Vai al contenuto

Configurazione di un Sophos Cloud Gateway

Occorre ora configurare un Sophos Cloud Gateway in grado di controllare l’accesso alle risorse presenti nella rete.

La procedura varia a seconda che si desideri ospitare il gateway su un server ESXi o su Microsoft Hyper-V. È anche possibile configurare un gateway sui propri dispositivi SFOS gestiti centralmente.

Avviso

I gateway AWS raggiungeranno l’End-of-Life il 31 marzo 2024. Vedere il Calendario di ritiro. Per garantire agli utenti l’accesso alle app dopo questa data, è possibile distribuire SFOS su AWS ed eseguire la migrazione delle risorse a questo gateway.

Avviso

I gateway devono essere configurati in modo da non essere operativi in subnet utilizzate per servizi interni, altrimenti potrebbero verificarsi problemi di accesso alle applicazioni. Le subnet interessate sono le seguenti: 10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16.

Avviso

IPv6 non è supportato. Pertanto, evitare sia di configurare indirizzi IPv6 per i propri gateway, sia di consentire l’assegnazione agli endpoint di indirizzi IPv6 DHCP. Se sono già presenti endpoint a cui sono stati assegnati indirizzi IPv6, gli utenti devono disattivare manualmente le impostazioni IPv6 su ciascun endpoint.

Consiglio

Se l’accesso degli utenti alle risorse ZTNA deve essere effettuato dalla stessa rete del gateway ZTNA, aggiungere una regola SNAT di tipo MASQ per evitare il routing asimmetrico.

Per istruzioni dettagliate, cliccare sulla scheda relativa all'host che si desidera utilizzare.

Per configurare un Sophos Cloud Gateway su ESXi, procedere come segue:

  • Scaricare e distribuire l’immagine della VM.

  • Convalidare il dominio.

  • Aggiungere impostazioni del gateway e istanze.

  • Scaricare le immagini e avviare la VM.

Nota

Assicurarsi che sull'host ESXi siano state impostate l'ora e la data esatte. Il fuso orario deve essere impostato su UTC. Se l’ora non viene impostata correttamente, il gateway ZTNA riscontrerà dei problemi. Vedere Requisiti.

Se si utilizza un proxy a due bracci, vedere Configurazione della rete.

Scaricare e distribuire l'immagine

  1. In Sophos Central, seleziona Dispositivi > Programmi di installazione.

  2. Trovare Zero Trust Network Access.

    1. Cliccare sul link per il download di un'immagine gateway.
    2. Accettare il contratto di licenza e, se richiesto, i moduli di conformità per l'esportazione del software.
    3. L'immagine gateway viene scaricata. È un'immagine OVA generica del gateway ZTNA per i server ESXi. Può essere riutilizzata tutte le volte che si desidera.

    Pagina dei Download.

  3. Distribuire l'immagine OVA sull'host ESXi. In VMware vSphere, cliccare con il pulsante destro del mouse sull'host e selezionare Distribuisci modello OVA. Questa operazione avvia un assistente che guida l’utente durante la distribuzione.

    Avviso

    Dopo avere terminato, occorre disattivare l’opzione per il power-on automatico (l’impostazione predefinita su ESXi) o impedire l’avvio del gateway ZTNA. In caso contrario, il gateway si avvierà senza i file ISO e sarà necessario ricominciare da capo.

    Pagina di distribuzione in VMware vSphere.

Convalidare il dominio

  1. In Sophos Central, selezionare Prodotti > ZTNA >Impostazioni.

  2. Cliccare su Domini.

  3. Cliccare su Aggiungi dominio e aggiungere il nome del dominio; cliccare quindi su Aggiungi.

    Le informazioni sul dominio verranno visualizzate nella tabella dei domini. Verrà generato un record TXT per il dominio.

  4. Aprire il server DNS e aggiungere il record TXT per il dominio.

    Attendere alcuni minuti prima di procedere con il passaggio successivo.

  5. Tornare a Sophos Central e selezionare Prodotti > ZTNA > Impostazioni > Domini; cliccare su Convalida.

    Lo stato del dominio diventerà “Convalidato”.

