Sophos Cloud Gateway einrichten

Verfahren Sie zur Einrichtung eines Sophos Cloud Gateways auf ESXi wie folgt:

• Laden Sie das VM-Image herunter und stellen Sie es bereit.

• Validieren Sie Ihre Domäne.

• Fügen Sie Gateway-Einstellungen und Instanzen hinzu.

• Laden Sie die Images herunter und starten Sie die VM.

Wenn Sie einen zweiarmigen Proxy verwenden, siehe Netzwerkkonfiguration.

Image herunterladen und bereitstellen

1. Gehen Sie in Sophos Central zu Geräte > Installationsprogramme.

2. Suchen Sie Zero Trust Network Access.

   1. Klicken Sie auf den Download-Link für ein Gateway-Image.
   2. Akzeptieren Sie die Lizenzvereinbarung und (falls Sie dazu aufgefordert werden) die Formulare zur Einhaltung der Software-Export-Compliance.
   3. Das Gateway-Image wird heruntergeladen. Dies ist ein generisches OVA-Image des ZTNA-Gateways für ESXi-Server. Sie können es so oft wiederverwenden, wie Sie möchten.

   

3. Stellen Sie das OVA-Image auf Ihrem ESXi-Host bereit. Klicken Sie in VMware vSphere mit der rechten Maustaste auf den Host, und wählen Sie OVA-Vorlage bereitstellen. Dadurch wird ein Assistent ausgeführt, der Sie durch die Bereitstellung führt.

   Warnung

   Deaktivieren Sie die Option für das automatische Einschalten (die Standardeinstellung auf ESXi), oder verhindern Sie, dass das ZTNA-Gateway nach Abschluss des Startvorgangs startet. Wenn Sie dies nicht tun, startet das Gateway ohne die ISO-Dateien, und Sie müssen erneut starten.

   

Domäne validieren

1. Gehen Sie in Sophos Central zu Meine Produkte > ZTNA > Einstellungen.

2. Klicken Sie auf Domänen.

3. Klicken Sie auf Domäne hinzufügen, fügen Sie Ihren Domänennamen hinzu, und klicken Sie anschließend auf Hinzufügen.

   Ihre Domaininformationen werden in der Tabelle „Domänen“ angezeigt. Ein TXT-Record wird für Ihre Domäne generiert.

4. Wechseln Sie zu Ihrem DNS-Server und fügen Sie den TXT-Record zu Ihrer Domäne hinzu.

   Warten Sie einige Minuten, bevor Sie mit dem nächsten Schritt fortfahren.

5. Gehen Sie zurück zu Sophos Central, gehen Sie zu Meine Produkte > ZTNA > Einstellungen > Domänen und klicken Sie auf Validieren.

   Ihr Domänenstatus ändert sich in „validiert“.

Fügen Sie Gateway-Einstellungen und Instanzen hinzu

1. Klicken Sie auf Gateway hinzufügen.

2. Wählen Sie als Gateway-Modus die Option Sophos Cloud aus.

   

3. Geben Sie einen Gateway-Namen und den Gateway-FQDN ein.

   Hinweis

   Stellen Sie sicher, dass der Gateway-FQDN derselbe ist, den Sie in Anwendung registrieren angegeben haben. Siehe Die ZTNA-Anwendung registrieren.

4. Wählen Sie Ihre Domäne (validiert) aus.

5. Wählen Sie VMware ESXi als Plattformtyp aus.

6. Wählen Sie Ihren Identitätsanbieter aus.

7. Wählen Sie unter Points of Presence Ihre Region aus.

   Wählen Sie die Region aus, die dem Rechenzentrum am nächsten liegt, um die Latenz zu reduzieren.

8. Wählen Sie den Bereitstellungsmodus aus.

   • Einarmig verwendet die externe Schnittstelle für eingehenden und ausgehenden Datenverkehr.
   • Zweiarmig verwendet sowohl externe als auch interne Schnittstellen.

9. Geben Sie die Schnittstellen-Einstellungen ein.

   • Wenn Sie DHCP auswählen, legen Sie eine Reservierung auf dem DHCP-Server fest.

