Saltar para o conteudo
Avanet

Criar Sophos ZTNA Gateway

Sophos Zero Trust Network Access

Neste guia explicamos como operar o ZTNA Gateway num hypervisor.

Os diferentes modos de deployment do Sophos ZTNA

A Sophos oferece dois modos de deployment para Zero Trust Network Access (ZTNA): o On-premise Gateway e o Sophos Cloud Gateway. Ambos têm vantagens e desvantagens próprias e podem ser escolhidos conforme os requisitos da empresa.

On-Premise Gateway

Ao usar um On-Premise Gateway, os gateways são instalados no próprio datacenter ou num hypervisor disponibilizado pela empresa. Isto significa que é a empresa que gere os gateways ligados à Internet pública. Por isso, é necessário abrir portas na firewall e criar regras NAT para gerir a rede. Este modo oferece controlo direto sobre a infraestrutura, mas também exige mais administração. A ligação de dados é, contudo, mais direta, mais rápida e sem limitações.

Sophos Cloud Gateway

Em contraste, o Sophos Cloud Gateway permite acesso a recursos internos através de um data plane cloud protegido pela Sophos. Este modo isola os deployments de rede da exposição direta à Internet e reduz a superfície de ataque. Uma vantagem importante é a possibilidade de ligar utilizadores a aplicações sem abrir portas na firewall nem criar regras NAT. A gestão dos data planes dentro da Sophos Cloud é responsabilidade da Sophos, ficando a infraestrutura da empresa escondida da Internet. Também é possível escolher o ponto de acesso mais próximo para minimizar latência, e a disponibilidade é garantida a 99,999 %.

Limitação: para o Cloud Gateway existe um limite de tráfego de 15 GB por utilizador e por mês. Com 10 utilizadores, isto soma 150 GB para todos. Para empresas que pretendem usar ZTNA para unidades de rede, isto pode tornar-se rapidamente apertado.

Os dois modos são intercambiáveis e as empresas podem mudar facilmente de um modo de gateway para outro, conforme o que melhor corresponde aos requisitos atuais. Isto oferece uma solução flexível que acompanha as necessidades em mudança de uma empresa.

Requisitos

Para configurar o ZTNA Gateway, precisa do seguinte:

  • Hypervisor, cloud ou Sophos Firewall
  • Acesso a DNS público
  • Certificado wildcard
  • Endereço IP fixo
  • Acesso à firewall para criar uma regra DNAT

Suporte de plataforma

São suportadas as seguintes plataformas:

  • VMware ESXi
  • Microsoft Hyper-V 2016 ou superior
  • Amazon Cloud AWS
  • Sophos Firewall (ZTNA Cloud Gateway)

Recomendamos atribuir à VM 2 cores e 4 GB RAM. Isto é suficiente para 10'000 clientes. Se isto não bastar para uma empresa, também é possível agrupar vários gateways e aumentar para 90'000 clientes com um cluster de 9 gateways.

Subnet para Gateway

O ZTNA Gateway deve operar numa subnet própria e não na rede de clientes ou servidores.

Não use nenhuma destas redes para o gateway:

  • 10.42.0.0/16
  • 10.43.0.0/16
  • 10.108.0.0/16

Um nome DNS, por exemplo ztna.domain.com, aponta para o endereço IP público que, através de encaminhamento de portas (porta 443), encaminha para o ZTNA Gateway.

O ZTNA Gateway precisa, por um lado, de acesso à Internet e, por outro, de acesso aos VLANs das aplicações disponibilizadas, com as respetivas portas.

Descarregar ZTNA Gateway

No Sophos Central, no menu principal em Protect Devices, podem ser descarregados os ficheiros para a máquina virtual.

Descarregar Sophos ZTNA Gateway
Descarregar Sophos ZTNA Gateway

Disponibilizar a VM em Hyper-V ou ESXi

Crie uma nova máquina virtual com as seguintes definições:

  • Generation 1 (para Hyper-V)
  • Virtual processors: 2
  • RAM: 4 GB
  • Network: preferencialmente VLAN própria
  • Disco para Hyper-V: ficheiros .vhdx descarregados anteriormente
  • ESXi: usar ficheiro OVA

Antes de iniciar a VM, ainda tem de criar a ISO com as definições.

Definições do Gateway

A VM foi criada, mas ainda não tem definições nem ligação ao Central Account. Estes dados são guardados ao adicionar um gateway e configurar as definições.

  • Mode: On-premise Gateway ou Cloud Gateway. Neste caso uso On-premise Gateway. O ZTNA Cloud Gateway destina-se ao ZTNA as a Service da Sophos. Aqui não se usa uma regra DNAT para encaminhar o tráfego para o gateway. Em vez disso, o Cloud Gateway regista-se no Central.
  • Name: um nome simples, por exemplo com a localização ou hostname do gateway.
  • Location: se tiver vários locais, pode guardar isto opcionalmente.
  • FQDN: nome DNS que aponta para o IP público da firewall, que por sua vez disponibiliza uma regra DNAT (HTTPS / 443) para o ZTNA Gateway.
  • Domain: resulta do nome de domínio usado.
  • Platform type: escolha entre VMware ESXi, Hyper-V e Amazon Web Services (AWS).
  • Identity provider: escolha o provider previamente adicionado; no meu caso Azure AD.
  • Gateway Instance Deployment mode: One-arm é usado quando se cria posteriormente uma regra DNAT. Two-arm é usado quando o ZTNA Gateway deve ter uma interface tanto na LAN como na WAN.
  • Endereço IP: deve ser autoexplicativo. Aqui uso DHCP e reservo no servidor DHCP um IP para o ZTNA Gateway.
  • Certificado: certificado wildcard do domínio indicado acima.

Depois de guardar, é criada uma ISO image com as informações configuradas, que pode ser descarregada como se vê nas capturas de ecrã. Esta ISO image é então usada como boot ISO para a VM.

Consoante a performance do host, o primeiro arranque e o registo no Central podem demorar até 30 minutos. Assim que o gateway se apresentar no Central, pode aceitá-lo. Este passo fica concluído.

Configuração do Sophos ZTNA Gateway
Configuração do Sophos ZTNA Gateway
Definições do Sophos ZTNA Gateway
Definições do Sophos ZTNA Gateway
Definições de implementação do Sophos ZTNA Gateway
Definições de implementação do Sophos ZTNA Gateway
Definições ISO do Sophos ZTNA Gateway
Definições ISO do Sophos ZTNA Gateway

Mais informações na Sophos KB: Set up a gateway