Configurazione di un Sophos Cloud Gateway
Occorre ora configurare un Sophos Cloud Gateway in grado di controllare l’accesso alle risorse presenti nella rete.
La procedura varia a seconda che si desideri ospitare il gateway su un server ESXi o su Microsoft Hyper-V. È anche possibile configurare un gateway sui propri dispositivi SFOS gestiti centralmente.
Avviso
I gateway AWS raggiungeranno l’End-of-Life il 31 marzo 2024. Vedere il Calendario di ritiro. Per garantire agli utenti l’accesso alle app dopo questa data, è possibile distribuire SFOS su AWS ed eseguire la migrazione delle risorse a questo gateway.
Avviso
I gateway devono essere configurati in modo da non essere operativi in subnet utilizzate per servizi interni, altrimenti potrebbero verificarsi problemi di accesso alle applicazioni. Le subnet interessate sono le seguenti: 10.42.0.0/16
, 10.43.0.0/16
, 10.108.0.0/16
.
Avviso
IPv6 non è supportato. Pertanto, evitare sia di configurare indirizzi IPv6 per i propri gateway, sia di consentire l’assegnazione agli endpoint di indirizzi IPv6 DHCP. Se sono già presenti endpoint a cui sono stati assegnati indirizzi IPv6, gli utenti devono disattivare manualmente le impostazioni IPv6 su ciascun endpoint.
Consiglio
Se l’accesso degli utenti alle risorse ZTNA deve essere effettuato dalla stessa rete del gateway ZTNA, aggiungere una regola SNAT di tipo MASQ per evitare il routing asimmetrico.
Per istruzioni dettagliate, cliccare sulla scheda relativa all'host che si desidera utilizzare.
Per configurare un Sophos Cloud Gateway su ESXi, procedere come segue:
-
Scaricare e distribuire l’immagine della VM.
-
Convalidare il dominio.
-
Aggiungere impostazioni del gateway e istanze.
-
Scaricare le immagini e avviare la VM.
Nota
Assicurarsi che sull'host ESXi siano state impostate l'ora e la data esatte. Il fuso orario deve essere impostato su UTC. Se l’ora non viene impostata correttamente, il gateway ZTNA riscontrerà dei problemi. Vedere Requisiti.
Se si utilizza un proxy a due bracci, vedere Configurazione della rete.
Scaricare e distribuire l'immagine
-
In Sophos Central, seleziona Dispositivi > Programmi di installazione.
-
Trovare Zero Trust Network Access.
- Cliccare sul link per il download di un'immagine gateway.
- Accettare il contratto di licenza e, se richiesto, i moduli di conformità per l'esportazione del software.
- L'immagine gateway viene scaricata. È un'immagine OVA generica del gateway ZTNA per i server ESXi. Può essere riutilizzata tutte le volte che si desidera.
-
Distribuire l'immagine OVA sull'host ESXi. In VMware vSphere, cliccare con il pulsante destro del mouse sull'host e selezionare Distribuisci modello OVA. Questa operazione avvia un assistente che guida l’utente durante la distribuzione.
Avviso
Dopo avere terminato, occorre disattivare l’opzione per il power-on automatico (l’impostazione predefinita su ESXi) o impedire l’avvio del gateway ZTNA. In caso contrario, il gateway si avvierà senza i file ISO e sarà necessario ricominciare da capo.
Convalidare il dominio
-
In Sophos Central, selezionare Prodotti > ZTNA >Impostazioni.
-
Cliccare su Domini.
-
Cliccare su Aggiungi dominio e aggiungere il nome del dominio; cliccare quindi su Aggiungi.
Le informazioni sul dominio verranno visualizzate nella tabella dei domini. Verrà generato un record TXT per il dominio.
-
Aprire il server DNS e aggiungere il record TXT per il dominio.
Attendere alcuni minuti prima di procedere con il passaggio successivo.
