Comment configurer Sophos ZTNA (Zero Trust Network Access)

Cet article explique comment configurer Sophos Zero Trust Network Access, ou ZTNA. Tu pourras ainsi te faire une idée du fonctionnement du logiciel.

Table des matières

Conditions requises pour Sophos Zero Trust
Activer Sophos Central ZTNA
Certificat Wildcard
Mettre en place ZTNA

Conditions requises pour Sophos Zero Trust

Compte Sophos Central(créer un compte d’essai gratuit de 30 jours pour Sophos Central)
Azure Active Directory avec Utilisateur et groupes
Environnement VMware ESXi, Microsoft Hyper-V ou Amazon Cloud AWS pour la nouvelle VM
Adresse IP fixe pour VM
Certificat Wildcard

Activer Sophos Central ZTNA

Si tu n’as pas encore testé Zero Trust Network Access, tu peux le faire avec un nouveau compte central ou un compte existant.

Certificat Wildcard

Pour ZTNA, il faut un certificat Wildcard. Je recommande d’utiliser un certificat dont la durée de validité est supérieure à trois mois, comme c’est le cas des certificats Let’s Encrypt. Mais souvent, on souhaite tester la solution ZTNA pendant les 30 jours de la période d’essai et Let’s Encrypt s’y prête parfaitement si l’on ne possède pas déjà un certificat Wildcard.

Si un certificat existe déjà, c’est parfait. Si ce n’est pas le cas, instructions : Créer un certificat Let’s Encrypt Wildcard

Mettre en place ZTNA

Pour pouvoir utiliser ZTNA, il faut d’abord mettre en place les cinq choses suivantes.

Ajouter un service d’annuaire : Azure AD Sync avec Central pour synchroniser les utilisateurs et les groupes.
Ajouter des fournisseurs d’identité : Configurer les fournisseurs d’identité nécessaires à l’authentification
Ajouter une passerelle : Créer une passerelle virtuelle pour chaque site du réseau
Ajouter une politique : Définir des règles d’accès aux ressources
Ajouter une ressource : Spécifier les ressources et les groupes d’utilisateurs autorisés à accéder aux ressources

1. Synchroniser les utilisateurs (Set up directory sync)

Il est utile, non seulement pour ZTNA mais aussi pour Central en général, d’utiliser un service d’annuaire qui synchronise les Utilisateur et les groupes avec Central. Dans le cas de ZTNA, on a besoin d’Azure AD ou d’Okta.

Ce guide explique comment remplir cette condition : AjouterSophos Central Azure AD

2. Ajouter un fournisseur d’identité (Add identitv provider)

Après avoir configuré Azure AD, on peut maintenant saisir les données correspondantes ici : Client ID, Tenant ID, and Client secret.

3. Ajouter une passerelle / un connecteur (Set up gateways)

La passerelle Zero Trust Network Access de Sophos est un composant de l’architecture ZTNA. Cette passerelle permet de fournir un accès sécurisé et contrôlé aux applications et aux ressources pour les utilisateurs et les appareils.

L’article Créer une passerelle Sophos ZTNA explique comment créer une passerelle ZTNA sur site ou une passerelle ZTNA dans le cloud.

4. Ajouter une politique (Add policy)

Les instructions suivront. Écrivez-nous via le formulaire de contact si vous souhaitez que nous en fassions une priorité.

5. Ajouter une ressource (Add resources)

Les instructions suivront. Écrivez-nous via le formulaire de contact si vous souhaitez que nous en fassions une priorité.

6. Installer le client ZTNA sur les systèmes d’extrémité

Les instructions suivront. Écrivez-nous via le formulaire de contact si vous souhaitez que nous en fassions une priorité.