Aggiungere le impostazioni del gateway e le istanze

  1. Cliccare su Aggiungi gateway.

  2. Per Modalità gateway, selezionare Sophos Cloud.

    Modalità gateway Sophos Cloud selezionata.

  3. Specificare un nome per il gateway e immettere l'FQDN del gateway.

    Nota

    Assicurarsi che l’FQDN del gateway sia identico a quello specificato nella pagina Registra un’applicazione. Vedere Registrare l’app ZTNA.

  4. Selezionare il Dominio (convalidato).

  5. Selezionare VMware ESXi come Tipo di piattaforma.

  6. Selezionare il Provider di identità.

  7. In Point of Presence, scegliere la propria Area geografica.

    Selezionare l’area geografica più vicina al proprio data center, per ridurre la latenza.

    Su ZTNA 2.1 e versioni successive, viene configurato per impostazione predefinita un Point of Presence secondario, più vicino al Point of Presence principale. È possibile disattivare questa opzione dalla pagina Impostazioni. Vedere Sophos Central: Impostazioni.

  8. Selezionare la Modalità di distribuzione.

    • La distribuzione A braccio singolo utilizza l'interfaccia esterna per il traffico in entrata e in uscita.
    • La distribuzione A due bracci utilizza sia l'interfaccia esterna che quella interna.
  9. Inserire le impostazioni dell'Interfaccia.

    • Se si seleziona DHCP, impostare una prenotazione sul server DHCP.

      Avviso

      Il gateway non è in grado di gestire cambiamenti del proprio indirizzo IP. È necessario impostare una prenotazione per garantire che venga sempre mantenuto l’indirizzo IP iniziale assegnato da DHCP.

    • Se si seleziona IP statico, specificare l'indirizzo IP, la subnet e le impostazioni del server DNS.

      In una distribuzione a due bracci occorre specificare Route statiche, se sono presenti app ospitate su più reti interne.

  10. Caricare i certificati creati in precedenza. Vedere Come ottenere un certificato.

  11. Cliccare su Salva e genera file.

    Verrà visualizzata una finestra popup Gateway aggiunto, che mostra il Dominio dell’alias generato. In un secondo momento, occorrerà aggiungere il dominio dell’alias per il gateway come voce CNAME al proprio server DNS pubblico. Vedere Aggiunta delle impostazioni DNS.

  12. Cliccare su Copia.

    Il gateway verrà visualizzato nella pagina Gateway. Di seguito viene riportato un esempio.

    Riepilogo dei gateway.

  13. Cliccare sul Nome del gateway.

    Si aprirà la pagina Dettagli gateway.

  14. Nei dettagli del gateway, è possibile vedere che l’immagine ISO è pronta per il download. Servirà dopo l’avvio del gateway. L’ISO è univoco per ogni gateway. Non è possibile utilizzarlo più di una volta.

    Prima di scaricare l'immagine, si consiglia di creare un cluster di gateway. Se non si desidera creare un cluster, passare alla sezione “Scaricare le immagini e avviare la VM”.

    Dettagli del nuovo gateway.

  15. Nei dettagli del gateway, cliccare su Aggiungi/modifica istanze.

    Pagina dei dettagli del gateway.

  16. In Aggiungi/modifica istanze, cliccare su Aggiungi un’altra istanza. Il clustering si attiverà automaticamente.

    Finestra di dialogo Aggiungi/modifica istanze.

  17. Immettere i dettagli della nuova istanza come segue:

    1. Immettere un IP virtuale cluster. Viene utilizzato per la gestione dei cluster e il bilanciamento del carico. Deve essere un indirizzo IP che non è stato utilizzato in precedenza in questa configurazione e deve rientrare nello stesso intervallo IP delle istanze del gateway.

      Consiglio

      In un’implementazione a due bracci, l’indirizzo IP dell’interfaccia esterna serve solo per il bilanciamento del carico. Se si utilizza un servizio di bilanciamento del carico esterno, lasciare vuoto questo campo.

    2. Immettere un Nome VM e un IP interfaccia per la nuova istanza.

      In un'implementazione a due bracci, immettere un IP interfaccia interno e uno esterno.

