Comment configurer Sophos ZTNA (Zero Trust Network Access)

Cet article explique comment configurer Sophos Zero Trust Network Access, ou ZTNA. Vous pourrez ainsi vous faire une idée du fonctionnement du logiciel.

Conditions requises pour Sophos Zero Trust

Compte Sophos Central(créer un compte d’essai gratuit de 30 jours pour Sophos Central)
Azure Active Directory avec utilisateurs et groupes
Environnement VMware ESXi, Microsoft Hyper-V ou Amazon Cloud AWS pour la nouvelle VM
Adresse IP fixe pour VM
Certificat Wildcard

Activer Sophos Central ZTNA

Si vous n’avez pas encore testé Zero Trust Network Access, vous pouvez le faire avec un nouveau compte Central ou un compte existant.

Lancer l'essai Sophos ZTNA — Lancer l’essai Sophos ZTNA

Certificat Wildcard

Pour ZTNA, il faut un certificat Wildcard. Je recommande d’utiliser un certificat dont la durée de validité est supérieure à trois mois, comme c’est le cas des certificats Let’s Encrypt. Mais souvent, on souhaite tester la solution ZTNA pendant les 30 jours de la période d’essai et Let’s Encrypt s’y prête parfaitement si l’on ne possède pas déjà un certificat Wildcard.

Si un certificat existe déjà, c’est parfait. Si ce n’est pas le cas, instructions : Créer un certificat Let’s Encrypt Wildcard

Mettre en place ZTNA

Pour pouvoir utiliser ZTNA, il faut d’abord mettre en place les cinq choses suivantes.

Ajouter un service d’annuaire : Azure AD Sync avec Central pour synchroniser les utilisateurs et les groupes.
Ajouter des fournisseurs d’identité : Configurer les fournisseurs d’identité nécessaires à l’authentification
Ajouter une passerelle : Créer une passerelle virtuelle pour chaque site du réseau
Ajouter une politique : Définir des règles d’accès aux ressources
Ajouter une ressource : Spécifier les ressources et les groupes d’utilisateurs autorisés à accéder aux ressources

1. Synchroniser les utilisateurs (Set up directory sync)

Il est utile, non seulement pour ZTNA mais aussi pour Central en général, d’utiliser un service d’annuaire qui synchronise les utilisateurs et les groupes avec Central. Dans le cas de ZTNA, on a besoin d’Azure AD ou d’Okta.

Ce guide explique comment remplir cette condition : Ajouter Azure AD à Sophos Central

2. Ajouter un fournisseur d’identité (Add identity provider)

Après avoir configuré Azure AD, on peut maintenant saisir les données correspondantes ici : Client ID, Tenant ID, and Client secret.

Sélectionner le fournisseur d’identité dans Sophos ZTNA

3. Ajouter une passerelle / un connecteur (Set up gateways)

La passerelle Zero Trust Network Access de Sophos est un composant de l’architecture ZTNA. Cette passerelle permet de fournir un accès sécurisé et contrôlé aux applications et aux ressources pour les utilisateurs et les appareils.

L’article Créer une passerelle Sophos ZTNA explique comment créer une passerelle ZTNA sur site ou une passerelle ZTNA dans le cloud.

4. Ajouter une politique (Add policy)

Les instructions suivront. Écrivez-nous via le formulaire de contact si vous souhaitez que nous en fassions une priorité.

5. Ajouter une ressource (Add resources)

Les instructions suivront. Écrivez-nous via le formulaire de contact si vous souhaitez que nous en fassions une priorité.

6. Installer le client ZTNA sur les endpoints

Les instructions suivront. Écrivez-nous via le formulaire de contact si vous souhaitez que nous en fassions une priorité.