Configurazione di un gateway on-premise
Configurare un gateway ZTNA on-premise che controlli l’accesso alle risorse presenti nella rete.
La procedura varia a seconda che l'host del gateway sia un server ESXi o Microsoft Hyper-V.
Avviso
I gateway AWS raggiungeranno l’End-of-Life il 31 marzo 2024. Vedere il Calendario di ritiro. Per garantire agli utenti l’accesso alle app dopo questa data, è possibile distribuire SFOS su AWS ed eseguire la migrazione delle risorse a questo gateway.
Avviso
I gateway devono essere configurati in modo da non essere operativi in subnet utilizzate per servizi interni, altrimenti potrebbero verificarsi problemi di accesso alle applicazioni. Le subnet interessate sono le seguenti: 10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16.
Avviso
Evitare sia di configurare indirizzi IPv6 per i propri gateway, sia di consentire l’assegnazione agli endpoint di indirizzi IPv6 DHCP, poiché IPv6 non è supportato.
Consiglio
Se l’accesso degli utenti alle risorse ZTNA deve essere effettuato dalla stessa rete del gateway ZTNA, aggiungere una regola SNAT di tipo MASQ per evitare il routing asimmetrico.
Per istruzioni dettagliate, cliccare sulla scheda relativa all'host che si desidera utilizzare.
La configurazione di un gateway su ESXi prevede due passaggi:
-
Scaricare un'immagine gateway (file OVA) e distribuirla su ESXi.
-
Aggiungere le impostazioni del gateway in Sophos Central per generare un file ISO ("immagine iniziale") da utilizzare per avviare il gateway su ESXi.
È possibile configurare un cluster di gateway per garantire la disponibilità. Per farlo, configurare istanze aggiuntive del gateway, come descritto di seguito.
Nota
Assicurarsi che sull'host ESXi siano state impostate l'ora e la data esatte. Il fuso orario deve essere impostato su UTC. Se l’ora non viene impostata correttamente, il gateway ZTNA riscontrerà dei problemi. Vedere Requisiti.
Se si utilizza un proxy a due bracci, vedere Configurazione della rete.
Scaricare e distribuire l'immagine
-
In Sophos Central, seleziona Dispositivi > Programmi di installazione.
-
Trovare Zero Trust Network Access.
- Cliccare sul link per il download di un'immagine gateway.
- Accettare il contratto di licenza e, se richiesto, i moduli di conformità per l'esportazione del software.
- L'immagine gateway viene scaricata. È un'immagine OVA generica del gateway ZTNA per i server ESXi. Può essere riutilizzata tutte le volte che si desidera.
-
Distribuire l'immagine OVA sull'host ESXi. In VMware vSphere, cliccare con il pulsante destro del mouse sull'host e selezionare Distribuisci modello OVA. Questa operazione avvia un assistente che guida l’utente durante la distribuzione.
Avviso
Dopo avere terminato, occorre disattivare l’opzione per il power-on automatico (l’impostazione predefinita su ESXi) o impedire l’avvio del gateway ZTNA. In caso contrario, il gateway si avvierà senza i file ISO e sarà necessario ricominciare da capo.
Aggiungere le impostazioni e avviare il gateway
-
Tornare a Sophos Central e selezionare Prodotti > ZTNA > Gateway. Cliccare su Aggiungi gateway.
-
Per Modalità gateway, selezionare On-premise.
-
In Aggiungi gateway, procedere come segue:
- Specificare un nome per il gateway e immettere l'FQDN del gateway.
- Immettere il dominio per le risorse (app).
- In Tipo di piattaforma, selezionare VMware ESXi.
-
Selezionare la Modalità di distribuzione.
- La distribuzione A braccio singolo utilizza l'interfaccia esterna per il traffico in entrata e in uscita.
- La distribuzione A due bracci utilizza sia l'interfaccia esterna che quella interna.
-
Inserire le impostazioni dell'Interfaccia.
-
Se si seleziona DHCP, impostare una prenotazione sul server DHCP.
