Przejdz do tresci
Avanet

Zaplanuj i stwórz bramkę Sophos ZTNA

Bramka Sophos ZTNA łączy użytkowników z aplikacjami wewnętrznymi bez konieczności korzystania z klasycznego, pełnego tunelu dostępu VPN. Jednak faktyczna korzyść pojawi się dopiero wtedy, gdy odpowiednio zaplanujemy tryb bramy, DNS, certyfikat, reguły zapory sieciowej i dostępność wewnętrzną.

W tym przewodniku opisano, jak zaplanować i utworzyć bramkę ZTNA w Sophos Central. Nacisk położony jest na część dotyczącą bramy. W przypadku podstawowej decyzji pomiędzy VPN, ZTNA i innymi wariantami dostępu zdalnego pasuje również Sophos Connect i SSL VPN: rozwiązanie docelowe dostępu jest właściwe?.

Neutralne podstawy Zero Trust, ZTNA i różnicy wobec VPN opisuje najpierw Zero Trust prosto wyjaśniony: ZTNA zamiast klasycznego VPN.

Poznaj tryby bramy

Sophos ZTNA można obsługiwać za pomocą bramy lokalnej lub bramy Sophos Cloud. Obydwa warianty zapewniają dostęp do zasobów wewnętrznych, ale różnią się znacznie pod względem ekspozycji w Internecie, DNS, operacji i rozwiązywania problemów.

  • Brama lokalna: Gateway VM znajduje się we własnym centrum danych lub w Twojej sieci, własna maszyna wirtualna, własny publiczny DNS, DNAT na porcie 443, bardziej bezpośrednia kontrola.
  • Brama chmurowa Sophos: Użytkownicy łączą się za pośrednictwem punktów obecności Sophos Cloud. mniej bezpośredniego kontaktu z Internetem, różne CNAME DNS, wybór punktu obecności.
  • Sophos Firewall jako brama w chmurze: Sophos Firewall pełni rolę bramy dla ZTNA Cloud Gateway. brak oddzielnej maszyny wirtualnej bramy, ale zależność od SFOS, działania centralnego i zapory.

Tryb to nie tylko techniczne pole wyboru. Określa, dokąd wchodzi ruch, kto obsługuje ścieżkę danych, jakie wpisy DNS są niezbędne i czy na zaporze wymagana jest reguła DNAT.

Brama lokalna

W przypadku bramy lokalnej maszyna wirtualna bramy jest wdrażana na platformie VMware ESXi lub Microsoft Hyper-V. Do bramy można dotrzeć przez Internet i akceptuje ona dostęp ZTNA. W praktyce publiczna nazwa DNS wskazuje na zaporę sieciową, a reguła DNAT przekazuje protokół HTTPS do bramy.

Zalety:

  • bezpośrednia ścieżka danych do własnej lokalizacji,
  • pełna kontrola nad regułami bramy, segmentu, DNS i firewalla,
  • brak zależności od płaszczyzny danych Sophos Cloud dla rzeczywistego punktu wejścia.

Wady:

  • Gateway VM musi być obsługiwana i aktualizowana,
  • Port 443 musi być dostępny z zewnątrz,
  • Certyfikat, DNS, DNAT i routing wewnętrzny muszą być prawidłowe,
  • Dostępność zależy od Twojej lokalizacji, połączenia internetowego i hypervisora.

Publikując bramę lokalną za pośrednictwem DNAT, regułę należy zaplanować równie dokładnie, jak inne publikacje. Podstawy znajdziesz w Publikuj serwery z DNAT w Sophos Firewall.

Brama chmurowa Sophos

Dzięki bramce Sophos Cloud Gateway dostęp jest zarządzany poprzez punkty obecności Sophos Cloud. Komponent bramy wewnętrznej łączy Sophos Cloud z zasobami wewnętrznymi. Eliminuje to potrzebę bezpośredniego dostępu użytkowników do własnego adresu IP bramy publicznej.

