Vai al contenuto

Configurazione di un gateway on-premise

Configurare un gateway ZTNA on-premise che controlli l’accesso alle risorse presenti nella rete.

La procedura varia a seconda che l'host del gateway sia un server ESXi, Microsoft Hyper-V o Amazon Web Services.

Avviso

I gateway AWS raggiungeranno l’End-of-Life il 31 marzo 2024. Vedere il Calendario di ritiro. Per garantire agli utenti l’accesso alle app dopo questa data, è possibile distribuire SFOS su AWS ed eseguire la migrazione delle risorse a questo gateway.

Avviso

I gateway devono essere configurati in modo da non essere operativi in subnet utilizzate per servizi interni, altrimenti potrebbero verificarsi problemi di accesso alle applicazioni. Le subnet interessate sono le seguenti: 10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16.

Avviso

Evitare sia di configurare indirizzi IPv6 per i propri gateway, sia di consentire l’assegnazione agli endpoint di indirizzi IPv6 DHCP, poiché IPv6 non è supportato.

Nota

A seconda della configurazione, Amazon Web Services prevede costi aggiuntivi. Questi costi non sono inclusi nella licenza ZTNA.

Consiglio

Se l’accesso degli utenti alle risorse ZTNA deve essere effettuato dalla stessa rete del gateway ZTNA, aggiungere una regola SNAT di tipo MASQ per evitare il routing asimmetrico.

Per istruzioni dettagliate, cliccare sulla scheda relativa all'host che si desidera utilizzare.

La configurazione di un gateway su ESXi prevede due passaggi:

  • Scaricare un'immagine gateway (file OVA) e distribuirla su ESXi.

  • Aggiungere le impostazioni del gateway in Sophos Central per generare un file ISO ("immagine iniziale") da utilizzare per avviare il gateway su ESXi.

È possibile configurare un cluster di gateway per garantire la disponibilità. Per farlo, configurare istanze aggiuntive del gateway, come descritto di seguito.

Nota

Assicurarsi che sull'host ESXi siano state impostate l'ora e la data esatte. Il fuso orario deve essere impostato su UTC. Se l’ora non viene impostata correttamente, il gateway ZTNA riscontrerà dei problemi. Vedere Requisiti.

Se si utilizza un proxy a due bracci, vedere Configurazione della rete.

Scaricare e distribuire l'immagine

  1. In Sophos Central, seleziona Dispositivi > Programmi di installazione.

  2. Trovare Zero Trust Network Access.

    1. Cliccare sul link per il download di un'immagine gateway.
    2. Accettare il contratto di licenza e, se richiesto, i moduli di conformità per l'esportazione del software.
    3. L'immagine gateway viene scaricata. È un'immagine OVA generica del gateway ZTNA per i server ESXi. Può essere riutilizzata tutte le volte che si desidera.

    Pagina dei Download.

  3. Distribuire l'immagine OVA sull'host ESXi. In VMware vSphere, cliccare con il pulsante destro del mouse sull'host e selezionare Distribuisci modello OVA. Questa operazione avvia un assistente che guida l’utente durante la distribuzione.

    Avviso

    Dopo avere terminato, occorre disattivare l’opzione per il power-on automatico (l’impostazione predefinita su ESXi) o impedire l’avvio del gateway ZTNA. In caso contrario, il gateway si avvierà senza i file ISO e sarà necessario ricominciare da capo.

    Pagina di distribuzione in VMware vSphere.

Aggiungere le impostazioni e avviare il gateway

  1. Tornare a Sophos Central e selezionare Prodotti > ZTNA > Gateway. Cliccare su Aggiungi gateway.

    Pagina Gateway.

  2. Per Modalità gateway, selezionare On-premise.

    Modalità gateway on-premise selezionata.

  3. In Aggiungi gateway, procedere come segue:

    1. Specificare un nome per il gateway e immettere l'FQDN del gateway.
    2. Immettere il dominio per le risorse (app).
    3. In Tipo di piattaforma, selezionare VMware ESXi.
    4. Selezionare la Modalità di distribuzione.

      • La distribuzione A braccio singolo utilizza l'interfaccia esterna per il traffico in entrata e in uscita.
      • La distribuzione A due bracci utilizza sia l'interfaccia esterna che quella interna.
    5. Inserire le impostazioni dell'Interfaccia.

      • Se si seleziona DHCP, impostare una prenotazione sul server DHCP.

