Come impostare Sophos ZTNA (Zero Trust Network Access)

Questo articolo spiega come configurare Sophos Zero Trust Network Access, o ZTNA in breve. In questo modo si potrà capire come funziona il software.

Prerequisiti per Sophos Zero Trust

• Account Sophos Central(creare un account di prova gratuito di 30 giorni per Sophos Central)
• Azure Active Directory con utenti e gruppi
• Ambiente VMware ESXi, Microsoft Hyper-V o Amazon Cloud AWS per le nuove macchine virtuali.
• Indirizzo IP fisso per la macchina virtuale
• Certificato Wildcard

Attivare Sophos Central ZTNA

Se non avete ancora testato l’Zero Trust Network Access, siete invitati a farlo con un account centrale nuovo o esistente.

Certificato Wildcard

Per ZTNA, è necessario un certificato wildcard. Consiglio di utilizzare un certificato che abbia una validità superiore ai 3 mesi, come quelli di Let’s Encrypt. Tuttavia, spesso si desidera testare la soluzione ZTNA durante il periodo di prova di 30 giorni e Let’s Encrypt è un’ottima scelta se non si dispone già di un certificato wildcard.

Se il certificato esiste già, perfetto. In caso contrario, istruzioni: Creare un certificato Wildcard di Let’s Encrypt

Impostare lo ZTNA

Per poter utilizzare ZTNA, è necessario impostare i seguenti cinque elementi.

1. Aggiungere il servizio di directory: Azure AD Sync with Central per sincronizzare utenti e gruppi.
2. Aggiungere i provider di identità: Impostare i provider di identità necessari per l’autenticazione
3. Aggiungere un gateway: Creare un gateway virtuale per ogni postazione di rete
4. Aggiungere un criterio: Imposta regole per l’accesso alle risorse
5. Aggiungi risorsa: Specificare le risorse e i gruppi di utenti che possono accedere alle risorse.

1. sincronizzare gli utenti (Impostare la sincronizzazione della directory)

Non solo per ZTNA, ma per Central in generale, è utile utilizzare un servizio di directory che sincronizzi gli utenti e i gruppi con Central. Nel caso di ZTNA, tuttavia, è necessario Azure AD o Okta: una normale sincronizzazione di Windows Active Directory non è sufficiente.

Questa guida spiega come soddisfare questo requisito: AggiungereSophos Central Azure AD

2. aggiungere un fornitore di identità (Add identitv provider)

Dopo aver configurato Azure AD, è possibile inserire qui i dati corrispondenti: ID cliente, ID inquilino e Segreto cliente.

3. aggiungere gateway / connettore (Impostare i gateway)

Il gateway di Zero Trust Network Access Sophos Zero Trust Network Access è un componente dell’architettura ZTNA. Con questo gateway è possibile fornire agli utenti e ai dispositivi l’accesso ad applicazioni e risorse in modo sicuro e controllato.

L’articolo Creare Sophos ZTNA Gateway spiega come creare ZTNA On-Premise Gateway o ZTNA Cloud Gateway.

4. aggiungere un criterio (Add policy)

Seguono le istruzioni. Scriveteci tramite il modulo di contatto se volete che diamo priorità a questo aspetto.

5. aggiungere una risorsa (Aggiungere risorse)

Seguono le istruzioni. Scriveteci tramite il modulo di contatto se volete che diamo priorità a questo aspetto.

6. installare il client ZTNA sugli endpoint

Seguono le istruzioni. Scriveteci tramite il modulo di contatto se volete che diamo priorità a questo aspetto.