Requisiti
Prima di configurare ZTNA, verificare di soddisfare tutti i requisiti indicati di seguito.
Certificato con caratteri jolly
Occorre un certificato con caratteri jolly per il gateway ZTNA. Utilizzare uno dei seguenti:
- Un certificato emesso da Let's Encrypt.
- Un certificato emesso da un'autorità di certificazione attendibile.
Nota
Supportiamo solo certificati RSA ed ECDSA, con le seguenti eccezioni:
- ECDSA: P-384 e P-521 non sono supportati.
- RSA: non sono supportate dimensioni delle chiavi inferiori a 2048.
Questa guida indica come ottenere un certificato. Vedere Come ottenere un certificato.
Host gateway
È possibile ospitare il gateway ZTNA su un server ESXi o Hyper-V, oppure configurare un Sophos Cloud Gateway. Vedere Aggiunta di un gateway.
Sophos Firewall
Per integrare il proprio Sophos Firewall con ZTNA, è necessario soddisfare i seguenti requisiti:
- La versione del firewall deve essere 19.5 MR3 o successiva.
- Il firewall deve essere gestito con Sophos Central.
ZTNA può essere integrato con tutti i tipi di firewall: hardware, cloud, virtuali e software.
Server ESXi
Se si ospita il gateway su un server ESXi, è necessario soddisfare i seguenti requisiti:
- Hypervisor VMware vSphere (ESXi) 6.5 o versione successiva.
- 2 core, 4 GB di RAM e 80 GB di spazio su disco.
Bisogna accertarsi che data e ora siano impostate correttamente. Il gateway ZTNA si sincronizza con l'ora dell'host e riscontra problemi se l'ora non è esatta.
Nota
Il fuso orario deve essere impostato su UTC.
Sull'host ESXi, aprire Gestisci > Sistema > Ora e data e cliccare su Modifica impostazioni per impostare l'ora.
Server Hyper-V
Se si ospita il gateway su un server Hyper-V, è necessario soddisfare i seguenti requisiti:
- Server Hyper-V in esecuzione su Windows Server 2016 o versioni successive.
- 2 core, 4 GB di RAM e 80 GB di spazio su disco.
Bisogna accertarsi che data e ora siano impostate correttamente. Il gateway ZTNA si sincronizza con l'ora dell'host e riscontra problemi se l'ora non è esatta.
Nota
Il fuso orario deve essere impostato su UTC.
Gestione DNS
È necessario configurare le impostazioni del server DNS. Vedere Aggiunta delle impostazioni DNS.
Servizio directory
Per gestire utenti e gruppi occorre un servizio directory, che verrà utilizzato da ZTNA. È possibile utilizzare Microsoft Entra ID (Azure AD) o Active Directory. Vedere Configurazione di un servizio directory.
Microsoft Entra ID (Azure AD)
Occorre un account Microsoft Entra ID (Azure AD) con gruppi di utenti configurati e sincronizzati con Sophos Central. Questa guida indica come configurare e sincronizzare questi gruppi. Vedere Sincronizzazione degli utenti in Sophos Central.
La protezione deve essere attivata per i propri gruppi di utenti. La protezione è attivata automaticamente per i gruppi creati in Microsoft Entra ID (Azure AD), ma non per i gruppi creati dal portale Microsoft 365 o importati da AD.
Microsoft Entra ID (Azure AD) può essere utilizzato anche come provider di identità. Vedere Configurazione di un provider di identità.
Active Directory
Occorre un account Active Directory con gruppi di utenti configurati e sincronizzati con Sophos Central. Vedere Impostazione della sincronizzazione con Active Directory nella Guida in linea di Sophos Central Admin.
Active Directory può essere utilizzata anche come provider di identità. Vedere Configurazione di un provider di identità.
Provider di identità
Per autenticare gli utenti occorre un provider di identità. È possibile utilizzare le seguenti soluzioni:
- Microsoft Entra ID (Azure AD)
- Okta
- Active Directory (on-premise)
Questa guida indica come configurarli per l'uso con ZTNA. Vedere Configurazione di un provider di identità.
Siti Web autorizzati
Se il gateway è protetto da un firewall, sarà necessario autorizzare l’accesso ai siti web richiesti (sulla porta 443, a meno che non venga specificato altrimenti).
Nota
Questo vale solo per i gateway on-premise.
I siti web richiesti sono i seguenti:
sophos.jfrog.io
jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com
*.amazonaws.com
production.cloudflare.docker.com
*.docker.io
*.sophos.com
login.microsoftonline.com
graph.microsoft.com
ztna.apu.sophos.com
(Porta 22)sentry.io
*.okta.com
(se si utilizza Okta come provider di identità)wsserver-<customer gateway FQDN>
- L’FQDN del gateway ZTNA (il dominio configurato nelle impostazioni del gateway ZTNA)
Esclusioni
La decrittografia SSL/TLS potrebbe essere stata attivata su un firewall upstream. In tale eventualità, sarà necessario aggiungere l’FQDN esterno del gateway ZTNA all’elenco di esclusioni del firewall, utilizzando il seguente formato: wsserver-<customer-gateway-fqdn>
. Per informazioni, vedere Eccezioni.
Tipi di app supportati
ZTNA è in grado di controllare sia l’accesso alle app basate sul web che a quelle locali. Il controllo delle app locali richiede l’agente ZTNA.
ZTNA non supporta app che dipendono dall’assegnazione dinamica della porta o che utilizzano varie porte diverse, ad esempio i prodotti VoIP meno recenti.
Per informazioni sull’aggiunta di app e pagine web, vedere Aggiungi risorse.
Agente Sophos ZTNA
L’agente ZTNA può essere installato sui seguenti sistemi operativi:
-
Windows 10.1803 o versioni successive
-
macOS Bigsur (macOS11) o versioni successive
Per ulteriori informazioni, vedere Installazione dell'agente ZTNA.