        Avviso

        Il gateway non è in grado di gestire cambiamenti del proprio indirizzo IP. È necessario impostare una prenotazione per garantire che venga sempre mantenuto l’indirizzo IP iniziale assegnato da DHCP.

      • Se si seleziona IP statico, specificare l'indirizzo IP, la subnet e le impostazioni del server DNS.

      In una distribuzione a due bracci occorre specificare Route statiche, se sono presenti app ospitate su più reti interne.

    6. Caricare i certificati creati in precedenza.

    7. Cliccare su Salva e genera file.

    Nota

    In questa versione è supportato un solo certificato singolo con caratteri jolly.

    Finestra di dialogo Aggiungi gateway.

  4. Nella pagina Gateway, lo stato del gateway sarà In attesa di distribuzione.

    Il file ISO dell'immagine iniziale è pronto per il download. Sarà richiesto per avviare il gateway e completare il processo di registrazione. L’ISO è univoco per ogni gateway. Non è possibile utilizzarlo più di una volta.

    Nota

    Prima di scaricare l'immagine, si consiglia di creare un cluster di gateway. Se non si desidera creare un cluster, passare al passaggio 6.

    Pagina Gateway che mostra lo stato del gateway..

  5. Cliccare sul nuovo gateway per aprirne la pagina dei dettagli. Cliccare su Aggiungi/modifica istanze.

    Pagina dei dettagli del gateway.

  6. Sotto Aggiungi/modifica istanze, procedere come segue:

    1. Cliccare su Aggiungi un'altra istanza. Il clustering si attiverà automaticamente.
    2. Immettere un IP virtuale cluster. Viene utilizzato per la gestione dei cluster e il bilanciamento del carico. Deve rientrare nello stesso intervallo IP delle istanze del gateway.

      In un'implementazione a due bracci, il VIP del cluster esterno serve solo per il bilanciamento del carico. Se si utilizza un servizio di bilanciamento del carico esterno, lasciare vuoto questo campo.

    3. Immettere un Nome VM e un IP interfaccia per la nuova istanza.

      In un'implementazione a due bracci, immettere un IP interfaccia interno e uno esterno.

    4. Ripetere il processo per aggiungere un'altra istanza.

      Nota

      Per un cluster sono necessarie almeno tre istanze. È possibile includere fino a nove istanze, ma devono sempre essere in numero dispari.

      Nota

      Per mantenere attivo il cluster, assicurarsi che almeno la metà dei gateway che contiene siano attivi.

    Finestra di dialogo Aggiungi/modifica istanze.

  7. Scaricare tutti i file ISO e montarli sull'host. Collegarli quindi al gateway, procedendo come segue:

    1. Accedere a VMware vSphere.
    2. Cliccare con il pulsante destro del mouse sulla VM del gateway e selezionare Modifica impostazioni.
    3. Nella scheda Hardware, nell'opzione dell'unità CD/DVD, verificare che sia visualizzato il file ISO e selezionare Connetti.
    4. In Stato, selezionare Connetti all'accensione.
    5. Cliccare su Salva.

    Se come hardware virtuale viene elencato un dispositivo seriale, è possibile rimuoverlo senza alcun problema.

    Quando il gateway si avvia con il file ISO, contatterà Sophos Central per effettuare la registrazione.

    Scheda Hardware virtuale in VMware vSphere.

  8. Tornare a Sophos Central. Nella pagina Gateway, lo stato del gateway sarà diventato In attesa di approvazione.

    Quando richiesto, approvare la registrazione del gateway.

    L'implementazione dell'approvazione può richiedere fino a dieci minuti. Lo stato del gateway diventerà Connesso. Verrà visualizzata un’opzione per creare una password, se lo si desidera.

    Nota

    Se si ha un cluster di istanze del gateway, l’approvazione della registrazione del gateway è richiesta solo per la prima istanza del gateway. Le istanze successive vengono gestite senza approvazione esplicita.

    Nota

    Il file ISO deve rimanere collegato al gateway. Non è possibile smontarlo dopo l’avvio del gateway.

La configurazione del gateway on-premise è stata completata.

Nota

Se il gateway non riesce a connettersi a Sophos Central, accedere a VMware vSphere ed eseguire la diagnostica sulla VM.

Quando è disponibile una nuova versione della virtual machine, nella colonna della versione viene visualizzato un segno di spunta verde. Cliccare sul numero di versione per avviare o pianificare un aggiornamento. Vedere Aggiornamenti del gateway in Gateway.

Per configurare un gateway su Microsoft Hyper-V, procedere come segue:

  • Scaricare e distribuire l’immagine della VM gateway.

