Conditions requises

Avant de configurer ZTNA, vérifiez que vous remplissez toutes les conditions requises :

Certificat générique

Vous avez besoin d’un certificat générique pour la passerelle ZTNA. Veuillez utiliser l’un des éléments suivants :

• Un certificat émis par Let’s Encrypt.
• Un certificat émis par une autorité de certification approuvée.

Ce guide vous explique comment obtenir un certificat.

Hôte de passerelle

Vous pouvez héberger une passerelle ZTNA sur un serveur ESXi, un serveur Hyper-V ou sur Amazon Web Services.

Serveur ESXi

Si vous hébergez la passerelle sur un serveur ESXi, vous devez satisfaire aux exigences suivantes :

• Hyperviseur VMware vSphere (ESXi) à partir de la version 6.5.
• 2 cœurs, 4 Go de RAM et 80 Go d’espace disque.

Vous devez vous assurer que la date et l’heure sont correctes. La passerelle ZTNA se synchronise avec l’heure de l’hôte et rencontre des problèmes si elle est incorrecte.

Sur votre hôte ESXi, allez dans Gestion > Système > Heure et date, puis cliquez sur Modifier les paramètres pour définir l’heure.

Serveur Hyper-V

Si vous hébergez la passerelle sur un serveur Hyper-V, vous devez satisfaire aux exigences suivantes :

• Hyper-V Server s’exécutant sur Windows Server 2016 ou version ultérieure.
• 2 cœurs, 4 Go de RAM et 80 Go d’espace disque.

Vous devez vous assurer que la date et l’heure sont correctes. La passerelle ZTNA se synchronise avec l’heure de l’hôte et rencontre des problèmes si elle est incorrecte.

Amazon Web Services

Si vous souhaitez héberger la passerelle sur Amazon Web Services (AWS), il vous faudra un compte AWS.

Gestion DNS

Veuillez configurer les paramètres de votre serveur DNS. Voir Ajouter les paramètres DNS.

Service d’annuaire

Vous avez besoin d’un service d’annuaire pour gérer les groupes d’utilisateurs utilisés par ZTNA. Vous pouvez utiliser Microsoft Azure AD ou Active Directory.

Azure AD

Vous avez besoin d’un compte Microsoft Azure AD avec des groupes d’utilisateurs configurés et synchronisés avec Sophos Central. Ce guide vous explique comment installer et synchroniser ces groupes.

La sécurité de vos groupes d’utilisateurs doit être activée. Les groupes créés dans Azure AD sont automatiquement activés pour la sécurité, mais les groupes créés à partir du portail Microsoft 365 ou importés à partir d’AD ne le sont pas.

Vous pouvez également utiliser Azure AD comme fournisseur d’identité.

Active Directory

Vous avez besoin d’un compte Active Directory avec des groupes d’utilisateurs configurés et synchronisés avec Sophos Central. Retrouvez plus de renseignements à la section Configuration de la synchronisation avec Active Directory dans l’aide de Sophos Central Admin.

Si vous utilisez Active Directory, vous aurez besoin d’un fournisseur d’identité distinct, tel qu’Okta.

Fournisseur d’identité

Vous avez besoin d’un fournisseur d’identité pour authentifier vos utilisateurs. Les options sont les suivantes :

• Azure AD
• Okta

Ce guide décrit comment les configurer pour les utiliser avec ZTNA.

Sites Web autorisés

Si la passerelle se trouve derrière un pare-feu, vous devez impérativement donner accès aux sites Web requis (sur le port 443, sauf indication contraire).

Les sites Web requis sont les suivants :

• sophos.jfrog.io
• \*.amazonaws.com
• production.cloudflare.docker.com
• \*.docker.io
• \*.sophos.com
• login.microsoftonline.com
• graph.microsoft.com
• ztna.apu.sophos.com (Port 22)
• sentry.io
• \*.okta.com (Si vous utilisez Okta en tant que fournisseur d’identité)

Types d’applis pris en charge

ZTNA peut contrôler l’accès aux applis Web et locales. Le contrôle des applis locales nécessite l’agent ZTNA.

ZTNA ne prend pas en charge les applis qui dépendent de l’allocation dynamique des ports ou qui utilisent une large gamme de ports, par exemple des produits de voix sur IP (VoIP) plus anciens.

Agent Sophos ZTNA

Vous pouvez installer l’agent ZTNA sur les systèmes d’exploitation :

• À partir de Windows 10.1803

• À partir de macOS BigSur (macOS11)