     Warnung

     Das Gateway kann Änderungen an seiner IP-Adresse nicht verarbeiten. Sie müssen eine Reservierung festlegen, um sicherzustellen, dass immer die anfängliche IP-Adresse beibehalten wird, die DHCP zuweist.

   • Wenn Sie statische IP auswählen, geben Sie die IP-Adresse, das Subnetz und die DNS-Servereinstellungen an.

     Bei einer zweiarmigen Bereitstellung müssen Sie Statische Routen angeben, wenn Anwendungen in mehreren internen Netzwerken gehostet werden.

10. Laden Sie die zuvor erstellten Zertifikate hoch. Siehe Beziehen eines Zertifikats.

11. Klicken Sie auf Speichern und Datei erstellen.

    Ein Popup-Fenster Gateway hinzugefügt erscheint und zeigt die generierte Alias-Domäne für das Gateway an. Sie müssen die Alias-Domäne für das Gateway später als CNAME-Eintrag zu Ihrem öffentlichen DNS-Server hinzufügen. Siehe DNS-Einstellungen hinzufügen.

12. Klicken Sie auf Kopieren.

    Ihr Gateway wird auf der Seite Gateways angezeigt. Beispiel.

    

13. Klicken Sie auf den Namen Ihres Gateways.

    Dadurch gelangen Sie zur Seite mit den Gateway-Details.

14. In den Gateway-Details sehen Sie, dass das ISO-Image zum Download bereit ist. Sie benötigen es zum Starten des Gateways. Die ISO ist für jedes Gateway eindeutig. Sie können sie nicht erneut verwenden.

    Bevor Sie das Image herunterladen, sollten Sie ein Gateway-Cluster erstellen. Wenn Sie kein Cluster möchten, fahren sie mit dem Abschnitt 'Images herunterladen und VM starten' fort.

    

15. Klicken Sie in den Gateway-Details auf Instanzen hinzufügen/bearbeiten.

    

16. Klicken Sie unter Instanzen hinzufügen/bearbeiten auf Weitere Instanz hinzufügen. Clustering wird automatisch aktiviert.

    

17. Geben Sie die Details der neuen Instanz wie folgt ein:

    1. Geben Sie eine virtuelle Cluster-IP ein. Dies wird für Cluster-Verwaltung und Lastverteilung verwendet. Es muss sich um eine IP-Adresse handeln, die Sie in dieser Konfiguration noch nicht verwendet haben, und sie muss sich im gleichen IP-Bereich wie die Gateway-Instanzen befinden.

       Tipp

       Bei einer zweiarmigen Bereitstellung dient die externe Schnittstellen-IP-Adresse nur zum Lastenausgleich. Wenn Sie einen externen Load Balancer verwenden, lassen Sie dieses Feld frei.

    2. Geben Sie einen VM-Namen und eine Schnittstellen-IP für die neue Instanz ein.

       Geben Sie bei einer zweiarmigen Bereitstellung eine interne und eine externe Schnittstellen-IP ein.

    3. Wiederholen Sie den Vorgang, um eine weitere Instanz hinzuzufügen.

       Hinweis

       Sie müssen mindestens über drei Instanzen für ein Cluster verfügen. Sie können bis zu neun Instanzen haben, die Anzahl muss dabei ungerade sein.

       Hinweis

       Damit Ihr Cluster aktiv bleibt, stellen Sie sicher, dass mindestens die Hälfte der Gateways in dem Cluster aktiv sind.

    

Als Nächstes laden Sie die ISO-Dateien herunter und starten das Gateway.

Images herunterladen und VM starten

1. Gehen Sie zu Gateway-Instanzen und scrollen Sie nach unten.

   Ihre Instanzen werden unter Status angezeigt.

2. Laden Sie jede ISO-Datei herunter und mounten Sie sie auf Ihrem Host. Verbinden Sie sie dann wie folgt mit dem Gateway:

   1. Wechseln Sie zu VMware vSphere.
   2. Klicken Sie mit der rechten Maustaste auf die Gateway-VM und wählen Sie Einstellungen bearbeiten.
   3. Stellen Sie sicher, dass auf der Registerkarte Hardware unter CD/DVD-Laufwerk die ISO-Datei angezeigt wird und wählen Sie Verbinden.
   4. Wählen Sie unter Status die Option Beim Einschalten verbinden aus.
   5. Klicken Sie auf Speichern.

