Vai al contenuto
Ultimo aggiornamento: 2022-09-23

Requisiti

Prima di configurare ZTNA, verificare di soddisfare tutti i requisiti:

Certificato con caratteri jolly

Occorre un certificato con caratteri jolly per il gateway ZTNA. Utilizzare uno dei seguenti:

  • Un certificato emesso da Let's Encrypt.
  • Un certificato emesso da un'autorità di certificazione attendibile.

Questa guida indica come ottenere un certificato.

Host gateway

È possibile ospitare il gateway ZTNA su un server ESXi, un server Hyper-V o su Amazon Web Services.

Server ESXi

Se si ospita il gateway su un server ESXi, è necessario soddisfare i seguenti requisiti:

  • Hypervisor VMware vSphere (ESXi) 6.5 o versione successiva.
  • 2 core, 4 GB di RAM e 80 GB di spazio su disco.

Bisogna accertarsi che data e ora siano impostate correttamente. Il gateway ZTNA si sincronizza con l'ora dell'host e riscontra problemi se l'ora non è esatta.

Nota

Il fuso orario deve essere impostato su UTC.

Sull'host ESXi, aprire Gestisci > Sistema > Ora e data e cliccare su Modifica impostazioni per impostare l'ora.

Impostazioni dell'ora in ESXi

Server Hyper-V

Se si ospita il gateway su un server Hyper-V, è necessario soddisfare i seguenti requisiti:

  • Server Hyper-V in esecuzione su Windows Server 2016 o versioni successive.
  • 2 core, 4 GB di RAM e 80 GB di spazio su disco.

Bisogna accertarsi che data e ora siano impostate correttamente. Il gateway ZTNA si sincronizza con l'ora dell'host e riscontra problemi se l'ora non è esatta.

Nota

Il fuso orario deve essere impostato su UTC.

Amazon Web Services

Se si ospita il gateway su Amazon Web Services (AWS), sarà necessario un account AWS.

Gestione DNS

Sui server DNS occorrono le seguenti impostazioni.

Server DNS pubblico

Occorre un server DNS pubblico (esterno) in grado di risolvere questi record:

  • Un “record A” che punta al gateway ZTNA.
  • “Record CNAME” delle applicazioni che punta al nome di dominio (FQDN) del gateway ZTNA. Questi record CNAME non sono necessari per le applicazioni se l'accesso a queste ultime viene effettuato con l'agente Sophos ZTNA.

L'Early Access Program (EAP) supporta solo un singolo dominio. Pertanto il nome di dominio delle applicazioni deve corrispondere a quello del proprio gateway.

Esempio

  • FQDN del Gateway: https://ztna.nomeazienda.net/
  • FQDN di un'applicazione: https://wiki.nome azienda.net/#aggiornamenti

Server DNS privato

Il gateway ZTNA deve puntare a un server DNS privato (interno) per reindirizzare gli utenti a un'applicazione dopo la loro autenticazione e autorizzazione.

In alternativa, è possibile configurare direttamente l'FQDN/IP interno dell'applicazione quando viene aggiunta a ZTNA in Sophos Central.

Per esempi sul funzionamento del DNS con ZTNA, vedere Flussi DNS.

Servizio directory

Per gestire utenti e gruppi occorre un servizio directory, che verrà utilizzato da ZTNA. È possibile utilizzare Microsoft Azure AD o Active Directory.

Azure AD

Occorre un account Microsoft Azure AD con gruppi di utenti configurati e sincronizzati con Sophos Central. Questa guida indica come configurare e sincronizzare questi gruppi.

I gruppi di utenti devono avere la protezione attivata. La protezione è attivata automaticamente per i gruppi creati in Azure AD, ma non per i gruppi creati dal portale Microsoft 365 o importati da AD.

Azure AD può essere utilizzato anche come provider di identità.

Active Directory

Occorre un account Active Directory con gruppi di utenti configurati e sincronizzati con Sophos Central. Vedere Impostazione della sincronizzazione con Active Directory nella Guida in linea di Sophos Central Admin.

Se si utilizza Active Directory, sarà necessario un provider di identità diverso, ad esempio Okta.

Provider di identità

Per autenticare gli utenti occorre un provider di identità. È possibile utilizzare uno dei seguenti:

  • Azure AD
  • Okta

Questa guida indica come configurarli per l'uso con ZTNA.

Siti web autorizzati

Se il gateway è protetto da un firewall, sarà necessario autorizzare l'accesso ai seguenti siti web richiesti (sulla porta 443, a meno che non venga specificato altrimenti):

  • sophos.jfrog.io
  • *.amazonaws.com
  • production.cloudflare.docker.com
  • *.docker.io
  • *.sophos.com
  • login.microsoftonline.com
  • graph.microsoft.com
  • ztna.apu.sophos.com (Porta 22)
  • sentry.io
  • *.okta.com (se si utilizza Okta come provider di identità)

Tipi di app supportati

ZTNA è in grado di controllare sia l’accesso alle app basate sul web che a quelle locali. Il controllo delle app locali richiede l’agente ZTNA.

ZTNA non supporta app che dipendono dall’assegnazione dinamica della porta o che utilizzano varie porte diverse, ad esempio i prodotti VoIP meno recenti.