Naar de inhoud
Avanet

Sophos ZTNA Gateway maken

Sophos Zero Trust Network Access

In deze handleiding wordt uitgelegd hoe je de ZTNA Gateway op een hypervisor kunt draaien.

De verschillende deployment modes van Sophos ZTNA

Sophos biedt twee deployment modes voor Zero Trust Network Access (ZTNA): de On-premise Gateway en de Sophos Cloud Gateway. Beide modi hebben eigen voor- en nadelen en kunnen afhankelijk van de eisen van het bedrijf worden gekozen.

On-Premise Gateway

Bij gebruik van een On-Premise Gateway worden de gateways in het eigen datacenter of op een eigen hypervisor in het bedrijf geïnstalleerd. Dat betekent dat je de gateways die met het publieke internet verbonden zijn zelf moet beheren. Daarom moeten firewallpoorten worden geopend en NAT-regels worden gemaakt om het netwerk te beheren. Deze modus biedt directe controle over de infrastructuur, maar vraagt ook meer beheer. De dataverbinding is wel directer, sneller en zonder beperkingen.

Sophos Cloud Gateway

De Sophos Cloud Gateway maakt toegang tot interne resources mogelijk via een door Sophos beschermde data plane cloud. Deze modus isoleert netwerkdeployments van directe internetexposure en verkleint de aanvalsoppervlakte. Een belangrijk voordeel is dat gebruikers eenvoudig met applicaties verbonden kunnen worden zonder firewallpoorten te openen en NAT-regels te maken. Het beheer van de data planes binnen Sophos Cloud ligt bij Sophos, waardoor de infrastructuur van het bedrijf voor internet verborgen blijft. Ook kan het dichtstbijzijnde toegangspunt worden gekozen om latency te minimaliseren en wordt beschikbaarheid van 99,999% gegarandeerd.

Beperking: Voor de Cloud Gateway geldt een trafficlimiet van 15 GB per gebruiker per maand. Bij 10 gebruikers is dat samen 150 GB voor alle gebruikers. Voor bedrijven die ZTNA voor netwerkshares willen gebruiken, kan dat snel krap worden.

De twee modi zijn uitwisselbaar. Bedrijven kunnen gemakkelijk van de ene gatewaymodus naar de andere wisselen, afhankelijk van de actuele eisen. Dat biedt een flexibele oplossing die zich aan veranderende behoeften kan aanpassen.

Vereisten

Om de ZTNA Gateway te configureren, heb je het volgende nodig:

  • Hypervisor, cloud of Sophos Firewall
  • Toegang tot Public DNS
  • Wildcard-certificaat
  • Vast IP-adres
  • Toegang tot de firewall om een DNAT-regel te maken

Platformsupport

De volgende platformen worden ondersteund:

  • VMware ESXi
  • Microsoft Hyper-V 2016 of hoger
  • Amazon Cloud AWS
  • Sophos Firewall (ZTNA Cloud Gateway)

Wij raden aan de VM 2 cores en 4 GB RAM toe te wijzen. Dit is voldoende voor 10'000 clients. Als dat voor een bedrijf niet genoeg is, is het ook mogelijk meerdere gateways te clusteren en met een cluster van 9 gateways tot 90'000 clients te gaan.

Subnet voor gateway

De ZTNA Gateway moet in een eigen subnet draaien en niet in het client- of servernetwerk worden gebruikt.

Gebruik geen van deze netwerken voor de gateway:

  • 10.42.0.0/16
  • 10.43.0.0/16
  • 10.108.0.0/16

Een DNS-naam, bijvoorbeeld ztna.domain.com, wijst naar het publieke IP-adres dat via port forwarding (poort 443) naar de ZTNA Gateway doorstuurt.

De ZTNA Gateway heeft toegang naar internet nodig en daarnaast toegang tot de relevante VLANs van de applicaties die via de betreffende poorten worden aangeboden.

ZTNA Gateway downloaden

In Sophos Central kun je in het hoofdmenu onder Protect Devices de bestanden voor de virtuele machine downloaden.

Sophos ZTNA Gateway downloaden
Sophos ZTNA Gateway downloaden

VM op Hyper-V of ESXi beschikbaar stellen

Maak een nieuwe virtuele machine met de volgende instellingen:

  • Generation 1 (voor Hyper-V)
  • Virtuele processors: 2
  • RAM: 4 GB
  • Netwerk: bij voorkeur een eigen VLAN
  • Disk voor Hyper-V: eerder gedownloade .vhdx-bestanden
  • ESXi: OVA-bestand gebruiken

Voordat je de VM start, moet je nog de ISO met de instellingen maken.

Gateway-instellingen

De VM is nu wel gemaakt, maar heeft nog geen instellingen en geen koppeling met het Central-account. Deze gegevens worden opgeslagen door een gateway toe te voegen en de instellingen in te vullen.

  • Mode: On-premise Gateway of Cloud Gateway. In mijn geval gebruik ik de On-premise Gateway. De ZTNA Cloud Gateway is bedoeld voor ZTNA as a Service van Sophos. Hierbij wordt geen DNAT-regel gebruikt om traffic naar de gateway te sturen. In plaats daarvan meldt de Cloud Gateway zich bij Central.
  • Name: een eenvoudige naam, bijvoorbeeld met de locatie of hostnaam van de gateway.
  • Location: optioneel als je meerdere locaties hebt.
  • FQDN: DNS-naam die naar het publieke IP van de firewall wijst, die via een DNAT-regel (HTTPS / 443) naar de ZTNA Gateway doorstuurt.
  • Domain: volgt uit de domeinnaam die je gebruikt.
  • Platform type: kies tussen VMware ESXi, Hyper-V en Amazon Web Services (AWS).
  • Identity provider: kies de eerder toegevoegde provider, in mijn geval Azure AD.
  • Gateway Instance Deployment mode: One-arm gebruik je wanneer je achteraf een DNAT-regel maakt. Two-arm gebruik je wanneer de ZTNA Gateway zowel in LAN als WAN een interface moet hebben.
  • IP-adres: dit spreekt voor zich. Ik gebruik hier DHCP en reserveer op de DHCP-server een IP voor de ZTNA Gateway.
  • Certificaat: wildcard-certificaat van het hierboven opgegeven domein.

Na het opslaan wordt een ISO-image met de opgeslagen gegevens gemaakt. Zoals in de screenshots te zien is, kun je dit downloaden. Dit ISO-image gebruik je daarna als boot-ISO voor de VM.

Afhankelijk van de performance van de host kan de eerste start en registratie bij Central tot 30 minuten duren. Zodra de gateway zich bij Central meldt, kun je deze accepteren. Daarmee is deze stap afgerond.

Sophos ZTNA Gateway-configuratie
Sophos ZTNA Gateway-configuratie
Instellingen van Sophos ZTNA Gateway
Instellingen van Sophos ZTNA Gateway
Implementatie-instellingen van Sophos ZTNA Gateway
Implementatie-instellingen van Sophos ZTNA Gateway
ISO-instellingen van Sophos ZTNA Gateway
ISO-instellingen van Sophos ZTNA Gateway

Meer informatie in de Sophos KB: Set up a gateway