Naar de inhoud
Avanet

Plan en creëer Sophos ZTNA Gateway

Een Sophos ZTNA Gateway verbindt gebruikers met interne applicaties zonder de noodzaak van klassieke volledige tunnel VPN-toegang. Het werkelijke voordeel ontstaat echter pas als de gatewaymodus, DNS, certificaat, firewallregels en interne toegankelijkheid goed zijn gepland.

Deze handleiding beschrijft hoe u een ZTNA-gateway in Sophos Central plant en aanmaakt. De focus ligt op het gateway-gedeelte. Voor de basisbeslissing tussen VPN, ZTNA en andere varianten van externe toegang is Sophos Connect of SSL VPN: welke oplossing voor externe toegang is de juiste? ook geschikt.

Voor de leveranciersneutrale basis over Zero Trust, ZTNA en het verschil met VPN, begin met Zero Trust eenvoudig uitgelegd: ZTNA in plaats van klassieke VPN.

Begrijp de gateway-modi

Sophos ZTNA kan worden gebruikt met een On-premise Gateway of een Sophos Cloud Gateway. Beide varianten bieden toegang tot interne bronnen, maar verschillen aanzienlijk wat betreft internetblootstelling, DNS, bewerkingen en probleemoplossing.

  • Gateway op locatie: Gateway VM bevindt zich in uw eigen datacenter of sitenetwerk eigen VM, eigen publieke DNS, DNAT op poort 443, meer directe controle.
  • Sophos Cloud-gateway: Gebruikers maken verbinding via Sophos Cloud Points of Presence. minder directe internetblootstelling, verschillende DNS CNAME’s, selectie van point-of-presence.
  • Sophos Firewall als cloudgateway: Sophos Firewall neemt de gatewayrol over voor ZTNA Cloud Gateway. geen aparte gateway-VM, maar afhankelijkheid van SFOS, Central en firewallwerking.

De modus is niet alleen een technisch selectievakje. Het bepaalt waar het verkeer binnenkomt, wie het datapad beheert, welke DNS-vermeldingen nodig zijn en of er een DNAT-regel op de firewall nodig is.

Gateway op locatie

Met een on-premise gateway wordt een gateway-VM geïmplementeerd op VMware ESXi of Microsoft Hyper-V. De gateway is bereikbaar vanaf internet en accepteert ZTNA-toegang. In de praktijk verwijst een publieke DNS-naam naar de firewall en stuurt een DNAT-regel HTTPS door naar de gateway.

Voordelen:

  • direct datapad naar uw eigen locatie,
  • volledige controle over gateway-, segment-, DNS- en firewallregels,
  • geen afhankelijkheid van het Sophos Cloud Data Plane voor het daadwerkelijke entrypunt.

Nadelen:

  • Gateway VM moet worden beheerd en bijgewerkt,
  • Poort 443 moet van buitenaf bereikbaar zijn,
  • Certificaat, DNS, DNAT en interne routing moeten correct zijn,
  • Beschikbaarheid is afhankelijk van uw locatie, internetverbinding en hypervisor.

Bij het publiceren van een on-premise gateway via DNAT moet de regel net zo zorgvuldig worden gepland als bij andere publicaties. De basisprincipes zijn te vinden in Publiceer-servers met DNAT op Sophos Firewall.

Sophos Cloud-gateway

Met de Sophos Cloud Gateway wordt de toegang beheerd via Sophos Cloud Points of Presence. De interne gatewaycomponent verbindt Sophos Cloud met de interne bronnen. Dit elimineert de noodzaak voor gebruikers om rechtstreeks toegang te krijgen tot hun eigen openbare gateway-IP.

Dit vermindert de directe blootstelling aan internet, maar verplaatst delen van het datapad naar de Sophos-cloud. Het volgende is daarom belangrijk:

  • geschikt aanwezigheidspunt dichtbij het datacenter,
  • correcte openbare CNAME-records,
  • werkende interne DNS-resolutie,
  • duidelijke verwachtingen met betrekking tot latentie, beschikbaarheid en verkeersprofielen,
  • Controleren van licentie-, product- en verkeerslimieten voor de specifieke omgeving.

Voor zeer data-intensieve toepassingen zoals grote bestandsopslag, CAD-bestanden of massale downloads, moet u ZTNA Cloud Gateway niet alleen testen op basis van registratie. Waar het om gaat is hoe het werkelijke gebruik, de latentie en het datavolume zich in het dagelijks leven gedragen.