-
Tornare a Sophos Central e selezionare Prodotti > ZTNA > Impostazioni > Domini; cliccare su Convalida.
Lo stato del dominio diventerà “Convalidato”.
Aggiungere le impostazioni del gateway e le istanze
-
Cliccare su Aggiungi gateway.
-
Per Modalità gateway, selezionare Sophos Cloud.
-
Specificare un nome per il gateway e immettere l'FQDN del gateway.
Nota
Assicurarsi che l’FQDN del gateway sia identico a quello specificato nella pagina Registra un’applicazione. Vedere Registrare l’app ZTNA.
-
Selezionare il Dominio (convalidato).
-
Selezionare VMware ESXi come Tipo di piattaforma.
-
Selezionare il Provider di identità.
-
In Point of Presence, scegliere la propria Area geografica.
Selezionare l’area geografica più vicina al proprio data center, per ridurre la latenza.
Su ZTNA 2.1 e versioni successive, viene configurato per impostazione predefinita un Point of Presence secondario, più vicino al Point of Presence principale. È possibile disattivare questa opzione dalla pagina Impostazioni. Vedere Sophos Central: Impostazioni.
-
Selezionare la Modalità di distribuzione.
- La distribuzione A braccio singolo utilizza l'interfaccia esterna per il traffico in entrata e in uscita.
- La distribuzione A due bracci utilizza sia l'interfaccia esterna che quella interna.
-
Inserire le impostazioni dell'Interfaccia.
-
Se si seleziona DHCP, impostare una prenotazione sul server DHCP.
Avviso
Il gateway non è in grado di gestire cambiamenti del proprio indirizzo IP. È necessario impostare una prenotazione per garantire che venga sempre mantenuto l’indirizzo IP iniziale assegnato da DHCP.
-
Se si seleziona IP statico, specificare l'indirizzo IP, la subnet e le impostazioni del server DNS.
In una distribuzione a due bracci occorre specificare Route statiche, se sono presenti app ospitate su più reti interne.
-
-
Caricare i certificati creati in precedenza. Vedere Come ottenere un certificato.
-
Cliccare su Salva e genera file.
Verrà visualizzata una finestra popup Gateway aggiunto, che mostra il Dominio dell’alias generato. In un secondo momento, occorrerà aggiungere il dominio dell’alias per il gateway come voce CNAME al proprio server DNS pubblico. Vedere Aggiunta delle impostazioni DNS.
-
Cliccare su Copia.
Il gateway verrà visualizzato nella pagina Gateway. Di seguito viene riportato un esempio.
-
Cliccare sul Nome del gateway.
Si aprirà la pagina Dettagli gateway.
-
Nei dettagli del gateway, è possibile vedere che l’immagine ISO è pronta per il download. Servirà dopo l’avvio del gateway. L’ISO è univoco per ogni gateway. Non è possibile utilizzarlo più di una volta.
Prima di scaricare l'immagine, si consiglia di creare un cluster di gateway. Se non si desidera creare un cluster, passare alla sezione “Scaricare le immagini e avviare la VM”.
-
Nei dettagli del gateway, cliccare su Aggiungi/modifica istanze.
-
In Aggiungi/modifica istanze, cliccare su Aggiungi un’altra istanza. Il clustering si attiverà automaticamente.
-
Immettere i dettagli della nuova istanza come segue:
-
Immettere un IP virtuale cluster. Viene utilizzato per la gestione dei cluster e il bilanciamento del carico. Deve essere un indirizzo IP che non è stato utilizzato in precedenza in questa configurazione e deve rientrare nello stesso intervallo IP delle istanze del gateway.
Consiglio
In un’implementazione a due bracci, l’indirizzo IP dell’interfaccia esterna serve solo per il bilanciamento del carico. Se si utilizza un servizio di bilanciamento del carico esterno, lasciare vuoto questo campo.
-
Immettere un Nome VM e un IP interfaccia per la nuova istanza.
