Wie man Sophos ZTNA (Zero Trust Network Access) einrichtet

In diesem Artikel wird erklärt, wie Sophos Zero Trust Network Access, kurz ZTNA, eingerichtet wird. So erhältst du einen Einblick in die Funktionsweise der Software.

Voraussetzungen für Sophos Zero Trust

• Sophos Central Account (Sophos Central 30 Tage kostenloser Testaccount erstellen)
• Azure Active Directory mit User und Gruppen
• VMware ESXi, Microsoft Hyper-V oder Amazon Cloud AWS Umgebung für neue VM
• Fixe IP-Adresse für VM
• Wildcard Zertifikat

Sophos Central ZTNA aktivieren

Wenn du Zero Trust Network Access nicht bereits getestet hast, kannst du dies mit einem neuen oder bestehenden Central Account gerne tun.

Wildcard Zertifikat

Für ZTNA benötigt man ein Wildcard-Zertifikat. Ich empfehle hier ein Zertifikat zu verwenden, welches länger gültig ist als nur 3 Monate, wie es die Let’s Encrypt Zertifikate sind. Doch oft möchte man die ZTNA Lösung in den 30 Tagen Testzeit zunächst testen und da bietet sich Let’s Encrypt prima an, wenn man nicht bereits im Besitzt eines Wildcard-Zertifikates ist.

Wenn schon ein Zertifikat vorhanden ist, perfekt. Falls nicht, Anleitung: Let’s Encrypt Wildcard Zertifikat erstellen

ZTNA einrichten

Damit man nun ZTNA verwenden kann, muss man zuerst folgende fünf Dinge einrichten.

1. Verzeichnisdienst hinzufügen: Azure AD Sync mit Central um Benutzer und Gruppen zu synchronisieren.
2. Identitätsanbieter hinzufügen: Die für die Authentifizierung benötigten Identitätsanbieter einrichten
3. Gateway hinzufügen: Für jeden Netzwerkstandort ein virtuelles Gateway erstellen
4. Richtlinie hinzufügen: Regeln für den Ressourcenzugriff festlegen
5. Ressource hinzufügen: Ressourcen und Benutzergruppen, die auf die Ressourcen zugreifen dürfen, angeben

1. Benutzer synchronisieren (Set up directory sync)

Nicht nur für ZTNA, sondern allgemein für Central ist es hilfreich, wenn man einen Verzeichnisdienst verwendet, welcher die User und Gruppen mit Central synchronisiert. Im Falle von ZTNA benötigt man aber den Azure AD oder Okta ein normaler Windows Active Directory Sync reicht hier nicht.

In dieser Anleitung wird erklärt, wie man diese Voraussetzung erfüllen kann: Sophos Central Azure AD hinzufügen

2. Identitätsanbieter hinzufügen (Add identitv provider)

Nachdem man den Azure AD eingerichtet hat, kann man nun die entsprechenden Daten hier eingeben: Client ID, Tenant ID, and Client secret.

3. Gateway / Connector hinzufügen (Set up gateways)

Der Sophos Zero Trust Network Access Gateway ist eine Komponente der ZTNA-Architektur. Mit diesem Gateway kann man den Zugriff auf Anwendungen und Ressourcen für Benutzer und Geräte sicher und kontrolliert bereitstellen werden.

In Artikel Sophos ZTNA Gateway erstellen wird erklärt, wie man das ZTNA On-Premise Gateway oder ZTNA Cloud Gateway erstellen kann.

4. Richtlinie hinzufügen (Add policy)

Anleitung folgt. Schreibt uns über das Kontaktformular, wenn wir dies priorisieren sollen.

5. Ressource hinzufügen (Add resources)

Anleitung folgt. Schreibt uns über das Kontaktformular, wenn wir dies priorisieren sollen.

6. ZTNA Client auf Endpoints installieren

Anleitung folgt. Schreibt uns über das Kontaktformular, wenn wir dies priorisieren sollen.