Aller au contenu

Configurer une passerelle Sophos Cloud

Configurez maintenant une passerelle Sophos Cloud qui contrôlera l’accès aux ressources de votre réseau.

Les étapes diffèrent en fonction du serveur sur lequel vous souhaitez héberger la passerelle : VMware ESXi, sur Microsoft Hyper-V ou sur Amazon Web Services. Vous pouvez également configurer une passerelle sur vos appareils SFOS gérés de manière centralisée.

Avertissement

Les passerelles AWS arrivent à la fin de leur cycle de vie le 31 mars 2024. Voir le Calendrier de retrait de produits du marché. Vous pouvez déployer SFOS sur AWS et migrer les ressources vers cette passerelle pour vous assurer que les utilisateurs ont toujours accès aux applis après cette date.

Avertissement

Ne configurez pas les passerelles pour qu’elles fonctionnent dans les sous-réseaux utilisés pour les services internes. Dans ce cas, vous risquez de ne pas pouvoir accéder aux applications. Ces sous-réseaux sont les suivants : 10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16.

Avertissement

Ne configurez pas d’adresses IPv6 pour vos passerelles et n’autorisez pas l’assignation d’adresses IPv6 DHCP aux terminaux. En effet, IPv6 n’est pas pris en charge.

Remarque

Dans Amazon Web Services, des coûts supplémentaires sont associés à votre configuration. Votre licence ZTNA ne couvre pas ces coûts.

Conseil

Si vos utilisateurs ont besoin d’accéder aux ressources ZTNA à partir du même réseau utilisé par la passerelle ZTNA, ajoutez une règle SNAT de type MASQ pour empêcher le routage asymétrique.

Retrouvez des instructions détaillées en cliquant sur l’onglet correspondant à votre hôte ci-dessous.

Pour configurer une passerelle Sophos Cloud sur ESXi, procédez de la manière suivante :

  • Téléchargez et déployez l’image de la machine virtuelle.

  • Validez votre domaine.

  • Ajoutez les paramètres de la passerelle et les instances.

  • Téléchargez les images et démarrez la VM (machine virtuelle).

Remarque

Assurez-vous que l’heure et la date définies sur l’hôte VMware ESXi sont correctes. Vous devez définir le fuseau horaire sur UTC. La passerelle ZTNA rencontre des problèmes si vous ne réglez pas l’heure correctement. Voir Conditions requises.

Si vous utilisez un proxy à deux bras, consultez Configuration du réseau.

Télécharger et déployer l’image

  1. Dans Sophos Central, allez dans Appareils > Programmes d’installation.

  2. Trouvez Zero Trust Network Access.

    1. Cliquez sur le lien de téléchargement d’une image de passerelle.
    2. Acceptez le contrat de licence et (si vous y êtes invité) les formulaires de conformité d’exportation du logiciel.
    3. L’image de passerelle est téléchargée. Il s’agit d’une image OVA générique de la passerelle ZTNA pour les serveurs VMware ESXi. Vous pouvez la réutiliser autant de fois que vous le souhaitez.

    Page de téléchargements.

  3. Déployez l’image OVA sur votre hôte ESXi. Dans VMware vSphere, cliquez avec le bouton droit de la souris sur l’hôte et sélectionnez Déployer le modèle OVA. Cet assistant vous guide tout au long du déploiement.

    Avertissement

    Désactivez l’option de mise sous tension automatique (par défaut sur ESXi) ou empêchez la passerelle ZTNA de démarrer une fois que vous avez terminé. Si vous ne le faites pas, la passerelle démarrera sans les fichiers ISO et vous devrez recommencer.

    Page de déploiement dans VMware vSphere.

Valider le domaine

  1. Dans Sophos Central, allez dans Mes produits > ZTNA > Paramètres.

  2. Cliquez sur Domaines.

  3. Cliquez sur Ajouter un domaine et ajoutez votre nom de domaine, puis cliquez sur Ajouter.

    Les informations concernant votre domaine s’afficheront dans le tableau des domaines. Un enregistrement TXT est généré pour votre domaine.

