Ir al contenido
Avanet

Configuración de Sophos ZTNA: descripción general y pedido

Sophos Zero Trust Network Access, ZTNA para abreviar, no reemplaza simplemente una VPN con un nuevo botón. ZTNA consta de identidad, puerta de enlace, recursos, políticas, DNS, certificados y una ruta de acceso de cliente o sin agente. Si estos bloques de construcción se configuran en el orden incorrecto, el inicio de sesión puede funcionar, pero la aplicación seguirá siendo inaccesible.

Este artículo clasifica la configuración y muestra el orden sensato. Para la parte de la puerta de enlace específica, Planificar y crear Sophos ZTNA Gateway también es adecuado.

Para la base neutral sobre Zero Trust, ZTNA y la diferencia con VPN, conviene empezar por Zero Trust explicado: ZTNA en lugar de VPN clásico.

Requisitos

Antes de una prueba ZTNA conviene aclarar estos puntos:

  • Cuenta central de Sophos con licencia ZTNA adecuada o entorno de prueba.
  • Microsoft Entra ID, anteriormente Azure AD, o un proveedor de identidad compatible con usuarios y grupos mantenidos.
  • Decisión entre acceso sin agentes, cliente ZTNA u operación mixta.
  • Modelo de puerta de enlace: Puerta de enlace local, Sophos Cloud Gateway o Sophos Firewall como variante de puerta de enlace.
  • Nombres DNS para puerta de enlace y recursos publicados.
  • Certificado comodín o concepto de certificado coincidente.
  • Accesibilidad interna de las aplicaciones desde la perspectiva del gateway.
  • Propietario de políticas, certificados, registros y cambios posteriores.

Habilitar Sophos Central ZTNA

Si ZTNA aún no está activo, la prueba se puede preparar utilizando una cuenta de Sophos Central nueva o existente. Es importante que el inquilino, la fuente del usuario y los recursos posteriores coincidan con la prueba planificada. Una prueba ZTNA sin una aplicación de destino real dice poco sobre la latencia, el DNS, la experiencia del navegador o el diseño de políticas.

Comenzar a través de la página de prueba de Sophos puede resultar útil para entornos de laboratorio iniciales: Crear una cuenta de prueba de Sophos Central.

Iniciar la prueba de Sophos ZTNA
Iniciar la prueba de Sophos ZTNA

Certificado de plan y DNS

ZTNA requiere un certificado que coincida con la puerta de enlace planificada y los dominios de recursos. En muchos entornos, un certificado comodín es la opción más sencilla porque se pueden publicar varios recursos en el mismo dominio.

Para entornos productivos se debe aclarar la fecha de caducidad, renovación, responsabilidad y seguimiento del certificado. Let’s Encrypt puede resultar útil para realizar pruebas si aún no existe un certificado comodín adecuado. El proceso está en Crear certificado comodín Let’s Encrypt.

Orden de configuración

Para una implementación limpia de ZTNA, el orden no debe elegirse arbitrariamente:

  1. Agregar servicio de directorio: sincronice Microsoft Entra ID u otro servicio de directorio compatible con Sophos Central.
  2. Agregar proveedores de identidad: configure los proveedores de identidad necesarios para la autenticación.
  3. Agregar puerta de enlace: planifique e implemente el modelo de puerta de enlace adecuado para cada ubicación o ruta de datos.
  4. Cree recursos: defina aplicaciones con FQDN, puerto, tipo de acceso y accesibilidad.
  5. Agregar políticas: asignar conscientemente grupos de usuarios, condiciones y recursos permitidos.
  6. Pruebe el acceso de cliente o sin agente: verifique con los usuarios piloto que el inicio de sesión y la aplicación funcionen.
Panel de control de Sophos ZTNA
Panel de control de Sophos ZTNA

1. Sincronizar usuarios

Para ZTNA, Sophos Central necesita usuarios y grupos que luego se utilizarán en las políticas. En entornos de Microsoft, Microsoft Entra ID es el punto de entrada típico. Es crucial que solo se utilicen los grupos requeridos y que los nombres, UPN, direcciones de correo electrónico y membresías de grupos se puedan rastrear más adelante.

La base está en Agregar Sophos Central Azure AD.

2. Agregar proveedor de identidad

Después del servicio de directorio, se configura el proveedor de identidad. Para Microsoft Entra ID, estos normalmente incluyen ID de cliente, ID de inquilino y Secreto de cliente. Estos valores son datos de configuración relevantes para la seguridad y deben tratarse como datos de acceso.

Seleccionar proveedor de identidad en Sophos ZTNA
Seleccionar proveedor de identidad en Sophos ZTNA

3. Agregar puerta de enlace

ZTNA Gateway conecta el acceso de los usuarios a las aplicaciones internas. Dependiendo del diseño, funciona como una puerta de enlace local en su propia red, se opera a través de Sophos Cloud Gateway o utiliza una variante de firewall de Sophos compatible.

La planificación de la puerta de enlace es un paso de trabajo independiente porque el DNS, el certificado, el segmento de red, la DNAT, la accesibilidad interna y los registros deben encajar. El proceso está en Planificar y crear Sophos ZTNA Gateway.

4. Crea recursos

Los recursos son las aplicaciones a las que se debería poder acceder a través de ZTNA. Para hacer esto, debe documentar lo siguiente para cada aplicación:

  • FQDN interno o IP de destino interno,
  • protocolo y puerto,
  • Tipo de acceso, por ejemplo, aplicación web o aplicación TCP,
  • grupo de usuarios requerido,
  • nombre externo deseado,
  • Usuario de prueba y criterios de aceptación.

Un recurso no debe publicarse más ampliamente de lo necesario. Especialmente con herramientas de administración, RDP, SSH o aplicaciones especializadas internas, necesita grupos claros, registros y un propietario.

5. Agregar políticas

Las políticas conectan grupos de usuarios con recursos. En la práctica, se debería empezar con un pequeño grupo piloto y no activar inmediatamente departamentos enteros o todos los empleados.

Buenas preguntas de política:

  • ¿Qué grupo realmente necesita esta aplicación?
  • ¿Es suficiente el acceso sin agentes o se requiere el cliente ZTNA?
  • ¿Es necesario restringir el acceso por dispositivo, condición o ubicación?
  • ¿Cómo se realiza el registro y quién verifica los intentos fallidos?
  • ¿Existe una ruta alternativa si se interrumpe ZTNA o el proveedor de identidad?

6. Acceso de prueba

Después de la configuración, no sólo se debe probar el inicio de sesión. Lo crucial es si se puede lograr la aplicación real y si la política funciona exactamente como se planeó.

Puntos de control:

  • El usuario de prueba está en el grupo correcto.
  • DNS apunta a la puerta de enlace esperada o CNAME.
  • El certificado se acepta sin previo aviso del navegador.
  • El registro con el proveedor de identidad funciona.
  • El recurso se abre con el tipo de acceso programado.
  • Los usuarios no autorizados son claramente rechazados.
  • Se pueden evaluar los registros en Sophos Central, Gateway y Firewall.

Errores comunes

  • La puerta de enlace, el DNS y el certificado solo se verifican después de las políticas.
  • Los recursos se publican demasiado ampliamente.
  • Los usuarios de prueba tienen más membresías en grupos que los usuarios habituales.
  • La resolución DNS interna sólo funciona en la LAN, pero no desde la perspectiva de la puerta de enlace.
  • Está previsto que ZTNA reemplace cualquier VPN o conexión de administrador, aunque algunos casos especiales aún pueden requerir VPN, Jump Host u otro modelo de acceso.