Konfigurowanie Sophos ZTNA: przegląd i zamówienie
Sophos Zero Trust Network Access, w skrócie ZTNA, nie zastępuje po prostu VPN nowym przyciskiem. ZTNA składa się z tożsamości, bramy, zasobów, zasad, DNS, certyfikatów i ścieżki dostępu bez agenta lub klienta. Jeśli te elementy składowe zostaną ustawione w niewłaściwej kolejności, logowanie może działać, ale aplikacja nadal będzie niedostępna.
W tym artykule sklasyfikowano konfigurację i przedstawiono rozsądną kolejność. Zaplanuj i stwórz bramkę Sophos ZTNA nadaje się również do określonej części bramy.
Neutralne podstawy Zero Trust, ZTNA i różnicy wobec VPN opisuje najpierw Zero Trust prosto wyjaśniony: ZTNA zamiast klasycznego VPN.
Wymagania
Przed testem ZTNA należy wyjaśnić następujące punkty:
- Konto Centralne Sophos z odpowiednią licencją ZTNA lub środowiskiem testowym.
- Microsoft Entra ID, dawniej Azure AD, lub obsługiwany dostawca tożsamości z obsługiwanymi użytkownikami i grupami.
- Wybór między dostępem bez agenta, klientem ZTNA lub operacją mieszaną.
- Model bramy: Brama lokalna, Sophos Cloud Gateway lub Sophos Firewall jako wariant bramy.
- Nazwy DNS bramy i opublikowanych zasobów.
- Certyfikat wieloznaczny lub pasująca koncepcja certyfikatu.
- Dostępność wewnętrzna aplikacji z perspektywy bramki.
- Właściciel polityk, certyfikatów, logów i późniejszych zmian.
Włącz Sophos Central ZTNA
Jeżeli ZTNA nie jest jeszcze aktywna, test można przygotować korzystając z istniejącego lub nowego konta Sophos Central. Ważne jest, aby najemca, źródło użytkownika i kolejne zasoby odpowiadały zaplanowanemu testowi. Test ZTNA bez prawdziwej aplikacji docelowej niewiele mówi o opóźnieniach, DNS, działaniu przeglądarki czy projektowaniu zasad.
Rozpoczęcie pracy za pośrednictwem strony testowej Sophos może być przydatne w początkowych środowiskach laboratoryjnych: Utwórz konto testowe Sophos Central.

Zaplanuj certyfikat i DNS
ZTNA wymaga certyfikatu odpowiadającego planowanej bramie i domenom zasobów. W wielu środowiskach najprostszą opcją jest certyfikat wieloznaczny, ponieważ w tej samej domenie można publikować wiele zasobów.
W przypadku środowisk produkcyjnych należy wyjaśnić datę wygaśnięcia, odnowienie, odpowiedzialność i monitorowanie certyfikatu. Let’s Encrypt może być przydatny do testowania, jeśli nie istnieje jeszcze odpowiedni certyfikat wieloznaczny. Proces odbywa się w Utwórz certyfikat wieloznaczny Let’s Encrypt.
Kolejność konfiguracji
Aby zapewnić czyste wdrożenie ZTNA, kolejność nie powinna być wybierana arbitralnie:
- Dodaj usługę katalogową: Zsynchronizuj Microsoft Entra ID lub inną obsługiwaną usługę katalogową z Sophos Central.
- Dodaj dostawców tożsamości: skonfiguruj dostawców tożsamości wymaganych do uwierzytelniania.
- Dodaj bramę: Zaplanuj i wdróż odpowiedni model bramy dla każdej lokalizacji lub ścieżki danych.
- Twórz zasoby: Zdefiniuj aplikacje za pomocą nazwy FQDN, portu, typu dostępu i dostępności.
- Dodaj zasady: świadomie przypisuj grupy użytkowników, warunki i dozwolone zasoby.
- Przetestuj dostęp kliencki lub bezagentowy: Sprawdź u użytkowników pilotażowych, czy logowanie i aplikacja działają.

