Zum Inhalt

Anforderungen

Bevor Sie ZTNA einrichten, überprüfen Sie, ob Sie alle Anforderungen erfüllen:

Wildcard-Zertifikat

Für das ZTNA-Gateway benötigen Sie ein Wildcard-Zertifikat. Verwenden Sie einen der folgenden Optionen:

  • Ein Zertifikat, das von Let‘s Encrypt ausgestellt wurde.
  • Ein Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wurde.

Diese Anleitung beschreibt das Beziehen von Zertifikaten.

Gateway-Host

Sie können das ZTNA-Gateway auf einem ESXi-Server, einem Hyper-V-Server oder in Amazon Web Services einrichten.

ESXi-Server

Wenn Sie das Gateway auf einem ESXi-Server hosten, müssen Sie folgende Voraussetzungen erfüllen:

  • VMware vSphere hypervisor (ESXi) 6.5 oder höher.
  • 2 Kerne, 4 GB RAM und 80 GB Festplattenspeicher.

Sie müssen sicherstellen, dass das richtige Datum und die richtige Uhrzeit eingestellt sind. Das ZTNA-Gateway synchronisiert sich mit der Zeit des Hosts und stößt auf Probleme, wenn diese nicht korrekt ist.

Hinweis

Sie müssen die Zeitzone als UTC festlegen.

Gehen Sie auf Ihrem ESXi-Host zu Verwalten > System > Uhrzeit und Datum und klicken Sie auf Einstellungen bearbeiten, um die Uhrzeit einzustellen.

ESXi-Zeiteinstellungen

Hyper-V-Server

Wenn Sie das Gateway auf einem Hyper-V-Server hosten, müssen Sie folgende Voraussetzungen erfüllen:

  • Hyper-V-Server unter Windows Server 2016 oder höher.
  • 2 Kerne, 4 GB RAM und 80 GB Festplattenspeicher.

Sie müssen sicherstellen, dass das richtige Datum und die richtige Uhrzeit eingestellt sind. Das ZTNA-Gateway synchronisiert sich mit der Zeit des Hosts und stößt auf Probleme, wenn diese nicht korrekt ist.

Hinweis

Sie müssen die Zeitzone als UTC festlegen.

Amazon Web Services

Wenn Sie das Gateway über Amazon Web Services (AWS) hosten, benötigen Sie ein AWS-Konto.

DNS-Verwaltung

Sie benötigen die folgenden Einstellungen in Ihren DNS-Servern.

Öffentlicher DNS-Server

Sie benötigen einen öffentlichen (externen) DNS-Server, der die folgenden Einträge auflösen kann:

  • Einen „A-Datensatz“, der auf das ZTNA-Gateway verweist.
  • Den „CNAME-Datensatz“ von Anwendungen, die auf den Domänennamen (FQDN) des ZTNA-Gateways verweisen. Sie benötigen diese CNAME-Datensätze für Anwendungen nicht, wenn Sie mit dem Sophos ZTNA-Agenten darauf zugreifen.

Das EAP unterstützt nur eine einzige Domäne. Der Domänenname Ihrer Anwendungen muss also mit dem Ihres Gateways übereinstimmen.

Beispiel

  • Gateway-FQDN: https://ztna.mycompany.net/
  • Ein FQDN der Anwendung: https://wiki.mycompany.net/#all-updates

Privater DNS-Server

Das ZTNA-Gateway muss auf einen privaten (internen) DNS-Server verweisen, um Benutzer nach Authentifizierung und Autorisierung zu einer Anwendung umzuleiten.

Alternativ können Sie den internen FQDN/IP der Anwendung direkt konfigurieren, wenn Sie ihn in Sophos Central zu ZTNA hinzufügen.

Beispiele für die Funktionsweise von DNS mit ZTNA finden Sie unter DNS-Ströme.

Verzeichnisdienst

Sie benötigen einen Verzeichnisdienst, um die Benutzergruppen zu verwalten, die von ZTNA verwendet werden. Sie können Microsoft Azure AD oder Active Directory verwenden.

Azure AD

Sie benötigen ein Microsoft Azure AD-Konto mit Benutzergruppen, die mit Sophos Central konfiguriert und synchronisiert sind. In dieser Anleitung erfahren Sie, wie sie diese Gruppen einrichten und synchronisieren.

Bei Ihren Benutzergruppen muss Sicherheit aktiviert sein. Bei in Azure AD erstellten Gruppen ist Sicherheit automatisch aktiviert, bei Gruppen, die über das Microsoft 365-Portal erstellt oder aus AD importiert wurden, jedoch nicht.

Sie können Azure AD auch als Identitätsanbieter verwenden.

Active Directory

Sie benötigen ein Active Directory-Konto mit Benutzergruppen, die mit Sophos Central konfiguriert und synchronisiert sind. Siehe hierzu auch Einrichten der Synchronisierung mit Active Directory in der Sophos Central Admin-Hilfe.

Wenn Sie Active Directory verwenden, benötigen Sie einen separaten Identitätsanbieter wie Okta.

Identitätsanbieter

Sie benötigen einen Identitätsanbieter, um Ihre Benutzer zu authentifizieren. Sie können eine der folgenden Optionen verwenden:

  • Azure AD
  • Okta

Diese Anleitung beschreibt die Konfiguration für die Verwendung mit ZTNA.

Zugelassene Websites

Wenn sich das Gateway hinter einer Firewall befindet, müssen Sie Zugriff auf diese erforderlichen Websites gewähren (auf Port 443, sofern nicht anders angegeben):

  • sophos.jfrog.io
  • *.amazonaws.com
  • production.cloudflare.docker.com
  • *.docker.io
  • *.sophos.com
  • login.microsoftonline.com
  • graph.microsoft.com
  • ztna.apu.sophos.com (Port 22)
  • sentry.io
  • *.okta.com (Wenn Sie Okta als Identitätsanbieter verwenden)

Unterstützte Anwendungstypen

ZTNA kann den Zugriff auf webbasierte und lokale Anwendungen steuern. Die Steuerung lokaler Anwendungen erfordert den ZTNA-Agenten.

ZTNA unterstützt keine Anwendungen, die auf dynamische Portzuweisung angewiesen sind oder eine Vielzahl von Ports verwenden, zum Beispiel ältere VOIP-Produkte.