Vai al contenuto

Requisiti

Prima di configurare ZTNA, verificare di soddisfare tutti i requisiti indicati di seguito.

Certificato con caratteri jolly

Occorre un certificato con caratteri jolly per il gateway ZTNA. Utilizzare uno dei seguenti:

  • Un certificato emesso da Let's Encrypt.
  • Un certificato emesso da un'autorità di certificazione attendibile.

Questa guida indica come ottenere un certificato.

Host gateway

È possibile ospitare il gateway ZTNA su un server ESXi, un server Hyper-V o su Amazon Web Services.

Avviso

I gateway AWS raggiungeranno l’End-of-Life il 31 marzo 2024. Vedere il Calendario di ritiro. Per garantire agli utenti l’accesso alle app dopo questa data, è possibile distribuire SFOS su AWS ed eseguire la migrazione delle risorse a questo gateway.

Server ESXi

Se si ospita il gateway su un server ESXi, è necessario soddisfare i seguenti requisiti:

  • Hypervisor VMware vSphere (ESXi) 6.5 o versione successiva.
  • 2 core, 4 GB di RAM e 80 GB di spazio su disco.

Bisogna accertarsi che data e ora siano impostate correttamente. Il gateway ZTNA si sincronizza con l'ora dell'host e riscontra problemi se l'ora non è esatta.

Nota

Il fuso orario deve essere impostato su UTC.

Sull'host ESXi, aprire Gestisci > Sistema > Ora e data e cliccare su Modifica impostazioni per impostare l'ora.

Impostazioni dell’ora in ESXi.

Server Hyper-V

Se si ospita il gateway su un server Hyper-V, è necessario soddisfare i seguenti requisiti:

  • Server Hyper-V in esecuzione su Windows Server 2016 o versioni successive.
  • 2 core, 4 GB di RAM e 80 GB di spazio su disco.

Bisogna accertarsi che data e ora siano impostate correttamente. Il gateway ZTNA si sincronizza con l'ora dell'host e riscontra problemi se l'ora non è esatta.

Nota

Il fuso orario deve essere impostato su UTC.

Amazon Web Services

Se si ospita il gateway su Amazon Web Services (AWS), sarà necessario un account AWS.

Gestione DNS

È necessario configurare le impostazioni del server DNS. Vedere Aggiunta delle impostazioni DNS.

Servizio directory

Per gestire utenti e gruppi occorre un servizio directory, che verrà utilizzato da ZTNA. È possibile utilizzare Microsoft Entra ID (Azure AD) o Active Directory.

Microsoft Entra ID (Azure AD)

Occorre un account Microsoft Entra ID (Azure AD) con gruppi di utenti configurati e sincronizzati con Sophos Central. Questa guida indica come configurare e sincronizzare questi gruppi.

I gruppi di utenti devono avere la protezione attivata. La protezione è attivata automaticamente per i gruppi creati in Microsoft Entra ID (Azure AD), ma non per i gruppi creati dal portale Microsoft 365 o importati da AD.

Microsoft Entra ID (Azure AD) può essere utilizzato anche come provider di identità.

Active Directory

Occorre un account Active Directory con gruppi di utenti configurati e sincronizzati con Sophos Central. Vedere Impostazione della sincronizzazione con Active Directory nella Guida in linea di Sophos Central Admin.

Se si utilizza Active Directory, sarà necessario un provider di identità diverso, ad esempio Okta.

Provider di identità

Per autenticare gli utenti occorre un provider di identità. È possibile utilizzare uno dei seguenti:

  • Microsoft Entra ID (Azure AD)
  • Okta

Questa guida indica come configurarli per l'uso con ZTNA.

Siti Web autorizzati

Se il gateway è protetto da un firewall, sarà necessario autorizzare l’accesso ai siti web richiesti (sulla porta 443, a meno che non venga specificato altrimenti).

Nota

Questo vale solo per i gateway on-premise.

I siti web richiesti sono i seguenti:

  • sophos.jfrog.io
  • jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com
  • *.amazonaws.com
  • production.cloudflare.docker.com
  • *.docker.io
  • *.sophos.com
  • login.microsoftonline.com
  • graph.microsoft.com
  • ztna.apu.sophos.com (Porta 22)
  • sentry.io
  • *.okta.com (se si utilizza Okta come provider di identità)
  • wsserver-ztna.<customerdomain.com>
  • L’FQDN del gateway ZTNA (il dominio configurato nelle impostazioni del gateway ZTNA)

Tipi di app supportati

ZTNA è in grado di controllare sia l’accesso alle app basate sul web che a quelle locali. Il controllo delle app locali richiede l’agente ZTNA.

ZTNA non supporta app che dipendono dall’assegnazione dinamica della porta o che utilizzano varie porte diverse, ad esempio i prodotti VoIP meno recenti.

Agente Sophos ZTNA

L’agente ZTNA può essere installato sui seguenti sistemi operativi:

  • Windows 10.1803 o versioni successive

  • macOS Bigsur (macOS11) o versioni successive