Ogranicza to bezpośredni kontakt z Internetem, ale przenosi część ścieżki danych do chmury Sophos. Dlatego ważne są:

  • odpowiedni punkt obecności w pobliżu centrum danych,
  • popraw publiczne rekordy CNAME,
  • działające wewnętrzne rozpoznawanie DNS,
  • jasne oczekiwania dotyczące opóźnień, dostępności i profili ruchu,
  • Sprawdzanie limitów licencji, produktów i ruchu dla konkretnego środowiska.

W przypadku aplikacji wymagających dużej ilości danych, takich jak przechowywanie dużych plików, plików CAD lub masowe pobieranie, nie należy testować ZTNA Cloud Gateway tylko na podstawie rejestracji. Liczy się to, jak rzeczywiste wykorzystanie, opóźnienia i ilość danych zachowują się w życiu codziennym.

Zapora sieciowa Sophos jako brama chmurowa ZTNA

Bramkę Sophos Cloud Gateway można także skonfigurować na centralnie zarządzanych urządzeniach firewall Sophos. Jest to interesujące, jeśli w lokalizacji znajduje się już zapora sieciowa Sophos i nie ma być obsługiwana oddzielna maszyna wirtualna-brama.

Jednakże tego wariantu nie należy aktywować jako funkcji dodatkowej. Należy sprawdzić:

  • Obsługiwana wersja SFOS i status centralnego zarządzania.
  • Licencjonowanie ZTNA i mapowanie użytkowników.
  • Dostępność zasobów wewnętrznych z perspektywy firewalla.
  • Wpływ na okna konserwacji, aktualizacje oprogramowania sprzętowego i działanie zapory ogniowej.
  • Logowanie i odpowiedzialność za zakłócenia. Jeśli zapora sieciowa i tak jest centralnym węzłem zdalnego dostępu, ten wariant może być elegancki. Z drugiej strony, jeśli chcesz, aby ZTNA działała niezależnie od konserwacji firewalla, dedykowana maszyna wirtualna bramy lub inny projekt jest czasami czystszy.

Wymagania

Przed wdrożeniem należy wyjaśnić następujące kwestie:

  • Centralny Najemca Sophos z licencją ZTNA.
  • Zsynchronizowani użytkownicy i grupy.
  • Dostawca tożsamości, na przykład Microsoft Entra ID.
  • Zdecyduj się na bramkę lokalną lub bramę Sophos Cloud.
  • Hypervisor lub obsługiwana zapora sieciowa Sophos, w zależności od trybu.
  • Publiczny DNS dla bramy i zasobów.
  • Certyfikat wieloznaczny lub odpowiednia koncepcja certyfikatu.
  • Wewnętrzne rozpoznawanie DNS aplikacji docelowych.
  • Segment sieciowy dla bramy.
  • Reguły zapory ogniowej od bramy do aplikacji.
  • Właściciel operacji, dzienników, certyfikatów i późniejszych zmian.

W przypadku certyfikatów certyfikat wieloznaczny jest często najbardziej praktyczną opcją. Uzyskanie certyfikatu typu wildcard opisano w Let’s Encrypt tworzy certyfikat wieloznaczny. Jeśli certyfikaty zarządzane są bezpośrednio na zaporze Sophos, Zarządzaj certyfikatami Let’s Encrypt w zaporze Sophos również pasuje.

Platforma i rozmiar

W przypadku maszyn wirtualnych bramy typowymi platformami są VMware ESXi i Microsoft Hyper-V. W zależności od trybu i statusu Sophos istotne mogą być inne opcje. Ważne jest, aby platforma była oficjalnie wspierana, aktualna i odpowiednio monitorowana.

W przypadku małych i średnich konfiguracji realistycznym punktem wyjścia jest maszyna wirtualna bramy z 2 procesorami wirtualnymi i 4 GB pamięci RAM. Ale to nie zastępuje planowania operacyjnego. Decydującymi czynnikami są liczba użytkowników, zasoby, profil ruchu, TLS, opóźnienie i dostępność.