In un'implementazione a due bracci, immettere un IP interfaccia interno e uno esterno.
-
Ripetere il processo per aggiungere un'altra istanza.
Nota
Per un cluster sono necessarie almeno tre istanze. È possibile includere fino a nove istanze, ma devono sempre essere in numero dispari.
Nota
Per mantenere attivo il cluster, assicurarsi che almeno la metà dei gateway che contiene siano attivi.
-
A questo punto, occorre scaricare i file ISO e avviare il gateway.
Scaricare le immagini e avviare la VM
-
Aprire Istanze di gateway e scorrere verso il basso.
Le istanze verranno visualizzate sotto Stato.
-
Scaricare tutti i file ISO e montarli sull'host. Collegarli quindi al gateway, procedendo come segue:
- Accedere a VMware vSphere.
- Cliccare con il pulsante destro del mouse sulla VM del gateway e selezionare Modifica impostazioni.
- Nella scheda Hardware, nell'opzione dell'unità CD/DVD, verificare che sia visualizzato il file ISO e selezionare Connetti.
- In Stato, selezionare Connetti all'accensione.
- Cliccare su Salva.
Se come hardware virtuale viene elencato un dispositivo seriale, è possibile rimuoverlo senza alcun problema.
Quando il gateway si avvia con il file
iso
, contatterà Sophos Central per effettuare la registrazione. -
Tornare a Sophos Central. Nella pagina Gateway, lo stato del gateway sarà diventato In attesa di approvazione.
Quando richiesto, cliccare su Approva per approvare la registrazione del gateway.
L'implementazione dell'approvazione può richiedere fino a dieci minuti. Lo stato del gateway diventerà Attivo e Connesso. Verrà visualizzata un’opzione per creare una password, se lo si desidera.
Nota
Se si ha un cluster di istanze del gateway, l’approvazione della registrazione del gateway è richiesta solo per la prima istanza del gateway. Le istanze successive vengono gestite senza approvazione esplicita.
Nota
Il file ISO deve rimanere collegato al gateway. Non è possibile smontarlo dopo l’avvio del gateway.
Nota
Se il gateway non riesce a connettersi a Sophos Central, accedere a VMware vSphere ed eseguire la diagnostica sulla VM.
Quando è disponibile una nuova versione della virtual machine, nella colonna della versione viene visualizzato un segno di spunta verde. Cliccare sul numero di versione per avviare o pianificare un aggiornamento. Vedere Aggiornamenti del gateway in Gateway.
La configurazione del Sophos Cloud Gateway è stata completata.
Per configurare un Sophos Cloud Gateway su Microsoft Hyper-V, procedere come segue:
-
Scaricare e distribuire l’immagine della VM.
-
Convalidare il dominio.
-
Aggiungere le impostazioni del gateway per generare un file ISO (“immagine iniziale”).
-
Scaricare il file ISO e avviare il gateway.
Scaricare e distribuire l'immagine
-
In Sophos Central, seleziona Dispositivi > Programmi di installazione.
-
Sotto Zero Trust Network Access, cliccare su Scarica immagine VM Gateway per Hyper-V.
Viene scaricato un file ZIP contenente l’immagine della VM.
-
Estrarre l’immagine di base Hyper-V dal file ZIP scaricato.
Questo fornisce il file
.vhdx
necessario per configurare il gateway. Non è possibile utilizzare questo file per distribuire più di una VM, ma è possibile effettuarne copie e utilizzarle per altre VM. -
Nella Console di gestione di Hyper-V, elenco Macchine virtuali, sotto Azioni, cliccare su Nuova.
-
Immettere un nome per la VM.
-
Selezionare la generazione. La Generazione 1 supporta sia i sistemi operativi a 32 bit che a 64 bit.
-
In Assegnazione memoria, immettere almeno 4096 MB per la memoria di avvio.
-
In Configurazione della rete, selezionare una scheda di rete.
