Requisitos
Antes de configurar ZTNA, compruebe que cumple todos los requisitos:
Certificado comodín
Necesita un certificado comodín para la puerta de enlace ZTNA. Utilice uno de los siguientes:
- Certificado emitido por Let's Encrypt.
- Certificado emitido por una autoridad de certificación de confianza.
En esta guía se explica cómo obtener un certificado.
Host de puerta de enlace
Puede alojar la puerta de enlace ZTNA en un servidor ESXi, un servidor Hyper-V o en Amazon Web Services.
Servidor ESXi
Si aloja la puerta de enlace en un servidor ESXi, debe cumplir estos requisitos:
- Hipervisor VMware vSphere (ESXi) 6.5 o posterior.
- 2 núcleos, 4 GB de RAM y 80 GB de espacio en disco.
Debe asegurarse de que la fecha y la hora estén configuradas correctamente. La puerta de enlace ZTNA se sincroniza con la hora del host y encuentra problemas si no es correcta.
Nota
Debe establecer la zona horaria como UTC.
En el host ESXi, vaya a Administrar > Sistema > Hora y fecha y haga clic en Editar configuración para establecer la hora.
Servidor Hyper-V
Si aloja la puerta de enlace en un servidor Hyper-V, debe cumplir estos requisitos:
- Hyper-V Server en Windows Server 2016 o posterior.
- 2 núcleos, 4 GB de RAM y 80 GB de espacio en disco.
Debe asegurarse de que la fecha y la hora estén configuradas correctamente. La puerta de enlace ZTNA se sincroniza con la hora del host y encuentra problemas si no es correcta.
Nota
Debe establecer la zona horaria como UTC.
Amazon Web Services
Si aloja la puerta de enlace en Amazon Web Services (AWS), necesitará una cuenta de AWS.
Gestión de usuarios DNS
Necesita la siguiente configuración en los servidores DNS.
Servidor DNS público
Necesita un servidor DNS público (externo) que pueda resolver estos registros:
- Un «registro A» que apunta a la puerta de enlace ZTNA.
- El «registro CNAME» de las aplicaciones que apuntan al nombre de dominio (FQDN) de la puerta de enlace ZTNA. No necesita estos registros CNAME para las aplicaciones si accede a ellas con el agente de Sophos ZTNA.
El EAP solo admite un único dominio. Por lo tanto, el nombre de dominio de las aplicaciones debe coincidir con el de la puerta de enlace.
Ejemplo
- FQDN de la puerta de enlace: https://ztna.mycompany.net/
- FQDN de una aplicación: https://wiki.mycompany.net/#all-updates
Servidor DNS privado
La puerta de enlace ZTNA debe apuntar a un servidor DNS privado (interno) para redirigir a los usuarios a una aplicación después de la autenticación y autorización.
También puede configurar el FQDN o la IP internos de la aplicación directamente al añadirla a ZTNA en Sophos Central.
Para ver ejemplos de cómo funciona DNS con ZTNA, consulte Flujos DNS.
Servicio de directorio
Necesita un servicio de directorio para administrar los grupos de usuarios que utilizará ZTNA. Puede utilizar Microsoft Azure AD o Active Directory.
Azure AD
Necesita una cuenta de Microsoft Azure AD con grupos de usuarios configurados y sincronizados con Sophos Central. En esta guía se explica cómo configurar y sincronizar estos grupos.
Los grupos de usuarios deben tener habilitada la seguridad. Los grupos creados en Azure AD tienen automáticamente habilitada la seguridad, pero los grupos creados desde el portal de Microsoft 365 o importados desde AD no.
También puede utilizar Azure AD como proveedor de identidad.
Active Directory
Necesita una cuenta de Active Directory con grupos de usuarios configurados y sincronizados con Sophos Central. Consulte Configurar la sincronización con Active Directory en la ayuda de Sophos Central Admin.
Si utiliza Active Directory, necesita un proveedor de identidad independiente como Okta.
Proveedor de identidad
Necesita un proveedor de identidad para autenticar a los usuarios. Puede utilizar cualquiera de los siguientes:
- Azure AD
- Okta
En esta guía se explica cómo configurarlos para utilizarlos con ZTNA.
Sitios web autorizados
Si la puerta de enlace está detrás de un firewall, debe dar acceso a estos sitios web necesarios (en el puerto 443, a menos que se indique lo contrario):
- sophos.jfrog.io
- *.amazonaws.com
- production.cloudflare.docker.com
- *.docker.io
- *.sophos.com
- login.microsoftonline.com
- graph.microsoft.com
- ztna.apu.sophos.com (puerto 22)
- sentry.io
- *.okta.com (si utiliza Okta como proveedor de identidad)
Tipos de aplicaciones compatibles
ZTNA puede controlar el acceso tanto a las aplicaciones basadas en la web como a las locales. El control de las aplicaciones locales requiere el agente ZTNA.
ZTNA no admite las aplicaciones que dependen de la asignación dinámica de puertos o que utilizan una amplia gama de puertos, por ejemplo, los productos VoIP más antiguos.