Saltar al contenido

Requisitos

Antes de configurar ZTNA, compruebe que cumple todos los requisitos siguientes.

Certificado comodín

Necesita un certificado comodín para la puerta de enlace ZTNA. Utilice uno de los siguientes:

  • Certificado emitido por Let's Encrypt.
  • Certificado emitido por una autoridad de certificación de confianza.

En esta guía se explica cómo obtener un certificado.

Host de puerta de enlace

Puede alojar la puerta de enlace ZTNA en un servidor ESXi, un servidor Hyper-V o en Amazon Web Services.

Aviso

Las puertas de enlace de AWS llegan al final de su vida útil el 31 de marzo de 2024. Consulte elcalendario de retiradas. Puede desplegar SFOS en AWS y migrar los recursos a esta puerta de enlace para asegurarse de que los usuarios puedan seguir accediendo a las aplicaciones después de esa fecha.

Servidor ESXi

Si aloja la puerta de enlace en un servidor ESXi, debe cumplir estos requisitos:

  • Hipervisor VMware vSphere (ESXi) 6.5 o posterior.
  • 2 núcleos, 4 GB de RAM y 80 GB de espacio en disco.

Debe asegurarse de que la fecha y la hora estén configuradas correctamente. La puerta de enlace ZTNA se sincroniza con la hora del host y encuentra problemas si no es correcta.

Nota

Debe establecer la zona horaria como UTC.

En el host ESXi, vaya a Administrar > Sistema > Hora y fecha y haga clic en Editar configuración para establecer la hora.

Configuración de hora en ESXi.

Servidor Hyper-V

Si aloja la puerta de enlace en un servidor Hyper-V, debe cumplir estos requisitos:

  • Hyper-V Server en Windows Server 2016 o posterior.
  • 2 núcleos, 4 GB de RAM y 80 GB de espacio en disco.

Debe asegurarse de que la fecha y la hora estén configuradas correctamente. La puerta de enlace ZTNA se sincroniza con la hora del host y encuentra problemas si no es correcta.

Nota

Debe establecer la zona horaria como UTC.

Amazon Web Services

Si aloja la puerta de enlace en Amazon Web Services (AWS), necesitará una cuenta de AWS.

Gestión de usuarios DNS

Debe configurar la configuración del servidor DNS. Consulte Añadir la configuración de DNS.

Servicio de directorio

Necesita un servicio de directorio para administrar los grupos de usuarios que utilizará ZTNA. Puede utilizar Microsoft Entra ID (Azure AD) o Active Directory.

Microsoft Entra ID (Azure AD)

Necesita una cuenta de Microsoft Entra ID (Azure AD) con grupos de usuarios configurados y sincronizados con Sophos Central. En esta guía se explica cómo configurar y sincronizar estos grupos.

Los grupos de usuarios deben tener habilitada la seguridad. Los grupos creados en Microsoft Entra ID (Azure AD) tienen automáticamente habilitada la seguridad, pero los grupos creados desde el portal de Microsoft 365 o importados desde AD no.

También puede utilizar Microsoft Entra ID (Azure AD) como proveedor de identidad.

Active Directory

Necesita una cuenta de Active Directory con grupos de usuarios configurados y sincronizados con Sophos Central. Consulte Configurar la sincronización con Active Directory en la ayuda de Sophos Central Admin.

Si utiliza Active Directory, necesita un proveedor de identidad independiente como Okta.

Proveedor de identidad

Necesita un proveedor de identidad para autenticar a los usuarios. Puede utilizar cualquiera de los siguientes:

  • Microsoft Entra ID (Azure AD)
  • Okta

En esta guía se explica cómo configurarlos para utilizarlos con ZTNA.

Sitios web permitidos

Si la puerta de enlace está detrás de un firewall, debe dar acceso a los sitios web necesarios (en el puerto 443, a menos que se indique lo contrario).

Nota

Esto solo se aplica a las puertas de enlace locales.

Los sitios web necesarios son los siguientes:

  • sophos.jfrog.io
  • jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com
  • *.amazonaws.com
  • production.cloudflare.docker.com
  • *.docker.io
  • *.sophos.com
  • login.microsoftonline.com
  • graph.microsoft.com
  • ztna.apu.sophos.com (Puerto 22)
  • sentry.io
  • *.okta.com (si utiliza Okta como proveedor de identidad)
  • wsserver-ztna.<customerdomain.com>
  • FQDN de la puerta de enlace ZTNA (el dominio que estableció en la configuración de la puerta de enlace ZTNA)

Tipos de aplicaciones compatibles

ZTNA puede controlar el acceso tanto a las aplicaciones basadas en la web como a las locales. El control de las aplicaciones locales requiere el agente ZTNA.

ZTNA no admite las aplicaciones que dependen de la asignación dinámica de puertos o que utilizan una amplia gama de puertos, por ejemplo, los productos VoIP más antiguos.

Agente de Sophos ZTNA

Puede instalar el agente ZTNA en los siguientes sistemas operativos:

  • Windows 10.1803 o posterior

  • macOS BigSur (macOS11) o posterior