Conditions requises
Avant de configurer ZTNA, vérifiez que vous remplissez toutes les conditions requises :
Certificat générique
Vous avez besoin d’un certificat générique pour la passerelle ZTNA. Veuillez utiliser l’un des éléments suivants :
- Un certificat émis par Let’s Encrypt.
- Un certificat émis par une autorité de certification approuvée.
Ce guide vous explique comment obtenir un certificat.
Hôte de passerelle
Vous pouvez héberger une passerelle ZTNA sur un serveur ESXi, un serveur Hyper-V ou sur Amazon Web Services.
Serveur ESXi
Si vous hébergez la passerelle sur un serveur ESXi, vous devez satisfaire aux exigences suivantes :
- Hyperviseur VMware vSphere (ESXi) à partir de la version 6.5.
- 2 cœurs, 4 Go de RAM et 80 Go d’espace disque.
Vous devez vous assurer que la date et l’heure sont correctes. La passerelle ZTNA se synchronise avec l’heure de l’hôte et rencontre des problèmes si elle est incorrecte.
Remarque
Vous devez définir le fuseau horaire sur UTC.
Sur votre hôte ESXi, allez dans Gestion > Système > Heure et date, puis cliquez sur Modifier les paramètres pour définir l’heure.
Serveur Hyper-V
Si vous hébergez la passerelle sur un serveur Hyper-V, vous devez satisfaire aux exigences suivantes :
- Hyper-V Server s’exécutant sur Windows Server 2016 ou version ultérieure.
- 2 cœurs, 4 Go de RAM et 80 Go d’espace disque.
Vous devez vous assurer que la date et l’heure sont correctes. La passerelle ZTNA se synchronise avec l’heure de l’hôte et rencontre des problèmes si elle est incorrecte.
Remarque
Vous devez définir le fuseau horaire sur UTC.
Amazon Web Services
Si vous souhaitez héberger la passerelle sur Amazon Web Services (AWS), il vous faudra un compte AWS.
Gestion DNS
Vous avez besoin des paramètres suivants dans vos serveurs DNS :
Serveur DNS public
Vous avez besoin d’un serveur DNS public (externe) capable de résoudre les enregistrements suivants :
- Un « enregistrement A » pointant vers la passerelle ZTNA.
- « L’enregistrement CNAME » des applications qui pointent vers le nom de domaine complet (FQDN) de la passerelle ZTNA. Ces enregistrements CNAME ne sont pas nécessaires si vous accédez aux applications avec l’agent Sophos ZTNA.
Le protocole EAP prend en charge un seul domaine. Le nom de domaine de vos applications doit donc correspondre à celui de votre passerelle.
Exemple
- FQDN de la passerelle : https://ztna.mycompany.net/
- FQDN d’une application : https://wiki.mycompany.net/#all-updates
Serveur DNS privé
La passerelle ZTNA doit pointer vers un serveur DNS privé (interne) pour rediriger les utilisateurs vers une application après authentification et autorisation.
Vous pouvez également configurer le FQDN/IP interne de l’application directement lorsque vous l’ajoutez à ZTNA depuis Sophos Central.
Pour des exemples de fonctionnement de DNS avec ZTNA, consultez Flux DNS.
Service d’annuaire
Vous avez besoin d’un service d’annuaire pour gérer les groupes d’utilisateurs utilisés par ZTNA. Vous pouvez utiliser Microsoft Azure AD ou Active Directory.
Azure AD
Vous avez besoin d’un compte Microsoft Azure AD avec des groupes d’utilisateurs configurés et synchronisés avec Sophos Central. Ce guide vous explique comment installer et synchroniser ces groupes.
La sécurité de vos groupes d’utilisateurs doit être activée. Les groupes créés dans Azure AD sont automatiquement activés pour la sécurité, mais les groupes créés à partir du portail Microsoft 365 ou importés à partir d’AD ne le sont pas.
Vous pouvez également utiliser Azure AD comme fournisseur d’identité.
Active Directory
Vous avez besoin d’un compte Active Directory avec des groupes d’utilisateurs configurés et synchronisés avec Sophos Central. Retrouvez plus de renseignements à la section Configuration de la synchronisation avec Active Directory dans l’aide de Sophos Central Admin.
Si vous utilisez Active Directory, vous aurez besoin d’un fournisseur d’identité distinct, tel qu’Okta.
Fournisseur d’identité
Vous avez besoin d’un fournisseur d’identité pour authentifier vos utilisateurs. Les options sont les suivantes :
- Azure AD
- Okta
Ce guide décrit comment les configurer pour les utiliser avec ZTNA.
Sites Web autorisés
Si la passerelle se trouve derrière un pare-feu, vous devez impérativement donner accès aux sites Web suivants (sur le port 443, sauf indication contraire) :
- sophos.jfrog.io
- *.amazonaws.com
- production.cloudflare.docker.com
- *.docker.io
- *.sophos.com
- login.microsoftonline.com
- graph.microsoft.com
- ztna.apu.sophos.com (Port 22)
- sentry.io
- *.okta.com (Si vous utilisez Okta en tant que fournisseur d’identité)
Types d’applis pris en charge
ZTNA peut contrôler l’accès aux applis Web et locales. Le contrôle des applis locales nécessite l’agent ZTNA.
ZTNA ne prend pas en charge les applis qui dépendent de l’allocation dynamique des ports ou qui utilisent une large gamme de ports, par exemple des produits de voix sur IP (VoIP) plus anciens.