   Wenn ein serielles Gerät in der virtuellen Hardware aufgeführt ist, können Sie es sicher entfernen.

   Wenn das Gateway mit der iso-Datei startet, kontaktiert es Sophos Central, um sich zu registrieren.

   

3. Wechseln Sie wieder zu Sophos Central. Auf der Seite Gateways ändert sich der Gateway-Status zu Warte auf Genehmigung.

   Wenn Sie dazu aufgefordert werden, genehmigen Sie die Gateway-Registrierung, indem Sie auf Genehmigen klicken.

   Es kann bis zu zehn Minuten dauern, bis die Genehmigung wirksam wird. Der Gateway-Status ändert sich dann in Aktiv und Verbunden. Sie sehen eine Option zum Erstellen eines Kennworts (bei Bedarf).

   Hinweis

   Wenn Sie über ein Cluster von Gateway-Instanzen verfügen, genehmigen Sie nur die Gateway-Registrierung für die erste Gateway-Instanz. Nachfolgende Instanzen werden ohne ausdrückliche Genehmigung verwaltet.

   Hinweis

   Die ISO-Datei muss an das Gateway angehängt bleiben. Sie können die Bereitstellung nicht aufheben, nachdem das Gateway gestartet wurde.

   Hinweis

   Wenn das Gateway keine Verbindung zu Sophos Central herstellen kann, gehen Sie zu VMware vSphere und führen Sie die Diagnose auf der VM aus.

   Wenn eine neue Version der virtuellen Maschine verfügbar ist, wird in der Spalte „Version“ ein grünes Häkchen angezeigt. Klicken Sie auf die Versionsnummer, um eine Aktualisierung zu starten oder zu planen. Siehe Gateway-Updates unter Gateways.

Sie haben das Sophos Cloud Gateway eingerichtet.

Gehen Sie wie folgt vor, um ein Sophos Cloud Gateway auf Microsoft Hyper-V einzurichten:

• Laden Sie das VM-Image herunter und stellen Sie es bereit.

• Validieren Sie Ihre Domäne.

• Fügen Sie Gateway-Einstellungen hinzu, um eine ISO-Datei zu generieren („Start-Image“).

• Laden Sie die ISO-Datei herunter und starten Sie das Gateway.

Image herunterladen und bereitstellen

1. Gehen Sie in Sophos Central zu Geräte > Installationsprogramme.

2. Klicken Sie unter Zero Trust Network Access auf Gateway-VM-Image für Hyper-V herunterladen.

   Eine ZIP-Datei mit dem VM-Image wird heruntergeladen.

   

3. Extrahieren Sie das Hyper-V Base-Image aus der heruntergeladenen ZIP-Datei.

   Dadurch erhalten Sie die .vhdx-Datei, die Sie zum Einrichten des Gateways benötigen. Sie können diese Datei nicht für die Bereitstellung von mehr als einer VM verwenden. Sie können jedoch Kopien erstellen und diese für zusätzliche VMs verwenden.

4. Klicken Sie in Hyper-V Manager in der Liste Virtuelle Maschinen unter Aktionen auf Neu.

   

5. Geben Sie dem VM einen Namen.

   

6. Wählen Sie die Generation aus. Generation 1 unterstützt sowohl 32-Bit- als auch 64-Bit-Betriebssysteme.

   

7. Geben Sie unter Speicher zuweisen mindestens 4096 MB Startspeicher ein.

   

8. Wählen Sie unter Netzwerkkonfiguration einen Netzwerkadapter aus.

   

9. Wählen Sie unter Virtuelle Festplatte verbinden die Option Vorhandene virtuelle Festplatte verwenden aus und navigieren Sie zu der .vhdx-Datei, die Sie aus dem VM-Image-Download extrahiert haben.