W przypadku środowisk produktywnych należy również zaplanować:

  • Czy istnieje klaster bram?
  • Czy brama działa we własnej sieci VLAN?
  • W jaki sposób tworzona jest kopia zapasowa lub przywracana maszyna wirtualna?
  • Czy istnieje monitorowanie hypervisora?
  • Kto aktualizuje bramkę?
  • Czy istnieje okno konserwacji dla ponownego uruchomienia?

Sieć i podsieć

Bramka ZTNA powinna pracować we własnej podsieci lub VLAN. Nie należy go po prostu umieszczać w sieci klienta lub serwera. Oddzielny segment ułatwia reguły zapory sieciowej, rejestrowanie, przechwytywanie pakietów i późniejsze rozwiązywanie problemów.

Sieci te nie powinny być używane w bramie:

  • 10.42.0.0/16
  • 10.43.0.0/16
  • 10.108.0.0/16

W przypadku bramy lokalnej publiczna nazwa DNS, na przykład ztna.example.com, wskazuje publiczny adres IP zapory. Zapora przekazuje port 443 do bramy poprzez DNAT. Brama wymaga wówczas dostępu do Internetu oraz dostępu do sieci VLAN lub sieci serwerów, w których znajdują się opublikowane aplikacje.

Wpisy DNS są inne w przypadku bramy Sophos Cloud Gateway. Tam rekordy CNAME stają się istotne dla sprawdzania poprawności domeny, aliasów bram i, w zależności od typu dostępu, aliasów zasobów. Dlatego publiczne wpisy DNS należy sprawdzić w ramach osobnego kroku przed wdrożeniem.

Zdecyduj przed wdrożeniem

Przed kliknięciem Add gateway należy odpowiedzieć na następujące pytania:

  • Jakie aplikacje są publikowane?: Aplikacja internetowa, aplikacja TCP i miejsce do przechowywania plików mają różne wymagania.
  • Dostęp bezagentowy czy oparty na agencie?: DNS, CNAME i doświadczenie użytkownika różnią się.
  • Brama lokalna czy chmurowa?: Decyduje o DNAT, ścieżce danych i odpowiedzialności operacyjnej.
  • Które grupy użytkowników mają dostęp?: ZTNA rozwija się dzięki bliskim stowarzyszeniom, a nie szerokim grupom.
  • W jaki sposób DNS jest rozwiązywany wewnętrznie i zewnętrznie?: Nieprawidłowe miejsca docelowe DNS są jednym z najczęstszych źródeł błędów.
  • Który certyfikat jest używany?: Błędy certyfikatów działają dla użytkowników jak awaria ZTNA.
  • Kto przegląda logi i zmiany?: Bez właściciela ZTNA szybko staje się trudna do utrzymania.

Pobierz bramkę ZTNA

W Sophos Central pliki dla maszyny wirtualnej można pobrać w sekcji Chroń urządzenia w menu głównym.

Pobierz bramkę Sophos ZTNA
Pobierz Sophos Central - ZTNA Gateway VM

Wdróż maszynę wirtualną na platformie Hyper-V lub ESXi

W przypadku bramy lokalnej lub maszyny wirtualnej bramy najpierw tworzona jest maszyna wirtualna.

Typowe ustawienia:

  • Generacja 1 dla Hyper-V.
  • 2 procesory wirtualne jako wartość wyjściowa.
  • 4 GB RAM jako wartość wyjściowa.
  • Sieć w swoim własnym segmencie VLAN lub bramy.
  • Hyper-V: użyj pobranych plików .vhdx.
  • ESXi: użyj pliku OVA.

Nie należy uruchamiać maszyny wirtualnej, dopóki nie zostanie utworzony obraz ISO z ustawieniami bramy. Ten obraz ISO później łączy maszynę wirtualną z centralnym najemcą Sophos i ustawieniami bramy.