  4. Sur votre serveur DNS, ajoutez l’enregistrement TXT de votre domaine.

    Attendez quelques minutes avant de passer à l’étape suivante.

  5. Retournez dans Sophos Central et allez dans Mes produits > ZTNA > Paramètres > Domaines et cliquez sur Valider.

    L’état de votre domaine passe à « Validé ».

Ajouter des paramètres de passerelle et des instances

  1. Cliquez sur Ajouter une passerelle.

  2. Pour le Mode passerelle, sélectionnez Sophos Cloud.

    Mode passerelle Sophos Cloud sélectionné.

  3. Saisissez un nom de passerelle et son FQDN.

    Remarque

    Assurez-vous que le nom de domaine complet de la passerelle est le même que celui que vous avez spécifié sur la page Enregistrer une application. Voir Enregistrer l’appli ZTNA.

  4. Sélectionnez votre Domaine (validé).

  5. Sélectionnez VMware ESXi comme Type de plate-forme.

  6. Sélectionnez votre Fournisseur d’identité.

  7. Sous Points de présence, sélectionnez votre Région.

    Sélectionnez la région la plus proche de votre centre de données pour réduire la latence.

  8. Sélectionnez le Mode de déploiement.

    • Le mode un bras utilise l’interface externe pour le trafic entrant et sortant.
    • Le mode deux bras utilise des interfaces externes et internes.
  9. Saisissez les paramètres de l’Interface.

    • Si vous sélectionnez DHCP, définissez une réservation sur le serveur DHCP.

      Avertissement

      La passerelle ne peut pas gérer les modifications de son adresse IP. Vous devez définir une réservation pour vous assurer qu’elle conserve toujours l’adresse IP initiale assignée par DHCP.

    • Si vous sélectionnez IP statique, spécifiez l’adresse IP, le sous-réseau et les paramètres du serveur DNS.

      Dans un déploiement à deux bras, vous devez spécifier des Routes statiques si des applis sont hébergées sur plusieurs réseaux internes.

  10. Téléchargez les certificats que vous avez créés précédemment. Voir Obtenir un certificat.

  11. Cliquez sur Enregistrer et générer le fichier.

    Une fenêtre contextuelle Passerelle ajoutée s’ouvre et affiche Domaine d’alias de la passerelle. Plus tard, vous devrez ajouter ce nom de domaine d’alias à votre serveur DNS public en tant qu’entrée CNAME. Voir Ajouter les paramètres DNS.

  12. Cliquez sur Copier.

    Votre passerelle s’affiche sur la page Passerelles. Voici un exemple :

    Résumé de la passerelle.

  13. Cliquez sur le Nom de votre passerelle.

    Vous serez redirigé vers la page Détails de la passerelle.

  14. Dans les détails de la passerelle, vous pouvez voir que l’image ISO est prête pour le téléchargement. Vous en aurez besoin pour démarrer la passerelle. L’ISO est unique pour chaque passerelle. Vous ne pouvez pas la réutiliser.

    Avant de télécharger l’image, nous vous suggérons de créer un cluster de passerelles. Si vous ne voulez pas de cluster, passez à la section « Télécharger les images et démarrer la machine virtuelle ».

    Détails de la nouvelle passerelle.

  15. Dans les détails de la passerelle, cliquez sur Ajouter/Modifier des instances.

    Page Détails de la passerelle.

  16. Dans Ajouter/Modifier des instances, cliquez sur Ajouter une autre instance. La mise en cluster s’active automatiquement.

    Boîte de dialogue Ajouter/Modifier des instances.

  17. Saisissez les détails de la nouvelle instance comme suit :

    1. Saisissez une Adresse IP virtuelle de cluster. Utilisé pour la gestion de cluster et l’équilibrage de charge. Il doit s’agir d’une adresse IP que vous n’avez pas utilisée auparavant dans cette configuration, et elle doit se trouver dans la même plage d’adresses IP que les instances de passerelle.

      Conseil

      Dans un déploiement à deux bras, l’adresse IP de l’interface externe est utilisée uniquement pour l’équilibrage de charge. Si vous utilisez un équilibreur de charge externe, laissez ce champ vide.

