Aller au contenu

Configurer une passerelle locale

Configurez une passerelle locale ZTNA qui contrôlera l’accès aux ressources de votre réseau.

Les étapes diffèrent en fonction du serveur sur lequel vous souhaitez héberger la passerelle : VMware ESXi, sur Microsoft Hyper-V ou sur Amazon Web Services.

Avertissement

Les passerelles AWS arrivent à la fin de leur cycle de vie le 31 mars 2024. Voir le Calendrier de retrait de produits du marché. Vous pouvez déployer SFOS sur AWS et migrer les ressources vers cette passerelle pour vous assurer que les utilisateurs ont toujours accès aux applis après cette date.

Avertissement

Ne configurez pas les passerelles pour qu’elles fonctionnent dans les sous-réseaux utilisés pour les services internes. Dans ce cas, vous risquez de ne pas pouvoir accéder aux applications. Ces sous-réseaux sont les suivants : 10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16.

Avertissement

Ne configurez pas d’adresses IPv6 pour vos passerelles et n’autorisez pas l’assignation d’adresses IPv6 DHCP aux terminaux. En effet, IPv6 n’est pas pris en charge.

Remarque

Dans Amazon Web Services, des coûts supplémentaires sont associés à votre configuration. Votre licence ZTNA ne couvre pas ces coûts.

Conseil

Si vos utilisateurs ont besoin d’accéder aux ressources ZTNA à partir du même réseau utilisé par la passerelle ZTNA, ajoutez une règle SNAT de type MASQ pour empêcher le routage asymétrique.

Retrouvez des instructions détaillées en cliquant sur l’onglet correspondant à votre hôte ci-dessous.

Une passerelle est configurée sur ESXi en deux étapes :

  • Téléchargez une image de passerelle (fichier OVA) et déployez-la dans ESXi.

  • Ajoutez des paramètres de passerelle dans Sophos Central pour générer un fichier ISO (« image d’origine ») que vous utilisez pour démarrer la passerelle dans ESXi.

Vous pouvez configurer un cluster de passerelles pour garantir sa disponibilité. Pour ce faire, configurez des instances supplémentaires de la passerelle, comme décrit ici.

Remarque

Assurez-vous que l’heure et la date définies sur l’hôte VMware ESXi sont correctes. Vous devez définir le fuseau horaire sur UTC. La passerelle ZTNA rencontre des problèmes si vous ne réglez pas l’heure correctement. Voir Conditions requises.

Si vous utilisez un proxy à deux bras, consultez Configuration du réseau.

Télécharger et déployer l’image

  1. Dans Sophos Central, allez dans Appareils > Programmes d’installation.

  2. Trouvez Zero Trust Network Access.

    1. Cliquez sur le lien de téléchargement d’une image de passerelle.
    2. Acceptez le contrat de licence et (si vous y êtes invité) les formulaires de conformité d’exportation du logiciel.
    3. L’image de passerelle est téléchargée. Il s’agit d’une image OVA générique de la passerelle ZTNA pour les serveurs VMware ESXi. Vous pouvez la réutiliser autant de fois que vous le souhaitez.

    Page de téléchargements.

  3. Déployez l’image OVA sur votre hôte ESXi. Dans VMware vSphere, cliquez avec le bouton droit de la souris sur l’hôte et sélectionnez Déployer le modèle OVA. Cet assistant vous guide tout au long du déploiement.

    Avertissement

    Désactivez l’option de mise sous tension automatique (par défaut sur ESXi) ou empêchez la passerelle ZTNA de démarrer une fois que vous avez terminé. Si vous ne le faites pas, la passerelle démarrera sans les fichiers ISO et vous devrez recommencer.

    Page de déploiement dans VMware vSphere.

Ajouter des paramètres et démarrer la passerelle

  1. Retournez dans Sophos Central et allez dans Mes produits > ZTNA > Passerelles. Cliquez sur Ajouter une passerelle.

    Page Passerelles.

