Configurer Sophos ZTNA : présentation et commande
Sophos Zero Trust Network Access, ZTNA en abrégé, ne remplace pas simplement un VPN par un nouveau bouton. ZTNA comprend une identité, une passerelle, des ressources, des politiques, un DNS, des certificats et un chemin d’accès client ou sans agent. Si ces éléments de base sont configurés dans le mauvais ordre, la connexion peut fonctionner, mais l’application restera toujours inaccessible.
Cet article classe la configuration et montre l’ordre raisonnable. Pour la partie passerelle spécifique, Planifier et créer la passerelle Sophos ZTNA convient également.
Pour les bases neutres sur Zero Trust, ZTNA et la différence avec VPN, commencer par Zero Trust expliqué simplement : ZTNA au lieu du VPN classique.
Exigences
Avant un test ZTNA, ces points doivent être clarifiés :
- Compte Sophos Central avec licence ZTNA ou environnement de test approprié.
- Microsoft Entra ID, anciennement Azure AD, ou un fournisseur d’identité pris en charge avec des utilisateurs et des groupes gérés.
- Décision entre accès sans agent, client ZTNA ou fonctionnement mixte.
- Modèle de passerelle : passerelle sur site, Sophos Cloud Gateway ou Sophos Firewall comme variante de passerelle.
- Noms DNS pour la passerelle et les ressources publiées.
- Certificat générique ou concept de certificat correspondant.
- Accessibilité interne des applications du point de vue de la passerelle.
- Propriétaire des politiques, des certificats, des journaux et des modifications ultérieures.
Activer Sophos Central ZTNA
Si ZTNA n’est pas encore actif, le test peut être préparé à l’aide d’un compte Sophos Central existant ou nouveau. Il est important que le locataire, la source d’utilisateurs et les ressources ultérieures correspondent au test prévu. Un test ZTNA sans véritable application cible en dit long sur la latence, le DNS, l’expérience du navigateur ou la conception des politiques.
Se lancer via la page de test Sophos peut être utile pour les environnements de laboratoire initiaux : Créer un compte test Sophos Central.

Certificat de plan et DNS
ZTNA nécessite un certificat qui correspond aux domaines de passerelle et de ressources prévus. Dans de nombreux environnements, un certificat générique constitue l’option la plus simple, car plusieurs ressources peuvent être publiées sous le même domaine.
Pour les environnements productifs, vous devez clarifier la date d’expiration, le renouvellement, la responsabilité et le suivi du certificat. Let’s Encrypt peut être utile pour tester si un certificat générique approprié n’existe pas encore. Le processus est dans Créer un certificat générique Let’s Encrypt.
Ordre de configuration
Pour un déploiement propre de ZTNA, l’ordre ne doit pas être choisi arbitrairement :
- Ajouter un service d’annuaire : synchronisez Microsoft Entra ID ou un autre service d’annuaire pris en charge avec Sophos Central.
- Ajouter des fournisseurs d’identité : configurez les fournisseurs d’identité requis pour l’authentification.
- Ajouter une passerelle : planifiez et déployez le modèle de passerelle approprié pour chaque emplacement ou chemin de données.
- Créer des ressources : définissez les applications avec le nom de domaine complet, le port, le type d’accès et l’accessibilité.
- Ajoutez des politiques : attribuez consciemment des groupes d’utilisateurs, des conditions et des ressources autorisées.
- Testez l’accès client ou sans agent : vérifiez auprès des utilisateurs pilotes que la connexion et l’application fonctionnent.

1. Synchronisez les utilisateurs
Pour ZTNA, Sophos Central a besoin d’utilisateurs et de groupes qui seront ensuite utilisés dans les stratégies. Dans les environnements Microsoft, Microsoft Entra ID est le point d’entrée typique. Il est crucial que seuls les groupes requis soient utilisés et que les noms, UPN, adresses e-mail et appartenances aux groupes puissent être retracés ultérieurement.
La base est en Ajouter Sophos Central Azure AD.
2. Ajouter un fournisseur d’identité
Après le service d’annuaire, le fournisseur d’identité est configuré. Pour Microsoft Entra ID, ceux-ci incluent généralement Client ID, Tenant ID et Client secret. Ces valeurs sont des données de configuration liées à la sécurité et doivent être traitées comme des données d’accès.

3. Ajouter une passerelle
La passerelle ZTNA connecte l’accès des utilisateurs aux applications internes. Selon la conception, il constitue une passerelle sur site dans votre propre réseau, est exploité via Sophos Cloud Gateway ou utilise une variante de pare-feu Sophos prise en charge.
La planification de la passerelle est une étape de travail distincte car le DNS, le certificat, le segment de réseau, le DNAT, l’accessibilité interne et les journaux doivent s’emboîter. Le processus est dans Planifier et créer la passerelle Sophos ZTNA.
4. Créer des ressources
Les ressources sont les applications qui doivent être accessibles via ZTNA. Pour ce faire, vous devez documenter les éléments suivants pour chaque candidature :
- FQDN interne ou IP de destination interne,
- protocole et port,
- Type d’accès, par exemple application web ou application TCP,
- groupe d’utilisateurs requis,
- nom externe souhaité,
- Test des utilisateurs et des critères d’acceptation.
Une ressource ne doit pas être publiée plus largement que nécessaire. Surtout avec les outils d’administration, RDP, SSH ou les applications spécialisées internes, vous avez besoin de groupes clairs, d’une journalisation et d’un propriétaire.
5. Ajouter des politiques
Les stratégies connectent les groupes d’utilisateurs aux ressources. En pratique, vous devriez commencer avec un petit groupe pilote et ne pas activer immédiatement des départements entiers ou tous les employés.
Bonnes questions politiques :
- Quel groupe a vraiment besoin de cette application ?
- L’accès sans agent est-il suffisant ou le client ZTNA est-il requis ?
- L’accès doit-il être restreint par appareil, condition ou emplacement ?
- Comment se déroule la journalisation et qui vérifie les tentatives infructueuses ?
- Existe-t-il une solution de repli si ZTNA ou le fournisseur d’identité est perturbé ?
6. Tester l’accès
Après l’installation, ce n’est pas seulement la connexion qui doit être testée. Ce qui est crucial est de savoir si l’application réelle peut être réalisée et si la politique fonctionne exactement comme prévu.
Points de contrôle :
- L’utilisateur test est dans le bon groupe.
- DNS pointe vers la passerelle attendue ou CNAME.
- Le certificat est accepté sans avertissement du navigateur.
- L’inscription auprès du fournisseur d’identité fonctionne.
- La ressource s’ouvre avec le type d’accès planifié.
- Les utilisateurs non autorisés sont clairement rejetés.
- Les journaux dans Sophos Central, Gateway et Firewall peuvent être évalués.
Erreurs courantes
- La passerelle, le DNS et le certificat ne sont vérifiés qu’après les politiques.
- Les ressources sont publiées trop largement.
- Les utilisateurs test ont plus d’appartenances à des groupes que les utilisateurs réguliers.
- La résolution DNS interne ne fonctionne que sur le LAN, mais pas du point de vue de la passerelle.
- ZTNA est prévu pour remplacer toute connexion VPN ou administrateur, bien que certains cas particuliers puissent encore nécessiter un VPN, un Jump Host ou un autre modèle d’accès.