WatchGuard ZTNA - Dostęp do zasobów tam, gdzie jest potrzebny
WatchGuard ZTNA to implementacja modelu Zero Trust Network Access w ofercie WatchGuard, która odpowiada na potrzebę bezpiecznego zdalnego (i nie tylko) dostępu.
-41_orig.png)
Nie masz pewności czy ZTNA pasuje do Twojej infrastruktury? Zobacz demo FireCloud Total Access, albo skontaktuj się z nami po wycenę dostosowaną do liczby użytkowników i aplikacji.
Dostęp ZTNA
Application-level
Identity-based, per-session enforcement. Brak network-level access.
Ciągła weryfikacja
Session-level policy
Tożsamość, device posture i kontekst sprawdzane w każdej sesji.
Cloaking aplikacji
Private app hidden
Aplikacje niewidoczne z Internetu. Brak otwartych portów inbound.
Ochrona web (SWG)
URL + DNS filter
Blokowanie malware, phishingu i ryzykownych aplikacji w chmurze.
Unified SASE
Jeden agent
FWaaS, SWG i ZTNA w jednym kliencie i jednej konsoli WatchGuard Cloud.
Co wyróżnia WatchGuard ZTNA
01
Application-level access zamiast VPN. Użytkownik nie wchodzi do sieci. Dostaje dostęp tylko do konkretnych aplikacji, do których ma prawo. Brak ryzyka lateral movement po sieci.
02
Ciągła weryfikacja tożsamości i urządzenia. Każda sesja sprawdzana ponownie. Tożsamość, device posture, lokalizacja i sygnały ryzyka oceniane przed każdym połączeniem.
03
Aplikacje prywatne ukryte przed Internetem. Private application cloaking, brak otwartych portów inbound. Atakujący nie widzą czego szukać.
04
Jeden agent dla FWaaS, SWG i ZTNA. Cloud-delivered SASE w jednym kliencie. Zarządzanie centralne z WatchGuard Cloud, polityki globalne dla całej hybrydowej kadry.
Zastosowania WatchGuard ZTNA w polskich branżach
ZagrożeniePracownicy z domowymi sieciami i prywatnymi urządzeniami łączą się do aplikacji firmowych. Kompromitacja jednego konta otwiera całą sieć przez VPN.
Co produkt robiApplication-level access zamiast network access. Skradzione poświadczenia dają dostęp tylko do aplikacji autoryzowanych dla użytkownika, nie do całej sieci firmowej.
ZagrożenieZarządzanie VPN dla wielu klientów to operacyjny ciężar: licencje, konfiguracje, problemy z wydajnością, support tickets nikt nie chce rozwiązywać.
Co produkt robiMulti-tenant management z jednej konsoli WatchGuard Cloud. ZTNA jako usługa subskrypcyjna, polityki globalne, mniej support ticketów.
ZagrożenieDORA art. 9 wymaga zarządzania ryzykiem ICT także dla pracy zdalnej. Sektor finansowy podlega też wymogom KNF Rekomendacji D w zakresie kontroli dostępu i bezpieczeństwa dostępu zdalnego.
Co produkt robiIdentity-based access do systemów core bankowych, audytowalne sesje, ciągła weryfikacja device posture. Bez ekspozycji aplikacji prywatnych do Internetu.
ZagrożenieLekarze i personel medyczny pracują zdalnie z aplikacjami EHR. Wyciek danych pacjentów przy kompromitacji konta lub urządzenia domowego.
Co produkt robiPer-session weryfikacja przed dostępem do aplikacji medycznych. Cloaking aplikacji wewnętrznych. Audytowalność wymagana przez UKSC i HIPAA.
Opis techniczny
WatchGuard FireCloud Total Access to usługa SASE dostarczana z chmury, łącząca Zero Trust Network Access (ZTNA), Firewall-as-a-Service (FWaaS) oraz Secure Web Gateway (SWG) w jednej platformie zarządzanej przez WatchGuard Cloud. Rozwiązanie umożliwia dostęp do aplikacji na podstawie tożsamości użytkownika i stanu urządzenia, stosuje kontrolę per aplikacja i per sesja oraz pozwala na bezpieczny dostęp do zasobów prywatnych bez ekspozycji ich do Internetu. Wdrożenie odbywa się przez klienta agentowego instalowanego na urządzeniach użytkowników i konfigurację polityk w WatchGuard Cloud, z integracją SAML do Identity Providers (Microsoft Entra ID, Active Directory, AuthPoint). Egzekwowanie polityk realizowane jest na globalnych punktach obecności (PoP) WatchGuard. Licencjonowanie per użytkownik, bez sprzętu po stronie klienta.