  2. Pour le Mode de passerelle, sélectionnez Local.

    Mode de passerelle « Local » sélectionné.

  3. Dans Ajouter une passerelle, procédez de la manière suivante :

    1. Saisissez un nom de passerelle et son FQDN.
    2. Saisissez le domaine des ressources (applis).
    3. Dans Type de plate-forme, sélectionnez VMware ESXi.

    4. Sélectionnez le Mode de déploiement.

      • Le mode un bras utilise l’interface externe pour le trafic entrant et sortant.
      • Le mode deux bras utilise des interfaces externes et internes.

    5. Saisissez les paramètres de l’Interface.

      • Si vous sélectionnez DHCP, définissez une réservation sur le serveur DHCP.

        Avertissement

        La passerelle ne peut pas gérer les modifications de son adresse IP. Vous devez définir une réservation pour vous assurer qu’elle conserve toujours l’adresse IP initiale assignée par DHCP.

      • Si vous sélectionnez IP statique, spécifiez l’adresse IP, le sous-réseau et les paramètres du serveur DNS.

      Dans un déploiement à deux bras, vous devez spécifier des Routes statiques si des applis sont hébergées sur plusieurs réseaux internes.

    6. Téléchargez les certificats que vous avez créés précédemment.

    7. Cliquez sur Enregistrer et générer le fichier.

    Remarque

    Cette version ne prend en charge qu’un seul certificat générique.

    Boîte de dialogue Ajouter une passerelle.

  4. Sur la page Passerelles, l’état de la passerelle affiche Déploiement en attente.

    L’image ISO de départ est prête pour le téléchargement. Vous en aurez besoin pour démarrer la passerelle et terminer le processus d’enregistrement. L’ISO est unique pour chaque passerelle. Vous ne pouvez pas la réutiliser.

    Remarque

    Avant de télécharger l’image, nous vous suggérons de créer un cluster de passerelle. Si vous ne souhaitez pas créer de cluster, passez à l’étape 6.

    Page Passerelles affichant l’état de la passerelle..

  5. Cliquez sur votre nouvelle passerelle pour ouvrir sa page de détails. Cliquez sur Ajouter/Modifier des instances.

    Page Détails de la passerelle.

  6. Dans Ajouter/Modifier des instances, procédez de la manière suivante.

    1. Cliquez sur Ajouter une autre instance. La mise en cluster s’active automatiquement.

    2. Saisissez une Adresse IP virtuelle de cluster. Utilisé pour la gestion de cluster et l’équilibrage de charge. Il doit se trouver dans la même plage IP que les instances de passerelle.

      Dans un déploiement à deux bras, le VIP de cluster externe est destiné uniquement à l’équilibrage de charge. Si vous utilisez un équilibreur de charge externe, laissez ce champ vide.

    3. Saisissez un Nom de machine virtuelle et une Adresse IP d’interface pour la nouvelle instance.

      Dans un déploiement à deux bras, saisissez une adresse IP d’interface interne et externe.

    4. Répétez le processus pour ajouter une autre instance.

      Remarque

      Vous devez avoir au moins trois instances pour un cluster. Vous pouvez avoir jusqu’à neuf instances, mais vous devez toujours avoir un nombre impair.

      Remarque

      Pour maintenir votre cluster actif, assurez-vous qu’au moins la moitié des passerelles qu’il contient sont actives.

    Boîte de dialogue Ajouter/Modifier des instances.

  7. Téléchargez chaque fichier ISO et montez-le sur votre hôte. Connectez-le ensuite à la passerelle, de la manière suivante :

    1. Accédez à VMware vSphere.
    2. Cliquez avec le bouton droit de la souris sur la machine virtuelle de passerelle et sélectionnez Modifier les paramètres.
    3. Dans l’onglet Matériel, dans Lecteur de CD/DVD, assurez-vous que le fichier ISO est affiché et sélectionnez Connecter.
    4. Dans État, sélectionnez Connecter dès la mise en marche.
    5. Cliquez sur Enregistrer.

