Comment configurer Sophos ZTNA (Zero Trust Network Access)
Cet article explique comment configurer Sophos Zero Trust Network Access, ou ZTNA. Tu pourras ainsi te faire une idée du fonctionnement du logiciel.
Table des matières
Conditions requises pour Sophos Zero Trust
- Compte Sophos Central(créer un compte d’essai gratuit de 30 jours pour Sophos Central)
- Azure Active Directory avec Utilisateur et groupes
- Environnement VMware ESXi, Microsoft Hyper-V ou Amazon Cloud AWS pour la nouvelle VM
- Adresse IP fixe pour VM
- Certificat Wildcard
Activer Sophos Central ZTNA
Si tu n’as pas encore testé Zero Trust Network Access, tu peux le faire avec un nouveau compte central ou un compte existant.
Certificat Wildcard
Pour ZTNA, il faut un certificat Wildcard. Je recommande d’utiliser un certificat dont la durée de validité est supérieure à trois mois, comme c’est le cas des certificats Let’s Encrypt. Mais souvent, on souhaite tester la solution ZTNA pendant les 30 jours de la période d’essai et Let’s Encrypt s’y prête parfaitement si l’on ne possède pas déjà un certificat Wildcard.
Si un certificat existe déjà, c’est parfait. Si ce n’est pas le cas, instructions : Créer un certificat Let’s Encrypt Wildcard
Mettre en place ZTNA
Pour pouvoir utiliser ZTNA, il faut d’abord mettre en place les cinq choses suivantes.
- Ajouter un service d’annuaire : Azure AD Sync avec Central pour synchroniser les utilisateurs et les groupes.
- Ajouter des fournisseurs d’identité : Configurer les fournisseurs d’identité nécessaires à l’authentification
- Ajouter une passerelle : Créer une passerelle virtuelle pour chaque site du réseau
- Ajouter une politique : Définir des règles d’accès aux ressources
- Ajouter une ressource : Spécifier les ressources et les groupes d’utilisateurs autorisés à accéder aux ressources
1. Synchroniser les utilisateurs (Set up directory sync)
Il est utile, non seulement pour ZTNA mais aussi pour Central en général, d’utiliser un service d’annuaire qui synchronise les Utilisateur et les groupes avec Central. Dans le cas de ZTNA, on a besoin d’Azure AD ou d’Okta.
Ce guide explique comment remplir cette condition : AjouterSophos Central Azure AD
2. Ajouter un fournisseur d’identité (Add identitv provider)
Après avoir configuré Azure AD, on peut maintenant saisir les données correspondantes ici : Client ID, Tenant ID, and Client secret.
3. Ajouter une passerelle / un connecteur (Set up gateways)
La passerelle Zero Trust Network Access de Sophos est un composant de l’architecture ZTNA. Cette passerelle permet de fournir un accès sécurisé et contrôlé aux applications et aux ressources pour les utilisateurs et les appareils.
L’article Créer une passerelle Sophos ZTNA explique comment créer une passerelle ZTNA sur site ou une passerelle ZTNA dans le cloud.
4. Ajouter une politique (Add policy)
Les instructions suivront. Écrivez-nous via le formulaire de contact si vous souhaitez que nous en fassions une priorité.
5. Ajouter une ressource (Add resources)
Les instructions suivront. Écrivez-nous via le formulaire de contact si vous souhaitez que nous en fassions une priorité.
6. Installer le client ZTNA sur les systèmes d’extrémité
Les instructions suivront. Écrivez-nous via le formulaire de contact si vous souhaitez que nous en fassions une priorité.