Aller au contenu

Utiliser ZTNA avec ou sans agent au bureau

Vous pouvez accéder aux applications internes via ZTNA depuis votre bureau, avec un accès sans agent ou en utilisant l’agent ZTNA.

Utiliser ZTNA sans agent au bureau

Les utilisateurs travaillant au bureau accèdent normalement aux applications internes par le nom de domaine complet (FQDN), de sorte que leurs demandes sont envoyées au serveur DNS interne.

Le serveur DNS interne a des enregistrements A pour les applications internes. Ainsi l’utilisateur peut utiliser directement les applications, ce qui signifie qu’il ne passe pas par la passerelle ZTNA.

Vous pouvez envoyer des utilisateurs via ZTNA des manières suivantes :

  • Dirigez les utilisateurs vers un serveur DNS externe.
  • Ajoutez un enregistrement DNS alternatif pour l’application interne sur le serveur DNS.

Schéma réseau

Voici un exemple de schéma réseau. Les exemples suivants sont basés sur cette configuration réseau.

Diriger les utilisateurs vers le serveur DNS externe

Le moyen le plus simple de s’assurer que les utilisateurs passent par ZTNA est de configurer les appareils des utilisateurs pour qu’ils dirigent toujours vers l’adresse IP du serveur DNS externe.

Voici ce qui se passe lorsque l’utilisateur tente d’accéder à la ressource interne :

  1. L’utilisateur tente d’accéder à une application interne, help.ABC.com, via son navigateur.
  2. La requête DNS est envoyée au serveur DNS externe, 203.0.114.4.
  3. Le serveur DNS externe résout l’application, help.ABC.com, vers la passerelle ZTNA, ZTNA.ABC.com.
  4. L’utilisateur se connecte à la passerelle ZTNA pour accéder à l’application interne.

Ajouter des enregistrements DNS à votre serveur DNS interne

Si vous souhaitez diriger les utilisateurs vers l’adresse IP du serveur DNS interne, assurez-vous que le serveur DNS possède les enregistrements DNS suivants :

  • Enregistrement A CNAME qui dirige le nom de domaine complet (FQDN) externe de l’application interne vers le nom de domaine complet de la passerelle ZTNA. Exemple : help.ABC.com se résout en ZTNA.ABC.com.
  • Si les noms de domaine complets interne et externe de l’application sont identiques, modifiez le nom de domaine complet interne et mettez-le à jour dans les paramètres des ressources dans Sophos Central. Par exemple, si les noms de domaine complets interne et externe sont tous les deux help.ABC.com, remplacez le nom de domaine complet interne par help.in.ABC.com. Retrouvez plus de renseignements sur la création d’enregistrements de ressources sur Ajouter les ressources.

Voici ce qui se passe lorsque un utilisateur tente d’accéder à la ressource interne :

  1. L’utilisateur tente d’accéder à une application interne, help.ABC.com, via son navigateur.
  2. La requête DNS est envoyée au serveur DNS interne, DNS.ABC.com.
  3. Le serveur DNS interne résout l’application, help.ABC.com, vers la passerelle ZTNA, ZTNA.ABC.com.
  4. La passerelle ZTNA transmet la demande à l’application à l’aide de sa seconde entrée d’enregistrement A, help.in.ABC.com. Cela empêche une boucle (help.ABC.com à ZTNA.ABC.com puis retour à help.ABC.com).
  5. L’utilisateur se connecte à la passerelle ZTNA pour accéder à l’application interne.

Utiliser l’agent ZTNA au bureau

Les utilisateurs travaillant au bureau accèdent normalement aux applications internes par le nom de domaine complet (FQDN), de sorte que leurs demandes sont envoyées au serveur DNS interne.

Toutefois, lorsque les utilisateurs ont installé l’agent ZTNA sur leurs appareils, l’agent ZTNA intercepte la requête DNS, qui est envoyée à la passerelle ZTNA.

Accès basé sur IP

Si un utilisateur tente d’accéder à une ressource interne en saisissant son adresse IP dans le navigateur, il accède directement à la ressource, en contournant ZTNA. Pour vous assurer que les utilisateurs accèdent à la ressource interne par nom de domaine complet (FQDN), vous pouvez ajouter des règles de pare-feu.

Voici un exemple de règle de pare-feu configurée sur Sophos Firewall.

Cette règle permet aux utilisateurs d’accéder à la passerelle ZTNA de partout et leur refuse l’accès aux autres serveurs d’applications. Ceci signifie qu’ils doivent passer par ZTNA pour accéder aux serveurs d’applications qui hébergent leurs ressources.

Cette règle s’applique dans les cas avec agent et sans agent lorsqu’un utilisateur tente d’accéder directement à une ressource à l’aide d'une adresse IP.