Acerca de Zero Trust Network Access
Sophos Zero Trust Network Access (ZTNA) le permite controlar el acceso a los recursos (aplicaciones y páginas web) de su red.
Esta guía incluye instrucciones para productos de terceros. Le recomendamos que consulte la documentación más reciente de los proveedores.
Puede ver el siguiente vídeo para aprender a configurar ZTNA.
Modos de despliegue de ZTNA
Puede desplegar ZTNA con una puerta de enlace local o una puerta de enlace de Sophos Cloud según sus necesidades. El modo de despliegue es intercambiable y puede migrar fácilmente de un modo de puerta de enlace a otro.
Puerta de enlace local
Cuando despliega una puerta de enlace local, configura puertas de enlace en su centro de datos.
Usted administra las puertas de enlace, que están expuestas a la Internet pública, por lo que también necesita abrir puertos de firewall y crear reglas NAT para gestionar su red.
Este es un ejemplo del modo de puerta de enlace local.
Puerta de enlace de Sophos Cloud
Puede utilizar una nueva nube de plano de datos protegida por Sophos para acceder a los recursos internos.
Con múltiples inquilinos, Sophos Cloud aísla los despliegues de red de la exposición directa a Internet y reduce la superficie de ataque. Puede conectar fácilmente a sus usuarios a las aplicaciones sin necesidad de abrir puertos de firewall ni crear reglas NAT.
Cuando un usuario intenta acceder a un recurso, se le dirige a Sophos Cloud. Sophos administra el plano de datos dentro de Sophos Cloud. Su infraestructura se oculta de Internet. Usted configura las puertas de enlace en su centro de datos para conectar Sophos Cloud con sus recursos internos. Puede elegir entre varios puntos de presencia para acceder a sus recursos internos. Elija el punto de presencia más cercano a su centro de datos para reducir la latencia.
Este es un ejemplo del modo de despliegue de la puerta de enlace de Sophos Cloud.
El modo de despliegue de la puerta de enlace de Sophos Cloud se proporciona con una disponibilidad del 99,999 %, excepto durante cualquier periodo de mantenimiento planificado o de emergencia, o debido a problemas causados por factores ajenos al control razonable de Sophos. Para ver la disponibilidad de los puntos de presencia y recibir notificaciones sobre las próximas tareas de mantenimiento, vaya a la página de estado de Sophos. Consulte la página de estado de Sophos.
Los puntos de presencia son:
- Región Europa (Irlanda)
- Región Europa (Fráncfort)
- Región Este de EE. UU. (Ohio)
- Región Oeste de EE. UU. (Oregón)
- Región Asia-Pacífico (Mumbai)
- Región Asia-Pacífico (Sídney)
En ZTNA 2.1 y posteriores, se configura por defecto un punto de presencia secundario, el más cercano al punto de presencia principal. Existe una conmutación por error automática entre los puntos de presencia, de modo que los usuarios puedan acceder a los recursos sin interrupciones. Ejemplo: Si configura la Región Europa (Irlanda) como punto de presencia y la región falla debido a una interrupción, el tráfico se redirige a través de la Región Europa (Fráncfort) hasta que aparezca la región original.
Se puede desactivar desde la página Configuración. Consulte Sophos Central: Configuración.
Si hay algún problema con un punto de presencia, puede cambiar su punto de presencia para asegurarse de que el impacto potencial en el usuario sea mínimo.
Para cambiar el punto de presencia, haga lo siguiente:
- Inicie sesión en Sophos Central.
- Vaya a Mis productos > ZTNA > Puertas de enlace.
- Haga clic en el nombre de la puerta de enlace.
- Haga clic en Editar.
- En Puntos de presencia, seleccione una región.
- Haga clic en Guardar.
Información de despliegue
Para obtener información sobre las puertas de enlace locales o las puertas de enlace de Sophos Cloud, haga clic en la ficha de su tipo de despliegue a continuación.
Sophos ZTNA consta de los siguientes componentes:
-
Sophos Central. Esta herramienta de administración le permite configurar y administrar una puerta de enlace local de ZTNA.