Sophos Firewall als ZTNA Cloud Gateway

Een Sophos Cloud Gateway kan ook worden geïnstalleerd op centraal beheerde Sophos-firewallapparaten. Dit is interessant als er al een Sophos-firewall op de locatie aanwezig is en er geen aparte gateway-VM moet worden gebruikt.

Deze variant mag echter niet als secundaire functie worden geactiveerd. Het volgende moet worden gecontroleerd:- Ondersteunde SFOS-versie en centrale beheerstatus.

  • ZTNA-licenties en gebruikerstoewijzing.
  • Toegankelijkheid van interne bronnen vanuit het perspectief van de firewall.
  • Impact op onderhoudsvensters, firmware-updates en werking van de firewall.
  • Logging en verantwoordelijkheid voor verstoringen.

Als de firewall toch het centrale knooppunt voor externe toegang is, kan deze variant elegant zijn. Aan de andere kant, als je wilt dat ZTNA onafhankelijk van firewall-onderhoud draait, is een speciale gateway-VM of een ander ontwerp soms schoner.

Vereisten

Vóór de implementatie moeten deze punten worden verduidelijkt:

  • Sophos Central Tenant met ZTNA-licentie.
  • Gesynchroniseerde gebruikers en groepen.
  • Identiteitsprovider, bijvoorbeeld Microsoft Entra ID.
  • Kies voor een on-premise gateway of Sophos Cloud Gateway.
  • Hypervisor of ondersteunde Sophos Firewall, afhankelijk van de modus.
  • Openbare DNS voor gateway en bronnen.
  • Wildcard-certificaat of geschikt certificaatconcept.
  • Interne DNS-resolutie van doelapplicaties.
  • Netwerksegment voor de gateway.
  • Firewallregels van de gateway tot de applicaties.
  • Eigenaar voor bewerkingen, logs, certificaten en daaropvolgende wijzigingen.

Voor certificaten is een wildcardcertificaat vaak de meest praktische optie. Het verkrijgen van een wildcardcertificaat wordt beschreven in Laten we coderen en een wildcard-certificaat maken. Als certificaten rechtstreeks op de Sophos Firewall worden beheerd, passen ook Beheer Let’s Encrypt-certificaten op Sophos Firewall.

Platform en maatvoering

Voor gateway-VM’s zijn VMware ESXi en Microsoft Hyper-V de typische platforms. Afhankelijk van de modus en de Sophos-status kunnen andere opties relevant zijn. Het is cruciaal dat het platform officieel wordt ondersteund, up-to-date is en goed wordt gemonitord.

Voor kleine tot middelgrote installaties is een gateway-VM met 2 vCPU en 4 GB RAM een realistisch startpunt. Maar dit vervangt de operationele planning niet. Doorslaggevende factoren zijn het aantal gebruikers, resources, verkeersprofiel, TLS, latentie en beschikbaarheid.

Voor productieve omgevingen moet u ook het volgende plannen:

  • Is er een gatewaycluster?
  • Draait de gateway in zijn eigen VLAN?
  • Hoe wordt er een back-up van de VM gemaakt of wordt deze hersteld?
  • Is er hypervisormonitoring?
  • Wie werkt de gateway bij?
  • Is er een onderhoudsvenster voor het opnieuw opstarten?

Netwerk en subnet

De ZTNA Gateway moet in zijn eigen subnet of VLAN worden gebruikt. Het mag niet simpelweg op een client- of servernetwerk worden geplaatst. Een apart segment maakt firewallregels, loggen, pakketvastlegging en latere probleemoplossing eenvoudiger.

Deze netwerken mogen niet worden gebruikt voor de gateway:

  • 10.42.0.0/16
  • 10.43.0.0/16
  • 10.108.0.0/16

Voor een on-premise gateway verwijst een openbare DNS-naam, bijvoorbeeld ztna.example.com, naar het openbare IP-adres van de firewall. De firewall stuurt poort 443 via DNAT door naar de gateway. De gateway heeft dan toegang tot internet nodig en toegang tot de VLAN’s of servernetwerken waarin de gepubliceerde applicaties zich bevinden.

De DNS-gegevens zijn verschillend voor een Sophos Cloud Gateway. Daar worden CNAME’s relevant voor domeinvalidatie, gateway-aliassen en, afhankelijk van het toegangstype, resource-aliassen. De publieke DNS-gegevens moeten daarom als aparte stap vóór de uitrol worden gecontroleerd.

