Aller au contenu

Conditions requises

Avant de configurer ZTNA, vérifiez que vous remplissez toutes les conditions requises suivantes.

Certificat générique

Vous avez besoin d’un certificat générique pour la passerelle ZTNA. Veuillez utiliser l’un des éléments suivants :

  • Un certificat émis par Let’s Encrypt.
  • Un certificat émis par une autorité de certification approuvée.

Ce guide vous explique comment obtenir un certificat.

Hôte de passerelle

Vous pouvez héberger une passerelle ZTNA sur un serveur ESXi, un serveur Hyper-V ou sur Amazon Web Services.

Avertissement

Les passerelles AWS arrivent à la fin de leur cycle de vie le 31 mars 2024. Voir le Calendrier de retrait de produits du marché. Vous pouvez déployer SFOS sur AWS et migrer les ressources vers cette passerelle pour vous assurer que les utilisateurs ont toujours accès aux applis après cette date.

Serveur ESXi

Si vous hébergez la passerelle sur un serveur ESXi, vous devez satisfaire aux exigences suivantes :

  • Hyperviseur VMware vSphere (ESXi) à partir de la version 6.5.
  • 2 cœurs, 4 Go de RAM et 80 Go d’espace disque.

Vous devez vous assurer que la date et l’heure sont correctes. La passerelle ZTNA se synchronise avec l’heure de l’hôte et rencontre des problèmes si elle est incorrecte.

Remarque

Vous devez définir le fuseau horaire sur UTC.

Sur votre hôte ESXi, allez dans Gestion > Système > Heure et date, puis cliquez sur Modifier les paramètres pour définir l’heure.

Paramètres d’heure ESXi.

Serveur Hyper-V

Si vous hébergez la passerelle sur un serveur Hyper-V, vous devez satisfaire aux exigences suivantes :

  • Hyper-V Server s’exécutant sur Windows Server 2016 ou version ultérieure.
  • 2 cœurs, 4 Go de RAM et 80 Go d’espace disque.

Vous devez vous assurer que la date et l’heure sont correctes. La passerelle ZTNA se synchronise avec l’heure de l’hôte et rencontre des problèmes si elle est incorrecte.

Remarque

Vous devez définir le fuseau horaire sur UTC.

Amazon Web Services

Si vous souhaitez héberger la passerelle sur Amazon Web Services (AWS), il vous faudra un compte AWS.

Gestion DNS

Veuillez configurer les paramètres de votre serveur DNS. Voir Ajouter les paramètres DNS.

Service d’annuaire

Vous avez besoin d’un service d’annuaire pour gérer les groupes d’utilisateurs utilisés par ZTNA. Vous pouvez utiliser Microsoft Entra ID (Azure AD) ou Active Directory.

Microsoft Entra ID (Azure AD)

Vous avez besoin d’un compte Microsoft Entra ID (Azure AD) avec des groupes d’utilisateurs configurés et synchronisés avec Sophos Central. Ce guide vous explique comment installer et synchroniser ces groupes.

La sécurité de vos groupes d’utilisateurs doit être activée. Les groupes créés dans Microsoft Entra ID (Azure AD) sont automatiquement activés pour la sécurité, mais les groupes créés à partir du portail Microsoft 365 ou importés à partir d’AD ne le sont pas.

Vous pouvez également utiliser Microsoft Entra ID (Azure AD) en tant que fournisseur d’identité

Active Directory

Vous avez besoin d’un compte Active Directory avec des groupes d’utilisateurs configurés et synchronisés avec Sophos Central. Retrouvez plus de renseignements à la section Configuration de la synchronisation avec Active Directory dans l’aide de Sophos Central Admin.

Si vous utilisez Active Directory, vous aurez besoin d’un fournisseur d’identité distinct, tel qu’Okta.

Fournisseur d’identité

Vous avez besoin d’un fournisseur d’identité pour authentifier vos utilisateurs. Les options sont les suivantes :

  • Microsoft Entra ID (Azure AD)
  • Okta

Ce guide décrit comment les configurer pour les utiliser avec ZTNA.

Sites Web autorisés

Si la passerelle se trouve derrière un pare-feu, vous devez impérativement donner accès aux sites Web requis (sur le port 443, sauf indication contraire).

Remarque

Ceci s’applique uniquement aux passerelles locales.

Les sites Web requis sont les suivants :

  • sophos.jfrog.io
  • jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com
  • *.amazonaws.com
  • production.cloudflare.docker.com
  • *.docker.io
  • *.sophos.com
  • login.microsoftonline.com
  • graph.microsoft.com
  • ztna.apu.sophos.com (Port 22)
  • sentry.io
  • *.okta.com (Si vous utilisez Okta en tant que fournisseur d’identité)
  • wsserver-ztna.<customerdomain.com>
  • Nom de domaine complet de la passerelle ZTNA (le domaine que vous avez configuré dans les paramètres de la passerelle ZTNA)

Types d’applis pris en charge

ZTNA peut contrôler l’accès aux applis Web et locales. Le contrôle des applis locales nécessite l’agent ZTNA.

ZTNA ne prend pas en charge les applis qui dépendent de l’allocation dynamique des ports ou qui utilisent une large gamme de ports, par exemple des produits de voix sur IP (VoIP) plus anciens.

Agent Sophos ZTNA

Vous pouvez installer l’agent ZTNA sur les systèmes d’exploitation :

  • À partir de Windows 10.1803

  • À partir de macOS BigSur (macOS11)