-
Puerta de enlace local de ZTNA. Dispositivo virtual que autentica a los usuarios y los autoriza a acceder a las aplicaciones.
-
Agente ZTNA. Agente instalado en los dispositivos. Permite a ZTNA controlar las aplicaciones locales (no solo las aplicaciones web).
Actualmente, la puerta de enlace local de ZTNA está disponible para VMware ESXi y Hyper-V.
Acerca de la configuración
Los pasos principales para configurar ZTNA son los siguientes:
- Comprobar los requisitos. Consulte Requisitos.
- Comprobar los despliegues de red disponibles. Consulte Configuración de red.
- Obtener un certificado. Consulte Obtener un certificado.
- Configurar un servicio de directorio. Este gestiona sus usuarios. Consulte Configurar un servicio de directorio.
- Sincronizar los usuarios. Esto importa los usuarios en Sophos Central. Consulte Sincronizar usuarios en Sophos Central.
- Configurar un proveedor de identidad (IDP). Este autentica a los usuarios. Consulte Configurar un proveedor de identidad.
- Configurar una puerta de enlace local. Esta controla el acceso a las aplicaciones. Consulte Configurar una puerta de enlace local.
- Añadir políticas. Estas establecen las condiciones de acceso. Consulte Añadir políticas.
- Añadir la configuración de DNS. Consulte Añadir la configuración de DNS.
- Instalar el agente ZTNA. Este controla el acceso a las aplicaciones locales. Consulte Instalar el agente ZTNA.
- Añadir recursos. Esto hace que las aplicaciones estén disponibles y le permite especificar qué usuarios pueden acceder a ellas. Consulte Añadir recursos.
Sophos ZTNA consta de los siguientes componentes:
-
Sophos Central. Esta herramienta de administración le permite configurar una puerta de enlace. Luego, Sophos gestiona esa puerta de enlace.
-
Puerta de enlace de Sophos Cloud de ZTNA. Una puerta de enlace en la nube con plano de datos protegido por Sophos que proporciona acceso a recursos internos. Se compone de Sophos Cloud y la puerta de enlace. Debe desplegar la puerta de enlace en los centros de datos que alojan recursos. Estas puertas de enlace conectan Sophos Cloud y los recursos de su centro de datos.
Cuando despliega su puerta de enlace de Sophos Cloud, configura el punto de presencia de su puerta de enlace. Para obtener la mejor latencia y conectividad, elija el punto de presencia más cercano al centro de datos en el que aloja sus recursos.
-
Agente ZTNA. Agente instalado en los dispositivos. Permite a ZTNA controlar las aplicaciones locales (no solo las aplicaciones web).
Actualmente, la puerta de enlace de Sophos Cloud de ZTNA está disponible para VMware ESXi y Hyper-V.
Acerca de la configuración
Los pasos principales para configurar ZTNA son los siguientes:
- Comprobar los requisitos. Consulte Requisitos.
- Obtener un certificado. Consulte Obtener un certificado.
- Configurar un servicio de directorio. Este gestiona sus usuarios. Consulte Configurar un servicio de directorio.
- Sincronizar los usuarios. Esto importa los usuarios en Sophos Central. Consulte Sincronizar usuarios en Sophos Central.
- Configurar un proveedor de identidad (IDP). Este autentica a los usuarios. Consulte Configurar un proveedor de identidad.
- Configurar una puerta de enlace de Sophos Cloud. Esta controla el acceso a las aplicaciones. Consulte Configurar una puerta de enlace de Sophos Cloud.
- Añadir políticas. Estas establecen las condiciones de acceso. Consulte Añadir políticas.
- Añadir la configuración de DNS. Consulte Añadir la configuración de DNS.
- Instalar el agente ZTNA. Este controla el acceso a las aplicaciones locales. Consulte Instalar el agente ZTNA.
- Añadir recursos. Esto hace que las aplicaciones estén disponibles y le permite especificar qué usuarios pueden acceder a ellas. Consulte Añadir recursos.