Panier d’achat

Aucun produit dans le panier.

Créer une passerelle / un connecteur Sophos ZTNA

Ce guide explique comment faire fonctionner la passerelle ZTNA sur un hyperviseur.

Conditions préalables

Pour configurer la passerelle ZTNA, il faut disposer des éléments suivants.

  • Hyperviseur ou cloud
  • Accès au DNS public
  • Certificat Wildcard
  • Adresse IP fixe
  • Accès au pare-feu pour créer une règle DNAT

Support de la plate-forme

Les plates-formes suivantes sont prises en charge :

– VMware ESXi
– Microsoft Hyper-V 2016 ou supérieur
– Amazon Cloud AWS

Nous recommandons d’attribuer 2 cœurs et 4 Go de RAM à la VM. Cela suffit pour 10’000 clients. Si cela ne suffit pas à une entreprise, il est également possible de regrouper plusieurs passerelles afin d’augmenter le nombre de clients à 90’000 en créant un cluster de 9 passerelles.

Sous-réseau pour la passerelle

La passerelle ZTNA doit être exploitée dans son propre sous-réseau et ne doit pas être utilisée sur le réseau client ou serveur.

N’utilisez aucun de ces réseaux pour la passerelle :
– 10.42.0.0/16
– 10.43.0.0/16
– 10.108.0.0/16

Un nom DNS, par exemple ztna.domain.com, pointe vers l’adresse IP publique, qui est redirigée vers la passerelle ZTNA au moyen du port forwarding (port 443).

La passerelle ZTNA a besoin d’une part d’un accès à Internet et aux VLAN respectifs des applications qui sont mises à disposition, avec les ports correspondants.

Télécharger la passerelle ZTNA

Sur Sophos Central, dans le menu principal, sous Protect Devices, vous pouvez télécharger les fichiers pour la machine virtuelle.

Déployer la VM sur Hyper-V ou ESXi

Crée une nouvelle machine virtuelle avec les paramètres suivants :

Génération 1 (pour Hyper-V)
Processeurs virtuels : 2
MÉMOIRE VIVE : 4 GO
Réseau : de préférence propre VLAN
Disque dur pour Hyper-V : fichiers .vhdx précédemment téléchargés.
ESXi : Utilise le fichier OVA.

Avant de démarrer la VM, il faut encore créer l’ISO avec les paramètres.

Paramètres de la passerelle

La VM a bien été créée, mais elle n’a pas encore de paramètres ni de référence au compte central. Il suffit maintenant d’ajouter une passerelle et d’effectuer les réglages.
Mode: passerelle ou connecteur. Dans mon cas, j’utilise le mode Gateway. Le ZTNA Connector est destiné à un ZTNA as a Service de Sophos. Ici, aucune règle DNAT n’est utilisée pour diriger le trafic vers la passerelle, c’est le connecteur qui se présente à Central.
Nom: simplement un nom, par exemple avec l’emplacement ou le nom d’hôte de la passerelle.
Lieu : si l’on a plusieurs lieux, il est possible de l’indiquer de manière optionnelle.
FQDN : nom DNS qui pointe sur l’IP publique du pare-feu, qui à son tour fournit une règle DNAT (https / 443) sur la passerelle ZTNA.
Le domaine : Découle du nom de domaine que l’on utilise.
Platform type : on choisit ici entre VMware ESXi, Hyper-V et Amazon Web Services (AWS).
Fournisseur d’identité : on choisit le fournisseur ajouté précédemment, dans mon cas Azure AD.
Mode de déploiement de l’instance de passerelle : un bras est utilisé si l’on crée une règle DNAT par la suite, deux bras si la passerelle ZTNA doit avoir une interface à la fois sur le LAN et le WAN.
l’adresse IP : Cela devrait être évident. J’utilise ici DHCP et réserve une IP sur le DHCP pour la passerelle ZTNA.
Certificat : Certificat Wildcard du domaine indiqué ci-dessus.

Après l’enregistrement, une image ISO est créée avec les informations déposées, que l’on peut télécharger comme on peut le voir sur les captures d’écran. On utilise maintenant cette image ISO comme ISO de démarrage pour la VM.

Selon les performances de l’hôte, le premier démarrage et l’enregistrement auprès de Central peuvent prendre jusqu’à 30 minutes. Dès que la passerelle s’annonce à Central, on peut alors encore l’accepter et cette étape est ainsi terminée.

Pour plus d’informations, consultez le KB de Sophos : Set up a gateway