Hoppa till innehållet
Avanet

Skapa Sophos ZTNA Gateway

Sophos Zero Trust Network Access

Den här guiden förklarar hur du kan köra ZTNA Gateway på en hypervisor.

De olika deployment-lägena i Sophos ZTNA

Sophos erbjuder två olika deployment-lägen för Zero Trust Network Access (ZTNA): On-premise Gateway och Sophos Cloud Gateway. Båda lägena har egna fördelar och nackdelar och kan väljas beroende på företagets krav.

On-Premise Gateway

När en On-Premise Gateway används installeras gatewayen i det egna datacentret eller på en hypervisor som företaget tillhandahåller. Det betyder att man själv behöver administrera de gateways som är anslutna till internet. Därför behöver firewall-portar öppnas och NAT-regler skapas för att hantera nätverket. Läget ger direkt kontroll över infrastrukturen, men kräver också mer administration. Dataanslutningen är däremot mer direkt, snabbare och utan begränsningar.

Sophos Cloud Gateway

Sophos Cloud Gateway gör det i stället möjligt att nå interna resurser via ett dataplan i molnet som skyddas av Sophos. Detta läge isolerar nätverksinstallationen från direkt exponering mot internet och minskar attackytan. En stor fördel är att användare enkelt kan anslutas till applikationer utan att firewall-portar behöver öppnas eller NAT-regler skapas. Sophos ansvarar för hanteringen av dataplanen i Sophos Cloud, vilket döljer företagets infrastruktur från internet. Dessutom kan närmaste åtkomstpunkt väljas för att minimera latens, och tillgängligheten garanteras till 99,999 %.

Begränsning: För Cloud Gateway finns en trafikgräns på 15 GB per användare och månad. Med 10 användare blir det 150 GB för alla användare. För företag som vill använda ZTNA för nätverksenheter kan det snabbt bli för lite.

De två lägena är utbytbara och företag kan enkelt växla från ett gateway-läge till ett annat beroende på aktuella krav. Det ger en flexibel lösning som kan anpassas när företagets behov förändras.

Förutsättningar

För att konfigurera ZTNA Gateway behövs följande:

  • Hypervisor, moln eller Sophos Firewall
  • Åtkomst till publik DNS
  • Wildcard-certifikat
  • Fast IP-adress
  • Åtkomst till firewallen för att skapa en DNAT-regel

Plattformssupport

Följande plattformar stöds:

  • VMware ESXi
  • Microsoft Hyper-V 2016 eller senare
  • Amazon Cloud AWS
  • Sophos Firewall (ZTNA Cloud Gateway)

Vi rekommenderar att tilldela VM:en 2 kärnor och 4 GB RAM. Det räcker för 10 000 klienter. Om det inte räcker för ett företag går det också att klustra flera gateways och öka antalet med ett kluster av 9 gateways till 90 000 klienter.

Subnät för gateway

ZTNA Gateway bör köras i ett eget subnät och inte användas i klient- eller servernätet.

Använd inte något av följande nätverk för gatewayen:

  • 10.42.0.0/16
  • 10.43.0.0/16
  • 10.108.0.0/16

Ett DNS-namn, till exempel ztna.domain.com, pekar på den publika IP-adressen som via port forwarding (port 443) vidarebefordrar till ZTNA Gateway.

ZTNA Gateway behöver dels åtkomst till internet, dels åtkomst till de VLAN där applikationerna som publiceras finns, med respektive portar.

Ladda ner ZTNA Gateway

I Sophos Central kan filerna för den virtuella maskinen laddas ner i huvudmenyn under Protect Devices.

Ladda ner Sophos ZTNA Gateway från Sophos Central

Distribuera VM på Hyper-V eller ESXi

Skapa en ny virtuell maskin med följande inställningar:

  • Generation 1 (för Hyper-V)
  • Virtuella processorer: 2
  • RAM: 4 GB
  • Nätverk: helst ett eget VLAN
  • Disk för Hyper-V: tidigare nedladdade .vhdx-filer
  • ESXi: använd OVA-filen

Innan VM:en startas behöver du skapa ISO-filen med inställningarna.

Gateway-inställningar

VM:en är nu skapad, men den har ännu inga inställningar och ingen koppling till Central-kontot. Uppgifterna läggs in genom att lägga till en gateway och ange inställningarna.

  • Mode: On-premise Gateway eller Cloud Gateway. I mitt fall använder jag On-premise Gateway. ZTNA Cloud Gateway är avsedd för Sophos ZTNA as a Service. Här används ingen DNAT-regel för att leda trafik till gatewayen. I stället registrerar sig Cloud Gateway hos Central.
  • Name: Ett enkelt namn, till exempel med platsen eller gatewayens hostnamn.
  • Location: Om flera platser finns kan detta anges valfritt.
  • FQDN: DNS-namn som pekar på firewallens publika IP-adress, som i sin tur tillhandahåller en DNAT-regel (HTTPS / 443) till ZTNA Gateway.
  • Domain: Härleds från det domännamn som används.
  • Platform type: Välj mellan VMware ESXi, Hyper-V och Amazon Web Services (AWS).
  • Identity provider: Välj den provider som lades till tidigare, i mitt fall Azure AD.
  • Gateway Instance Deployment mode: One-arm används när en DNAT-regel skapas i efterhand. Two-arm används när ZTNA Gateway ska ha ett gränssnitt både i LAN och WAN.
  • IP-adress: Detta bör vara självförklarande. Jag använder DHCP här och reserverar en IP-adress för ZTNA Gateway på DHCP-servern.
  • Certifikat: Wildcard-certifikat för domänen som anges ovan.

Efter att inställningarna har sparats skapas en ISO-image med uppgifterna, som du kan ladda ner enligt skärmbilderna. Denna ISO-image används sedan som boot-ISO för VM:en.

Beroende på hostens prestanda kan första starten och registreringen hos Central ta upp till 30 minuter. När gatewayen rapporterar in till Central kan den accepteras. Därmed är steget klart.

Konfigurera Sophos ZTNA Gateway
Inställningar för Sophos ZTNA Gateway
Deployment-inställningar för Sophos ZTNA Gateway
ISO-inställningar för Sophos ZTNA Gateway

Mer information finns i Sophos KB: Set up a gateway