Avviso
Il gateway non è in grado di gestire cambiamenti del proprio indirizzo IP. È necessario impostare una prenotazione per garantire che venga sempre mantenuto l’indirizzo IP iniziale assegnato da DHCP.
-
Se si seleziona IP statico, specificare l'indirizzo IP, la subnet e le impostazioni del server DNS.
In una distribuzione a due bracci occorre specificare Route statiche, se sono presenti app ospitate su più reti interne.
-
-
Caricare i certificati creati in precedenza.
- Cliccare su Salva e genera file.
Nota
In questa versione è supportato un solo certificato singolo con caratteri jolly.
-
Nella pagina Gateway, lo stato del gateway sarà In attesa di distribuzione.
Il file ISO dell'immagine iniziale è pronto per il download. Sarà richiesto per avviare il gateway e completare il processo di registrazione. L’ISO è univoco per ogni gateway. Non è possibile utilizzarlo più di una volta.
Nota
Prima di scaricare l'immagine, si consiglia di creare un cluster di gateway. Se non si desidera creare un cluster, passare al passaggio 6.
.
-
Cliccare sul nuovo gateway per aprirne la pagina dei dettagli. Cliccare su Aggiungi/modifica istanze.
-
Sotto Aggiungi/modifica istanze, procedere come segue:
- Cliccare su Aggiungi un'altra istanza. Il clustering si attiverà automaticamente.
-
Immettere un IP virtuale cluster. Viene utilizzato per la gestione dei cluster e il bilanciamento del carico. Deve rientrare nello stesso intervallo IP delle istanze del gateway.
In un'implementazione a due bracci, il VIP del cluster esterno serve solo per il bilanciamento del carico. Se si utilizza un servizio di bilanciamento del carico esterno, lasciare vuoto questo campo.
-
Immettere un Nome VM e un IP interfaccia per la nuova istanza.
In un'implementazione a due bracci, immettere un IP interfaccia interno e uno esterno.
-
Ripetere il processo per aggiungere un'altra istanza.
Nota
-
Per un cluster sono necessarie almeno tre istanze. È possibile includere fino a nove istanze, ma devono sempre essere in numero dispari.
-
Se si crea un cluster, assicurarsi che le regole DNAT create sul firewall puntino all’indirizzo IP virtuale esterno del cluster. Se un nodo del gateway non è attivo, le richieste verranno inoltrate agli altri nodi del cluster.
-
Per mantenere attivo il cluster, assicurarsi che almeno la metà dei gateway che contiene siano attivi.
-
-
Scaricare ciascun file ISO e montarlo sull’host; successivamente, connetterlo al gateway.
Nota
Se non si monta l’ISO in questo momento, occorre deselezionare “Power on when finished” (Accendi al termine) nell’ultima fase della procedura guidata. È possibile accendere la virtual machine manualmente, dopo aver montato l’ISO.
Per connettere il file ISO al proprio gateway, procedere come segue:
- Accedere a VMware vSphere.
- Cliccare con il pulsante destro del mouse sulla VM del gateway e selezionare Modifica impostazioni.
- Nella scheda Hardware, nell'opzione dell'unità CD/DVD, verificare che sia visualizzato il file ISO e selezionare Connetti.
- In Stato, selezionare Connetti all'accensione.
- Cliccare su Salva.
Se come hardware virtuale viene elencato un dispositivo seriale, è possibile rimuoverlo senza alcun problema.
Quando il gateway si avvia con il file ISO, contatterà Sophos Central per effettuare la registrazione.
-
Tornare a Sophos Central. Nella pagina Gateway, lo stato del gateway sarà diventato In attesa di approvazione.
Quando richiesto, approvare la registrazione del gateway.
L'implementazione dell'approvazione può richiedere fino a dieci minuti. Lo stato del gateway diventerà Connesso. Verrà visualizzata un’opzione per creare una password, se lo si desidera.
