Saltar al contenido

Requisitos

Antes de configurar ZTNA, compruebe que cumple todos los requisitos:

Certificado comodín

Necesita un certificado comodín para la puerta de enlace ZTNA. Utilice uno de los siguientes:

  • Certificado emitido por Let's Encrypt.
  • Certificado emitido por una autoridad de certificación de confianza.

En esta guía se explica cómo obtener un certificado.

Host de puerta de enlace

Puede alojar la puerta de enlace ZTNA en un servidor ESXi, un servidor Hyper-V o en Amazon Web Services.

Servidor ESXi

Si aloja la puerta de enlace en un servidor ESXi, debe cumplir estos requisitos:

  • Hipervisor VMware vSphere (ESXi) 6.5 o posterior.
  • 2 núcleos, 4 GB de RAM y 80 GB de espacio en disco.

Debe asegurarse de que la fecha y la hora estén configuradas correctamente. La puerta de enlace ZTNA se sincroniza con la hora del host y encuentra problemas si no es correcta.

Nota

Debe establecer la zona horaria como UTC.

En el host ESXi, vaya a Administrar > Sistema > Hora y fecha y haga clic en Editar configuración para establecer la hora.

Configuración de hora en ESXi

Servidor Hyper-V

Si aloja la puerta de enlace en un servidor Hyper-V, debe cumplir estos requisitos:

  • Hyper-V Server en Windows Server 2016 o posterior.
  • 2 núcleos, 4 GB de RAM y 80 GB de espacio en disco.

Debe asegurarse de que la fecha y la hora estén configuradas correctamente. La puerta de enlace ZTNA se sincroniza con la hora del host y encuentra problemas si no es correcta.

Nota

Debe establecer la zona horaria como UTC.

Amazon Web Services

Si aloja la puerta de enlace en Amazon Web Services (AWS), necesitará una cuenta de AWS.

Gestión de usuarios DNS

Necesita la siguiente configuración en los servidores DNS.

Servidor DNS público

Necesita un servidor DNS público (externo) que pueda resolver estos registros:

  • Un «registro A» que apunta a la puerta de enlace ZTNA.
  • El «registro CNAME» de las aplicaciones que apuntan al nombre de dominio (FQDN) de la puerta de enlace ZTNA. No necesita estos registros CNAME para las aplicaciones si accede a ellas con el agente de Sophos ZTNA.

El EAP solo admite un único dominio. Por lo tanto, el nombre de dominio de las aplicaciones debe coincidir con el de la puerta de enlace.

Ejemplo

  • FQDN de la puerta de enlace: https://ztna.mycompany.net/
  • FQDN de una aplicación: https://wiki.mycompany.net/#all-updates

Servidor DNS privado

La puerta de enlace ZTNA debe apuntar a un servidor DNS privado (interno) para redirigir a los usuarios a una aplicación después de la autenticación y autorización.

También puede configurar el FQDN o la IP internos de la aplicación directamente al añadirla a ZTNA en Sophos Central.

Para ver ejemplos de cómo funciona DNS con ZTNA, consulte Flujos DNS.

Servicio de directorio

Necesita un servicio de directorio para administrar los grupos de usuarios que utilizará ZTNA. Puede utilizar Microsoft Azure AD o Active Directory.

Azure AD

Necesita una cuenta de Microsoft Azure AD con grupos de usuarios configurados y sincronizados con Sophos Central. En esta guía se explica cómo configurar y sincronizar estos grupos.

Los grupos de usuarios deben tener habilitada la seguridad. Los grupos creados en Azure AD tienen automáticamente habilitada la seguridad, pero los grupos creados desde el portal de Microsoft 365 o importados desde AD no.

También puede utilizar Azure AD como proveedor de identidad.

Active Directory

Necesita una cuenta de Active Directory con grupos de usuarios configurados y sincronizados con Sophos Central. Consulte Configurar la sincronización con Active Directory en la ayuda de Sophos Central Admin.

Si utiliza Active Directory, necesita un proveedor de identidad independiente como Okta.

Proveedor de identidad

Necesita un proveedor de identidad para autenticar a los usuarios. Puede utilizar cualquiera de los siguientes:

  • Azure AD
  • Okta

En esta guía se explica cómo configurarlos para utilizarlos con ZTNA.

Sitios web autorizados

Si la puerta de enlace está detrás de un firewall, debe dar acceso a estos sitios web necesarios (en el puerto 443, a menos que se indique lo contrario):

  • sophos.jfrog.io
  • *.amazonaws.com
  • production.cloudflare.docker.com
  • *.docker.io
  • *.sophos.com
  • login.microsoftonline.com
  • graph.microsoft.com
  • ztna.apu.sophos.com (puerto 22)
  • sentry.io
  • *.okta.com (si utiliza Okta como proveedor de identidad)

Tipos de aplicaciones compatibles

ZTNA puede controlar el acceso tanto a las aplicaciones basadas en la web como a las locales. El control de las aplicaciones locales requiere el agente ZTNA.

ZTNA no admite las aplicaciones que dependen de la asignación dinámica de puertos o que utilizan una amplia gama de puertos, por ejemplo, los productos VoIP más antiguos.