    2. Saisissez un Nom de machine virtuelle et une Adresse IP d’interface pour la nouvelle instance.

      Dans un déploiement à deux bras, saisissez une adresse IP d’interface interne et externe.

    3. Répétez le processus pour ajouter une autre instance.

      Remarque

      Vous devez avoir au moins trois instances pour un cluster. Vous pouvez avoir jusqu’à neuf instances, mais vous devez toujours avoir un nombre impair.

      Remarque

      Pour maintenir votre cluster actif, assurez-vous qu’au moins la moitié des passerelles qu’il contient sont actives.

    Détails de l’instance.

Ensuite, téléchargez les fichiers ISO et démarrez la passerelle.

Télécharger des images et démarrer la machine virtuelle

  1. Allez dans Instances de passerelle et faites défiler la page vers le bas.

    Vos instances sont affichées sous État.

  2. Téléchargez chaque fichier ISO et montez-le sur votre hôte. Connectez-le ensuite à la passerelle, de la manière suivante :

    1. Accédez à VMware vSphere.
    2. Cliquez avec le bouton droit de la souris sur la machine virtuelle de passerelle et sélectionnez Modifier les paramètres.
    3. Dans l’onglet Matériel, dans Lecteur de CD/DVD, assurez-vous que le fichier ISO est affiché et sélectionnez Connecter.
    4. Dans État, sélectionnez Connecter dès la mise en marche.
    5. Cliquez sur Enregistrer.

    Si un appareil en série est répertorié dans le matériel virtuel, vous pouvez le supprimer en toute sécurité.

    Lorsque la passerelle démarre avec le fichier iso, elle contacte Sophos Central pour s’inscrire.

    Onglet Matériel virtuel dans VMware vSphere.

  3. Retournez dans Sophos Central. Sur la page Passerelles, l’état de la passerelle devient En attente de validation.

    Lorsque vous y êtes invité, validez l’enregistrement de la passerelle en cliquant sur Approuver.

    Ceci peut prendre jusqu’à 10 minutes. L’état de la passerelle passe alors à Actif et Connecté. Si vous le souhaitez, une option vous permet de créer un mot de passe.

    Remarque

    Si vous disposez d’un cluster d’instances de passerelle, vous approuvez uniquement l’enregistrement de la passerelle pour la première instance de passerelle. Les instances suivantes sont gérées sans approbation explicite.

    Remarque

    Le fichier ISO doit rester attaché à la passerelle. Vous ne pouvez pas le démonter une fois la passerelle démarrée.

    Remarque

    Si la passerelle ne peut pas se connecter à Sophos Central, accédez à VMware vSphere et exécutez les tests de diagnostic sur la machine virtuelle.

    Lorsqu’une nouvelle version de machine virtuelle est disponible, une coche verte s’affiche dans la colonne version. Cliquez sur le numéro de version pour démarrer ou planifier une mise à jour. Voir Mises à jour de passerelle dans Passerelles.

Vous avez fini de configurer la passerelle Sophos Cloud.

Pour configurer une passerelle Sophos Cloud sur Microsoft Hyper-V, procédez comme suit :

  • Téléchargez et déployez l’image de la machine virtuelle.

  • Validez votre domaine.

  • Ajoutez des paramètres de passerelle pour générer un fichier ISO (« image d’origine »).

  • Téléchargez le fichier ISO et démarrez la passerelle.

Télécharger et déployer l’image

  1. Dans Sophos Central, allez dans Appareils > Programmes d’installation.

  2. Sous Zero Trust Network Access, cliquez sur Télécharger l’image Gateway VM pour Hyper-V.

    Un fichier ZIP contenant l’image VM est téléchargé.

    Page Protéger les appareils.

  3. Procédez à l’extraction de l’image Hyper-V de base à partir du fichier ZIP que vous avez téléchargé.

    Vous obtenez ainsi le fichier .vhdx dont vous avez besoin pour configurer la passerelle. Vous ne pouvez pas utiliser ce fichier pour déployer plusieurs machines virtuelles, mais vous pouvez en faire des copies et les utiliser pour d’autres machines virtuelles.