    Si un appareil en série est répertorié dans le matériel virtuel, vous pouvez le supprimer en toute sécurité.

    Lorsque la passerelle démarre avec le fichier ISO, elle contacte Sophos Central pour s’inscrire.

    Onglet Matériel virtuel dans VMware vSphere.

  8. Retournez dans Sophos Central. Sur la page Passerelles, l’état de la passerelle devient En attente de validation.

    Lorsque vous y êtes invité, validez l’enregistrement de la passerelle.

    Ceci peut prendre jusqu’à 10 minutes. L’état de la passerelle passe alors à Connecté. Si vous le souhaitez, une option vous permet de créer un mot de passe.

    Remarque

    Si vous disposez d’un cluster d’instances de passerelle, vous approuvez uniquement l’enregistrement de la passerelle pour la première instance de passerelle. Les instances suivantes sont gérées sans approbation explicite.

    Remarque

    Le fichier ISO doit rester attaché à la passerelle. Vous ne pouvez pas le démonter une fois la passerelle démarrée.

Vous avez fini de configurer la passerelle locale.

Remarque

Si la passerelle ne peut pas se connecter à Sophos Central, accédez à VMware vSphere et exécutez les tests de diagnostic sur la machine virtuelle.

Lorsqu’une nouvelle version de machine virtuelle est disponible, une coche verte s’affiche dans la colonne version. Cliquez sur le numéro de version pour démarrer ou planifier une mise à jour. Voir Mises à jour de passerelle dans Passerelles.

Pour configurer une passerelle sur Microsoft Hyper-V, procédez comme suit :

  • Téléchargez et déployez l’image de la machine virtuelle de passerelle.

  • Ajoutez des paramètres de passerelle pour générer un fichier ISO (« image d’origine »).

  • Téléchargez le fichier ISO et démarrez la passerelle.

Télécharger et déployer l’image

  1. Dans Sophos Central, allez dans Appareils > Programmes d’installation.

  2. Sous Zero Trust Network Access, cliquez sur Télécharger l’image Gateway VM pour Hyper-V.

    Un fichier ZIP contenant l’image VM est téléchargé.

    Page Protéger les appareils.

  3. Procédez à l’extraction de l’image Hyper-V de base à partir du fichier ZIP que vous avez téléchargé.

    Vous obtenez ainsi le fichier .vhdx dont vous avez besoin pour configurer la passerelle. Vous ne pouvez pas utiliser ce fichier pour déployer plusieurs machines virtuelles, mais vous pouvez en faire des copies et les utiliser pour d’autres machines virtuelles.

  4. Dans Hyper-V Manager, dans la liste Machines virtuelles, sous Actions, cliquez sur Nouveau.

    Hyper-V Manager.

  5. Saisissez le nom du VM.

    Page Définir le nom et la page d’emplacement.

  6. Sélectionnez sa génération. La Génération 1 prend en charge les systèmes d’exploitation 32 bits et 64 bits.

    Page Spécifier la génération.

  7. Dans Assigner la mémoire, saisissez au moins 4096 Mo de mémoire de démarrage.

    Page Assigner la mémoire.

  8. Dans Configurer la mise en réseau, sélectionnez une carte réseau.

    Page Configurer la mise en réseau.

  9. Dans Connecter un disque dur virtuel, sélectionnez Utiliser un disque dur virtuel existant et recherchez le fichier .vhdx que vous avez extrait du téléchargement de l’image de la VM.

    Page Connecter le disque dur virtuel.

  10. Cliquez sur Terminer.

    Page Compléter la page Nouvelle VM.

  11. Allez dans les Paramètres de la nouvelle machine virtuelle.

    1. Dans Matériel > Processeurs, définissez le Nombre de processeurs virtuels sur « 2 ».

    2. Si votre passerelle est dans un déploiement à deux bras, allez dans Carte réseau et ajoutez une autre carte à la machine virtuelle.

    Paramètres VM.

    Remarque

    Si vous utilisez des VLAN, assurez-vous de marquer vos interfaces réseau avec les ID VLAN appropriés.