Nota
Se si ha un cluster di istanze del gateway, l’approvazione della registrazione del gateway è richiesta solo per la prima istanza del gateway. Le istanze successive vengono gestite senza approvazione esplicita.
Nota
Il file ISO deve rimanere collegato al gateway. Non è possibile smontarlo dopo l’avvio del gateway.
La configurazione del gateway on-premise è stata completata.
Nota
Se il gateway non riesce a connettersi a Sophos Central, accedere a VMware vSphere ed eseguire la diagnostica sulla VM.
Quando è disponibile una nuova versione della virtual machine, nella colonna della versione viene visualizzato un segno di spunta verde. Cliccare sul numero di versione per avviare o pianificare un aggiornamento. Vedere Aggiornamenti del gateway in Gateway.
Per configurare un gateway su Microsoft Hyper-V, procedere come segue:
-
Scaricare e distribuire l’immagine della VM gateway.
-
Aggiungere le impostazioni del gateway per generare un file ISO (“immagine iniziale”).
-
Scaricare il file ISO e avviare il gateway.
Scaricare e distribuire l'immagine
-
In Sophos Central, seleziona Dispositivi > Programmi di installazione.
-
Sotto Zero Trust Network Access, cliccare su Scarica immagine VM Gateway per Hyper-V.
Viene scaricato un file ZIP contenente l’immagine della VM.
-
Estrarre l’immagine di base Hyper-V dal file ZIP scaricato.
Questo fornisce il file
.vhdx
necessario per configurare il gateway. Non è possibile utilizzare questo file per distribuire più di una VM, ma è possibile effettuarne copie e utilizzarle per altre VM. -
Nella Console di gestione di Hyper-V, elenco Macchine virtuali, sotto Azioni, cliccare su Nuova.
-
Immettere un nome per la VM.
-
Selezionare la generazione. La Generazione 1 supporta sia i sistemi operativi a 32 bit che a 64 bit.
-
In Assegnazione memoria, immettere almeno 4096 MB per la memoria di avvio.
-
In Configurazione della rete, selezionare una scheda di rete.
-
In Connessione disco rigido virtuale, selezionare Usa un disco rigido virtuale esistente e individuare il file
.vhdx
estratto dal download dell’immagine della VM. -
Cliccare su Fine.
-
Accedere alle Impostazioni della nuova VM.
-
Sotto Hardware > Processori, impostare il Numero di processori virtuali su “2”.
-
Se il gateway si trova in una distribuzione a due bracci, accedere alla Scheda di rete e aggiungere un’altra scheda alla VM.
Nota
Se si utilizzano VLAN, assicurarsi di aggiungere alle interfacce di rete un tag con gli ID VLAN appropriati.
-
-
Cliccare su Applica e su Salva.
Aggiunta delle impostazioni del gateway
-
Tornare a Sophos Central e selezionare Prodotti > ZTNA > Gateway. Cliccare su Aggiungi gateway.
-
Per Modalità gateway, selezionare On-premise.
-
In Aggiungi gateway, procedere come segue:
- Specificare un nome per il gateway e immettere l'FQDN del gateway.
- Immettere il dominio per le risorse (app).
- Sotto Tipo di piattaforma, selezionare Hyper-V.
-
Selezionare la Modalità di distribuzione.
- La distribuzione A braccio singolo utilizza l'interfaccia esterna per il traffico in entrata e in uscita.
- La distribuzione A due bracci utilizza sia l'interfaccia esterna che quella interna.
-
Inserire le impostazioni dell'Interfaccia.
-
Se si seleziona DHCP, impostare una prenotazione sul server DHCP.
Avviso
Il gateway non è in grado di gestire cambiamenti del proprio indirizzo IP. È necessario impostare una prenotazione per garantire che venga sempre mantenuto l’indirizzo IP iniziale assegnato da DHCP.
-
Se si seleziona IP statico, specificare un indirizzo IP, una subnet e le impostazioni del server DNS.
In una distribuzione a due bracci occorre specificare Route statiche, se sono presenti app ospitate su più reti interne.