  4. Dans Hyper-V Manager, dans la liste Machines virtuelles, sous Actions, cliquez sur Nouveau.

    Hyper-V Manager.

  5. Saisissez le nom du VM.

    Page Définir le nom et la page d’emplacement.

  6. Sélectionnez sa génération. La Génération 1 prend en charge les systèmes d’exploitation 32 bits et 64 bits.

    Page Spécifier la génération.

  7. Dans Assigner la mémoire, saisissez au moins 4096 Mo de mémoire de démarrage.

    Page Assigner la mémoire.

  8. Dans Configurer la mise en réseau, sélectionnez une carte réseau.

    Page Configurer la mise en réseau.

  9. Dans Connecter un disque dur virtuel, sélectionnez Utiliser un disque dur virtuel existant et recherchez le fichier .vhdx que vous avez extrait du téléchargement de l’image de la VM.

    Page Connecter le disque dur virtuel.

  10. Cliquez sur Terminer.

    Page Compléter la page Nouvelle VM.

  11. Allez dans les Paramètres de la nouvelle machine virtuelle.

    1. Dans Matériel > Processeurs, définissez le Nombre de processeurs virtuels sur « 2 ».

    2. Si votre passerelle est dans un déploiement à deux bras, allez dans Carte réseau et ajoutez une autre carte à la machine virtuelle.

    Paramètres VM.

    Remarque

    Si vous utilisez des VLAN, assurez-vous de marquer vos interfaces réseau avec les ID VLAN appropriés.

  12. Cliquez sur Appliquer et sur Enregistrer.

Valider le domaine

  1. Dans Sophos Central, allez dans Mes produits > ZTNA > Paramètres.

  2. Cliquez sur Domaines.

  3. Cliquez sur Ajouter un domaine et ajoutez votre nom de domaine, puis cliquez sur Ajouter.

    Les informations concernant votre domaine s’afficheront dans le tableau des domaines. Un enregistrement TXT est généré pour votre domaine.

  4. Sur votre serveur DNS, ajoutez l’enregistrement TXT de votre domaine.

    Attendez quelques minutes avant de passer à l’étape suivante.

  5. Retournez dans Sophos Central et allez dans Mes produits > ZTNA > Paramètres > Domaines et cliquez sur Valider.

    L’état de votre domaine passe à « Validé ».

Ajouter des paramètres de passerelle et des instances

  1. Cliquez sur Ajouter une passerelle.

  2. Pour le Mode passerelle, sélectionnez Sophos Cloud.

    Mode passerelle Sophos Cloud sélectionné.

  3. Saisissez un nom de passerelle et son FQDN.

    Remarque

    Assurez-vous que le nom de domaine complet de la passerelle est le même que celui que vous avez spécifié sur la page Enregistrer une application. Voir Enregistrer l’appli ZTNA.

  4. Sélectionnez votre Domaine (validé).

  5. Sélectionnez VMware ESXi comme Type de plate-forme.

  6. Sélectionnez votre Fournisseur d’identité.

  7. Sous Points de présence, sélectionnez votre Région.

    Sélectionnez la région la plus proche de votre centre de données pour réduire la latence.

  8. Sélectionnez le Mode de déploiement.

    • Le mode un bras utilise l’interface externe pour le trafic entrant et sortant.
    • Le mode deux bras utilise des interfaces externes et internes.
  9. Saisissez les paramètres de l’Interface.

    • Si vous sélectionnez DHCP, définissez une réservation sur le serveur DHCP.

      Avertissement

      La passerelle ne peut pas gérer les modifications de son adresse IP. Vous devez définir une réservation pour vous assurer qu’elle conserve toujours l’adresse IP initiale assignée par DHCP.

    • Si vous sélectionnez IP statique, spécifiez l’adresse IP, le sous-réseau et les paramètres du serveur DNS.

      Dans un déploiement à deux bras, vous devez spécifier des Routes statiques si des applis sont hébergées sur plusieurs réseaux internes.