   

10. Klicken Sie auf Fertigstellen.

    

11. Gehen Sie zu den Einstellungen für die neue VM.

    1. Legen Sie unter Hardware > Prozessoren die Anzahl der virtuellen Prozessoren auf „2“ fest.

    2. Wenn sich Ihr Gateway in einer zweiarmigen Bereitstellung befindet, gehen Sie zu Netzwerkadapter und fügen Sie der VM einen weiteren Adapter hinzu.

    

    Hinweis

    Wenn Sie VLANs verwenden, stellen Sie sicher, dass Sie Ihre Netzwerkschnittstellen mit den entsprechenden VLAN-IDs kennzeichnen.

12. Klicken Sie auf Anwenden und Speichern.

Domäne validieren

1. Gehen Sie in Sophos Central zu Meine Produkte > ZTNA > Einstellungen.

2. Klicken Sie auf Domänen.

3. Klicken Sie auf Domäne hinzufügen, fügen Sie Ihren Domänennamen hinzu, und klicken Sie anschließend auf Hinzufügen.

   Ihre Domaininformationen werden in der Tabelle „Domänen“ angezeigt. Ein TXT-Record wird für Ihre Domäne generiert.

4. Wechseln Sie zu Ihrem DNS-Server und fügen Sie den TXT-Record zu Ihrer Domäne hinzu.

   Warten Sie einige Minuten, bevor Sie mit dem nächsten Schritt fortfahren.

5. Gehen Sie zurück zu Sophos Central, gehen Sie zu Meine Produkte > ZTNA > Einstellungen > Domänen und klicken Sie auf Validieren.

   Ihr Domänenstatus ändert sich in „validiert“.

Fügen Sie Gateway-Einstellungen und Instanzen hinzu

1. Klicken Sie auf Gateway hinzufügen.

2. Wählen Sie als Gateway-Modus die Option Sophos Cloud aus.

   

3. Geben Sie einen Gateway-Namen und den Gateway-FQDN ein.

   Hinweis

   Stellen Sie sicher, dass der Gateway-FQDN derselbe ist, den Sie in Anwendung registrieren angegeben haben. Siehe Die ZTNA-Anwendung registrieren.

4. Wählen Sie Ihre Domäne (validiert) aus.

5. Wählen Sie VMware ESXi als Plattformtyp aus.

6. Wählen Sie Ihren Identitätsanbieter aus.

7. Wählen Sie unter Points of Presence Ihre Region aus.

   Wählen Sie die Region aus, die dem Rechenzentrum am nächsten liegt, um die Latenz zu reduzieren.

8. Wählen Sie den Bereitstellungsmodus aus.

   • Einarmig verwendet die externe Schnittstelle für eingehenden und ausgehenden Datenverkehr.
   • Zweiarmig verwendet sowohl externe als auch interne Schnittstellen.

9. Geben Sie die Schnittstellen-Einstellungen ein.

   • Wenn Sie DHCP auswählen, legen Sie eine Reservierung auf dem DHCP-Server fest.

     Warnung

     Das Gateway kann Änderungen an seiner IP-Adresse nicht verarbeiten. Sie müssen eine Reservierung festlegen, um sicherzustellen, dass immer die anfängliche IP-Adresse beibehalten wird, die DHCP zuweist.

   • Wenn Sie statische IP auswählen, geben Sie die IP-Adresse, das Subnetz und die DNS-Servereinstellungen an.

     Bei einer zweiarmigen Bereitstellung müssen Sie Statische Routen angeben, wenn Anwendungen in mehreren internen Netzwerken gehostet werden.

10. Laden Sie die zuvor erstellten Zertifikate hoch.

11. Klicken Sie auf Speichern und Datei erstellen.

    Ein Popup-Fenster Gateway hinzugefügt erscheint und zeigt die generierte Alias-Domäne für das Gateway an. Sie müssen die Alias-Domäne für das Gateway später als CNAME-Eintrag zu Ihrem öffentlichen DNS-Server hinzufügen. Siehe DNS-Einstellungen hinzufügen.

12. Klicken Sie auf Kopieren.

    Ihr Gateway wird auf der Seite Gateways angezeigt. Beispiel.

    

13. Klicken Sie auf den Namen Ihres Gateways.

    Dadurch gelangen Sie zur Seite mit den Gateway-Details.

