Requisiti
Prima di configurare ZTNA, verificare di soddisfare tutti i requisiti indicati di seguito.
Certificato con caratteri jolly
Occorre un certificato con caratteri jolly per il gateway ZTNA. Utilizzare uno dei seguenti:
- Un certificato emesso da Let's Encrypt.
- Un certificato emesso da un'autorità di certificazione attendibile.
Questa guida indica come ottenere un certificato.
Host gateway
È possibile ospitare il gateway ZTNA su un server ESXi, un server Hyper-V o su Amazon Web Services.
Avviso
I gateway AWS raggiungeranno l’End-of-Life il 31 marzo 2024. Vedere il Calendario di ritiro. Per garantire agli utenti l’accesso alle app dopo questa data, è possibile distribuire SFOS su AWS ed eseguire la migrazione delle risorse a questo gateway.
Server ESXi
Se si ospita il gateway su un server ESXi, è necessario soddisfare i seguenti requisiti:
- Hypervisor VMware vSphere (ESXi) 6.5 o versione successiva.
- 2 core, 4 GB di RAM e 80 GB di spazio su disco.
Bisogna accertarsi che data e ora siano impostate correttamente. Il gateway ZTNA si sincronizza con l'ora dell'host e riscontra problemi se l'ora non è esatta.
Nota
Il fuso orario deve essere impostato su UTC.
Sull'host ESXi, aprire Gestisci > Sistema > Ora e data e cliccare su Modifica impostazioni per impostare l'ora.
Server Hyper-V
Se si ospita il gateway su un server Hyper-V, è necessario soddisfare i seguenti requisiti:
- Server Hyper-V in esecuzione su Windows Server 2016 o versioni successive.
- 2 core, 4 GB di RAM e 80 GB di spazio su disco.
Bisogna accertarsi che data e ora siano impostate correttamente. Il gateway ZTNA si sincronizza con l'ora dell'host e riscontra problemi se l'ora non è esatta.
Nota
Il fuso orario deve essere impostato su UTC.
Amazon Web Services
Se si ospita il gateway su Amazon Web Services (AWS), sarà necessario un account AWS.
Gestione DNS
È necessario configurare le impostazioni del server DNS. Vedere Aggiunta delle impostazioni DNS.
Servizio directory
Per gestire utenti e gruppi occorre un servizio directory, che verrà utilizzato da ZTNA. È possibile utilizzare Microsoft Entra ID (Azure AD) o Active Directory.
Microsoft Entra ID (Azure AD)
Occorre un account Microsoft Entra ID (Azure AD) con gruppi di utenti configurati e sincronizzati con Sophos Central. Questa guida indica come configurare e sincronizzare questi gruppi.
I gruppi di utenti devono avere la protezione attivata. La protezione è attivata automaticamente per i gruppi creati in Microsoft Entra ID (Azure AD), ma non per i gruppi creati dal portale Microsoft 365 o importati da AD.
Microsoft Entra ID (Azure AD) può essere utilizzato anche come provider di identità.
Active Directory
Occorre un account Active Directory con gruppi di utenti configurati e sincronizzati con Sophos Central. Vedere Impostazione della sincronizzazione con Active Directory nella Guida in linea di Sophos Central Admin.
Se si utilizza Active Directory, sarà necessario un provider di identità diverso, ad esempio Okta.
Provider di identità
Per autenticare gli utenti occorre un provider di identità. È possibile utilizzare uno dei seguenti:
- Microsoft Entra ID (Azure AD)
- Okta
Questa guida indica come configurarli per l'uso con ZTNA.
Siti Web autorizzati
Se il gateway è protetto da un firewall, sarà necessario autorizzare l’accesso ai siti web richiesti (sulla porta 443, a meno che non venga specificato altrimenti).
Nota
Questo vale solo per i gateway on-premise.
I siti web richiesti sono i seguenti:
sophos.jfrog.io
jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com
*.amazonaws.com
production.cloudflare.docker.com
*.docker.io
*.sophos.com
login.microsoftonline.com
graph.microsoft.com
ztna.apu.sophos.com
(Porta 22)sentry.io
*.okta.com
(se si utilizza Okta come provider di identità)wsserver-ztna.<customerdomain.com>
- L’FQDN del gateway ZTNA (il dominio configurato nelle impostazioni del gateway ZTNA)
Tipi di app supportati
ZTNA è in grado di controllare sia l’accesso alle app basate sul web che a quelle locali. Il controllo delle app locali richiede l’agente ZTNA.
ZTNA non supporta app che dipendono dall’assegnazione dinamica della porta o che utilizzano varie porte diverse, ad esempio i prodotti VoIP meno recenti.
Agente Sophos ZTNA
L’agente ZTNA può essere installato sui seguenti sistemi operativi:
-
Windows 10.1803 o versioni successive
-
macOS Bigsur (macOS11) o versioni successive