Configurazione di Sophos ZTNA: panoramica e ordine
Sophos Zero Trust Network Access, in breve ZTNA, non si limita a sostituire una VPN con un nuovo pulsante. ZTNA è costituito da identità, gateway, risorse, policy, DNS, certificati e un percorso di accesso client o senza agente. Se questi elementi costitutivi vengono impostati nell’ordine sbagliato, il login potrebbe funzionare, ma l’applicazione rimarrà comunque inaccessibile.
Questo articolo classifica la configurazione e mostra l’ordine sensato. Per la parte gateway specifica è adatto anche Pianificare e creare Sophos ZTNA Gateway.
Per le basi neutrali su Zero Trust, ZTNA e la differenza rispetto a VPN, partire da Zero Trust spiegato semplice: ZTNA invece del VPN classico.
Requisiti
Prima di un test ZTNA, è necessario chiarire questi punti:
- Account Sophos Central con licenza ZTNA appropriata o ambiente di test.
- Microsoft Entra ID, in precedenza Azure AD, o un provider di identità supportato con utenti e gruppi gestiti.
- Decisione tra accesso senza agente, client ZTNA o operazione mista.
- Modello gateway: Gateway on-premise, Sophos Cloud Gateway o Sophos Firewall come variante gateway.
- Nomi DNS per gateway e risorse pubblicate.
- Certificato con caratteri jolly o concetto di certificato corrispondente.
- Accessibilità interna delle applicazioni dal punto di vista del gateway.
- Proprietario di policy, certificati, log e successive modifiche.
Abilita Sophos Central ZTNA
Se ZTNA non è ancora attivo, il test può essere preparato utilizzando un account Sophos Central esistente o nuovo. È importante che il tenant, l’origine utente e le risorse successive corrispondano al test pianificato. Un test ZTNA senza una vera applicazione target dice poco su latenza, DNS, esperienza del browser o progettazione delle policy.
Iniziare tramite la pagina di test di Sophos può essere utile per gli ambienti di laboratorio iniziali: Creare un account di prova di Sophos Central.

Pianifica certificato e DNS
ZTNA richiede un certificato che corrisponda al gateway pianificato e ai domini delle risorse. In molti ambienti, un certificato con caratteri jolly è l’opzione più semplice perché è possibile pubblicare più risorse nello stesso dominio.
Per gli ambienti produttivi è opportuno chiarire la data di scadenza, il rinnovo, la responsabilità e il monitoraggio del certificato. Let’s Encrypt può essere utile per verificare se non esiste ancora un certificato con caratteri jolly adatto. Il processo è in Crea il certificato Let’s Encrypt con caratteri jolly.
Ordine di installazione
Per un lancio pulito della ZTNA, l’ordine non dovrebbe essere scelto arbitrariamente:
- Aggiungi servizio di directory: sincronizza l’ID Microsoft Entra o un altro servizio di directory supportato con Sophos Central.
- Aggiungi provider di identità: configura i provider di identità richiesti per l’autenticazione.
- Aggiungi gateway: pianifica e distribuisci il modello di gateway appropriato per ogni posizione o percorso dati.
- Crea risorse: definisci le applicazioni con FQDN, porta, tipo di accesso e accessibilità.
- Aggiungi policy: assegna consapevolmente gruppi di utenti, condizioni e risorse consentite.
- Testare l’accesso client o senza agente: verificare con gli utenti pilota che l’accesso e l’applicazione funzionino.

1. Sincronizza gli utenti
Per ZTNA, Sophos Central necessita di utenti e gruppi che verranno successivamente utilizzati nelle policy. Negli ambienti Microsoft, Microsoft Entra ID è il tipico punto di ingresso. È fondamentale che vengano utilizzati solo i gruppi richiesti e che i nomi, l’UPN, gli indirizzi e-mail e le appartenenze ai gruppi possano essere rintracciati in seguito.
La base è in Aggiungere Sophos Central Azure AD.
2. Aggiungi provider di identità
Dopo il servizio di directory, viene configurato il provider di identità. Per l’ID Microsoft Entra, in genere includono ID client, ID tenant e Segreto client. Questi valori sono dati di configurazione rilevanti per la sicurezza e dovrebbero essere trattati come dati di accesso.

3. Aggiungi gateway
Il gateway ZTNA collega l’accesso degli utenti alle applicazioni interne. A seconda della progettazione, funge da gateway on-premise nella propria rete, viene gestito tramite Sophos Cloud Gateway o utilizza una variante del firewall Sophos supportata.
La pianificazione del gateway è una fase di lavoro separata perché DNS, certificato, segmento di rete, DNAT, accessibilità interna e registri devono combaciare. Il processo è in Pianificare e creare Sophos ZTNA Gateway.
4. Creare risorse
Le risorse sono le applicazioni che dovrebbero essere accessibili tramite ZTNA. Per fare ciò, è necessario documentare quanto segue per ciascuna domanda:
- FQDN interno o IP di destinazione interno,
- protocollo e porta,
- Tipo di accesso, ad esempio app Web o app TCP,
- gruppo utenti richiesto,
- nome esterno desiderato,
- Testare l’utente e i criteri di accettazione.
Una risorsa non dovrebbe essere pubblicata più ampiamente del necessario. Soprattutto con strumenti di amministrazione, RDP, SSH o applicazioni specialistiche interne sono necessari gruppi chiari, registrazione e un proprietario.
5. Aggiungi policy
Le policy collegano i gruppi di utenti alle risorse. In pratica, si dovrebbe iniziare con un piccolo gruppo pilota e non attivare immediatamente interi reparti o tutti i dipendenti.
Buone domande politiche:
- Quale gruppo ha davvero bisogno di questa applicazione?
- L’accesso senza agente è sufficiente o è necessario il client ZTNA?
- L’accesso deve essere limitato in base al dispositivo, alla condizione o alla posizione?
- Come viene effettuata la registrazione e chi controlla i tentativi falliti?
- Esiste un percorso di fallback se ZTNA o il provider di identità vengono interrotti?
6. Testare l’accesso
Dopo la configurazione, non è solo il login che dovrebbe essere testato. Ciò che è cruciale è se la reale applicazione può essere raggiunta e se la politica funziona esattamente come previsto.
Punti di controllo:
- L’utente di prova è nel gruppo corretto.
- Il DNS punta al gateway previsto o al CNAME.
- Il certificato viene accettato senza avviso del browser.
- La registrazione con il provider di identità funziona.
- La risorsa si apre con il tipo di accesso pianificato.
- Gli utenti non autorizzati vengono chiaramente rifiutati.
- È possibile valutare i log in Sophos Central, Gateway e Firewall.
Errori comuni
- Gateway, DNS e certificato vengono controllati solo dopo le politiche.
- Le risorse sono pubblicate in modo troppo ampio.
- Gli utenti di prova hanno più appartenenze ai gruppi rispetto agli utenti normali.
- La risoluzione DNS interna funziona solo sulla LAN, ma non dal punto di vista del gateway.
- Si prevede che ZTNA sostituirà qualsiasi connessione VPN o amministrativa, anche se alcuni casi speciali potrebbero comunque richiedere VPN, Jump Host o un altro modello di accesso.