14. In den Gateway-Details sehen Sie, dass das ISO-Image zum Download bereit ist. Sie benötigen es zum Starten des Gateways. Die ISO ist für jedes Gateway eindeutig. Sie können sie nicht erneut verwenden.

    Bevor Sie das Image herunterladen, sollten Sie ein Gateway-Cluster erstellen. Wenn Sie kein Cluster möchten, fahren sie mit dem Abschnitt ISO-Dateien herunterladen und Gateway starten fort.

    

15. Klicken Sie in den Gateway-Details auf Instanzen hinzufügen/bearbeiten.

    

16. Klicken Sie unter Instanzen hinzufügen/bearbeiten auf Weitere Instanz hinzufügen. Clustering wird automatisch aktiviert.

    

17. Geben Sie die Details der neuen Instanz wie folgt ein:

    1. Geben Sie eine virtuelle Cluster-IP ein. Dies wird für Cluster-Verwaltung und Lastverteilung verwendet. Sie muss sich im gleichen IP-Bereich wie die Gateway-Instanzen befinden.

       Bei einer zweiarmigen Bereitstellung dient die externe Cluster-VIP nur dem Lastenausgleich. Wenn Sie einen externen Load Balancer verwenden, lassen Sie dieses Feld frei.

    2. Geben Sie einen VM-Namen und eine Schnittstellen-IP für die neue Instanz ein.

       Geben Sie bei einer zweiarmigen Bereitstellung eine interne und eine externe Schnittstellen-IP ein.

    3. Wiederholen Sie den Vorgang, um eine weitere Instanz hinzuzufügen.

       Hinweis

       Sie müssen mindestens über drei Instanzen für ein Cluster verfügen. Sie können bis zu neun Instanzen haben, die Anzahl muss dabei ungerade sein.

       Hinweis

       Damit Ihr Cluster aktiv bleibt, stellen Sie sicher, dass mindestens die Hälfte der Gateways in dem Cluster aktiv sind.

    

Als Nächstes laden Sie die ISO-Dateien herunter und starten das Gateway.

ISO-Dateien zum Starten des Gateways herunterladen

Laden Sie die ISO-Datei für jede Instanz herunter, hängen Sie sie an die Gateway-VM an und starten Sie das Gateway wie folgt:

1. Gehen Sie in den Gateway-Details zu jeder Instanz und klicken Sie auf Image herunterladen.

   

2. Gehen Sie in Hyper-V Manager zu Einstellungen für die VM. Gehen Sie im DVD-Laufwerk wie folgt vor:

   1. Wählen Sie unter Controller IDE Controller 1 aus.
   2. Wählen Sie unter Medien die Option Image-Datei aus und geben Sie den Pfad zur Ausgangsdatei-ISO ein.
   3. Klicken Sie auf Anwenden und Speichern.

   Hinweis

   Die ISO-Datei muss an das Gateway angehängt bleiben. Sie können die Bereitstellung nicht aufheben, nachdem das Gateway gestartet wurde.

   

3. Schalten Sie die Gateway-Instanzen ein. Warten Sie einige Minuten.

4. Gehen Sie in Sophos Central zu Meine Produkte > ZTNA > Gateways und klicken Sie auf das neue Gateway, um die Detailseite zu öffnen.

   Der Gateway-Status ändert sich in Warten auf Gateway-Genehmigung. Klicken Sie auf Genehmigen.

   

   Hinweis

   Wenn Sie über ein Cluster von Gateway-Instanzen verfügen, genehmigen Sie nur die Gateway-Registrierung für die erste Gateway-Instanz. Nachfolgende Instanzen werden ohne ausdrückliche Genehmigung verwaltet.

5. Der Gateway-Status ändert sich in Aktiv.

Sie haben das Sophos Cloud Gateway eingerichtet.

Wenn eine neue Version der virtuellen Maschine verfügbar ist, wird in der Spalte „Version“ ein grünes Häkchen angezeigt. Klicken Sie auf die Versionsnummer, um eine Aktualisierung zu starten oder zu planen. Siehe Gateway-Updates unter Gateways.

