Sophos ZTNA instellen: overzicht en bestellen
Sophos Zero Trust Network Access, kortweg ZTNA, vervangt een VPN niet zomaar door een nieuwe knop. ZTNA bestaat uit identiteit, gateway, bronnen, beleid, DNS, certificaten en een client- of agentloos toegangspad. Als deze bouwstenen in de verkeerde volgorde staan, kan het inloggen wel werken, maar blijft de applicatie toch ontoegankelijk.
Dit artikel classificeert de opstelling en toont de verstandige volgorde. Plan en creëer Sophos ZTNA Gateway is ook geschikt voor het specifieke gatewaygedeelte.
Voor de leveranciersneutrale basis over Zero Trust, ZTNA en het verschil met VPN, begin met Zero Trust eenvoudig uitgelegd: ZTNA in plaats van klassieke VPN.
Vereisten
Vóór een ZTNA-test moeten deze punten worden verduidelijkt:
- Sophos Central Account met passende ZTNA-licentie of testomgeving.
- Microsoft Entra ID, voorheen Azure AD, of een ondersteunde identiteitsprovider met onderhouden gebruikers en groepen.
- Keuze tussen agentloze toegang, ZTNA-client of gemengde werking.
- Gatewaymodel: On-premise Gateway, Sophos Cloud Gateway of Sophos Firewall als gatewayvariant.
- DNS-namen voor gateway en gepubliceerde bronnen.
- Wildcard-certificaat of bijpassend certificaatconcept.
- Interne toegankelijkheid van de applicaties vanuit het perspectief van de gateway.
- Eigenaar voor beleid, certificaten, logs en daaropvolgende wijzigingen.
Schakel Sophos Central ZTNA in
Als ZTNA nog niet actief is, kan de test worden voorbereid met een bestaand of nieuw Sophos Central-account. Het is belangrijk dat de tenant, de gebruikersbron en de daaropvolgende resources overeenkomen met de geplande test. Een ZTNA-test zonder een echte doelapplicatie zegt weinig over latency, DNS, browserervaring of beleidsontwerp.
Aan de slag gaan via de Sophos-testpagina kan handig zijn voor initiële laboratoriumomgevingen: Maak een Sophos Central-testaccount aan.

Plan certificaat en DNS
ZTNA vereist een certificaat dat overeenkomt met de geplande gateway- en brondomeinen. In veel omgevingen is een wildcardcertificaat de eenvoudigste optie omdat meerdere bronnen onder hetzelfde domein kunnen worden gepubliceerd.
Voor productieve omgevingen moet u de vervaldatum, verlenging, verantwoordelijkheid en monitoring van het certificaat verduidelijken. Let’s Encrypt kan handig zijn om te testen als er nog geen geschikt wildcard-certificaat bestaat. Het proces vindt plaats in Maak een Let’s Encrypt wildcard-certificaat.
Instelvolgorde
Voor een schone ZTNA-uitrol mag de volgorde niet willekeurig worden gekozen:
- Directoryservice toevoegen: Synchroniseer Microsoft Entra ID of een andere ondersteunde directoryservice met Sophos Central.
- Identiteitsproviders toevoegen: Stel de identiteitsproviders in die vereist zijn voor authenticatie.
- Gateway toevoegen: Plan en implementeer het juiste gatewaymodel voor elke locatie of datapad.
- Creëer bronnen: definieer applicaties met FQDN, poort, toegangstype en toegankelijkheid.
- Voeg beleid toe: wijs bewust gebruikersgroepen, voorwaarden en toegestane middelen toe.
- Client- of agentloze toegang testen: controleer bij proefgebruikers of inloggen en de applicatie werken.

1. Synchroniseer gebruikers
Voor ZTNA heeft Sophos Central gebruikers en groepen nodig die later in beleid zullen worden gebruikt. In Microsoft-omgevingen is Microsoft Entra ID het typische toegangspunt. Het is cruciaal dat alleen de benodigde groepen worden gebruikt en dat namen, UPN, e-mailadressen en groepslidmaatschappen later kunnen worden getraceerd.
De basis ligt in Voeg Sophos Central Azure AD toe.
2. Voeg identiteitsprovider toe
Na de directoryservice wordt de identiteitsprovider ingesteld. Voor Microsoft Entra ID omvatten deze doorgaans Client-ID, Tenant-ID en Clientgeheim. Deze waarden zijn veiligheidsrelevante configuratiegegevens en moeten worden behandeld als toegangsgegevens.

3. Gateway toevoegen
De ZTNA Gateway verbindt gebruikerstoegang met interne applicaties. Afhankelijk van de uitvoering staat hij als on-premise gateway in uw eigen netwerk, wordt hij bediend via Sophos Cloud Gateway of maakt hij gebruik van een ondersteunde Sophos firewall-variant.
Gatewayplanning is een aparte werkstap omdat DNS, certificaat, netwerksegment, DNAT, interne toegankelijkheid en logs op elkaar moeten passen. Het proces vindt plaats in Plan en creëer Sophos ZTNA Gateway.
4. Creëer bronnen
Hulpbronnen zijn de applicaties die via ZTNA toegankelijk moeten zijn. Om dit te doen, moet u voor elke toepassing het volgende documenteren:
- interne FQDN of intern bestemmings-IP,
- protocol en poort,
- Toegangstype, bijvoorbeeld web-app of TCP-app,
- vereiste gebruikersgroep,
- gewenste externe naam,
- Testgebruiker en acceptatiecriteria.
Een bron mag niet op grotere schaal worden gepubliceerd dan nodig is. Zeker bij admin tools, RDP, SSH of interne specialistische applicaties heb je duidelijke groepen, logging en een eigenaar nodig.
5. Voeg beleid toe
Beleid verbindt gebruikersgroepen met bronnen. In de praktijk moet je beginnen met een kleine pilotgroep en niet meteen hele afdelingen of alle medewerkers activeren.
Goede beleidsvragen:
- Welke groep heeft deze applicatie echt nodig?
- Is agentless toegang voldoende of is de ZTNA-client vereist?
- Moet de toegang worden beperkt op basis van apparaat, staat of locatie?
- Hoe gebeurt het loggen en wie controleert mislukte pogingen?
- Is er een terugvalpad als ZTNA of de identiteitsprovider wordt verstoord?
6. Toegang testen
Na de installatie moet niet alleen de login worden getest. Cruciaal is of de daadwerkelijke toepassing gerealiseerd kan worden en of het beleid precies werkt zoals gepland.
Controlepunten:
- Testgebruiker bevindt zich in de juiste groep.
- DNS verwijst naar de verwachte gateway of CNAME.
- Certificaat wordt geaccepteerd zonder browserwaarschuwing.
- Registratie bij de identiteitsprovider werkt.
- De resource wordt geopend met het geplande toegangstype.
- Ongeautoriseerde gebruikers worden duidelijk afgewezen.
- Logs in Sophos Central, Gateway en Firewall kunnen worden geëvalueerd.
Veel voorkomende fouten
- Gateway, DNS en certificaat worden pas gecontroleerd na het beleid.
- Bronnen worden te veel gepubliceerd.
- Testgebruikers hebben meer groepslidmaatschappen dan reguliere gebruikers.
- Interne DNS-resolutie werkt alleen op het LAN, maar niet vanuit het perspectief van de gateway.
- Het is de bedoeling dat ZTNA elke VPN- of beheerdersverbinding zal vervangen, hoewel in sommige speciale gevallen nog steeds VPN, Jump Host of een ander toegangsmodel vereist is.