  10. Téléchargez les certificats que vous avez créés précédemment.

  11. Cliquez sur Enregistrer et générer le fichier.

    Une fenêtre contextuelle Passerelle ajoutée s’ouvre et affiche Domaine d’alias de la passerelle. Plus tard, vous devrez ajouter ce nom de domaine d’alias à votre serveur DNS public en tant qu’entrée CNAME. Voir Ajouter les paramètres DNS.

  12. Cliquez sur Copier.

    Votre passerelle s’affiche sur la page Passerelles. Voici un exemple :

    Résumé de la passerelle.

  13. Cliquez sur le Nom de votre passerelle.

    Vous serez redirigé vers la page Détails de la passerelle.

  14. Dans les détails de la passerelle, vous pouvez voir que l’image ISO est prête pour le téléchargement. Vous en aurez besoin pour démarrer la passerelle. L’ISO est unique pour chaque passerelle. Vous ne pouvez pas la réutiliser.

    Avant de télécharger l’image, nous vous suggérons de créer un cluster de passerelles. Si vous ne voulez pas de cluster, passez à la section « Télécharger les fichiers ISO et démarrer la passerelle ».

    Détails de la nouvelle passerelle.

  15. Dans les détails de la passerelle, cliquez sur Ajouter/Modifier des instances.

    Page Détails de la passerelle.

  16. Dans Ajouter/Modifier des instances, cliquez sur Ajouter une autre instance. La mise en cluster s’active automatiquement.

    Boîte de dialogue Ajouter/Modifier des instances.

  17. Saisissez les détails de la nouvelle instance comme suit :

    1. Saisissez une Adresse IP virtuelle de cluster. Utilisé pour la gestion de cluster et l’équilibrage de charge. Il doit se trouver dans la même plage IP que les instances de passerelle.

      Dans un déploiement à deux bras, le VIP de cluster externe est destiné uniquement à l’équilibrage de charge. Si vous utilisez un équilibreur de charge externe, laissez ce champ vide.

    2. Saisissez un Nom de machine virtuelle et une Adresse IP d’interface pour la nouvelle instance.

      Dans un déploiement à deux bras, saisissez une adresse IP d’interface interne et externe.

    3. Répétez le processus pour ajouter une autre instance.

      Remarque

      Vous devez avoir au moins trois instances pour un cluster. Vous pouvez avoir jusqu’à neuf instances, mais vous devez toujours avoir un nombre impair.

      Remarque

      Pour maintenir votre cluster actif, assurez-vous qu’au moins la moitié des passerelles qu’il contient sont actives.

    Détails de l’instance.

Ensuite, téléchargez les fichiers ISO et démarrez la passerelle.

Télécharger les fichiers ISO et démarrer la passerelle

Téléchargez le fichier ISO pour chaque instance, joignez-le à la machine virtuelle de passerelle et démarrez la passerelle, comme suit :

  1. Dans les détails de la passerelle, accédez à chaque instance et cliquez sur Télécharger l’image.

    Instances de passerelle avec téléchargements.

  2. Dans Hyper-V Manager, accédez aux Paramètres de la machine virtuelle. Dans le Lecteur DVD, procédez de la manière suivante :

    1. Dans Contrôleur, sélectionnez IDE Controller 1.
    2. Dans Support, sélectionnez Fichier image et saisissez le chemin d’accès à l’ISO d’origine.
    3. Cliquez sur Appliquer et sur Enregistrer.

    Remarque

    Le fichier ISO doit rester attaché à la passerelle. Vous ne pouvez pas le démonter une fois la passerelle démarrée.

    Lecteur de DVD VM.

  3. Mettez sous tension les instances de passerelle. Patientez quelques minutes.

  4. Dans Sophos Central, allez dans Mes produits > ZTNA > Passerelles et cliquez sur la nouvelle passerelle pour ouvrir sa page de détails.

    L’état de la passerelle passe à En attente de validation de la passerelle. Cliquez sur Approuver.

    État de la passerelle avec le bouton Approuver.

    Remarque

    Si vous disposez d’un cluster d’instances de passerelle, vous approuvez uniquement l’enregistrement de la passerelle pour la première instance de passerelle. Les instances suivantes sont gérées sans approbation explicite.

