Sophos Cloud ゲートウェイの設定
次に、ネットワークのリソースへのアクセスを制御する Sophos Cloud ゲートウェイを設定します。
手順は、ゲートウェイを ESXi サーバー、Microsoft Hyper-V、または Amazon Web Services でホストするかによって異なります。一元管理された SFOS デバイスにゲートウェイを設定することもできます。
警告
AWS ゲートウェイは 2024年 3月 31日にサポート終了となります。製品のサポート終了日を参照してください。AWS に SFOS を導入し、リソースをこのゲートウェイに移行して、ユーザーがその日付以降もアプリにアクセスできるようにすることができます。
警告
ゲートウェイは、内部サービスで使用するサブネットで動作するようには設定しないでください。その場合、アプリケーションへのアクセスで問題が発生する場合があります。このようなサブネットは次のとおりです。10.42.0.0/16
、10.43.0.0/16
、10.108.0.0/16
。
警告
IPv6 はサポートされていないため、ゲートウェイに IPv6 アドレスを設定したり、エンドポイントに IPv6 アドレスを割り当てることを許可したりしないでください。
注
Amazon Web Services では、設定内容に基づいて追加コストが発生します。ZTNA ライセンスに、このようなコストは含まれていません。
ヒント
ユーザーが、ZTNA ゲートウェイと同じネットワークから ZTNA リソースにアクセスする必要がある場合は、種類が MASQ の SNAT ルールを追加して、非対称ルーティングを防止してください。
手順を確認するには、以下で該当するホストのタブをクリックします。
ESXi で Sophos Cloud ゲートウェイを設定するには、次の手順を実行します。
-
VM イメージをダウンロードして導入します。
-
ドメインを検証します。
-
ゲートウェイ設定を追加し、インスタンスを追加します。
-
イメージをダウンロードし、VM を起動します。
注
日付と時刻が ESXi ホストで正しく設定されていることを確認します。タイムゾーンは UTC に設定する必要があります。時刻を正しく設定しないと、ZTNA ゲートウェイで問題が発生します。詳細は、要件を参照してください。
ツーアームプロキシを使用している場合は、ネットワーク設定を参照してください。
イメージのダウンロードと導入
-
Sophos Central で「デバイス > インストーラ」にアクセスします。
-
「Zero Trust Network Access」を参照します。
- ゲートウェイイメージのダウンロードリンクをクリックします。
- 使用許諾契約に同意し、(プロンプトが表示された場合は) ソフトウェアの輸出コンプライアンスに関するフォームに同意します。
- ゲートウェイイメージがダウンロードされます。これは、ESXi サーバー用の ZTNA ゲートウェイの汎用 OVA イメージです。何回でも再使用できます。
-
OVA イメージを ESXi ホストに導入します。VMware vSphere で、ホストを右クリックして、「OVA テンプレートのデプロイ」を選択します。これによって、導入をガイドするアシスタントが実行されます。
警告
自動電源オンのオプション (ESXi でのデフォルト) をオフにするか、完了後に ZTNA ゲートウェイが起動しないようにしてください。これを実行しないと、ゲートウェイは ISO ファイルなしで起動し、手順の再実行が必要になります。
ドメインの検証
-
Sophos Central で、「マイプロダクト > ZTNA > 設定」の順に選択します。
-
「ドメイン」をクリックします。
-
「ドメインの追加」をクリックしてドメイン名を追加し、「追加」をクリックします。
ドメイン情報がドメインテーブルに表示されます。ドメインの TXT レコードが生成されます。
-
DNS サーバーに移動し、ドメインの TXT レコードを追加します。
数分間待ってから、次の手順に進みます。
-
Sophos Central に戻り、「マイプロダクト > ZTNA > 設定 > ドメイン」に移動し、 「検証」をクリックします。
ドメインの状態が「検証」に変わります。
ゲートウェイ設定とインスタンスの追加
-