So richten Sie ein ZTNA Sophos Cloud Gateway in Amazon Web Services (AWS) ein:

Domäne validieren

1. Gehen Sie in Sophos Central zu Meine Produkte > ZTNA > Einstellungen.

2. Klicken Sie auf Domänen.

3. Klicken Sie auf Domäne hinzufügen, fügen Sie Ihren Domänennamen hinzu, und klicken Sie anschließend auf Hinzufügen.

   Ihre Domaininformationen werden in der Tabelle „Domänen“ angezeigt. Ein TXT-Record wird für Ihre Domäne generiert.

4. Wechseln Sie zu Ihrem DNS-Server und fügen Sie den TXT-Record zu Ihrer Domäne hinzu.

   Warten Sie einige Minuten, bevor Sie mit dem nächsten Schritt fortfahren.

5. Gehen Sie zurück zu Sophos Central, gehen Sie zu Meine Produkte > ZTNA > Einstellungen > Domänen und klicken Sie auf Validieren.

   Ihr Domänenstatus ändert sich in „validiert“.

Fügen Sie Gateway-Einstellungen und Instanzen hinzu

1. Klicken Sie auf Gateway hinzufügen.

2. Wählen Sie als Gateway-Modus die Option Sophos Cloud aus.

   

3. Geben Sie einen Gateway-Namen und den Gateway-FQDN ein.

1. Wählen Sie Ihre Domäne (validiert) aus.

2. Wählen Sie AWS als Plattformtypaus.

3. Wählen Sie Ihren Identitätsanbieter aus.

4. Wählen Sie unter Points of Presence Ihre Region aus.

   Wählen Sie die Region aus, die dem Rechenzentrum am nächsten liegt, um die Latenz zu reduzieren.

5. Wählen Sie den Bereitstellungsmodus aus.

   • Einarmig verwendet die externe Schnittstelle für eingehenden und ausgehenden Datenverkehr.
   • Zweiarmig verwendet sowohl externe als auch interne Schnittstellen.

6. Geben Sie die Schnittstellen-Einstellungen ein.

   • Wenn Sie DHCP auswählen, legen Sie eine Reservierung auf dem DHCP-Server fest.

     Warnung

     Das Gateway kann Änderungen an seiner IP-Adresse nicht verarbeiten. Sie müssen eine Reservierung festlegen, um sicherzustellen, dass immer die anfängliche IP-Adresse beibehalten wird, die DHCP zuweist.

   • Wenn Sie statische IP auswählen, geben Sie die IP-Adresse, das Subnetz und die DNS-Servereinstellungen an.

     Bei einer zweiarmigen Bereitstellung müssen Sie Statische Routen angeben, wenn Anwendungen in mehreren internen Netzwerken gehostet werden.

7. Laden Sie die zuvor erstellten Zertifikate hoch.

8. Klicken Sie auf Speichern und Datei erstellen.

   Ein Popup-Fenster Gateway hinzugefügt erscheint und zeigt die generierte Alias-Domäne für das Gateway an. Sie müssen die Alias-Domäne für das Gateway später als CNAME-Eintrag zu Ihrem öffentlichen DNS-Server hinzufügen. Siehe DNS-Einstellungen hinzufügen.

9. Klicken Sie auf Kopieren.

   Ihr Gateway wird auf der Seite Gateways angezeigt. Beispiel.

   

10. Klicken Sie auf den Link Stapel starten neben dem Gateway.

    

Erstellen Sie einen Stapel in AWS

In AWS wird in CloudFormation die Vorlage für die schnelle Stapelerstellung angezeigt. Wir haben sie bereits teilweise konfiguriert. Führen Sie die folgenden Schritte aus, um den Vorgang abzuschließen.

1. Gehen Sie auf der Seite der schnellen Stapelerstellung wie folgt vor:

   1. Wählen Sie einen AWS-Bereich aus (oben rechts auf dem Bildschirm).
   2. Geben Sie unter Stapelname einen benutzerdefinierten Namen ein.

   

2. Wählen Sie unter Basiskonfiguration zwei oder drei Verfügbarkeitszonen aus, um die Verfügbarkeit des Gateways sicherzustellen.