  12. Cliquez sur Appliquer et sur Enregistrer.

Ajoutez les paramètres de la passerelle

  1. Retournez dans Sophos Central et allez dans Mes produits > ZTNA > Passerelles. Cliquez sur Ajouter une passerelle.

    Page Passerelles.

  2. Pour le Mode de passerelle, sélectionnez Local.

    Mode de passerelle « Local » sélectionné.

  3. Dans Ajouter une passerelle, procédez de la manière suivante :

    1. Saisissez un nom de passerelle et son FQDN.
    2. Saisissez le domaine des ressources (applis).
    3. Dans Type de plate-forme, sélectionnez Hyper-V.

    4. Sélectionnez le Mode de déploiement.

      • Le mode un bras utilise l’interface externe pour le trafic entrant et sortant.
      • Le mode deux bras utilise des interfaces externes et internes.

    5. Saisissez les paramètres de l’Interface.

      • Si vous sélectionnez DHCP, définissez une réservation sur le serveur DHCP.

        Avertissement

        La passerelle ne peut pas gérer les modifications de son adresse IP. Vous devez définir une réservation pour vous assurer qu’elle conserve toujours l’adresse IP initiale assignée par DHCP.

      • Si vous sélectionnez IP statique, saisissez l’adresse IP, un sous-réseau et les paramètres du serveur DNS.

      Dans un déploiement à deux bras, vous devez spécifier des Routes statiques si des applis sont hébergées sur plusieurs réseaux internes.

    6. Téléchargez les certificats que vous avez créés précédemment.

    7. Cliquez sur Enregistrer et générer le fichier.

    Remarque

    Cette version ne prend en charge qu’un seul certificat générique.

    Boîte de dialogue Ajouter une passerelle.

  4. Sur la page Passerelles, l’état de la nouvelle passerelle affiche Déploiement en attente. Cliquez sur la passerelle pour voir plus d’informations.

    État Déploiement en attente.

  5. Dans les détails de la passerelle, vous pouvez voir que l’image ISO est prête pour le téléchargement. Vous en aurez besoin pour démarrer la passerelle. L’ISO est unique pour chaque passerelle. Vous ne pouvez pas la réutiliser.

    Avant de télécharger l’image, nous vous suggérons de créer un cluster de passerelles. Si vous ne voulez pas de cluster, passez à la section « Télécharger les fichiers ISO et démarrer la passerelle ».

    Détails de la nouvelle passerelle.

  6. Dans les détails de la passerelle, cliquez sur Ajouter/Modifier des instances.

    Page Détails de la passerelle.

  7. Dans Ajouter/Modifier des instances, cliquez sur Ajouter une autre instance. La mise en cluster s’active automatiquement.

    Boîte de dialogue Ajouter/Modifier des instances.

  8. Saisissez les détails de la nouvelle instance comme suit :

    1. Saisissez une Adresse IP virtuelle de cluster. Utilisé pour la gestion de cluster et l’équilibrage de charge. Il doit s’agir d’une adresse IP que vous n’avez pas utilisée auparavant dans cette configuration, et elle doit se trouver dans la même plage d’adresses IP que les instances de passerelle.

      Conseil

      Dans un déploiement à deux bras, l’adresse IP de l’interface externe est utilisée uniquement pour l’équilibrage de charge. Si vous utilisez un équilibreur de charge externe, laissez ce champ vide.

    2. Saisissez un Nom de machine virtuelle et une Adresse IP d’interface pour la nouvelle instance.

      Dans un déploiement à deux bras, saisissez une adresse IP d’interface interne et externe.

    3. Répétez le processus pour ajouter une autre instance.

      Remarque

      Vous devez avoir au moins trois instances pour un cluster. Vous pouvez avoir jusqu’à neuf instances, mais vous devez toujours avoir un nombre impair.

      Remarque

      Pour maintenir votre cluster actif, assurez-vous qu’au moins la moitié des passerelles qu’il contient sont actives.