-
In Connessione disco rigido virtuale, selezionare Usa un disco rigido virtuale esistente e individuare il file
.vhdx
estratto dal download dell’immagine della VM. -
Cliccare su Fine.
-
Accedere alle Impostazioni della nuova VM.
-
Sotto Hardware > Processori, impostare il Numero di processori virtuali su “2”.
-
Se il gateway si trova in una distribuzione a due bracci, accedere alla Scheda di rete e aggiungere un’altra scheda alla VM.
Nota
Se si utilizzano VLAN, assicurarsi di aggiungere alle interfacce di rete un tag con gli ID VLAN appropriati.
-
-
Cliccare su Applica e su Salva.
Convalidare il dominio
-
In Sophos Central, selezionare Prodotti > ZTNA >Impostazioni.
-
Cliccare su Domini.
-
Cliccare su Aggiungi dominio e aggiungere il nome del dominio; cliccare quindi su Aggiungi.
Le informazioni sul dominio verranno visualizzate nella tabella dei domini. Verrà generato un record TXT per il dominio.
-
Aprire il server DNS e aggiungere il record TXT per il dominio.
Attendere alcuni minuti prima di procedere con il passaggio successivo.
-
Tornare a Sophos Central e selezionare Prodotti > ZTNA > Impostazioni > Domini; cliccare su Convalida.
Lo stato del dominio diventerà “Convalidato”.
Aggiungere le impostazioni del gateway e le istanze
-
Cliccare su Aggiungi gateway.
-
Per Modalità gateway, selezionare Sophos Cloud.
-
Specificare un nome per il gateway e immettere l'FQDN del gateway.
Nota
Assicurarsi che l’FQDN del gateway sia identico a quello specificato nella pagina Registra un’applicazione. Vedere Registrare l’app ZTNA.
-
Selezionare il Dominio (convalidato).
-
Selezionare VMware ESXi come Tipo di piattaforma.
-
Selezionare il Provider di identità.
-
In Point of Presence, scegliere la propria Area geografica.
Selezionare l’area geografica più vicina al proprio data center, per ridurre la latenza.
Su ZTNA 2.1 e versioni successive, viene configurato per impostazione predefinita un Point of Presence secondario, più vicino al Point of Presence principale. È possibile disattivare questa opzione dalla pagina Impostazioni. Vedere Sophos Central: Impostazioni.
-
Selezionare la Modalità di distribuzione.
- La distribuzione A braccio singolo utilizza l'interfaccia esterna per il traffico in entrata e in uscita.
- La distribuzione A due bracci utilizza sia l'interfaccia esterna che quella interna.
-
Inserire le impostazioni dell'Interfaccia.
-
Se si seleziona DHCP, impostare una prenotazione sul server DHCP.
Avviso
Il gateway non è in grado di gestire cambiamenti del proprio indirizzo IP. È necessario impostare una prenotazione per garantire che venga sempre mantenuto l’indirizzo IP iniziale assegnato da DHCP.
-
Se si seleziona IP statico, specificare l'indirizzo IP, la subnet e le impostazioni del server DNS.
In una distribuzione a due bracci occorre specificare Route statiche, se sono presenti app ospitate su più reti interne.
-
-
Caricare i certificati creati in precedenza.
-
Cliccare su Salva e genera file.
Verrà visualizzata una finestra popup Gateway aggiunto, che mostra il Dominio dell’alias generato. In un secondo momento, occorrerà aggiungere il dominio dell’alias per il gateway come voce CNAME al proprio server DNS pubblico. Vedere Aggiunta delle impostazioni DNS.
-
Cliccare su Copia.
Il gateway verrà visualizzato nella pagina Gateway. Di seguito viene riportato un esempio.
-
Cliccare sul Nome dei gateway.
Si aprirà la pagina Dettagli gateway.
-
Nei dettagli del gateway, è possibile vedere che l’immagine ISO è pronta per il download. Servirà dopo l’avvio del gateway. L’ISO è univoco per ogni gateway. Non è possibile utilizzarlo più di una volta.