Architektura WatchGuard ZTNA: warstwy ochrony
Warstwa tożsamości
SAML + IdP
Integracja z Microsoft Entra ID, AD, AuthPoint MFA i innymi Identity Providers.
Warstwa weryfikacji urządzenia
Device posture
Sprawdzanie stanu urządzenia: agent, system, polityki bezpieczeństwa.
Warstwa dostępu do aplikacji
Application-level
Per-app access bez ekspozycji sieci. Private application cloaking.
Warstwa monitorowania sesji
Session policy + Cloud
Ciągła ewaluacja w czasie sesji, polityki w WatchGuard Cloud, logi audytowe.
Kluczowe funkcje WatchGuard ZTNA
Zero Trust Network Access
App-level + per-session
Application-level controls. Identity- i device-based trust verification. Brak lateral movement.
Firewall-as-a-Service (FWaaS)
IPS + AV + DNS
Intrusion Prevention, Gateway AntiVirus, Botnet Detection, DNS Filtering w usłudze chmurowej.
Secure Web Gateway (SWG)
URL + App Control
URL Filtering (WebBlocker), Application Control blokujący ryzykowne aplikacje SaaS.
VPN Services
Legacy app tunnels
Szyfrowane tunele dla aplikacji legacy lub niestandardowych, gdzie tradycyjny VPN jest wymagany.
Unified Security Management
WatchGuard Cloud
Jedna konsola dla FWaaS, SWG i ZTNA. Centralne polityki, raporty i threat intelligence.
Klient agentowy
Aktualnie Win / macOS
Jeden agent na endpoint dla wszystkich usług. Push z WatchGuard Cloud. Zakres wspieranych platform może być rozszerzany.
Global PoP enforcement
Points of Presence
Polityki egzekwowane na globalnych punktach obecności WatchGuard. Spójny experience z każdej lokalizacji.
Private Application Access
Secure Gateway
Bezpieczny dostęp do aplikacji on-premises bez ekspozycji do Internetu. Cloaking przed atakującymi.
Dlaczego ZTNA, a nie VPN
Problemy klasycznego VPN
Za duże zaufanie po połączeniu. Po wejściu do VPN użytkownik często widzi więcej niż potrzebuje. Jedno skradzione hasło lub zainfekowany laptop otwiera atakującemu drogę po sieci.
Operacyjny ciężar. Klienty do instalacji, certyfikaty do zarządzania, reguły firewall do utrzymania, problemy z wydajnością wymagające wyjaśnień. VPN zużywa czas zespołu IT.
VPN nie lubi chmury. Aplikacje SaaS i cloud są standardem, a wymuszanie ruchu przez tunel VPN powoduje spowolnienia, błędne workflowy i ticketów wsparcia.
VPN to legacy dla legacy systems. Pozostaje sensowny jako rozwiązanie tymczasowe dla aplikacji legacy, nie jako długoterminowa strategia dla hybrydowej kadry.
Co zmienia ZTNA
Application-level access zamiast network access. Użytkownik nie wchodzi do sieci, dostaje dostęp do konkretnych aplikacji. Kompromitacja jednego konta ogranicza skutki, nie kaskaduje na całą organizację.
Tożsamość zastępuje perymetr. Każda sesja oceniana ponownie: tożsamość, device posture, lokalizacja, sygnały ryzyka. Weryfikacja ciągła, nie jednorazowa.
Aplikacje niewidoczne dla Internetu. Brak wystawionych VPN gateway, brak otwartych portów inbound. Czego atakujący nie widzi, tego nie zaatakuje.
Zaprojektowane pod hybrydową pracę. Spójne doświadczenie w biurze, w domu i w podróży. Użytkownik nie włącza VPN, wydajność stabilna, mniej ticketów.
Trzy poziomy ochrony zero-trust od WatchGuard
Wariant 0
FireCloud Internet Access
Secure Web Gateway z threat blocking i user-based firewalling. Wejście do zero-trust dla organizacji potrzebujących głównie ochrony ruchu webowego.
Wariant 1
FireCloud Total Access
Pełna platforma ZTNA: application-level access, VPN replacement, Private Application Access, Unified Web Protection, FWaaS. Główna konfiguracja zero-trust.
Wariant 2
Zero Trust Bundle
Total Access plus AuthPoint MFA, Endpoint Security 360 i Dark Web Credential Monitoring. Najwyższy poziom z device trust i endpoint context.