  • Aggiungere le impostazioni del gateway per generare un file ISO (“immagine iniziale”).

  • Scaricare il file ISO e avviare il gateway.

Scaricare e distribuire l'immagine

  1. In Sophos Central, seleziona Dispositivi > Programmi di installazione.

  2. Sotto Zero Trust Network Access, cliccare su Scarica immagine VM Gateway per Hyper-V.

    Viene scaricato un file ZIP contenente l’immagine della VM.

    Pagina Proteggi dispositivi.

  3. Estrarre l’immagine di base Hyper-V dal file ZIP scaricato.

    Questo fornisce il file .vhdx necessario per configurare il gateway. Non è possibile utilizzare questo file per distribuire più di una VM, ma è possibile effettuarne copie e utilizzarle per altre VM.

  4. Nella Console di gestione di Hyper-V, elenco Macchine virtuali, sotto Azioni, cliccare su Nuova.

    Console di gestione di Hyper-V.

  5. Immettere un nome per la VM.

    Pagina Impostazione nome e percorso.

  6. Selezionare la generazione. La Generazione 1 supporta sia i sistemi operativi a 32 bit che a 64 bit.

    Pagina Impostazione generazione.

  7. In Assegnazione memoria, immettere almeno 4096 MB per la memoria di avvio.

    Pagina Assegnazione memoria.

  8. In Configurazione della rete, selezionare una scheda di rete.

    Pagina Configurazione della rete.

  9. In Connessione disco rigido virtuale, selezionare Usa un disco rigido virtuale esistente e individuare il file .vhdx estratto dal download dell’immagine della VM.

    Pagina Connessione disco rigido virtuale.

  10. Cliccare su Fine.

    Pagina di completamento della nuova VM.

  11. Accedere alle Impostazioni della nuova VM.

    1. Sotto Hardware > Processori, impostare il Numero di processori virtuali su “2”.

    2. Se il gateway si trova in una distribuzione a due bracci, accedere alla Scheda di rete e aggiungere un’altra scheda alla VM.

    Impostazioni della VM.

    Nota

    Se si utilizzano VLAN, assicurarsi di aggiungere alle interfacce di rete un tag con gli ID VLAN appropriati.

  12. Cliccare su Applica e su Salva.

Aggiunta delle impostazioni del gateway

  1. Tornare a Sophos Central e selezionare Prodotti > ZTNA > Gateway. Cliccare su Aggiungi gateway.

    Pagina Gateway.

  2. Per Modalità gateway, selezionare On-premise.

    Modalità gateway on-premise selezionata.

  3. In Aggiungi gateway, procedere come segue:

    1. Specificare un nome per il gateway e immettere l'FQDN del gateway.
    2. Immettere il dominio per le risorse (app).
    3. Sotto Tipo di piattaforma, selezionare Hyper-V.
    4. Selezionare la Modalità di distribuzione.

      • La distribuzione A braccio singolo utilizza l'interfaccia esterna per il traffico in entrata e in uscita.
      • La distribuzione A due bracci utilizza sia l'interfaccia esterna che quella interna.
    5. Inserire le impostazioni dell'Interfaccia.

      • Se si seleziona DHCP, impostare una prenotazione sul server DHCP.

        Avviso

        Il gateway non è in grado di gestire cambiamenti del proprio indirizzo IP. È necessario impostare una prenotazione per garantire che venga sempre mantenuto l’indirizzo IP iniziale assegnato da DHCP.

      • Se si seleziona IP statico, specificare un indirizzo IP, una subnet e le impostazioni del server DNS.

      In una distribuzione a due bracci occorre specificare Route statiche, se sono presenti app ospitate su più reti interne.

    6. Caricare i certificati creati in precedenza.

    7. Cliccare su Salva e genera file.

    Nota

    In questa versione è supportato un solo certificato singolo con caratteri jolly.

    Finestra di dialogo Aggiungi gateway.

  4. Nella pagina Gateway, il nuovo stato del gateway sarà In attesa di distribuzione. Cliccare sul gateway per visualizzarne i dettagli.

    In attesa di distribuzione.

  5. Nei dettagli del gateway, è possibile vedere che l’immagine ISO è pronta per il download. Servirà dopo l’avvio del gateway. L’ISO è univoco per ogni gateway. Non è possibile utilizzarlo più di una volta.

    Prima di scaricare l'immagine, si consiglia di creare un cluster di gateway. Se non si desidera un cluster, passare alla sezione Download dei file ISO e avvio del gateway.