Beslis vóór implementatie

Voordat u op Add gateway klikt, moeten deze vragen worden beantwoord:

  • Welke applicaties worden gepubliceerd?: Web-app, TCP-app en bestandsopslag hebben verschillende vereisten.
  • Agentloze of agentgebaseerde toegang?: DNS, CNAME’s en gebruikerservaring verschillen.
  • On-premise of cloudgateway?: Bepaalt DNAT, datapad en operationele verantwoordelijkheid.
  • Welke gebruikersgroepen hebben toegang?: ZTNA gedijt op nauwe samenwerking, niet op brede groepen.
  • Hoe wordt DNS intern en extern opgelost?: Onjuiste DNS-bestemmingen zijn een van de meest voorkomende bronnen van fouten.
  • Welk certificaat wordt gebruikt?: Certificaatfouten fungeren als een ZTNA-fout voor gebruikers.
  • Wie beoordeelt logs en wijzigingen?: Zonder eigenaar wordt ZTNA al snel moeilijk te onderhouden.

ZTNA-gateway downloaden

In Sophos Central kunnen de bestanden voor de virtuele machine worden gedownload onder Apparaten beschermen in het hoofdmenu.

Download Sophos ZTNA-gateway
Download Sophos Central - ZTNA Gateway VM

Implementeer VM op Hyper-V of ESXi

Voor een on-premise gateway of gateway-VM wordt eerst de virtuele machine gemaakt.

Typische instellingen:

  • Generatie 1 voor Hyper-V.
  • 2 virtuele processors als startwaarde.
  • 4 GB RAM als startwaarde.
  • Netwerk in een eigen VLAN- of gatewaysegment.
  • Hyper-V: gebruik gedownloade .vhdx-bestanden.
  • ESXi: gebruik OVA-bestand.

De VM mag pas worden gestart als de ISO-image is gemaakt met de gateway-instellingen. Deze ISO verbindt later de VM met de Sophos Central Tenant en de gateway-instellingen.

Gateway-instellingen in Sophos Central

Vervolgens wordt de gateway toegevoegd en geconfigureerd in Sophos Central.

Belangrijke velden:

  • Mode: Kies bewust voor een on-premise gateway of Sophos cloud gateway.
  • Naam: Gebruik locatie, doel of hostnaam.
  • Locatie: Optioneel, maar handig bij meerdere gateways.
  • FQDN: Voor de on-premise gateway: de openbare DNS-naam die verwijst naar het firewall- of gateway-IP.
  • Domein: Domein dat overeenkomt met het certificaat en de bronnen.
  • Platformtype: VMware ESXi, Hyper-V, AWS of ondersteunde Sophos-firewallvariant, afhankelijk van de modus.
  • Identiteitsprovider: Selecteer een eerder ingestelde identiteitsprovider.
  • Implementatiemodus van gateway-instantie: Eénarmig voor eenvoudige DNAT-scenario’s, tweearmig voor afzonderlijk WAN/LAN-ontwerp.
  • IP-adres: Geef de voorkeur aan een statisch of gereserveerd IP-adres voor productieve gateways.
  • Certificaat: Gebruik een jokerteken of een geschikt gatewaycertificaat.

Eénarmig is vaak eenvoudiger omdat er één interface wordt gebruikt voor inkomend en uitgaand verkeer. Twee armen scheiden de WAN- en LAN-zijden, maar vereisen twee interfaces en een duidelijker netwerkontwerp.

Na het opslaan maakt Sophos Central een ISO-image met de gateway-informatie. Deze ISO wordt aan de VM toegewezen als de opstart-ISO.

Afhankelijk van de hostprestaties en de omgeving kan het opstarten en registreren bij Sophos Central enige tijd duren. Zodra de gateway reageert, kan deze in Central geaccepteerd worden.

