Creazione del gateway/connettore Sophos ZTNA
Questa guida spiega come eseguire il gateway ZTNA su un hypervisor.
Requisiti
Per configurare il gateway ZTNA, sono necessari i seguenti elementi.
- Hypervisor o Cloud
- Accesso al DNS pubblico
- Certificato Wildcard
- Indirizzo IP fisso
- Accesso al firewall per creare la regola DNAT
Supporto della piattaforma
Sono supportate le seguenti piattaforme:
– VMware ESXi
– Microsoft Hyper-V 2016 o superiore
– Cloud Amazon AWS
Si consiglia di assegnare alla macchina virtuale 2 core e 4 GB di RAM. Questo è sufficiente per 10.000 clienti. Se questo non è sufficiente per un’azienda, è anche possibile raggruppare diversi gateway per aumentare il numero a 90’000 clienti con un cluster di 9 gateway.
Subnet per il gateway
Il gateway ZTNA deve essere utilizzato nella propria sottorete e non nella rete client o server.
Non utilizzare nessuna di queste reti per il gateway:
– 10.42.0.0/16
– 10.43.0.0/16
– 10.108.0.0/16
Un nome DNS, ad esempio ztna.domain.com, punta all’indirizzo IP pubblico, che inoltra al gateway ZTNA tramite port forwarding (porta 443).
Da un lato, il gateway ZTNA richiede l’accesso a Internet e alle rispettive VLAN delle applicazioni fornite, con le porte corrispondenti.
ZTNA Gateway Scaricare
I file per la macchina virtuale possono essere scaricati da Sophos Central nel menu principale alla voce Proteggi dispositivi.

Distribuire la macchina virtuale su Hyper-V o ESXi
Creare una nuova macchina virtuale con le seguenti impostazioni:
Generazione 1 (per Hyper-V)
Processori virtuali: 2
RAM: 4 GB
Rete: preferibilmente una propria VLAN
Disco rigido per Hyper-V: file .vhdx, precedentemente scaricati.
ESXi: utilizza il file OVA.
Prima di avviare la macchina virtuale, è necessario creare la ISO con le impostazioni.
Impostazioni del gateway
La macchina virtuale è stata creata, ma è ancora priva di impostazioni e di riferimenti all’account centrale.
Ora è possibile aggiungervi un gateway ed effettuare le impostazioni.
Modalità: Gateway o Connettore.
Nel mio caso, utilizzo il gateway.
Il connettore ZTNA è destinato a uno ZTNA come servizio di Sophos.
In questo caso, non viene utilizzata alcuna regola DNAT per indirizzare il traffico verso il gateway, ma il connettore effettua la segnalazione a Central.
Nome: semplicemente un nome, ad esempio con la posizione o il nome host del gateway.
Posizione: se si dispone di più sedi, è possibile memorizzarla in modo opzionale.
FQDN: nome DNS che punta all’IP pubblico del firewall, che a sua volta fornisce una regola DNAT (https / 443) sul gateway ZTNA.
Dominio: Risultati del nome di dominio utilizzato.
Tipo di piattaforma: qui si può scegliere tra VMware ESXi, Hyper-V e Amazon Web Services (AWS).
Identity provider: selezionare il provider precedentemente aggiunto, nel mio caso Azure AD.
Modalità di distribuzione dell’istanza del gateway: si utilizza un braccio se viene creata successivamente una regola DNAT, due bracci se il gateway ZTNA ha un’interfaccia sia nella LAN che nella WAN.
Indirizzo IP: Questo punto dovrebbe essere chiaro.
Io uso il DHCP e riservo un IP sul DHCP per il gateway ZTNA.
Certificato: certificato wildcard del dominio specificato sopra.
Dopo il salvataggio, viene creata un’immagine ISO con le informazioni memorizzate, che può essere scaricata come mostrato nelle schermate. Questa immagine ISO viene ora utilizzata come ISO di avvio per la macchina virtuale.
A seconda delle prestazioni dell’host, il primo avvio e la registrazione con Central richiedono fino a 30 minuti. Non appena il gateway viene segnalato a Central, è possibile accettarlo e anche questa fase è completata.




Ulteriori informazioni nella KB di Sophos: Configurazione di un gateway