    Dettagli del nuovo gateway.

  6. Nei dettagli del gateway, cliccare su Aggiungi/modifica istanze.

    Pagina dei dettagli del gateway.

  7. In Aggiungi/modifica istanze, cliccare su Aggiungi un’altra istanza. Il clustering si attiverà automaticamente.

    Finestra di dialogo Aggiungi/modifica istanze.

  8. Immettere i dettagli della nuova istanza come segue:

    1. Immettere un IP virtuale cluster. Viene utilizzato per la gestione dei cluster e il bilanciamento del carico. Deve essere un indirizzo IP che non è stato utilizzato in precedenza in questa configurazione e deve rientrare nello stesso intervallo IP delle istanze del gateway.

      Consiglio

      In un’implementazione a due bracci, l’indirizzo IP dell’interfaccia esterna serve solo per il bilanciamento del carico. Se si utilizza un servizio di bilanciamento del carico esterno, lasciare vuoto questo campo.

    2. Immettere un Nome VM e un IP interfaccia per la nuova istanza.

      In un'implementazione a due bracci, immettere un IP interfaccia interno e uno esterno.

    3. Ripetere il processo per aggiungere un'altra istanza.

      Nota

      Per un cluster sono necessarie almeno tre istanze. È possibile includere fino a nove istanze, ma devono sempre essere in numero dispari.

      Nota

      Per mantenere attivo il cluster, assicurarsi che almeno la metà dei gateway che contiene siano attivi.

    Dettagli istanza.

A questo punto, occorre scaricare i file ISO e avviare il gateway.

Download dei file ISO e avvio del gateway

Scaricare i file ISO di ogni istanza, allegarli alla VM gateway e avviare il gateway, procedendo come segue:

  1. Nei dettagli del gateway, aprire ciascuna istanza e cliccare su Scarica immagine.

    Istanze gateway con download.

  2. Nella Console di gestione di Hyper-V, aprire le Impostazioni della VM. Nell’Unità DVD, procedere come segue:

    1. In Controller, selezionare Controller IDE 1.
    2. In Servizi multimediali, selezionare File immagine e immettere il percorso del file ISO dell’immagine iniziale.
    3. Cliccare su Applica e su Salva.

    Nota

    Il file ISO deve rimanere collegato al gateway. Non è possibile smontarlo dopo l’avvio del gateway.

    Unità DVD della VM.

  3. Avviare le istanze del gateway. Attendere alcuni minuti.

  4. In Sophos Central, selezionare Prodotti > ZTNA > Gateway e cliccare sul nuovo gateway per aprirne la pagina dei dettagli.

    Lo stato del gateway diventa In attesa di approvazione del gateway. Cliccare su Approva.

    Stato del gateway con il pulsante Approva.

    Nota

    Se si ha un cluster di istanze del gateway, l’approvazione della registrazione del gateway è richiesta solo per la prima istanza del gateway. Le istanze successive vengono gestite senza approvazione esplicita.

  5. Lo stato del gateway diventa quindi Attivo.

La configurazione del gateway on-premise è stata completata.

Nota

Se il gateway non riesce a connettersi a Sophos Central, accedere alla Console di gestione di Hyper-V ed eseguire la diagnostica sulla VM.

Quando è disponibile una nuova versione della virtual machine, nella colonna della versione viene visualizzato un segno di spunta verde. Cliccare sul numero di versione per avviare o pianificare un aggiornamento. Vedere Aggiornamenti del gateway in Gateway.

Per configurare un gateway ZTNA su Amazon Web Services (AWS), procedere come segue:

  1. In Sophos Central, selezionare Prodotti > ZTNA > Gateway.

    Menu di ZTNA.

  2. Nella pagina Gateway, cliccare su Aggiungi gateway.

    Pagina Gateway.

  3. Per Modalità gateway, selezionare On-premise.

    Modalità gateway on-premise selezionata.

  4. Nella finestra di dialogo Aggiungi gateway, aggiungere i dettagli come segue:

    1. Immettere il nome e l'FQDN del gateway.
    2. Immettere il dominio per le risorse (applicazioni).
    3. In Tipo di piattaforma, selezionare Amazon Web Services.
    4. In Provider di identità, selezionare il provider di identità impostato prima.
    5. Caricare i certificati creati in precedenza.
    6. Cliccare su Salva.

    Aggiungi gateway.

  5. Nella pagina Gateway, verrà ora visualizzato il nuovo gateway. Cliccare sul link Avvia stack accanto a questo gateway.