    Détails de l’instance.

Ensuite, téléchargez les fichiers ISO et démarrez la passerelle.

Télécharger les fichiers ISO et démarrer la passerelle

Téléchargez le fichier ISO pour chaque instance, joignez-le à la machine virtuelle de passerelle et démarrez la passerelle, comme suit :

  1. Dans les détails de la passerelle, accédez à chaque instance et cliquez sur Télécharger l’image.

    Instances de passerelle avec téléchargements.

  2. Dans Hyper-V Manager, accédez aux Paramètres de la machine virtuelle. Dans le Lecteur DVD, procédez de la manière suivante :

    1. Dans Contrôleur, sélectionnez IDE Controller 1.
    2. Dans Support, sélectionnez Fichier image et saisissez le chemin d’accès à l’ISO d’origine.
    3. Cliquez sur Appliquer et sur Enregistrer.

    Remarque

    Le fichier ISO doit rester attaché à la passerelle. Vous ne pouvez pas le démonter une fois la passerelle démarrée.

    Lecteur de DVD VM.

  3. Mettez sous tension les instances de passerelle. Patientez quelques minutes.

  4. Dans Sophos Central, allez dans Mes produits > ZTNA > Passerelles et cliquez sur la nouvelle passerelle pour ouvrir sa page de détails.

    L’état de la passerelle passe à En attente de validation de la passerelle. Cliquez sur Approuver.

    État de la passerelle avec le bouton Approuver.

    Remarque

    Si vous disposez d’un cluster d’instances de passerelle, vous approuvez uniquement l’enregistrement de la passerelle pour la première instance de passerelle. Les instances suivantes sont gérées sans approbation explicite.

  5. L’état de la passerelle passe alors sur Activé.

Vous avez fini de configurer la passerelle locale.

Remarque

Si la passerelle ne peut pas se connecter à Sophos Central, allez dans le Gestionnaire Hyper-V et exécutez les tests de diagnostic sur la machine virtuelle.

Lorsqu’une nouvelle version de machine virtuelle est disponible, une coche verte s’affiche dans la colonne version. Cliquez sur le numéro de version pour démarrer ou planifier une mise à jour. Voir Mises à jour de passerelle dans Passerelles.

Pour configurer une passerelle ZTNA dans Amazon Web Services (AWS), procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Mes produits > ZTNA > Passerelles.

    Menu ZTNA.

  2. Sur la page Passerelles, cliquez sur Ajouter une passerelle.

    Page Passerelles.

  3. Pour le Mode de passerelle, sélectionnez Local.

    Mode de passerelle « Local » sélectionné.

  4. Dans la boîte de dialogue Ajouter une passerelle, ajoutez vos détails de la manière suivante :

    1. Saisissez le nom de la passerelle et le FQDN.
    2. Saisissez le domaine des ressources (applications).
    3. Dans Type de plate-forme, sélectionnez Amazon Web Services.
    4. Dans Fournisseur d’identité, sélectionnez le fournisseur d’identité que vous avez configuré précédemment.
    5. Téléchargez les certificats que vous avez créés précédemment.
    6. Cliquez sur Enregistrer.

    Ajouter une passerelle.

  5. Sur la page Passerelles, vous voyez maintenant la nouvelle passerelle. Cliquez sur le lien Lancer la pile à côté de la passerelle.

    Passerelle avec le lien Lancer la pile.

Créer une pile dans AWS

Dans AWS, sous CloudFormation, vous voyez le modèle à utiliser pour la Création rapide de pile. Nous l’avons déjà partiellement configuré. Suivez les étapes ci-dessous pour le terminer.

  1. Sur la page Création rapide de pile, procédez de la manière suivante :

    1. Sélectionnez une région AWS (en haut à droite de l’écran).
    2. Dans Nom de la pile, saisissez un nom personnalisé.

    Modèle de pile.

  2. Dans Configuration de base, sélectionnez deux ou trois zones de disponibilité pour garantir la disponibilité de la passerelle.