1. Synchronizuj użytkowników
W przypadku ZTNA Sophos Central potrzebuje użytkowników i grup, które później zostaną wykorzystane w politykach. W środowiskach Microsoft typowym punktem wejścia jest Microsoft Entra ID. Bardzo ważne jest, aby używać tylko wymaganych grup i aby można było później prześledzić nazwy, nazwy UPN, adresy e-mail i członkostwo w grupach.
Podstawą jest Dodaj Sophos Central Azure AD.
2. Dodaj dostawcę tożsamości
Po uruchomieniu usługi katalogowej konfigurowany jest dostawca tożsamości. W przypadku identyfikatora Microsoft Entra ID są to zazwyczaj Identyfikator klienta, Identyfikator najemcy i Tajny klucz klienta. Wartości te są danymi konfiguracyjnymi istotnymi dla bezpieczeństwa i należy je traktować jak dane dostępowe.

3. Dodaj bramę
Bramka ZTNA łączy dostęp użytkownika z aplikacjami wewnętrznymi. W zależności od projektu pełni funkcję bramy lokalnej w Twojej sieci, jest obsługiwany przez Sophos Cloud Gateway lub korzysta z obsługiwanego wariantu zapory sieciowej Sophos.
Planowanie bramy to oddzielny etap pracy, ponieważ DNS, certyfikat, segment sieci, DNAT, dostępność wewnętrzna i dzienniki muszą do siebie pasować. Proces odbywa się w Zaplanuj i stwórz bramkę Sophos ZTNA.
4. Utwórz zasoby
Zasoby to aplikacje, które powinny być dostępne za pośrednictwem ZTNA. Aby to zrobić, dla każdej aplikacji należy udokumentować następujące informacje:
- wewnętrzna nazwa FQDN lub wewnętrzny docelowy adres IP,
- protokół i port,
- Typ dostępu, na przykład aplikacja internetowa lub aplikacja TCP,
- wymagana grupa użytkowników,
- pożądana nazwa zewnętrzna,
- Testuj użytkownika i kryteria akceptacji.
Zasób nie powinien być publikowany szerzej niż to konieczne. Szczególnie w przypadku narzędzi administracyjnych, RDP, SSH lub wewnętrznych aplikacji specjalistycznych potrzebujesz przejrzystych grup, logowania i właściciela.
5. Dodaj zasady
Zasady łączą grupy użytkowników z zasobami. W praktyce należy zacząć od małej grupy pilotażowej, a nie od razu aktywować całe działy czy wszystkich pracowników.
Dobre pytania dotyczące zasad:
- Która grupa naprawdę potrzebuje tej aplikacji?
- Czy wystarczający jest dostęp bez agenta, czy też wymagany jest klient ZTNA?
- Czy dostęp musi być ograniczony ze względu na urządzenie, stan lub lokalizację?
- Jak odbywa się logowanie i kto sprawdza nieudane próby?
- Czy istnieje ścieżka awaryjna w przypadku zakłócenia działania ZTNA lub dostawcy tożsamości?
6. Dostęp testowy
Po konfiguracji należy przetestować nie tylko login. Kluczowe jest to, czy uda się osiągnąć rzeczywiste zastosowanie i czy polityka będzie działać dokładnie tak, jak zaplanowano.
Punkty kontrolne:
- Użytkownik testowy należy do właściwej grupy.
- DNS wskazuje oczekiwaną bramę lub rekord CNAME.
- Certyfikat zostanie zaakceptowany bez ostrzeżenia przeglądarki.
- Rejestracja u dostawcy tożsamości działa.
- Zasób zostanie otwarty z zaplanowanym typem dostępu.
- Nieautoryzowani użytkownicy są wyraźnie odrzucani.
- Można oceniać logi w Sophos Central, Gateway i Firewall.
Typowe błędy
- Brama, DNS i certyfikat są sprawdzane dopiero po spełnieniu zasad.
- Zasoby są publikowane zbyt szeroko.
- Użytkownicy testowi mają więcej członkostwa w grupach niż zwykli użytkownicy.
- Wewnętrzne rozpoznawanie DNS działa tylko w sieci LAN, ale nie z perspektywy bramy.
- Planuje się, że ZTNA zastąpi dowolne połączenie VPN lub połączenie administracyjne, chociaż w niektórych szczególnych przypadkach może nadal wymagać VPN, Jump Host lub innego modelu dostępu.