    Gateway con il link Avvia stack.

Creare uno stack su AWS

Su AWS, in CloudFormation, è disponibile il modello Quick create stack (Creazione rapida stack), che abbiamo già parzialmente configurato. Per completarlo, svolgere la procedura indicata di seguito.

  1. Nella pagina Quick create stack, svolgere queste operazioni:

    1. Selezionare una regione AWS (nella parte in alto a destra dello schermo).
    2. In Stack name (Nome stack), immettere il nome che si desidera utilizzare.

    Modello stack.

  2. In Basic configuration (Configurazione di base), selezionare due o tre zone di disponibilità per garantire la disponibilità del gateway.

    Configurazione di base dello stack.

  3. Nella configurazione della rete VPC, procedere come segue:

    1. Impostare il numero di zone di disponibilità. Deve corrispondere al numero di zone selezionate nel passaggio precedente.
    2. Assicurarsi che le subnet non siano in conflitto con le risorse esistenti.
    3. In MaxNumberOfNodes, impostare il numero massimo di nodi. L'impostazione predefinita è tre.
    4. In NodeInstanceType, selezionare il tipo di istanza EC2 da utilizzare.
    5. In NumberOfNodes, impostare il numero di nodi desiderato. Il valore predefinito è uno per ogni zona di disponibilità.

    L'Auto Scaling non è attualmente disponibile per ZTNA.

    Configurazione della rete VPC.

  4. Cliccare su Create stack (Crea stack) e attendere il completamento del processo. Potrebbe richiedere fino a un'ora. Al termine, il nuovo stack si troverà nell'elenco degli stack di AWS e i dettagli saranno simili a questa immagine.

    Nuovo stack di ZTNA.

  5. In Sophos Central, accedere al nuovo gateway. Cliccare su Approva.

    L'implementazione dell'approvazione può richiedere fino a dieci minuti. Lo stato del gateway diventerà Connesso.

    Pagina dei dettagli del gateway.

    Nota

    Se si ha un cluster di istanze del gateway, l’approvazione della registrazione del gateway è richiesta solo per la prima istanza del gateway. Le istanze successive vengono gestite senza approvazione esplicita.

Configurare il nuovo VPC

Configurare il VPC come segue:

  1. In AWS, aprire Virtual Private Cloud > Your VPCs (I tuoi VPC).

    Menu dei VPC di AWS.

  2. Accedere al nuovo VPC e cercare l'ID VPC. Questo ID può essere utilizzato per cercare gli altri componenti creati.

    Dettagli del nuovo VPC.

  3. Accedere alle proprie istanze EC2 e cercare le istanze con il nuovo ID VPC. Questa ricerca restituirà le istanze che compongono il cluster di gateway ZTNA. Rinominarle.

    Istanze di EC2.

    Nota

    Per mantenere attivo il cluster, assicurarsi che almeno la metà dei gateway che contiene siano attivi.

  4. In Bilanciamento del carico, utilizzare l'ID VPC per trovare il bilanciatore del carico per ZTNA. Aprirne i dettagli e copiarne il Nome DNS. Servirà per creare un record DNS pubblico (CNAME) per il gateway, che punterà al bilanciatore del carico.

    Bilanciatore del carico AWS.

Creare una connessione peering

Il gateway è sempre su un nuovo VPC, pertanto bisognerà utilizzare il peering per connetterlo al VPC in cui si trovano le applicazioni.

  1. Aprire VPC > Peering Connections (Connessioni peering). Cliccare su Create Peering Connection (Crea connessione peering) e procedere come segue:

    1. In VPC ID (Requester) (ID VPC (Richiedente)), selezionare l’ID del gateway ZTNA.
    2. In VPC ID (Accepter) (ID VPC (Accettante)), selezionare il VPC in cui si trovano le risorse.
    3. Cliccare su Create Peering Connection.

    Connessione peering in VPC.

  2. Selezionare Subnets e aggiungere la subnet delle risorse e le subnet private del gateway alle route tables (tabelle di routing). Questo consentirà a ZTNA di utilizzare la connessione peering per connettersi alle risorse.

    Pagina Subnets.

La configurazione del gateway on-premise è stata completata.

Quando è disponibile una nuova versione della virtual machine, nella colonna della versione viene visualizzato un segno di spunta verde. Cliccare sul numero di versione per avviare o pianificare un aggiornamento. Vedere Aggiornamenti del gateway in Gateway.

Nel prossimo passaggio, si aggiungeranno le impostazioni DNS.