Jak skonfigurować Sophos ZTNA

W tym artykule wyjaśniamy, jak skonfigurować Sophos Zero Trust Network Access, w skrócie ZTNA. Dzięki temu otrzymasz wgląd w sposób działania tego rozwiązania.

Wymagania dla Sophos Zero Trust

Konto Sophos Central (utwórz bezpłatne 30-dniowe konto testowe Sophos Central)
Azure Active Directory z użytkownikami i grupami
Środowisko VMware ESXi, Microsoft Hyper-V albo Amazon Cloud AWS dla nowej maszyny wirtualnej
Stały adres IP dla maszyny wirtualnej
Certyfikat wildcard

Aktywacja Sophos Central ZTNA

Jeśli nie testowałeś jeszcze Zero Trust Network Access, możesz to zrobić przy użyciu nowego albo istniejącego konta Central.

Uruchomienie wersji testowej Sophos ZTNA

Certyfikat wildcard

Do ZTNA potrzebny jest certyfikat wildcard. Zalecam użycie certyfikatu ważnego dłużej niż tylko 3 miesiące, jak w przypadku certyfikatów Let’s Encrypt. Często jednak chce się najpierw przetestować rozwiązanie ZTNA w 30-dniowym okresie próbnym. Wtedy Let’s Encrypt sprawdza się bardzo dobrze, jeśli nie masz już własnego certyfikatu wildcard.

Jeśli certyfikat już istnieje, świetnie. Jeśli nie, skorzystaj z instrukcji: Tworzenie certyfikatu wildcard Let’s Encrypt

Konfiguracja ZTNA

Aby móc korzystać z ZTNA, trzeba najpierw skonfigurować pięć elementów.

Dodać usługę katalogową: synchronizacja Azure AD z Central w celu synchronizacji użytkowników i grup.
Dodać dostawcę tożsamości: skonfigurować dostawcę tożsamości potrzebnego do uwierzytelniania.
Dodać gateway: utworzyć wirtualny gateway dla każdej lokalizacji sieciowej.
Dodać politykę: zdefiniować reguły dostępu do zasobów.
Dodać zasób: wskazać zasoby oraz grupy użytkowników, które mogą uzyskiwać do nich dostęp.

1. Synchronizacja użytkowników (Set up directory sync)

Nie tylko dla ZTNA, ale ogólnie dla Central pomocne jest użycie usługi katalogowej, która synchronizuje użytkowników i grupy z Central. W przypadku ZTNA potrzebny jest jednak Azure AD albo Okta; zwykła synchronizacja z Windows Active Directory tutaj nie wystarczy.

W tej instrukcji wyjaśniamy, jak spełnić ten warunek: Dodawanie Azure AD do Sophos Central

2. Dodanie dostawcy tożsamości (Add identity provider)

Po skonfigurowaniu Azure AD możesz wprowadzić tutaj odpowiednie dane: Client ID, Tenant ID i Client secret.

3. Dodanie gatewaya / connectora (Set up gateways)

Sophos Zero Trust Network Access Gateway jest elementem architektury ZTNA. Za pomocą tego gatewaya można bezpiecznie i kontrolowanie udostępniać użytkownikom oraz urządzeniom dostęp do aplikacji i zasobów.

W artykule Tworzenie ZTNA Gateway Connector wyjaśniamy, jak utworzyć ZTNA On-Premise Gateway albo ZTNA Cloud Gateway.

4. Dodanie polityki (Add policy)

Instrukcja jest w przygotowaniu. Napisz do nas przez formularz kontaktowy, jeśli mamy nadać temu wyższy priorytet.

5. Dodanie zasobu (Add resources)

Instrukcja jest w przygotowaniu. Napisz do nas przez formularz kontaktowy, jeśli mamy nadać temu wyższy priorytet.

6. Instalacja klienta ZTNA na endpointach

Instrukcja jest w przygotowaniu. Napisz do nas przez formularz kontaktowy, jeśli mamy nadać temu wyższy priorytet.