  5. L’état de la passerelle passe alors sur Activé.

Vous avez fini de configurer la passerelle Sophos Cloud.

Remarque

Si la passerelle ne peut pas se connecter à Sophos Central, allez dans le Gestionnaire Hyper-V et exécutez les tests de diagnostic sur la machine virtuelle.

Lorsqu’une nouvelle version de machine virtuelle est disponible, une coche verte s’affiche dans la colonne version. Cliquez sur le numéro de version pour démarrer ou planifier une mise à jour. Voir Mises à jour de passerelle dans Passerelles.

Pour configurer une passerelle Sophos Cloud ZTNA dans Amazon Web Services (AWS), procédez de la manière suivante :

Valider le domaine

  1. Dans Sophos Central, allez dans Mes produits > ZTNA > Paramètres.

  2. Cliquez sur Domaines.

  3. Cliquez sur Ajouter un domaine et ajoutez votre nom de domaine, puis cliquez sur Ajouter.

    Les informations concernant votre domaine s’afficheront dans le tableau des domaines. Un enregistrement TXT est généré pour votre domaine.

  4. Sur votre serveur DNS, ajoutez l’enregistrement TXT de votre domaine.

    Attendez quelques minutes avant de passer à l’étape suivante.

  5. Retournez dans Sophos Central et allez dans Mes produits > ZTNA > Paramètres > Domaines et cliquez sur Valider.

    L’état de votre domaine passe à « Validé ».

Ajouter des paramètres de passerelle et des instances

  1. Cliquez sur Ajouter une passerelle.

  2. Pour le Mode passerelle, sélectionnez Sophos Cloud.

    Mode passerelle Sophos Cloud sélectionné.

  3. Saisissez un nom de passerelle et son FQDN.

Remarque

Assurez-vous que le nom de domaine complet de la passerelle est le même que celui que vous avez spécifié sur la page Enregistrer une application. Voir Enregistrer l’appli ZTNA.

  1. Sélectionnez votre Domaine (validé).

  2. Sélectionnez AWS comme Type de plate-forme.

  3. Sélectionnez votre Fournisseur d’identité.

  4. Sous Points de présence, sélectionnez votre Région.

    Sélectionnez la région la plus proche de votre centre de données pour réduire la latence.

  5. Sélectionnez le Mode de déploiement.

    • Le mode un bras utilise l’interface externe pour le trafic entrant et sortant.
    • Le mode deux bras utilise des interfaces externes et internes.
  6. Saisissez les paramètres de l’Interface.

    • Si vous sélectionnez DHCP, définissez une réservation sur le serveur DHCP.

      Avertissement

      La passerelle ne peut pas gérer les modifications de son adresse IP. Vous devez définir une réservation pour vous assurer qu’elle conserve toujours l’adresse IP initiale assignée par DHCP.

    • Si vous sélectionnez IP statique, spécifiez l’adresse IP, le sous-réseau et les paramètres du serveur DNS.

      Dans un déploiement à deux bras, vous devez spécifier des Routes statiques si des applis sont hébergées sur plusieurs réseaux internes.

  7. Téléchargez les certificats que vous avez créés précédemment.

  8. Cliquez sur Enregistrer et générer le fichier.

    Une fenêtre contextuelle Passerelle ajoutée s’ouvre et affiche Domaine d’alias de la passerelle. Plus tard, vous devrez ajouter ce nom de domaine d’alias à votre serveur DNS public en tant qu’entrée CNAME. Voir Ajouter les paramètres DNS.

  9. Cliquez sur Copier.

    Votre passerelle s’affiche sur la page Passerelles. Voici un exemple :

    Résumé de la passerelle.

  10. Cliquez sur le lien Lancer la pile à côté de la passerelle.

    Passerelle avec le lien Lancer la pile.

Créer une pile dans AWS

Dans AWS, sous CloudFormation, vous voyez le modèle à utiliser pour la Création rapide de pile. Nous l’avons déjà partiellement configuré. Suivez les étapes ci-dessous pour le terminer.