   

3. Verfahren Sie unter VPC-Netzwerkkonfiguration wie folgt vor:

   1. Legen Sie die Anzahl der Verfügbarkeitszonen fest. Diese muss mit der Anzahl der Zonen übereinstimmen, die Sie im vorherigen Schritt ausgewählt haben.
   2. Stellen Sie sicher, dass die Subnetze nicht mit vorhandenen Ressourcen in Konflikt stehen.
   3. Legen Sie in MaxNumberOfNodes die maximale Anzahl von Knoten fest. Standardmäßig sind es drei.
   4. Wählen Sie unter NodeInstanceType den Typ der zu verwendenden EC2-Instanz aus.
   5. Legen Sie unter NumberOfNodes die gewünschte Knotenanzahl fest. Der Standardwert ist eins für jede Verfügbarkeitszone.

   Die automatische Skalierung ist derzeit für ZTNA nicht verfügbar.

   

4. Klicken Sie auf Stapel erstellen und warten Sie, bis der Prozess abgeschlossen ist. Dies kann bis zu einer Stunde dauern. Nach Abschluss der Stapelerstellung befindet sich Ihr neuer Stapel in Ihrer AWS-Stapel-Liste, und die Details sehen wie folgt aus.

   

5. Gehen Sie in Sophos Central zum neuen Gateway. Klicken Sie auf Genehmigen.

   Es kann bis zu zehn Minuten dauern, bis die Genehmigung wirksam wird. Der Gateway-Status ändert sich dann in Verbunden.

   

   Hinweis

   Wenn Sie über ein Cluster von Gateway-Instanzen verfügen, genehmigen Sie nur die Gateway-Registrierung für die erste Gateway-Instanz. Nachfolgende Instanzen werden ohne ausdrückliche Genehmigung verwaltet.

Konfigurieren Ihrer neuen VPC

Konfigurieren Sie die VPC folgendermaßen:

1. Gehen Sie in AWS zu Virtual Private Cloud > Ihre VPCs.

   

2. Gehen Sie zu Ihrer neuen VPC und suchen Sie nach der VPC-ID. Sie können diese ID verwenden, um nach den anderen Komponenten zu suchen, die Sie erstellt haben.

   

3. Rufen Sie Ihre EC2-Instanzen auf, und suchen Sie nach Instanzen mit der neuen VPC-ID. Dadurch werden die Instanzen gefunden, aus denen der ZTNA-Gateway-Cluster besteht. Benennen Sie sie um.

   

   Hinweis

   Damit Ihr Cluster aktiv bleibt, stellen Sie sicher, dass mindestens die Hälfte der Gateways in dem Cluster aktiv sind.

Erstellen Sie eine Peering-Verbindung

Das Gateway befindet sich immer in einer neuen VPC. Sie müssen also Peering verwenden, um es mit der VPC zu verbinden, wo sich Ihre Anwendungen befinden.

1. Gehen Sie zu VPC > Peering Connections. Klicken Sie auf Create Peering Connection und gehen Sie wie folgt vor:

   1. Wählen Sie unter VPC-ID (Requester)die ID des ZTNA-Gateways aus.
   2. Wählen Sie unter VPC ID (Accepter) den VPC aus, in dem sich Ihre Ressourcen befinden.
   3. Klicken Sie auf Create peering connection.

   

2. Wechseln Sie zu Subnets, und fügen Sie den Routentabellen das Subnetz für Ressourcen und die privaten Subnetze Ihres Gateways hinzu. Dadurch kann ZTNA die Peering-Verbindung verwenden, um eine Verbindung zu Ressourcen herzustellen.

   

Sie haben das Sophos Cloud Gateway eingerichtet.

Wenn eine neue Version der virtuellen Maschine verfügbar ist, wird in der Spalte „Version“ ein grünes Häkchen angezeigt. Klicken Sie auf die Versionsnummer, um eine Aktualisierung zu starten oder zu planen. Siehe Gateway-Updates unter Gateways.

Zentral verwaltete Firewalls können ein ZTNA-Gateway verwenden, um einen sicheren Zugriff auf interne Ressourcen zu ermöglichen. Weitere Informationen zur Verwaltung Ihrer Firewall über Sophos Central finden Sie unter Sophos Firewall: Sophos Central.