    3. Ripetere il processo per aggiungere un'altra istanza.

      Nota

      Per un cluster sono necessarie almeno tre istanze. È possibile includere fino a nove istanze, ma devono sempre essere in numero dispari.

      Nota

      Per mantenere attivo il cluster, assicurarsi che almeno la metà dei gateway che contiene siano attivi.

    Dettagli istanza.

A questo punto, occorre scaricare i file ISO e avviare il gateway.

Scaricare le immagini e avviare la VM

  1. Aprire Istanze di gateway e scorrere verso il basso.

    Le istanze verranno visualizzate sotto Stato.

  2. Scaricare tutti i file ISO e montarli sull'host. Collegarli quindi al gateway, procedendo come segue:

    1. Accedere a VMware vSphere.
    2. Cliccare con il pulsante destro del mouse sulla VM del gateway e selezionare Modifica impostazioni.
    3. Nella scheda Hardware, nell'opzione dell'unità CD/DVD, verificare che sia visualizzato il file ISO e selezionare Connetti.
    4. In Stato, selezionare Connetti all'accensione.
    5. Cliccare su Salva.

    Se come hardware virtuale viene elencato un dispositivo seriale, è possibile rimuoverlo senza alcun problema.

    Quando il gateway si avvia con il file iso, contatterà Sophos Central per effettuare la registrazione.

    Scheda Hardware virtuale in VMware vSphere.

  3. Tornare a Sophos Central. Nella pagina Gateway, lo stato del gateway sarà diventato In attesa di approvazione.

    Quando richiesto, cliccare su Approva per approvare la registrazione del gateway.

    L'implementazione dell'approvazione può richiedere fino a dieci minuti. Lo stato del gateway diventerà Attivo e Connesso. Verrà visualizzata un’opzione per creare una password, se lo si desidera.

    Nota

    Se si ha un cluster di istanze del gateway, l’approvazione della registrazione del gateway è richiesta solo per la prima istanza del gateway. Le istanze successive vengono gestite senza approvazione esplicita.

    Nota

    Il file ISO deve rimanere collegato al gateway. Non è possibile smontarlo dopo l’avvio del gateway.

    Nota

    Se il gateway non riesce a connettersi a Sophos Central, accedere a VMware vSphere ed eseguire la diagnostica sulla VM.

    Quando è disponibile una nuova versione della virtual machine, nella colonna della versione viene visualizzato un segno di spunta verde. Cliccare sul numero di versione per avviare o pianificare un aggiornamento. Vedere Aggiornamenti del gateway in Gateway.

La configurazione del Sophos Cloud Gateway è stata completata.

Per configurare un Sophos Cloud Gateway su Microsoft Hyper-V, procedere come segue:

  • Scaricare e distribuire l’immagine della VM.

  • Convalidare il dominio.

  • Aggiungere le impostazioni del gateway per generare un file ISO (“immagine iniziale”).

  • Scaricare il file ISO e avviare il gateway.

Scaricare e distribuire l'immagine

  1. In Sophos Central, seleziona Dispositivi > Programmi di installazione.

  2. Sotto Zero Trust Network Access, cliccare su Scarica immagine VM Gateway per Hyper-V.

    Viene scaricato un file ZIP contenente l’immagine della VM.

    Pagina Proteggi dispositivi.

  3. Estrarre l’immagine di base Hyper-V dal file ZIP scaricato.

    Questo fornisce il file .vhdx necessario per configurare il gateway. Non è possibile utilizzare questo file per distribuire più di una VM, ma è possibile effettuarne copie e utilizzarle per altre VM.

  4. Nella Console di gestione di Hyper-V, elenco Macchine virtuali, sotto Azioni, cliccare su Nuova.

    Console di gestione di Hyper-V.

  5. Immettere un nome per la VM.

    Pagina Impostazione nome e percorso.

  6. Selezionare la generazione. La Generazione 1 supporta sia i sistemi operativi a 32 bit che a 64 bit.

    Pagina Impostazione generazione.

  7. In Assegnazione memoria, immettere almeno 4096 MB per la memoria di avvio.

    Pagina Assegnazione memoria.

  8. In Configurazione della rete, selezionare una scheda di rete.

    Pagina Configurazione della rete.