Ustawienia bramy w Sophos Central

Następnie bramka jest dodawana i konfigurowana w Sophos Central.

Ważne pola:

  • Moda: Wybierz świadomie bramę lokalną lub bramę chmurową Sophos.
  • Imię: Użyj lokalizacji, celu lub nazwy hosta.
  • Lokalizacja: Opcjonalne, ale pomocne w przypadku wielu bram.
  • nazwa główna: W przypadku bramy lokalnej: publiczna nazwa DNS wskazująca adres IP zapory lub bramy.
  • Domena: Domena zgodna z certyfikatem i zasobami.
  • Typ platformy: VMware ESXi, Hyper-V, AWS lub obsługiwany wariant zapory Sophos w zależności od trybu.
  • Dostawca tożsamości: Wybierz wcześniej skonfigurowanego dostawcę tożsamości.
  • Tryb wdrażania instancji bramy: Jednoramienny do prostych scenariuszy DNAT, dwuramienny do oddzielnej konstrukcji WAN/LAN.
  • Adres IP: Preferuj statyczny lub zarezerwowany adres IP dla bram produkcyjnych.
  • Certyfikat: Użyj symbolu wieloznacznego lub odpowiedniego certyfikatu bramy.

Jednoramienny jest często prostszy, ponieważ jeden interfejs jest używany dla ruchu przychodzącego i wychodzącego. Dwuramienny oddziela strony WAN i LAN, ale wymaga dwóch interfejsów i bardziej przejrzystego projektu sieci.

Po zapisaniu Sophos Central tworzy obraz ISO z informacjami o bramce. To ISO jest przypisane do maszyny wirtualnej jako ISO rozruchowe.

W zależności od wydajności hosta i środowiska, początkowe uruchomienie i rejestracja w Sophos Central może zająć trochę czasu. Gdy tylko bramka odpowie, można ją zaakceptować w Centrali.

Konfiguracja bramy Sophos ZTNA
Dodaj bramkę Sophos Central - ZTNA
Ustawienia bramy Sophos ZTNA
Sophos Central – Wprowadź podstawowe dane bramy
Ustawienia wdrożenia bramy Sophos ZTNA
Wybierz Sophos Central – Tryb wdrażania bramy
Ustawienia ISO bramy Sophos ZTNA
Pobierz Sophos Central - Gateway ISO z ustawieniami

Sprawdź po uruchomieniu

Po rejestracji bramka nie jest automatycznie gotowa do produkcji. Tylko te testy pokazują, czy projekt działa:

  • Stan bramy: Gateway jest dostępny online w Sophos Central i pokazuje wiarygodną wersję.
  • Publiczny DNS: FQDN lub CNAME bramy wskazują oczekiwane miejsce docelowe.
  • Certyfikat: Przeglądarka i klient ZTNA ufają certyfikatowi.
  • Wewnętrzne rozpoznawanie DNS: Brama może poprawnie rozpoznać zasoby wewnętrzne.
  • Reguły zapory: Gateway dociera tylko do tych aplikacji i portów, których potrzebuje.
  • DNAT lokalnie: Port 443 spełnia oczekiwaną regułę NAT i zapory sieciowej.
  • Użytkownik testowy: Grupa pilotażowa może osiągnąć dokładnie zaplanowane zasoby.
  • Dzienniki: Dzienniki bramy, systemu centralnego i zapory sieciowej pokazują możliwe do prześledzenia zdarzenia.

Jeśli ZTNA zostanie wprowadzona jako alternatywa dla VPN, pilotażu nie należy testować tylko na przykładowej stronie internetowej. Lepsze są rzeczywiste aplikacje docelowe: wewnętrzny portal WWW, skok RDP/SSH, aplikacja specjalistyczna lub dostęp do plików, w zależności od planowanego zastosowania.

