Przejdz do tresci
Avanet

Tworzenie Sophos ZTNA Gateway

Sophos Zero Trust Network Access

W tej instrukcji wyjaśniamy, jak uruchomić ZTNA Gateway na hypervisorze.

Różne tryby wdrożenia Sophos ZTNA

Sophos oferuje dwa różne tryby wdrożenia Zero Trust Network Access (ZTNA): On-premise Gateway oraz Sophos Cloud Gateway. Oba tryby mają własne zalety i ograniczenia, a wybór zależy od wymagań firmy.

On-Premise Gateway

Przy użyciu On-Premise Gateway bramy są instalowane we własnym centrum danych albo na udostępnionym hypervisorze w firmie. Oznacza to, że samodzielnie zarządzasz bramami połączonymi z publicznym Internetem. Konieczne jest więc otwarcie portów na zaporze i utworzenie reguł NAT. Ten tryb daje bezpośrednią kontrolę nad infrastrukturą, ale wymaga większego nakładu administracyjnego. Połączenie danych jest jednak bardziej bezpośrednie, szybsze i bez dodatkowych ograniczeń.

Sophos Cloud Gateway

Sophos Cloud Gateway umożliwia dostęp do zasobów wewnętrznych przez chronioną przez Sophos chmurę data plane. Ten tryb izoluje wdrożenia sieciowe od bezpośredniej ekspozycji na Internet i zmniejsza powierzchnię ataku. Istotną zaletą tej metody jest możliwość prostego łączenia użytkowników z aplikacjami bez otwierania portów na zaporze i tworzenia reguł NAT. Zarządzanie data plane w Sophos Cloud należy do Sophos, dzięki czemu infrastruktura firmy pozostaje ukryta przed Internetem. Można też wybrać najbliższy punkt dostępu, aby zminimalizować opóźnienia, a dostępność jest gwarantowana na poziomie 99,999%.

Ograniczenie: Cloud Gateway ma limit ruchu 15 GB na użytkownika miesięcznie. Przy 10 użytkownikach daje to 150 GB dla wszystkich użytkowników. Dla firm, które chcą używać ZTNA do dysków sieciowych, taki limit może szybko okazać się zbyt mały.

Oba tryby można zamieniać, a firmy mogą łatwo przechodzić z jednego trybu Gateway na drugi, zależnie od aktualnych wymagań. Daje to elastyczne rozwiązanie, które można dopasować do zmieniających się potrzeb przedsiębiorstwa.

Wymagania

Do skonfigurowania ZTNA Gateway potrzebne są:

  • Hypervisor, chmura albo Sophos Firewall
  • Dostęp do publicznego DNS
  • Certyfikat wildcard
  • Stały adres IP
  • Dostęp do zapory w celu utworzenia reguły DNAT

Obsługiwane platformy

Obsługiwane są następujące platformy:

  • VMware ESXi
  • Microsoft Hyper-V 2016 lub nowszy
  • Amazon Cloud AWS
  • Sophos Firewall (ZTNA Cloud Gateway)

Zalecamy przydzielenie VM 2 rdzeni i 4 GB RAM. To wystarcza dla 10'000 klientów. Jeżeli to nie wystarcza, można zgrupować kilka Gateway i zwiększyć liczbę klientów do 90'000 przy klastrze z 9 bram.

Podsieć dla Gateway

ZTNA Gateway powinien działać we własnej podsieci i nie powinien być używany w sieci klientów ani serwerów.

Nie używaj dla Gateway żadnej z tych sieci:

  • 10.42.0.0/16
  • 10.43.0.0/16
  • 10.108.0.0/16

Nazwa DNS, na przykład ztna.domain.com, wskazuje na publiczny adres IP, który przez port forwarding (port 443) przekierowuje ruch do ZTNA Gateway.

ZTNA Gateway potrzebuje z jednej strony dostępu do Internetu, a z drugiej dostępu do odpowiednich VLAN-ów aplikacji udostępnianych na właściwych portach.

Pobierz ZTNA Gateway

W Sophos Central w głównym menu pod Protect Devices można pobrać pliki dla maszyny wirtualnej.

Pobieranie Sophos ZTNA Gateway
Pobieranie Sophos ZTNA Gateway

Udostępnienie VM na Hyper-V lub ESXi

Utwórz nową maszynę wirtualną z następującymi ustawieniami:

  • Generation 1 (dla Hyper-V)
  • Wirtualne procesory: 2
  • RAM: 4 GB
  • Sieć: najlepiej własny VLAN
  • Dysk twardy dla Hyper-V: wcześniej pobrane pliki .vhdx
  • ESXi: użyj pliku OVA

Przed uruchomieniem VM trzeba jeszcze utworzyć ISO z ustawieniami.

Ustawienia Gateway

VM została już utworzona, ale nie ma jeszcze żadnych ustawień ani powiązania z kontem Central. Te informacje zapisuje się przez dodanie Gateway i wprowadzenie ustawień.

  • Mode: On-premise Gateway albo Cloud Gateway. W tym przykładzie używam On-premise Gateway. ZTNA Cloud Gateway jest przeznaczony dla ZTNA as a Service od Sophos. Nie używa się tu reguły DNAT do kierowania ruchu na Gateway. Zamiast tego Cloud Gateway rejestruje się w Central.
  • Name: Dowolna nazwa, na przykład lokalizacja albo nazwa hosta Gateway.
  • Location: Jeżeli masz kilka lokalizacji, możesz opcjonalnie podać tę informację.
  • FQDN: Nazwa DNS wskazująca na publiczny adres IP zapory, która z kolei udostępnia regułę DNAT (HTTPS / 443) do ZTNA Gateway.
  • Domain: Wynika z używanej nazwy domeny.
  • Platform type: Tutaj wybiera się między VMware ESXi, Hyper-V i Amazon Web Services (AWS).
  • Identity provider: Wybiera się wcześniej dodanego providera, w moim przypadku Azure AD.
  • Gateway Instance Deployment mode: One-arm stosuje się, gdy później tworzona jest reguła DNAT. Two-arm stosuje się, gdy ZTNA Gateway ma mieć interfejs zarówno w LAN, jak i WAN.
  • IP address: To powinno być oczywiste. W tym przykładzie używam DHCP i rezerwuję adres IP dla ZTNA Gateway na serwerze DHCP.
  • Certificate: Certyfikat wildcard dla podanej wyżej domeny.

Po zapisaniu tworzony jest obraz ISO z wprowadzonymi informacjami, który można pobrać tak, jak widać na zrzutach ekranu. Tego obrazu ISO używa się następnie jako boot ISO dla VM.

Zależnie od wydajności hosta pierwszy start i rejestracja w Central mogą potrwać do 30 minut. Gdy Gateway zgłosi się w Central, można go zaakceptować. Tym samym ten krok jest zakończony.

Konfiguracja Sophos ZTNA Gateway
Konfiguracja Sophos ZTNA Gateway
Ustawienia Sophos ZTNA Gateway
Ustawienia Sophos ZTNA Gateway
Ustawienia wdrożenia Sophos ZTNA Gateway
Ustawienia wdrożenia Sophos ZTNA Gateway
Ustawienia ISO Sophos ZTNA Gateway
Ustawienia ISO Sophos ZTNA Gateway

Więcej informacji w Sophos KB: Set up a gateway