Prima di scaricare l'immagine, si consiglia di creare un cluster di gateway. Se non si desidera un cluster, passare alla sezione Download dei file ISO e avvio del gateway.
-
Nei dettagli del gateway, cliccare su Aggiungi/modifica istanze.
-
In Aggiungi/modifica istanze, cliccare su Aggiungi un’altra istanza. Il clustering si attiverà automaticamente.
-
Immettere i dettagli della nuova istanza come segue:
-
Immettere un IP virtuale cluster. Viene utilizzato per la gestione dei cluster e il bilanciamento del carico. Deve rientrare nello stesso intervallo IP delle istanze del gateway.
In un'implementazione a due bracci, il VIP del cluster esterno serve solo per il bilanciamento del carico. Se si utilizza un servizio di bilanciamento del carico esterno, lasciare vuoto questo campo.
-
Immettere un Nome VM e un IP interfaccia per la nuova istanza.
In un'implementazione a due bracci, immettere un IP interfaccia interno e uno esterno.
-
Ripetere il processo per aggiungere un'altra istanza.
Nota
Per un cluster sono necessarie almeno tre istanze. È possibile includere fino a nove istanze, ma devono sempre essere in numero dispari.
Nota
Per mantenere attivo il cluster, assicurarsi che almeno la metà dei gateway che contiene siano attivi.
-
A questo punto, occorre scaricare i file ISO e avviare il gateway.
Download dei file ISO e avvio del gateway
Scaricare i file ISO di ogni istanza, allegarli alla VM gateway e avviare il gateway, procedendo come segue:
-
Nei dettagli del gateway, aprire ciascuna istanza e cliccare su Scarica immagine.
-
Nella Console di gestione di Hyper-V, aprire le Impostazioni della VM. Nell’Unità DVD, procedere come segue:
- In Controller, selezionare Controller IDE 1.
- In Servizi multimediali, selezionare File immagine e immettere il percorso del file ISO dell’immagine iniziale.
- Cliccare su Applica e su Salva.
Nota
Il file ISO deve rimanere collegato al gateway. Non è possibile smontarlo dopo l’avvio del gateway.
-
Avviare le istanze del gateway. Attendere alcuni minuti.
-
In Sophos Central, selezionare Prodotti > ZTNA > Gateway e cliccare sul nuovo gateway per aprirne la pagina dei dettagli.
Lo stato del gateway diventa In attesa di approvazione del gateway. Cliccare su Approva.
Nota
Se si ha un cluster di istanze del gateway, l’approvazione della registrazione del gateway è richiesta solo per la prima istanza del gateway. Le istanze successive vengono gestite senza approvazione esplicita.
-
Lo stato del gateway diventa quindi Attivo.
La configurazione del Sophos Cloud Gateway è stata completata.
Nota
Se il gateway non riesce a connettersi a Sophos Central, accedere alla Console di gestione di Hyper-V ed eseguire la diagnostica sulla VM.
Quando è disponibile una nuova versione della virtual machine, nella colonna della versione viene visualizzato un segno di spunta verde. Cliccare sul numero di versione per avviare o pianificare un aggiornamento. Vedere Aggiornamenti del gateway in Gateway.
I firewall gestiti centralmente possono utilizzare un gateway ZTNA per fornire accesso sicuro alle risorse interne. Per informazioni su come gestire il firewall con Sophos Central, vedere Sophos Firewall: Sophos Central.
Restrizioni
- Non è possibile accedere alla console del portale Web Admin del firewall tramite ZTNA se il firewall fa parte di una distribuzione con disponibilità elevata di tipo attivo-attivo.
- L’accesso al portale utente del firewall e al portale VPN non è ancora supportato attraverso il gateway ZTNA.
Per configurare un Sophos Cloud Gateway che controlli l’accesso alle risorse della rete, procedere come segue:
-
In Sophos Central, selezionare Prodotti > ZTNA > Gateway.