Typowe błędy

  • Publiczny DNS pokazuje fałsz: Użytkownicy nie mogą uzyskać dostępu do bramy. A/CNAME, TTL, sprawdź rozdzielczość zewnętrzną.
  • Brak wewnętrznego rozpoznawania DNS: Logowanie działa, zasób nie otwiera się. Sprawdź prywatny DNS, nazwę FQDN zasobu lub docelowy adres IP.
  • Certyfikat nie pasuje: Ostrzeżenie przeglądarki lub klienta. Sprawdź symbol wieloznaczny, SAN, łańcuch i domenę.
  • W bramie lokalnej brakuje DNAT: Brama pozostaje niedostępna z zewnątrz. Sprawdź regułę NAT, port 443, adres IP WAN i przeglądarkę dzienników.
  • Brama nie może dotrzeć do aplikacji: Zasób pozostaje w trybie offline lub przekroczono limit czasu. Sprawdź reguły zapory ogniowej od segmentu bramy do miejsca docelowego.
  • Zmiany adresu DHCP: ZTNA kończy się niepowodzeniem po ponownym uruchomieniu. Użyj zarezerwowanego lub statycznego adresu IP.
  • Grupa użytkowników zbyt szeroka: Widocznych jest zbyt wiele zasobów. Ściślej przydzielaj grupy, zasady i zasoby.
  • Cloud Gateway z nieprawidłowym PoP: zauważalne opóźnienie. Wybierz punkt obecności blisko centrum danych. Aby uzyskać pomoc w analizie reguł i NAT w zaporze Sophos Firewall, Przetestuj klucz zapory ogniowej za pomocą konfiguracji dzienników, testu zasad i przechwytywania pakietów i Zrozumienie NAT w zaporze Sophos.

Operacyjna lista kontrolna

  • Udokumentowany tryb bramy.
  • Przetestowano publiczny DNS i prywatny DNS.
  • Certyfikat ważny i odnawialny.
  • Brama działająca we własnym segmencie.
  • DNAT skonfigurowany tylko dla bramy lokalnej.
  • Reguły bramy dotyczące zasobów wewnętrznych są ściśle ograniczone.
  • Zdefiniowano użytkowników pilotażowych i zasoby pilotażowe.
  • Wyjaśniono logi, właściciela i proces wsparcia.
  • Zaplanowano okresy aktualizacji i konserwacji bramy.
  • Plan demontażu jest gotowy, jeśli Pilot nie działa.

Często zadawane pytania

Czy zawsze potrzebujesz maszyny wirtualnej bramy dla Sophos ZTNA?

Nie zawsze. Bramy lokalne i bramy Sophos Cloud Gateways mogą działać jako maszyny wirtualne na platformie ESXi lub Hyper-V. Sophos Cloud Gateway można także wdrożyć na centralnie zarządzanych urządzeniach typu firewall Sophos.

Czy port 443 zawsze musi być publikowany przez DNAT?

Nie. Jest to szczególnie istotne w przypadku bram lokalnych, gdy użytkownicy uzyskują bezpośredni dostęp do własnej bramy. W przypadku Sophos Cloud Gateway wpis publiczny ma inną strukturę i współpracuje z Sophos Cloud i CNAME.

Czy Sophos ZTNA zastępuje dowolną sieć VPN?

Nie automatycznie. ZTNA doskonale nadaje się do zdefiniowanych aplikacji i dostępu opartego na zasobach. Klasyczny dostęp VPN może nadal mieć sens w przypadku niektórych administratorów, sieci lub specjalnych protokołów. Decyzja zależy od przypadku użycia.

Dlaczego DNS jest tak ważny w ZTNA?

ZTNA kontroluje dostęp poprzez bramę, zasoby i czasami aliasy. Gdy publiczne lub prywatne rekordy DNS wskazują niepoprawnie, problem często wygląda na błąd bramy, certyfikatu lub zasad.