So richten Sie ein Sophos Cloud Gateway ein, das den Zugriff auf die Ressourcen Ihres Netzwerks steuert:

1. Gehen Sie in Sophos Central zu Meine Produkte > ZTNA > Gateways.

2. Klicken Sie auf Gateway hinzufügen.

3. Wählen Sie als Gateway-Modus die Option Sophos Cloud aus.

4. Geben Sie einen Gateway-Namen und den Gateway-FQDN ein.

   Hinweis

   Stellen Sie sicher, dass der Gateway-FQDN derselbe ist, den Sie in Anwendung registrieren angegeben haben. Siehe Die ZTNA-Anwendung registrieren.

5. Wählen Sie Ihre Domäne (validiert) aus.

6. Wählen Sie Firewall als Plattformtypaus.

7. Wählen Sie unter Firewall Ihre SFOS-Firewall in der Dropdown-Liste aus.

   

   Die Dropdown-Liste enthält nur Firewalls, die von Sophos Central verwaltet werden und auf Firmware-Version 19.5 MR3 und höher laufen.

   Sie können eine aktive Firewall aus einem Hochverfügbarkeitspaar auswählen, was ein Failover von Datenverkehr und Services sicherstellt und die Ausfallzeit von ZTNA minimiert.

8. Wählen Sie Ihren Identitätsanbieter aus.

9. Wählen Sie unter Points of Presence Ihre Region aus.

   Wählen Sie die Region aus, die dem Rechenzentrum am nächsten liegt, um die Latenz zu reduzieren.

10. Laden Sie die zuvor erstellten Zertifikate hoch. Siehe Beziehen eines Zertifikats.

11. Klicken Sie auf Speichern.

    Ihr Gateway wird auf der Seite Gateways angezeigt.

    Hinweis

    Ihr Gateway sollte in etwa 5 Minuten aktiv sein.

12. Klicken Sie auf den Namen Ihres Gateways.

    Dadurch gelangen Sie zur Seite mit den Gateway-Details. Sie können Ihre Gateway-Details anzeigen und bearbeiten oder Ihr Gateway löschen.

Web-Admin-Portal Ihrer Firewall als Ressource hinzufügen

Sie können Ihr Firewall-Web-Admin-Portal als Ressource hinzufügen. Wenn Sie dies tun, sehen Sie Webadmin-Portal in der Dropdown-Liste Ressourcentyp für die Zugriffsmethoden Agent und Agentenlos.

Agentenloser Zugriff

Sie können einen externen FQDN definieren, wie z. B. http://firewall.xyz.com und den Ressourcentyp als Webadmin-Portal festlegen. Wenn Sie die Ressource hinzufügen, wird eine Alias-Domäne generiert. Sie müssen diese als CNAME-Datensatz auf Ihrem öffentlichen DNS-Server hinzufügen. Der gesamte Datenverkehr zu Ihrem Webadmin-Portal wird an die Alias-Domäne im Besitz von Sophos umgeleitet.

Agentenbasierter Zugriff

Sie können alles als externen FQDN für die Ressource hinzufügen, und der ZTNA-Agent fängt ihn ab. Ein Tunnel wurde erstellt, als Sie einen A-Datensatz für das Firewall-Gateway hinzugefügt haben, und der gesamte Datenverkehr zu Ihrem Webadmin-Portal wird durch den Tunnel geleitet.

Ressourcen migrieren

Gehen Sie wie folgt vor, um vorhandene Ressourcen hinter einer Gateway-Plattform zu einem Firewall-Gateway zu migrieren:

1. Richten Sie ein Firewall-Gateway ein.
2. Fügen Sie eine neue Umleitungs-URL für das Firewall-Gateway hinzu.
3. Bearbeiten Sie Ihre vorhandenen Ressourcen. Gehen Sie hierzu zu Ressourcen und Zugriff und klicken Sie auf den Namen der Ressource, um Ressourcendetails zu öffnen. Wählen Sie für Gateway das Firewall-Gateway aus.
4. Wenn Ihre Zugriffsmethode agentenlos ist, kopieren Sie die Alias-Domäne der Firewall und fügen Sie sie Ihrem öffentlichen DNS-Server hinzu.