Aller au contenu

Conditions requises

Avant de configurer ZTNA, vérifiez que vous remplissez toutes les conditions requises :

Certificat générique

Vous avez besoin d’un certificat générique pour la passerelle ZTNA. Veuillez utiliser l’un des éléments suivants :

  • Un certificat émis par Let’s Encrypt.
  • Un certificat émis par une autorité de certification approuvée.

Ce guide vous explique comment obtenir un certificat.

Hôte de passerelle

Vous pouvez héberger une passerelle ZTNA sur un serveur ESXi, un serveur Hyper-V ou sur Amazon Web Services.

Serveur ESXi

Si vous hébergez la passerelle sur un serveur ESXi, vous devez satisfaire aux exigences suivantes :

  • Hyperviseur VMware vSphere (ESXi) à partir de la version 6.5.
  • 2 cœurs, 4 Go de RAM et 80 Go d’espace disque.

Vous devez vous assurer que la date et l’heure sont correctes. La passerelle ZTNA se synchronise avec l’heure de l’hôte et rencontre des problèmes si elle est incorrecte.

Remarque

Vous devez définir le fuseau horaire sur UTC.

Sur votre hôte ESXi, allez dans Gestion > Système > Heure et date, puis cliquez sur Modifier les paramètres pour définir l’heure.

Paramètres d’heure ESXi

Serveur Hyper-V

Si vous hébergez la passerelle sur un serveur Hyper-V, vous devez satisfaire aux exigences suivantes :

  • Hyper-V Server s’exécutant sur Windows Server 2016 ou version ultérieure.
  • 2 cœurs, 4 Go de RAM et 80 Go d’espace disque.

Vous devez vous assurer que la date et l’heure sont correctes. La passerelle ZTNA se synchronise avec l’heure de l’hôte et rencontre des problèmes si elle est incorrecte.

Remarque

Vous devez définir le fuseau horaire sur UTC.

Amazon Web Services

Si vous souhaitez héberger la passerelle sur Amazon Web Services (AWS), il vous faudra un compte AWS.

Gestion DNS

Vous avez besoin des paramètres suivants dans vos serveurs DNS :

Serveur DNS public

Vous avez besoin d’un serveur DNS public (externe) capable de résoudre les enregistrements suivants :

  • Un « enregistrement A » pointant vers la passerelle ZTNA.
  • « L’enregistrement CNAME » des applications qui pointent vers le nom de domaine complet (FQDN) de la passerelle ZTNA. Ces enregistrements CNAME ne sont pas nécessaires si vous accédez aux applications avec l’agent Sophos ZTNA.

Le protocole EAP prend en charge un seul domaine. Le nom de domaine de vos applications doit donc correspondre à celui de votre passerelle.

Exemple

  • FQDN de la passerelle : https://ztna.mycompany.net/
  • FQDN d’une application : https://wiki.mycompany.net/#all-updates

Serveur DNS privé

La passerelle ZTNA doit pointer vers un serveur DNS privé (interne) pour rediriger les utilisateurs vers une application après authentification et autorisation.

Vous pouvez également configurer le FQDN/IP interne de l’application directement lorsque vous l’ajoutez à ZTNA depuis Sophos Central.

Pour des exemples de fonctionnement de DNS avec ZTNA, consultez Flux DNS.

Service d’annuaire

Vous avez besoin d’un service d’annuaire pour gérer les groupes d’utilisateurs utilisés par ZTNA. Vous pouvez utiliser Microsoft Azure AD ou Active Directory.

Azure AD

Vous avez besoin d’un compte Microsoft Azure AD avec des groupes d’utilisateurs configurés et synchronisés avec Sophos Central. Ce guide vous explique comment installer et synchroniser ces groupes.

La sécurité de vos groupes d’utilisateurs doit être activée. Les groupes créés dans Azure AD sont automatiquement activés pour la sécurité, mais les groupes créés à partir du portail Microsoft 365 ou importés à partir d’AD ne le sont pas.

Vous pouvez également utiliser Azure AD comme fournisseur d’identité.

Active Directory

Vous avez besoin d’un compte Active Directory avec des groupes d’utilisateurs configurés et synchronisés avec Sophos Central. Retrouvez plus de renseignements à la section Configuration de la synchronisation avec Active Directory dans l’aide de Sophos Central Admin.

Si vous utilisez Active Directory, vous aurez besoin d’un fournisseur d’identité distinct, tel qu’Okta.

Fournisseur d’identité

Vous avez besoin d’un fournisseur d’identité pour authentifier vos utilisateurs. Les options sont les suivantes :

  • Azure AD
  • Okta

Ce guide décrit comment les configurer pour les utiliser avec ZTNA.

Sites Web autorisés

Si la passerelle se trouve derrière un pare-feu, vous devez impérativement donner accès aux sites Web suivants (sur le port 443, sauf indication contraire) :

  • sophos.jfrog.io
  • *.amazonaws.com
  • production.cloudflare.docker.com
  • *.docker.io
  • *.sophos.com
  • login.microsoftonline.com
  • graph.microsoft.com
  • ztna.apu.sophos.com (Port 22)
  • sentry.io
  • *.okta.com (Si vous utilisez Okta en tant que fournisseur d’identité)

Types d’applis pris en charge

ZTNA peut contrôler l’accès aux applis Web et locales. Le contrôle des applis locales nécessite l’agent ZTNA.

ZTNA ne prend pas en charge les applis qui dépendent de l’allocation dynamique des ports ou qui utilisent une large gamme de ports, par exemple des produits de voix sur IP (VoIP) plus anciens.