Sophos ZTNA Gateway-installatie
Voeg Sophos Central - ZTNA Gateway toe
Sophos ZTNA Gateway-instellingen
Sophos Central - Voer basisgatewaygegevens in
Implementatie-instellingen van Sophos ZTNA Gateway
Selecteer Sophos Central - Gateway-implementatiemodus
Sophos ZTNA Gateway ISO-instellingen
Download Sophos Central - Gateway ISO met instellingen

Controleer na het opstarten

Na registratie is de gateway niet automatisch gereed voor productie. Alleen deze tests laten zien of het ontwerp werkt:

  • Gatewaystatus: Gateway staat online in Sophos Central en toont een plausibele versie.
  • Openbare DNS: Gateway FQDN of CNAME’s verwijzen naar de verwachte bestemming.
  • Certificaat: Browser en ZTNA-client vertrouwen het certificaat.
  • Interne DNS-resolutie: Gateway kan interne bronnen correct oplossen.
  • Firewallregels: Gateway bereikt alleen de applicaties en poorten die hij nodig heeft.
  • DNAT op locatie: Poort 443 treft de verwachte NAT- en firewallregel.
  • Testgebruiker: Een pilotgroep kan precies de geplande middelen realiseren.
  • Logboeken: Gateway-, centrale- en firewalllogboeken tonen traceerbare gebeurtenissen.

Als ZTNA wordt geïntroduceerd als alternatief voor VPN, mag een pilot niet worden getest met alleen een voorbeeldwebsite. Echte doelapplicaties zijn beter: intern webportaal, RDP/SSH-sprong, specialistische applicatie of bestandstoegang, afhankelijk van het geplande gebruik.

Typische fouten

  • Openbare DNS toont false: Gebruikers kunnen de gateway. niet bereiken A/CNAME, TTL, externe resolutie controleren.
  • Interne DNS-resolutie ontbreekt: Inloggen werkt, bron opent niet. Controleer Private DNS, Resource FQDN of Destination IP.
  • Certificaat past niet: Browser- of clientwaarschuwing. Controleer Wildcard, SAN, Chain en Domein.
  • DNAT ontbreekt in de on-premise gateway: Gateway blijft van buitenaf onbereikbaar. Controleer NAT-regel, poort 443, WAN IP en logviewer.
  • Gateway mag applicatie: niet bereiken Resource blijft offline of er treedt een time-out op. Controleer firewallregels van gatewaysegment naar bestemming.
  • DHCP-adreswijzigingen: ZTNA mislukt na opnieuw opstarten. Gebruik gereserveerd of statisch IP-adres.
  • Gebruikersgroep te breed: Te veel bronnen zichtbaar. Groepen, beleid en middelen nauwer toewijzen.
  • Cloud Gateway met onjuiste PoP: merkbare latentie. Kies een aanwezigheidspunt dichtbij het datacenter. Voor regel- en NAT-analyse op Sophos Firewall kunnen Test firewall-regels met Log Viewer, Policy Test en Packet Capture en NAT begrijpen on Sophos Firewall helpen.

Operationele checklist

  • Gateway-modus gedocumenteerd.
  • Openbare DNS en privé DNS getest.
  • Certificaat geldig en hernieuwbaar.
  • Gateway actief in eigen segment.
  • DNAT is alleen ingesteld voor de on-premise gateway.
  • Gatewayregels voor interne bronnen zijn strikt beperkt.
  • Pilotgebruikers en pilotbronnen gedefinieerd.
  • Logboeken, eigenaar en ondersteuningsproces verduidelijkt.
  • Gateway-update en onderhoudsvensters gepland.
  • Ontmantelingsplan aanwezig als Pilot niet werkt.

Veelgestelde vragen

Heeft u altijd een gateway VM nodig voor Sophos ZTNA?

Niet altijd. On-premise gateways en Sophos Cloud Gateways kunnen als VM op ESXi of Hyper-V draaien. Sophos Cloud Gateway kan ook worden ingezet op centraal beheerde Sophos-firewallapparaten.

Moet poort 443 altijd via DNAT gepubliceerd worden?

Nee. Dit is met name relevant voor on-premise gateways wanneer gebruikers rechtstreeks toegang hebben tot hun eigen gateway. Met de Sophos Cloud Gateway is de publieke inzending anders gestructureerd en werkt met Sophos Cloud en CNAMEs.

Is Sophos ZTNA een vervanging voor welke VPN dan ook?

Niet automatisch. ZTNA is zeer geschikt voor gedefinieerde toepassingen en op bronnen gebaseerde toegang. Klassieke VPN-toegang kan nog steeds zinvol zijn voor bepaalde beheerders-, netwerk- of speciale protocollen. De beslissing hangt af van de use case.

Waarom is DNS zo belangrijk bij ZTNA?

ZTNA controleert de toegang via gateway-, bron- en soms aliasnamen. Wanneer publieke of private DNS-records onjuist verwijzen, lijkt het probleem vaak op een gateway-, certificaat- of beleidsfout.