  1. Sur la page Création rapide de pile, procédez de la manière suivante :

    1. Sélectionnez une région AWS (en haut à droite de l’écran).
    2. Dans Nom de la pile, saisissez un nom personnalisé.

    Modèle de pile.

  2. Dans Configuration de base, sélectionnez deux ou trois zones de disponibilité pour garantir la disponibilité de la passerelle.

    Configuration de base de la pile.

  3. Dans Configuration du réseau VPC, procédez de la manière suivante :

    1. Définissez le nombre de zones de disponibilité. Il doit correspondre au nombre de zones que vous avez sélectionné à l’étape précédente.
    2. Assurez-vous que les sous-réseaux ne sont pas en conflit avec les ressources existantes.
    3. Dans MaxNumberOfNodes, définissez le nombre maximum de nœuds. La valeur par défaut est trois.
    4. Dans NodeInstanceType, sélectionnez le type d’instance EC2 à utiliser.
    5. Dans NumberOfNodes, définissez le nombre de nœuds souhaité. La valeur par défaut est un pour chaque zone de disponibilité.

    La mise à l’échelle automatique n’est actuellement pas disponible pour ZTNA.

    Configuration du réseau VPC.

  4. Cliquez sur Créer une pile et attendez la fin du processus. Cette opération peut prendre jusqu’à 1 heure. Lorsque vous avez terminé, votre nouvelle pile se trouve dans votre liste de piles AWS et les détails s’affichent comme ceci.

    Nouvelle pile ZTNA.

  5. Dans Sophos Central, accédez à la nouvelle passerelle. Cliquez sur Approuver.

    Ceci peut prendre jusqu’à 10 minutes. L’état de la passerelle passe alors à Connecté.

    Page Détails de la passerelle.

    Remarque

    Si vous disposez d’un cluster d’instances de passerelle, vous approuvez uniquement l’enregistrement de la passerelle pour la première instance de passerelle. Les instances suivantes sont gérées sans approbation explicite.

Configurer votre nouveau VPC

Configurez le VPC de la manière suivante :

  1. Dans AWS, accédez à Virtual Private Cloud > Vos VPC.

    Menu AWS VPCS.

  2. Accédez à votre nouveau VPC et recherchez l’ID du VPC. Vous pouvez utiliser cette ID pour rechercher les autres composants que vous avez créés.

    Nouveaux détails VPC.

  3. Accédez à vos instances EC2 et recherchez les instances avec la nouvelle ID du VPC. Cette opération permet de trouver les instances qui constituent le cluster de passerelle ZTNA. Renommez-les.

    Des instances EC2.

    Remarque

    Pour maintenir votre cluster actif, assurez-vous qu’au moins la moitié des passerelles qu’il contient sont actives.

Créer une connexion de peering

La passerelle est toujours dans un nouveau VPC. Vous devez donc utiliser le peering pour le connecter au VPC où se trouvent vos applications.

  1. Allez dans VPC > Connexions de peering. Cliquez sur Créer une connexion de peering et procédez de la manière suivante :

    1. Dans ID du VPC (demandeur), sélectionnez l’ID de la passerelle ZTNA.
    2. Dans ID du VPC (Accepter), sélectionnez le VPC où se trouvent vos ressources.
    3. Cliquez sur Créer une connexion de peering.

    Connexion de peering VPC.

  2. Allez dans Sous-réseaux et ajoutez le sous-réseau de vos ressources et les sous-réseaux privés de votre passerelle aux tables de routage. Cela permet à ZTNA d’utiliser la connexion de peering pour se connecter aux ressources.

    Page sous-réseaux.

Vous avez fini de configurer la passerelle Sophos Cloud.

Lorsqu’une nouvelle version de machine virtuelle est disponible, une coche verte s’affiche dans la colonne version. Cliquez sur le numéro de version pour démarrer ou planifier une mise à jour. Voir Mises à jour de passerelle dans Passerelles.

Les pare-feu administrés de manière centralisée peuvent fournir un accès sécurisé aux ressources internes par le biais d’une passerelle ZTNA. Pour savoir comment gérer votre pare-feu via Sophos Central, consultez Sophos Firewall : Sophos Central.

