Cómo configurar Sophos ZTNA (Zero Trust Network Access)

Este artículo explica cómo configurar Sophos Zero Trust Network Access, o ZTNA para abreviar. Así tendrás una idea clara de cómo funciona el software.

Requisitos previos para Sophos Zero Trust

Cuenta de Sophos Central (crear una cuenta de prueba gratuita de Sophos Central durante 30 días)
Azure Active Directory con usuarios y grupos
Entorno VMware ESXi, Microsoft Hyper-V o Amazon Cloud AWS para nuevas máquinas virtuales
Dirección IP fija para VM
Certificado comodín

Activar Sophos Central ZTNA

Si aún no has probado Zero Trust Network Access, puedes hacerlo con una cuenta de Sophos Central nueva o ya existente.

Certificado comodín

Para ZTNA, necesitas un certificado comodín. Recomiendo usar un certificado que sea válido por más de 3 meses, como los certificados Let’s Encrypt. Sin embargo, a menudo quieres probar la solución ZTNA durante el periodo de prueba de 30 días y Let’s Encrypt es una gran opción si aún no tienes un certificado comodín.

Si ya existe un certificado, perfecto. Si no, consulta esta guía: Crear un certificado comodín Let’s Encrypt.

Configurar ZTNA

Para poder utilizar ZTNA, primero debes configurar las cinco cosas siguientes.

Añadir servicio de directorio: sincronizar usuarios y grupos mediante Azure AD Sync con Sophos Central.
Añadir proveedores de identidad: configurar los proveedores necesarios para la autenticación.
Añadir gateway: crear un gateway virtual para cada ubicación de red.
Añadir política: definir reglas de acceso a los recursos.
Añadir recurso: especificar los recursos y los grupos de usuarios que pueden acceder a ellos.

1. Sincronizar usuarios (Configurar la sincronización de directorios)

No solo para ZTNA, sino para Central en general, es útil utilizar un servicio de directorio que sincronice usuarios y grupos con Central. En el caso de ZTNA, sin embargo, se necesita Azure AD u Okta - una sincronización normal de Active Directory de Windows no es suficiente en este caso.

Esta guía explica cómo cumplir este requisito: Añadir Azure AD a Sophos Central

2. Añadir proveedor de identidad (Add identity provider)

Una vez configurado Azure AD, puedes introducir aquí los datos correspondientes: ID de cliente, ID de inquilino y Secreto de cliente.

Seleccionar proveedor de identidad en Sophos ZTNA

3. Añadir gateway / conector (Configurar gateways)

Sophos Zero Trust Network Access Gateway es un componente de la arquitectura ZTNA. Con este gateway se puede proporcionar acceso seguro y controlado a aplicaciones y recursos para usuarios y dispositivos.

El artículo Crear Sophos ZTNA Gateway explica cómo crear ZTNA On-Premise Gateway o ZTNA Cloud Gateway.

4. Añadir política (Add policy)

La guía detallada para este paso está en preparación. Escríbenos a través del formulario de contacto si quieres que le demos prioridad.

5. Añadir recurso (Add resources)

La guía detallada para este paso está en preparación. Escríbenos a través del formulario de contacto si quieres que le demos prioridad.

6. Instalar el cliente ZTNA en los endpoints

La guía detallada para este paso está en preparación. Escríbenos a través del formulario de contacto si quieres que le demos prioridad.