Crear Sophos ZTNA Gateway
Esta guía explica cómo ejecutar ZTNA Gateway en un hipervisor.
Los diferentes modos de despliegue de Sophos ZTNA
Sophos ofrece dos modos de despliegue diferentes para Zero Trust Network Access (ZTNA): On-Premise Gateway y Sophos Cloud Gateway. Ambos modos tienen sus propias ventajas e inconvenientes y pueden seleccionarse en función de las necesidades de la empresa.
On-Premise Gateway
Cuando se utiliza un On-Premise Gateway, los gateways se instalan en el propio centro de datos de la empresa o en un hipervisor proporcionado por la empresa. Esto significa que tú mismo gestionas los gateways conectados a internet. Por tanto, es necesario abrir puertos en el firewall y crear reglas NAT. Este modo ofrece control directo sobre la infraestructura, aunque también requiere más esfuerzo administrativo. A cambio, la conexión de datos es más directa, rápida y sin restricciones.
Sophos Cloud Gateway
En cambio, Sophos Cloud Gateway permite acceder a los recursos internos a través de una nube de plano de datos protegida por Sophos. Este modo aísla los despliegues de red de la exposición directa a Internet y reduce la superficie de ataque. Una gran ventaja de este método de despliegue es la posibilidad de conectar fácilmente a los usuarios con las aplicaciones sin tener que abrir puertos de cortafuegos ni crear reglas NAT. Sophos se encarga de gestionar los planes de datos dentro de Sophos Cloud, manteniendo la infraestructura de la organización oculta de Internet. También se puede seleccionar el punto de acceso más cercano para minimizar los tiempos de latencia, y la disponibilidad está garantizada al 99,999%.
Limitación: Existe un límite de tráfico de 15 GB por usuario y mes para el Cloud Gateway. Con 10 usuarios, esto suma 150 GB para todos los usuarios. Esto puede escasear rápidamente para las empresas que deseen utilizar ZTNA para unidades de red.
Los dos modos son intercambiables y las organizaciones pueden cambiar fácilmente de un modo de pasarela a otro en función de lo que mejor se adapte a sus necesidades actuales. Esto ofrece una solución flexible que puede adaptarse a las necesidades cambiantes de una empresa.
Requisitos
Para configurar ZTNA Gateway, necesitas lo siguiente:
- Hipervisor, nube o Sophos Firewall
- Acceso al DNS público
- Certificado comodín
- Dirección IP fija
- Acceso al cortafuegos para crear la regla DNAT
Soporte de plataformas
Se admiten las siguientes plataformas:
- VMware ESXi
- Microsoft Hyper-V 2016 o superior
- Nube de Amazon AWS
- Sophos Firewall (ZTNA Cloud Gateway)
Recomendamos asignar 2 núcleos y 4 GB de RAM a la máquina virtual. Esto es suficiente para 10.000 clientes. Si esto no es suficiente para una empresa, también es posible agrupar varias pasarelas para aumentar el número a 90'000 clientes mediante un clúster de 9 pasarelas.
Subred para el gateway
ZTNA Gateway debe funcionar en su propia subred y no utilizarse en la red de clientes ni en la red de servidores.
No utilices ninguna de estas redes para el gateway:
- 10.42.0.0/16
- 10.43.0.0/16
- 10.108.0.0/16
Un nombre DNS, por ejemplo ztna.dominio.com, apunta a la dirección IP pública, que reenvía el tráfico al ZTNA Gateway mediante port forwarding en el puerto 443.
ZTNA Gateway necesita acceso a internet y también a las VLAN de las aplicaciones que se publican, con los puertos correspondientes.
Descargar ZTNA Gateway
Los archivos de la máquina virtual se pueden descargar desde Sophos Central en el menú principal, en Proteger dispositivos.
Despliegue de la máquina virtual en Hyper-V o ESXi
Crea una nueva máquina virtual con la siguiente configuración:
- Generación 1 (para Hyper-V)
- Procesadores virtuales: 2
- RAM: 4 GB
- Red: preferiblemente una VLAN propia
- Disco duro para Hyper-V: archivos .vhdx descargados previamente
- ESXi: utilizar el archivo OVA
Antes de iniciar la VM, tienes que crear la ISO con la configuración.
Configuración del gateway
La máquina virtual se ha creado, pero todavía no tiene ninguna configuración ni referencia a la cuenta central. Esto se consigue añadiendo un gateway y configurando los ajustes correspondientes.
- Mode: On-Premise Gateway o Cloud Gateway. En mi caso utilizo On-Premise Gateway. ZTNA Cloud Gateway está pensado para ZTNA as a Service de Sophos. En este modo no se usa una regla DNAT para dirigir el tráfico al gateway; en su lugar, Cloud Gateway se registra en Central.
- Name: un nombre sencillo, por ejemplo con la ubicación o el hostname del gateway.
- Location: si tienes varias ubicaciones, puedes guardarlo de forma opcional.
- FQDN: nombre DNS que apunta a la IP pública del firewall, que a su vez proporciona una regla DNAT (HTTPS / 443) hacia ZTNA Gateway.
- Domain: se deriva del nombre de dominio utilizado.
- Platform type: aquí puedes elegir entre VMware ESXi, Hyper-V y Amazon Web Services (AWS).
- Identity provider: selecciona el proveedor añadido previamente; en mi caso, Azure AD.
- Gateway Instance Deployment mode: One-arm se utiliza si después crearás una regla DNAT. Two-arm se utiliza si ZTNA Gateway debe tener una interfaz tanto en la LAN como en la WAN.
- IP address: esto debería ser autoexplicativo. Aquí utilizo DHCP y reservo una IP para ZTNA Gateway en el servidor DHCP.
- Certificate: certificado wildcard del dominio indicado anteriormente.
Después de guardar, se crea una imagen ISO con la información almacenada, que se puede descargar como se muestra en las capturas de pantalla. Esta imagen ISO se utiliza ahora como ISO de arranque para la VM.
Dependiendo del rendimiento del host, el primer inicio y el registro en Central pueden tardar hasta 30 minutos. En cuanto el gateway se registre en Central, podrás aceptarlo y este paso quedará completado.
Más información en la KB de Sophos: Set up a gateway