Creare un gateway Sophos ZTNA

Questa guida spiega come eseguire un gateway ZTNA su un hypervisor.

Le diverse modalità di implementazione di Sophos ZTNA

Sophos offre due modalità di implementazione per Zero Trust Network Access (ZTNA): il gateway on-premise e il gateway Sophos Cloud. Entrambe hanno vantaggi e svantaggi e possono essere scelte in base alle esigenze dell’azienda.

Gateway On-Premise

Quando si utilizza un gateway on-premise, i gateway sono installati nel data center dell’azienda o su un hypervisor fornito dall’azienda stessa. Ciò significa che dovrete gestire voi stessi i gateway collegati alla rete Internet pubblica. È quindi necessario aprire le porte del firewall e creare regole NAT per gestire la rete. Questa modalità offre un controllo diretto sull’infrastruttura, ma richiede anche un maggiore impegno amministrativo. Tuttavia, la connessione dati è più diretta, più veloce e senza restrizioni.

Gateway Cloud Sophos

Al contrario, Sophos Cloud Gateway consente l’accesso alle risorse interne attraverso un data plane cloud protetto da Sophos. Questa modalità isola le implementazioni di rete dall’esposizione diretta a Internet e riduce la superficie di attacco. Uno dei principali vantaggi di questo metodo di distribuzione è la possibilità di connettere facilmente gli utenti alle applicazioni senza dover aprire porte del firewall e creare regole NAT. Sophos è responsabile della gestione dei piani dati all’interno di Sophos Cloud, mantenendo l’infrastruttura dell’organizzazione nascosta da Internet. È inoltre possibile selezionare il punto di accesso più vicino per ridurre al minimo i tempi di latenza e la disponibilità è garantita al 99,999%.

Limitazione: il limite di traffico per il Cloud Gateway è di 15 GB per utente al mese. Con 10 utenti si arriva quindi a 150 GB complessivi. Questo volume può diventare rapidamente insufficiente per aziende che vogliono usare ZTNA anche per unità di rete.

Le due modalità sono intercambiabili e le organizzazioni possono facilmente passare da una modalità gateway all’altra a seconda di ciò che meglio si adatta alle loro esigenze attuali. Si tratta di una soluzione flessibile, in grado di adattarsi alle mutevoli esigenze dell’azienda.

Requisiti

Per configurare il gateway ZTNA, sono necessari i seguenti elementi.

• Hypervisor, cloud o Sophos Firewall
• Accesso al DNS pubblico
• Certificato Wildcard
• Indirizzo IP fisso
• Accesso al firewall per creare la regola DNAT

Supporto della piattaforma

Sono supportate le seguenti piattaforme:

• VMware ESXi
• Microsoft Hyper-V 2016 o superiore
• Cloud Amazon AWS
• Sophos Firewall (ZTNA Cloud Gateway)

Si consiglia di assegnare alla macchina virtuale 2 core e 4 GB di RAM. Questo è sufficiente per 10.000 clienti. Se questo non è sufficiente per un’azienda, è anche possibile raggruppare diversi gateway per aumentare il numero a 90'000 clienti con un cluster di 9 gateway.

Subnet per il gateway

Il gateway ZTNA deve essere utilizzato nella propria sottorete e non nella rete client o server.

Non utilizzare nessuna di queste reti per il gateway:

• 10.42.0.0/16
• 10.43.0.0/16
• 10.108.0.0/16

Un nome DNS, ad esempio ztna.domain.com, punta all’indirizzo IP pubblico, che inoltra al gateway ZTNA tramite port forwarding (porta 443).

Da un lato, il gateway ZTNA richiede l’accesso a Internet e alle rispettive VLAN delle applicazioni fornite, con le porte corrispondenti.

Scaricare il gateway ZTNA

I file per la macchina virtuale possono essere scaricati da Sophos Central nel menu principale alla voce Proteggi dispositivi.

Distribuire la macchina virtuale su Hyper-V o ESXi

Creare una nuova macchina virtuale con le seguenti impostazioni:

Usa le seguenti impostazioni di base:

• Generazione: 1 (per Hyper-V)
• Processori virtuali: 2
• RAM: 4 GB
• Rete: preferibilmente una VLAN dedicata
• Disco rigido per Hyper-V: file .vhdx scaricato in precedenza
• ESXi: file OVA

Prima di avviare la macchina virtuale, è necessario creare la ISO con le impostazioni.

Impostazioni del gateway

La macchina virtuale è stata creata, ma è ancora priva di impostazioni e di riferimenti all’account centrale. Ora puoi aggiungere un gateway e configurarne le impostazioni:

• Modalità: gateway on-premise o gateway cloud. In questo esempio viene usato il gateway on-premise. Il gateway ZTNA Cloud è pensato per il servizio ZTNA as a Service di Sophos: in quel caso non viene usata una regola DNAT per inoltrare il traffico al gateway, perché il Cloud Gateway si registra direttamente in Central.
• Nome: un nome semplice, ad esempio basato sulla sede o sull’hostname del gateway.
• Posizione: opzionale, utile se gestisci più sedi.
• FQDN: nome DNS che punta all’IP pubblico del firewall, sul quale una regola DNAT inoltra il traffico HTTPS/443 al gateway ZTNA.
• Dominio: dominio utilizzato per il gateway.
• Tipo di piattaforma: VMware ESXi, Hyper-V o Amazon Web Services (AWS).
• Identity provider: provider aggiunto in precedenza, ad esempio Azure AD.
• Modalità di distribuzione dell’istanza gateway: usa one-arm se in seguito verrà creata una regola DNAT; usa two-arm se il gateway ZTNA dispone di un’interfaccia nella LAN e di una nella WAN.
• Indirizzo IP: puoi assegnarlo manualmente oppure usare DHCP con una prenotazione per il gateway ZTNA.
• Certificato: certificato wildcard per il dominio indicato sopra.

Dopo il salvataggio, viene creata un’immagine ISO con le informazioni memorizzate, che può essere scaricata come mostrato nelle schermate. Questa immagine ISO viene ora utilizzata come ISO di avvio per la macchina virtuale.

A seconda delle prestazioni dell’host, il primo avvio e la registrazione con Central richiedono fino a 30 minuti. Non appena il gateway viene segnalato a Central, è possibile accettarlo e anche questa fase è completata.