Pour configurer une passerelle Sophos Cloud qui contrôle l’accès aux ressources de votre réseau, procédez comme suit :

  1. Dans Sophos Central, allez dans Mes produits > ZTNA > Passerelles.

  2. Cliquez sur Ajouter une passerelle.

  3. Pour le Mode passerelle, sélectionnez Sophos Cloud.

  4. Saisissez un nom de passerelle et son FQDN.

    Remarque

    Assurez-vous que le nom de domaine complet de la passerelle est le même que celui que vous avez spécifié sur la page Enregistrer une application. Voir Enregistrer l’appli ZTNA.

  5. Sélectionnez votre Domaine (validé).

  6. Sélectionnez Pare-feu comme Type de plate-forme.

  7. Sous Pare-feu, sélectionnez vos pare-feu SFOS dans la liste déroulante.

    Sélectionnez le pare-feu dans la liste.

    La liste déroulante inclut uniquement les pare-feu gérés par Sophos Central à partir de la version 19.5 MR3 du firmware.

    Vous pouvez sélectionner un pare-feu actif à partir d’une paire haute disponibilité (HA), ce qui garantit le basculement du trafic et des services et minimise les temps d’arrêt ZTNA.

  8. Sélectionnez votre Fournisseur d’identité.

  9. Sous Points de présence, sélectionnez votre Région.

    Sélectionnez la région la plus proche de votre centre de données pour réduire la latence.

  10. Téléchargez les certificats que vous avez créés précédemment. Voir Obtenir un certificat.

  11. Cliquez sur Enregistrer.

    Votre passerelle s’affiche sur la page Passerelles.

    Remarque

    Votre passerelle devrait être active dans environ 5 minutes.

  12. Cliquez sur le Nom de votre passerelle.

    Vous serez redirigé vers la page Détails de la passerelle. Vous pouvez afficher et modifier les détails de votre passerelle ou supprimer votre passerelle.

Remarque

Lorsque vous configurez un fournisseur d’identité, ajoutez un nouvel URI de redirection pour la passerelle de pare-feu au format suivant : https://<gateway’s external FQDN>/ztna-oauth2/callback. Ce format diffère des autres plates-formes de passerelle.

Ajouter le portail d’administration Web de votre pare-feu en tant que ressource

Vous pouvez ajouter votre portail d’administration Web de pare-feu en tant que ressource. Ceci vous permettra de voir le Portail administrateur Web dans la liste déroulante Type de ressource aussi bien pour la méthode d’accès Agent que Sans agent.

Liste des types de ressource.

Accès sans agent

Vous pouvez définir un nom de domaine complet externe (FQDN) tel que http://firewall.xyz.com et définir le type de ressource comme Portail administrateur Web. Lorsque vous ajoutez la ressource, un domaine d’alias est généré. Ajoutez-le en tant qu’enregistrement CNAME sur votre serveur DNS public. Tout le trafic vers votre portail d’administration Web est redirigé vers le domaine alias appartenant à Sophos.

Accès avec agent

Vous pouvez ajouter tout nom de domaine complet externe de votre choix pour la ressource, et l’agent ZTNA l’interceptera. Un tunnel a été créé lorsque vous avez ajouté un enregistrement A pour la passerelle de pare-feu, et tout le trafic en direction de votre portail d’administration Web passe par le tunnel.

Migrer les ressources

Pour migrer des ressources existantes derrière une plate-forme de passerelle vers une passerelle de pare-feu, procédez comme suit :

  1. Configurer une passerelle ZTNA.
  2. Ajoutez une nouvel URI de redirection pour la passerelle de pare-feu.
  3. Modifiez vos ressources existantes. Pour cela, allez dans Ressources et accès, puis cliquez sur le nom de la ressource pour ouvrir Détails de la ressource. Pour la Passerelle, sélectionnez la passerelle du pare-feu.
  4. Si votre méthode d’accès est Sans agent, copiez le domaine alias du pare-feu et ajoutez-le à votre serveur DNS public.

Vous allez ensuite ajouter des paramètres DNS. Voir Ajouter les paramètres DNS.