B. „Compliant“, „Outdated“).
  • ZTNA Policies auf FortiGate: Kombinieren User-Gruppen, Tags, MFA-Status → Zugriff nur bei Erfüllung aller Kriterien.
  • Universal ZTNA: Funktioniert lokal (On-Fabric) und remote – konsistente Policies überall.

Seit FortiOS 7.6.6: Verbesserte JWT-Tag-Sharing für resiliente Verbindungen (auch bei temporären EMS-Ausfällen).

Schritt-für-Schritt: So konfigurieren Sie MFA + ZTNA

  1. EMS einrichten: FortiClient mit EMS verbinden, Endpoint Profiles erstellen (ZTNA Catalog, Tags definieren).
  2. FortiGate ZTNA aktivieren: Feature Visibility > Zero Trust Network Access einschalten; EMS-Connector konfigurieren.
  3. MFA einrichten: FortiAuthenticator oder externe IdP (SAML) + FortiToken; in Authentication Schemes/Rules MFA erzwingen.
  4. ZTNA Server/Proxy erstellen: HTTPS Access Proxy für Web-Apps, TCP Forwarding für RDP/SSH; ZTNA Tags in Policies anwenden.
  5. FortiClient Profil: IPsec VPN + ZTNA-Tunnels aktivieren; Split Tunneling + Always-On kombinieren.
  6. Testen: Remote-User connecten → Tags prüfen (FortiClient GUI), Zugriff nur bei MFA + compliant Device.

Tipp: Starten Sie hybrid – VPN für Legacy-Apps, ZTNA für moderne SaaS/Interne Web-Apps.

Vorteile im Überblick

  • Höhere Sicherheit: MFA + Device-Posture + granularer Zugriff minimieren Risiken.
  • Bessere User Experience: SSO, Auto-Connect, kein Full-Tunnel-Overhead bei ZTNA.
  • Compliance: DSGVO, NIS2, Zero-Trust-Standards erfüllt (kontinuierliche Verifizierung).
  • Skalierbarkeit: Funktioniert mit Tausenden Endpoints via EMS.

Fazit: Von VPN zu echtem Zero Trust

FortiClient VPN mit MFA und ZTNA ist der Weg zu moderner, sicherer Remote Access. IPsec als Basis + ZTNA für app-spezifische Kontrolle + MFA als Identitäts-Booster ergeben ein robustes Zero-Trust-Framework. In 2026 ist das kein Nice-to-have mehr – es ist essenziell, um Angriffe früh zu stoppen und Produktivität zu erhalten.

Wer noch klassisches VPN ohne Kontext-Checks nutzt: Migrieren Sie jetzt zu IPsec + ZTNA – die Konfiguration lohnt sich sofort durch weniger Incidents und höhere Akzeptanz. Fortinet macht es einfach: EMS zentral steuern, FortiGate enforcen, FortiClient schützen.