    Configuration de base de la pile.

  3. Dans Configuration du réseau VPC, procédez de la manière suivante :

    1. Définissez le nombre de zones de disponibilité. Il doit correspondre au nombre de zones que vous avez sélectionné à l’étape précédente.
    2. Assurez-vous que les sous-réseaux ne sont pas en conflit avec les ressources existantes.
    3. Dans MaxNumberOfNodes, définissez le nombre maximum de nœuds. La valeur par défaut est trois.
    4. Dans NodeInstanceType, sélectionnez le type d’instance EC2 à utiliser.
    5. Dans NumberOfNodes, définissez le nombre de nœuds souhaité. La valeur par défaut est un pour chaque zone de disponibilité.

    La mise à l’échelle automatique n’est actuellement pas disponible pour ZTNA.

    Configuration du réseau VPC.

  4. Cliquez sur Créer une pile et attendez la fin du processus. Cette opération peut prendre jusqu’à 1 heure. Lorsque vous avez terminé, votre nouvelle pile se trouve dans votre liste de piles AWS et les détails s’affichent comme ceci.

    Nouvelle pile ZTNA.

  5. Dans Sophos Central, accédez à la nouvelle passerelle. Cliquez sur Approuver.

    Ceci peut prendre jusqu’à 10 minutes. L’état de la passerelle passe alors à Connecté.

    Page Détails de la passerelle.

    Remarque

    Si vous disposez d’un cluster d’instances de passerelle, vous approuvez uniquement l’enregistrement de la passerelle pour la première instance de passerelle. Les instances suivantes sont gérées sans approbation explicite.

Configurer votre nouveau VPC

Configurez le VPC de la manière suivante :

  1. Dans AWS, accédez à Virtual Private Cloud > Vos VPC.

    Menu AWS VPCS.

  2. Accédez à votre nouveau VPC et recherchez l’ID du VPC. Vous pouvez utiliser cette ID pour rechercher les autres composants que vous avez créés.

    Nouveaux détails VPC.

  3. Accédez à vos instances EC2 et recherchez les instances avec la nouvelle ID du VPC. Cette opération permet de trouver les instances qui constituent le cluster de passerelle ZTNA. Renommez-les.

    Des instances EC2.

    Remarque

    Pour maintenir votre cluster actif, assurez-vous qu’au moins la moitié des passerelles qu’il contient sont actives.

  4. Dans Équilibrage de charge, utilisez l’ID du VPC pour trouver l’équilibreur de charge pour ZTNA. Ouvrez ses détails et copiez le Nom DNS. Vous en aurez besoin pour créer un enregistrement DNS public (CNAME) pour la passerelle, qui pointe vers l’équilibreur de charge.

    Équilibreur de charge AWS.

Créer une connexion de peering

La passerelle est toujours dans un nouveau VPC. Vous devez donc utiliser le peering pour le connecter au VPC où se trouvent vos applications.

  1. Allez dans VPC > Connexions de peering. Cliquez sur Créer une connexion de peering et procédez de la manière suivante :

    1. Dans ID du VPC (demandeur), sélectionnez l’ID de la passerelle ZTNA.
    2. Dans ID du VPC (Accepter), sélectionnez le VPC où se trouvent vos ressources.
    3. Cliquez sur Créer une connexion de peering.

    Connexion de peering VPC.

  2. Allez dans Sous-réseaux et ajoutez le sous-réseau de vos ressources et les sous-réseaux privés de votre passerelle aux tables de routage. Cela permet à ZTNA d’utiliser la connexion de peering pour se connecter aux ressources.

    Page sous-réseaux.

Vous avez fini de configurer la passerelle locale.

Lorsqu’une nouvelle version de machine virtuelle est disponible, une coche verte s’affiche dans la colonne version. Cliquez sur le numéro de version pour démarrer ou planifier une mise à jour. Voir Mises à jour de passerelle dans Passerelles.

Vous allez ensuite ajouter des paramètres DNS.