Zum Inhalt

Anforderungen

Überprüfen Sie vor der Einrichtung von ZTNA, ob Sie alle Anforderungen erfüllen

Wildcard-Zertifikat

Für das ZTNA-Gateway benötigen Sie ein Wildcard-Zertifikat. Verwenden Sie einen der folgenden Optionen:

  • Ein Zertifikat, das von Let‘s Encrypt ausgestellt wurde.
  • Ein Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wurde.

Diese Anleitung beschreibt das Beziehen von Zertifikaten.

Gateway-Host

Sie können das ZTNA-Gateway auf einem ESXi-Server, einem Hyper-V-Server oder in Amazon Web Services einrichten.

Warnung

AWS-Gateways erreichen am 31. März 2024 den End-of-Life. Siehe Retirement Calendar. Sie können SFOS auf AWS bereitstellen und die Ressourcen zu diesem Gateway migrieren, um sicherzustellen, dass Benutzer nach diesem Datum weiterhin auf Anwendungen zugreifen können.

ESXi-Server

Wenn Sie das Gateway auf einem ESXi-Server hosten, müssen Sie folgende Voraussetzungen erfüllen:

  • VMware vSphere hypervisor (ESXi) 6.5 oder höher.
  • 2 Kerne, 4 GB RAM und 80 GB Festplattenspeicher.

Sie müssen sicherstellen, dass das richtige Datum und die richtige Uhrzeit eingestellt sind. Das ZTNA-Gateway synchronisiert sich mit der Zeit des Hosts und stößt auf Probleme, wenn diese nicht korrekt ist.

Hinweis

Sie müssen die Zeitzone als UTC festlegen.

Gehen Sie auf Ihrem ESXi-Host zu Verwalten > System > Uhrzeit und Datum und klicken Sie auf Einstellungen bearbeiten, um die Uhrzeit einzustellen.

ESXi-Zeiteinstellungen.

Hyper-V-Server

Wenn Sie das Gateway auf einem Hyper-V-Server hosten, müssen Sie folgende Voraussetzungen erfüllen:

  • Hyper-V-Server unter Windows Server 2016 oder höher.
  • 2 Kerne, 4 GB RAM und 80 GB Festplattenspeicher.

Sie müssen sicherstellen, dass das richtige Datum und die richtige Uhrzeit eingestellt sind. Das ZTNA-Gateway synchronisiert sich mit der Zeit des Hosts und stößt auf Probleme, wenn diese nicht korrekt ist.

Hinweis

Sie müssen die Zeitzone als UTC festlegen.

Amazon Web Services

Wenn Sie das Gateway über Amazon Web Services (AWS) hosten, benötigen Sie ein AWS-Konto.

DNS-Verwaltung

Sie müssen Ihre DNS-Servereinstellungen konfigurieren. Siehe DNS-Einstellungen hinzufügen.

Verzeichnisdienst

Sie benötigen einen Verzeichnisdienst, um die Benutzergruppen zu verwalten, die von ZTNA verwendet werden. Sie können Microsoft Entra ID (Azure AD) oder Active Directory hinzufügen.

Microsoft Entra ID (Azure AD)

Sie benötigen ein Microsoft Entra ID (Azure AD)-Konto mit Benutzergruppen, die mit Sophos Central konfiguriert und synchronisiert sind. In dieser Anleitung erfahren Sie, wie sie diese Gruppen einrichten und synchronisieren.

Bei Ihren Benutzergruppen muss Sicherheit aktiviert sein. Bei in Microsoft Entra ID (Azure AD) erstellten Gruppen ist Sicherheit automatisch aktiviert, bei Gruppen, die über das Microsoft 365-Portal erstellt oder aus AD importiert wurden, jedoch nicht.

Sie können Microsoft Entra ID (Azure AD) auch als Identitätsanbieter verwenden.

Active Directory

Sie benötigen ein Active Directory-Konto mit Benutzergruppen, die mit Sophos Central konfiguriert und synchronisiert sind. Siehe hierzu auch Einrichten der Synchronisierung mit Active Directory in der Sophos Central Admin-Hilfe.

Wenn Sie Active Directory verwenden, benötigen Sie einen separaten Identitätsanbieter wie Okta.

Identitätsanbieter

Sie benötigen einen Identitätsanbieter, um Ihre Benutzer zu authentifizieren. Sie können eine der folgenden Optionen verwenden:

  • Microsoft Entra ID (Azure AD)
  • Okta

Diese Anleitung beschreibt die Konfiguration für die Verwendung mit ZTNA.

Zugelassene Websites

Wenn sich das Gateway hinter einer Firewall befindet, müssen Sie Zugriff auf die erforderlichen Websites gewähren (auf Port 443, sofern nicht anders angegeben).

Hinweis

Dies gilt nur für lokale Gateways.

Die erforderlichen Websites lauten wie folgt:

  • sophos.jfrog.io
  • jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com
  • *.amazonaws.com
  • production.cloudflare.docker.com
  • *.docker.io
  • *.sophos.com
  • login.microsoftonline.com
  • graph.microsoft.com
  • ztna.apu.sophos.com (Port 22)
  • sentry.io
  • *.okta.com (Wenn Sie Okta als Identitätsanbieter verwenden)
  • wsserver-ztna.<customerdomain.com>
  • ZTNA-Gateway-FQDN (die Domäne, die Sie in den ZTNA-Gateway-Einstellungen konfiguriert haben)

Unterstützte Anwendungstypen

ZTNA kann den Zugriff auf webbasierte und lokale Anwendungen steuern. Die Steuerung lokaler Anwendungen erfordert den ZTNA-Agenten.

ZTNA unterstützt keine Anwendungen, die auf dynamische Portzuweisung angewiesen sind oder eine Vielzahl von Ports verwenden, zum Beispiel ältere VOIP-Produkte.

Sophos ZTNA Agent

Sie können den ZTNA-Agenten auf den folgenden Betriebssystemen installieren:

  • Windows 10.1803 oder neuer

  • macOS BigSur (macOS11) oder höher