-
Cliccare su Aggiungi gateway.
-
Per Modalità gateway, selezionare Sophos Cloud.
-
Specificare un nome per il gateway e immettere l'FQDN del gateway.
Nota
Assicurarsi che l’FQDN del gateway sia identico a quello specificato nella pagina Registra un’applicazione. Vedere Registrare l’app ZTNA.
-
Selezionare il Dominio (convalidato).
-
Selezionare Firewall come Tipo di piattaforma.
-
Sotto Firewall, selezionare i propri firewall SFOS dall’elenco a discesa.
L’elenco a discesa include solo i firewall gestiti da Sophos Central con versione del firmware 19.5 MR3 o successiva.
È possibile selezionare un firewall attivo da una coppia di disponibilità elevata: questo garantirà il failover del traffico e dei servizi e ridurrà al minimo i tempi di inattività di ZTNA.
-
Selezionare il Provider di identità.
-
In Point of Presence, scegliere la propria Area geografica.
Selezionare l’area geografica più vicina al proprio data center, per ridurre la latenza.
Su ZTNA 2.1 e versioni successive, viene configurato per impostazione predefinita un Point of Presence secondario, più vicino al Point of Presence principale. È possibile disattivare questa opzione dalla pagina Impostazioni. Vedere Sophos Central: Impostazioni.
-
Caricare i certificati creati in precedenza. Vedere Come ottenere un certificato.
-
Cliccare su Salva.
Il gateway verrà visualizzato nella pagina Gateway.
Nota
Il gateway dovrebbe essere attivo entro circa 5 minuti.
-
Cliccare sul Nome del gateway.
Si aprirà la pagina Dettagli gateway. È possibile visualizzare e modificare i dettagli del gateway o eliminare il gateway.
Nota
Quando si configura un provider di identità, occorre aggiungere un nuovo URI di reindirizzamento per il gateway del firewall, utilizzando il seguente formato: https://<gateway’s external FQDN>/ztna-oauth2/callback
. Questo formato è diverso da quello delle altre piattaforme gateway.
Aggiunta del portale Web Admin del firewall come risorsa
È possibile aggiungere il portale Web Admin del firewall come risorsa. Quando si svolge questa operazione, verrà visualizzato Portale Web Admin nell’elenco a discesa Tipo di risorsa per il metodo di accesso Senza agente.
Accesso senza agente
È possibile definire un FQDN esterno come http://firewall.xyz.com
e impostare Portale Web Admin come tipo di risorsa. Quando si aggiunge la risorsa, verrà generato un dominio alias. Dovrà essere aggiunto come record CNAME sul proprio server DNS pubblico. Tutto il traffico verso il Portale Web Admin verrà reindirizzato sul dominio alias di proprietà di Sophos.
Accesso basato su agente
È possibile aggiungere qualsiasi elemento come FQDN esterno per la risorsa, e l’agente ZTNA lo intercetterà. Durante il processo di aggiunta di un record A per il gateway del firewall, è stato creato un tunnel e tutto il traffico verso il Portale Web Admin passa attraverso il tunnel.
Migrazione delle risorse
Per effettuare la migrazione di risorse che si trovano dietro una piattaforma gateway verso un gateway del firewall, procedere come segue:
- Configurare un gateway del firewall.
- Aggiungere un nuovo URI di reindirizzamento per il gateway del firewall.
- Modificare le risorse esistenti. Per svolgere questa operazione, selezionare Risorse e accesso e cliccare sul nome della risorsa per aprire i Dettagli delle risorse. Per Gateway, selezionare il gateway del firewall.
- Se il metodo di accesso è Senza agente, copiare il dominio alias del firewall e aggiungerlo al server DNS pubblico.
Nel prossimo passaggio, si aggiungeranno le impostazioni DNS. Vedere Aggiunta delle impostazioni DNS.