Porównanie poziomów ochrony zero-trust
| Funkcja | FireCloud Internet Access | FireCloud Total Access | Zero Trust Bundle |
|---|---|---|---|
| Ochrona ruchu webowego | |||
| Secure Web Gateway (SWG) | SWG + threat blocking | Unified web protection | Web + endpoint risk correlation |
| Firewall-as-a-Service (FWaaS) | User-based firewalling | Per-user firewall | Firewall + identity + device trust |
| Zero Trust Network Access | |||
| Zero Trust App Access | — | ✓ Application-level ZTNA | ✓ ZTNA + identity + endpoint context |
| VPN Replacement | — | ✓ Full replacement | ✓ Adaptive enforcement |
| Private Application Access | — | ✓ Secure private apps | ✓ Identity + device trust |
| Tożsamość i endpoint | |||
| AuthPoint MFA | — | — | ✓ Wliczone |
| Endpoint Security 360 | — | — | ✓ Wliczone |
| Dark Web Credential Monitoring | — | — | ✓ Wliczone |
| Zarządzanie i operacje | |||
| Unified Cloud Management | WatchGuard Cloud | WatchGuard Cloud | WatchGuard Cloud + cross-product correlation |
| Multi-tenant management (MSP) | ✓ | ✓ | ✓ |
✓ = wliczone | — = niedostępne
Co zyskujesz przechodząc z VPN na ZTNA
ZTNA nie jest upgrade'em VPN, to inny model dostępu. Tożsamość użytkownika i stan urządzenia zastępują perymetr sieciowy, dostęp przyznawany jest na poziomie aplikacji, a aplikacje wewnętrzne pozostają niewidoczne dla Internetu. Te trzy efekty mają największe znaczenie biznesowe i operacyjne.
Mniej powierzchni ataku
Brak otwartych portów inbound, brak wystawionych VPN gateway, aplikacje prywatne ukryte z Internetu
Ograniczone skutki kompromitacji
Skradzione poświadczenia dają dostęp do pojedynczej aplikacji, nie do całej sieci, brak lateral movement
Mniej operacyjnego ciężaru
Brak klientów VPN do utrzymania, brak certyfikatów, mniej ticketów wsparcia, jedna konsola
Integracje techniczne WatchGuard ZTNA
Wymagania wdrożeniowe WatchGuard ZTNA
Hardware lokalny
Brak
Cloud-delivered SASE. Egzekwowanie na globalnych Points of Presence WatchGuard.
Klient agentowy
Win · macOS (aktualnie)
Jeden agent dla FWaaS, SWG i ZTNA. Lista wspieranych platform może się rozszerzać.
Identity Provider
SAML 2.0 · IdP
Microsoft Entra ID, Active Directory, AuthPoint, lub konta lokalne.
Zarządzanie
WatchGuard Cloud
Konsola SaaS, multi-tenant dla MSP, setup wizard, push polityk do PoP.
Dostęp do aplikacji on-prem
Secure Gateway
Konektor ZTNA do zasobów wewnętrznych bez ekspozycji do Internetu.
Licencjonowanie
Per użytkownik
Subskrypcja roczna, skalowanie liniowe, brak ograniczeń hardware.
Wdrożenie WatchGuard ZTNA przez Net Complex
Zakres wdrożenia może obejmować konfigurację polityk dostępu, integrację z Identity Provider (Microsoft Entra ID, AD), AuthPoint MFA i Endpoint Security 360, a także migrację z istniejących rozwiązań VPN bezpośrednio u klienta.
8h
Wsparcia w cenie zakupu. 8 godzin pracy inżyniera przy zakupie produktów WatchGuard o wartości min. 20 000 zł netto. Dodatkową liczbę godzin można dokupić w dowolnym momencie wdrożenia.
Usługi IT
Baza wiedzy
.jpg)
.png)
.png)
Dalej nie jesteś przekonany? Porozmawiaj z naszym konsultantem
.jpg)
Karol Girjat
533 895 495
WatchGuard FireboxV
WatchGuard FireboxV to wirtualny firewall NGFW zapewniający ochronę sieci, kontrolę ruchu, VPN oraz zaawansowane zabezpieczenia IT.
Wycena indywidualna
Zobacz więcej
.png)
Nowość
WatchGuard Firebox T115-W
WatchGuard Firebox T115-W to wydajny firewall z Wi-Fi, VPN i zaawansowaną ochroną sieci. Zapewnia bezpieczeństwo danych, kontrolę dostępu oraz niezawodną ochronę dla małych firm i biur.
Wycena indywidualna
Zobacz więcej
Bundle WatchGuard Endpoint Security 360 + MDR Core
Połączenie WatchGuard Endpoint Security 360 z MDR Core zapewnia pełny cykl ochrony: prewencję zero trust, AI/ML, threat hunting oraz reakcję SOC 24/7. Endpointy i Microsoft 365 chronione są przez spójny model detekcji i containment bez budowy własnego SOC.
456.33 PLN
Zobacz więcej