  9. In Connessione disco rigido virtuale, selezionare Usa un disco rigido virtuale esistente e individuare il file .vhdx estratto dal download dell’immagine della VM.

    Pagina Connessione disco rigido virtuale.

  10. Cliccare su Fine.

    Pagina di completamento della nuova VM.

  11. Accedere alle Impostazioni della nuova VM.

    1. Sotto Hardware > Processori, impostare il Numero di processori virtuali su “2”.

    2. Se il gateway si trova in una distribuzione a due bracci, accedere alla Scheda di rete e aggiungere un’altra scheda alla VM.

    Impostazioni della VM.

    Nota

    Se si utilizzano VLAN, assicurarsi di aggiungere alle interfacce di rete un tag con gli ID VLAN appropriati.

  12. Cliccare su Applica e su Salva.

Convalidare il dominio

  1. In Sophos Central, selezionare Prodotti > ZTNA >Impostazioni.

  2. Cliccare su Domini.

  3. Cliccare su Aggiungi dominio e aggiungere il nome del dominio; cliccare quindi su Aggiungi.

    Le informazioni sul dominio verranno visualizzate nella tabella dei domini. Verrà generato un record TXT per il dominio.

  4. Aprire il server DNS e aggiungere il record TXT per il dominio.

    Attendere alcuni minuti prima di procedere con il passaggio successivo.

  5. Tornare a Sophos Central e selezionare Prodotti > ZTNA > Impostazioni > Domini; cliccare su Convalida.

    Lo stato del dominio diventerà “Convalidato”.

Aggiungere le impostazioni del gateway e le istanze

  1. Cliccare su Aggiungi gateway.

  2. Per Modalità gateway, selezionare Sophos Cloud.

    Modalità gateway Sophos Cloud selezionata.

  3. Specificare un nome per il gateway e immettere l'FQDN del gateway.

    Nota

    Assicurarsi che l’FQDN del gateway sia identico a quello specificato nella pagina Registra un’applicazione. Vedere Registrare l’app ZTNA.

  4. Selezionare il Dominio (convalidato).

  5. Selezionare VMware ESXi come Tipo di piattaforma.

  6. Selezionare il Provider di identità.

  7. In Point of Presence, scegliere la propria Area geografica.

    Selezionare l’area geografica più vicina al proprio data center, per ridurre la latenza.

    Su ZTNA 2.1 e versioni successive, viene configurato per impostazione predefinita un Point of Presence secondario, più vicino al Point of Presence principale. È possibile disattivare questa opzione dalla pagina Impostazioni. Vedere Sophos Central: Impostazioni.

  8. Selezionare la Modalità di distribuzione.

    • La distribuzione A braccio singolo utilizza l'interfaccia esterna per il traffico in entrata e in uscita.
    • La distribuzione A due bracci utilizza sia l'interfaccia esterna che quella interna.
  9. Inserire le impostazioni dell'Interfaccia.

    • Se si seleziona DHCP, impostare una prenotazione sul server DHCP.

      Avviso

      Il gateway non è in grado di gestire cambiamenti del proprio indirizzo IP. È necessario impostare una prenotazione per garantire che venga sempre mantenuto l’indirizzo IP iniziale assegnato da DHCP.

    • Se si seleziona IP statico, specificare l'indirizzo IP, la subnet e le impostazioni del server DNS.

      In una distribuzione a due bracci occorre specificare Route statiche, se sono presenti app ospitate su più reti interne.

  10. Caricare i certificati creati in precedenza.

  11. Cliccare su Salva e genera file.

    Verrà visualizzata una finestra popup Gateway aggiunto, che mostra il Dominio dell’alias generato. In un secondo momento, occorrerà aggiungere il dominio dell’alias per il gateway come voce CNAME al proprio server DNS pubblico. Vedere Aggiunta delle impostazioni DNS.

  12. Cliccare su Copia.

    Il gateway verrà visualizzato nella pagina Gateway. Di seguito viene riportato un esempio.

    Riepilogo dei gateway.

  13. Cliccare sul Nome dei gateway.

    Si aprirà la pagina Dettagli gateway.