-
-
Caricare i certificati creati in precedenza.
- Cliccare su Salva e genera file.
Nota
In questa versione è supportato un solo certificato singolo con caratteri jolly.
-
Nella pagina Gateway, il nuovo stato del gateway sarà In attesa di distribuzione. Cliccare sul gateway per visualizzarne i dettagli.
-
Nei dettagli del gateway, è possibile vedere che l’immagine ISO è pronta per il download. Servirà dopo l’avvio del gateway. L’ISO è univoco per ogni gateway. Non è possibile utilizzarlo più di una volta.
Prima di scaricare l'immagine, si consiglia di creare un cluster di gateway. Se non si desidera un cluster, passare alla sezione Download dei file ISO e avvio del gateway.
-
Nei dettagli del gateway, cliccare su Aggiungi/modifica istanze.
-
In Aggiungi/modifica istanze, cliccare su Aggiungi un’altra istanza. Il clustering si attiverà automaticamente.
-
Immettere i dettagli della nuova istanza come segue:
-
Immettere un IP virtuale cluster. Viene utilizzato per la gestione dei cluster e il bilanciamento del carico. Deve essere un indirizzo IP che non è stato utilizzato in precedenza in questa configurazione e deve rientrare nello stesso intervallo IP delle istanze del gateway.
Consiglio
In un’implementazione a due bracci, l’indirizzo IP dell’interfaccia esterna serve solo per il bilanciamento del carico. Se si utilizza un servizio di bilanciamento del carico esterno, lasciare vuoto questo campo.
-
Immettere un Nome VM e un IP interfaccia per la nuova istanza.
In un'implementazione a due bracci, immettere un IP interfaccia interno e uno esterno.
-
Ripetere il processo per aggiungere un'altra istanza.
Nota
Per un cluster sono necessarie almeno tre istanze. È possibile includere fino a nove istanze, ma devono sempre essere in numero dispari.
Nota
Per mantenere attivo il cluster, assicurarsi che almeno la metà dei gateway che contiene siano attivi.
-
A questo punto, occorre scaricare i file ISO e avviare il gateway.
Download dei file ISO e avvio del gateway
Scaricare i file ISO di ogni istanza, allegarli alla VM gateway e avviare il gateway, procedendo come segue:
-
Nei dettagli del gateway, aprire ciascuna istanza e cliccare su Scarica immagine.
-
Nella Console di gestione di Hyper-V, aprire le Impostazioni della VM. Nell’Unità DVD, procedere come segue:
- In Controller, selezionare Controller IDE 1.
- In Servizi multimediali, selezionare File immagine e immettere il percorso del file ISO dell’immagine iniziale.
- Cliccare su Applica e su Salva.
Nota
Il file ISO deve rimanere collegato al gateway. Non è possibile smontarlo dopo l’avvio del gateway.
-
Avviare le istanze del gateway. Attendere alcuni minuti.
-
In Sophos Central, selezionare Prodotti > ZTNA > Gateway e cliccare sul nuovo gateway per aprirne la pagina dei dettagli.
Lo stato del gateway diventa In attesa di approvazione del gateway. Cliccare su Approva.
Nota
Se si ha un cluster di istanze del gateway, l’approvazione della registrazione del gateway è richiesta solo per la prima istanza del gateway. Le istanze successive vengono gestite senza approvazione esplicita.
-
Lo stato del gateway diventa quindi Attivo.
La configurazione del gateway on-premise è stata completata.
Nota
Se il gateway non riesce a connettersi a Sophos Central, accedere alla Console di gestione di Hyper-V ed eseguire la diagnostica sulla VM.
Quando è disponibile una nuova versione della virtual machine, nella colonna della versione viene visualizzato un segno di spunta verde. Cliccare sul numero di versione per avviare o pianificare un aggiornamento. Vedere Aggiornamenti del gateway in Gateway.
Nel prossimo passaggio, si aggiungeranno le impostazioni DNS.