  14. Nei dettagli del gateway, è possibile vedere che l’immagine ISO è pronta per il download. Servirà dopo l’avvio del gateway. L’ISO è univoco per ogni gateway. Non è possibile utilizzarlo più di una volta.

    Prima di scaricare l'immagine, si consiglia di creare un cluster di gateway. Se non si desidera un cluster, passare alla sezione Download dei file ISO e avvio del gateway.

    Dettagli del nuovo gateway.

  15. Nei dettagli del gateway, cliccare su Aggiungi/modifica istanze.

    Pagina dei dettagli del gateway.

  16. In Aggiungi/modifica istanze, cliccare su Aggiungi un’altra istanza. Il clustering si attiverà automaticamente.

    Finestra di dialogo Aggiungi/modifica istanze.

  17. Immettere i dettagli della nuova istanza come segue:

    1. Immettere un IP virtuale cluster. Viene utilizzato per la gestione dei cluster e il bilanciamento del carico. Deve rientrare nello stesso intervallo IP delle istanze del gateway.

      In un'implementazione a due bracci, il VIP del cluster esterno serve solo per il bilanciamento del carico. Se si utilizza un servizio di bilanciamento del carico esterno, lasciare vuoto questo campo.

    2. Immettere un Nome VM e un IP interfaccia per la nuova istanza.

      In un'implementazione a due bracci, immettere un IP interfaccia interno e uno esterno.

    3. Ripetere il processo per aggiungere un'altra istanza.

      Nota

      Per un cluster sono necessarie almeno tre istanze. È possibile includere fino a nove istanze, ma devono sempre essere in numero dispari.

      Nota

      Per mantenere attivo il cluster, assicurarsi che almeno la metà dei gateway che contiene siano attivi.

    Dettagli istanza.

A questo punto, occorre scaricare i file ISO e avviare il gateway.

Download dei file ISO e avvio del gateway

Scaricare i file ISO di ogni istanza, allegarli alla VM gateway e avviare il gateway, procedendo come segue:

  1. Nei dettagli del gateway, aprire ciascuna istanza e cliccare su Scarica immagine.

    Istanze gateway con download.

  2. Nella Console di gestione di Hyper-V, aprire le Impostazioni della VM. Nell’Unità DVD, procedere come segue:

    1. In Controller, selezionare Controller IDE 1.
    2. In Servizi multimediali, selezionare File immagine e immettere il percorso del file ISO dell’immagine iniziale.
    3. Cliccare su Applica e su Salva.

    Nota

    Il file ISO deve rimanere collegato al gateway. Non è possibile smontarlo dopo l’avvio del gateway.

    Unità DVD della VM.

  3. Avviare le istanze del gateway. Attendere alcuni minuti.

  4. In Sophos Central, selezionare Prodotti > ZTNA > Gateway e cliccare sul nuovo gateway per aprirne la pagina dei dettagli.

    Lo stato del gateway diventa In attesa di approvazione del gateway. Cliccare su Approva.

    Stato del gateway con il pulsante Approva.

    Nota

    Se si ha un cluster di istanze del gateway, l’approvazione della registrazione del gateway è richiesta solo per la prima istanza del gateway. Le istanze successive vengono gestite senza approvazione esplicita.

  5. Lo stato del gateway diventa quindi Attivo.

La configurazione del Sophos Cloud Gateway è stata completata.

Nota

Se il gateway non riesce a connettersi a Sophos Central, accedere alla Console di gestione di Hyper-V ed eseguire la diagnostica sulla VM.

Quando è disponibile una nuova versione della virtual machine, nella colonna della versione viene visualizzato un segno di spunta verde. Cliccare sul numero di versione per avviare o pianificare un aggiornamento. Vedere Aggiornamenti del gateway in Gateway.

I firewall gestiti centralmente possono utilizzare un gateway ZTNA per fornire accesso sicuro alle risorse interne. Per informazioni su come gestire il firewall con Sophos Central, vedere Sophos Firewall: Sophos Central.

Restrizioni

  • Non è possibile accedere alla console del portale Web Admin del firewall tramite ZTNA se il firewall fa parte di una distribuzione con disponibilità elevata di tipo attivo-attivo.
  • L’accesso al portale utente del firewall e al portale VPN non è ancora supportato attraverso il gateway ZTNA.

Per configurare un Sophos Cloud Gateway che controlli l’accesso alle risorse della rete, procedere come segue:

  1. In Sophos Central, selezionare Prodotti > ZTNA > Gateway.

  2. Cliccare su Aggiungi gateway.

  3. Per Modalità gateway, selezionare Sophos Cloud.

  4. Specificare un nome per il gateway e immettere l'FQDN del gateway.

    Nota

    Assicurarsi che l’FQDN del gateway sia identico a quello specificato nella pagina Registra un’applicazione. Vedere Registrare l’app ZTNA.

  5. Selezionare il Dominio (convalidato).

  6. Selezionare Firewall come Tipo di piattaforma.

  7. Sotto Firewall, selezionare i propri firewall SFOS dall’elenco a discesa.

    Selezione del firewall dall’elenco.

    L’elenco a discesa include solo i firewall gestiti da Sophos Central con versione del firmware 19.5 MR3 o successiva.

    È possibile selezionare un firewall attivo da una coppia di disponibilità elevata: questo garantirà il failover del traffico e dei servizi e ridurrà al minimo i tempi di inattività di ZTNA.

  8. Selezionare il Provider di identità.

  9. In Point of Presence, scegliere la propria Area geografica.

    Selezionare l’area geografica più vicina al proprio data center, per ridurre la latenza.

    Su ZTNA 2.1 e versioni successive, viene configurato per impostazione predefinita un Point of Presence secondario, più vicino al Point of Presence principale. È possibile disattivare questa opzione dalla pagina Impostazioni. Vedere Sophos Central: Impostazioni.

  10. Caricare i certificati creati in precedenza. Vedere Come ottenere un certificato.

  11. Cliccare su Salva.

    Il gateway verrà visualizzato nella pagina Gateway.

    Nota

    Il gateway dovrebbe essere attivo entro circa 5 minuti.

  12. Cliccare sul Nome del gateway.

    Si aprirà la pagina Dettagli gateway. È possibile visualizzare e modificare i dettagli del gateway o eliminare il gateway.

Nota

Quando si configura un provider di identità, occorre aggiungere un nuovo URI di reindirizzamento per il gateway del firewall, utilizzando il seguente formato: https://<gateway’s external FQDN>/ztna-oauth2/callback. Questo formato è diverso da quello delle altre piattaforme gateway.

Aggiunta del portale Web Admin del firewall come risorsa

È possibile aggiungere il portale Web Admin del firewall come risorsa. Quando si svolge questa operazione, verrà visualizzato Portale Web Admin nell’elenco a discesa Tipo di risorsa per il metodo di accesso Senza agente.

Elenco dei tipi di risorse.

Accesso senza agente

È possibile definire un FQDN esterno come http://firewall.xyz.com e impostare Portale Web Admin come tipo di risorsa. Quando si aggiunge la risorsa, verrà generato un dominio alias. Dovrà essere aggiunto come record CNAME sul proprio server DNS pubblico. Tutto il traffico verso il Portale Web Admin verrà reindirizzato sul dominio alias di proprietà di Sophos.

Accesso basato su agente

È possibile aggiungere qualsiasi elemento come FQDN esterno per la risorsa, e l’agente ZTNA lo intercetterà. Durante il processo di aggiunta di un record A per il gateway del firewall, è stato creato un tunnel e tutto il traffico verso il Portale Web Admin passa attraverso il tunnel.

Migrazione delle risorse

Per effettuare la migrazione di risorse che si trovano dietro una piattaforma gateway verso un gateway del firewall, procedere come segue:

  1. Configurare un gateway del firewall.
  2. Aggiungere un nuovo URI di reindirizzamento per il gateway del firewall.
  3. Modificare le risorse esistenti. Per svolgere questa operazione, selezionare Risorse e accesso e cliccare sul nome della risorsa per aprire i Dettagli delle risorse. Per Gateway, selezionare il gateway del firewall.
  4. Se il metodo di accesso è Senza agente, copiare il dominio alias del firewall e aggiungerlo al server DNS pubblico.

Nel prossimo passaggio, si aggiungeranno le impostazioni DNS. Vedere Aggiunta delle impostazioni DNS.