「ゲートウェイの追加」をクリックします。
-
「ゲートウェイモード」で、「Sophos Cloud」を選択します。
-
ゲートウェイ名とゲートウェイ FQDN を入力します。
注
ゲートウェイの FQDN が、「アプリケーションの登録」ページで指定したものと同じであることを確認します。詳細は、ZTNA アプリの登録を参照してください。
-
「ドメイン (検証済み)」を選択します。
-
「プラットフォームの種類」として「VMware ESXi」を選択します。
-
「IdP (Identity Provider)」を選択します。
-
「接続点」で、「地域」を選択します。
遅延を削減するには、データセンターがある場所に最も近い地域を選択します。
-
「導入モード」を選択します。
- 「ワンアーム」では、受信トラフィックと送信トラフィックに外部インターフェースが使用されます。
- 「ツーアーム」では、外部インターフェースと内部インターフェースの両方が使用されます。
-
「インターフェースの設定」を入力します。
-
「DHCP」を選択した場合は、DHCP サーバーで予約を設定します。
警告
ゲートウェイは、IP アドレスの変更を処理できません。DHCP が割り当てた初期 IP アドレスが常に保持されるように、予約を設定する必要があります。
-
「静的 IP」を選択した場合は、IP アドレス、サブネット、DNS サーバーの設定を入力します。
ツーアーム導入では、複数の内部ネットワークでホストされているアプリがある場合、「静的ルート」を指定する必要があります。
-
-
先ほど作成した証明書をアップロードします。詳細は、証明書の取得を参照してください。
-
「保存して、ファイルを生成」をクリックします。
「ゲートウェイの追加」ポップアップが表示され、ゲートウェイ用に生成された「エイリアスドメイン」が表示されます。後で、ゲートウェイのエイリアスドメインを、パブリック DNS サーバーに CNAME エントリとして追加する必要があります。詳細は、DNS 設定の追加を参照してください。
-
「コピー」をクリックします。
このゲートウェイが「ゲートウェイ」ページに表示されます。次に例を示します。
-
ゲートウェイの「名前」をクリックします。
これによって、「ゲートウェイの詳細」ページが表示されます。
-
ゲートウェイの詳細で、ISO イメージがダウンロード可能であることがわかります。これは、ゲートウェイを起動するために必要となります。ISO はゲートウェイごとに一意です。それを再使用することはできません。
イメージをダウンロードする前に、ゲートウェイクラスタを作成することを推奨します。クラスタが不要な場合は、「イメージのダウンロードと VM の起動」セクションに進んでください。
-
ゲートウェイの詳細で、「インスタンスの追加/編集」をクリックします。
-
「インスタンスの追加/編集」で、「別のインスタンスの追加」をクリックします。クラスタリングは自動的にオンになります。
-
新しいインスタンスの詳細を次のように入力します。
-
「クラスタ仮想 IP」を入力します。これは、クラスタ管理および負荷分散に使用されます。この IP アドレスは、ゲートウェイインスタンスと同じ IP 範囲内にある、この設定でまだ未使用のものにしてください。
ヒント
ツーアーム導入の場合、外部インターフェース IP アドレスは負荷分散のためのみに使用されます。外部の負荷分散を使用する場合、このフィールドは空白のままにしてください。
-
新しいインスタンスの「VM 名」と「インターフェース IP」を入力します。
ツーアーム導入の場合、内部および外部インターフェース IP を入力します。
-
操作を繰り返して、さらにインスタンスを追加します。
注
クラスタには、少なくとも 3つのインスタンスが必要です。最大 9つのインスタンスを追加できますが、その数は常に奇数である必要があります。
注
クラスターをアクティブに保つには、クラスター内のゲートウェイの少なくとも半分がアクティブであることを確認してください。
-
次に、ISO ファイルをダウンロードし、ゲートウェイを起動します。
イメージのダウンロードと VM の起動
-
「ゲートウェイインスタンス」に移動し、下にスクロールします。
「状態」にインスタンスが表示されます。
-
各 ISO ファイルをダウンロードし、ホストにマウントします。その後、次のようにゲートウェイに接続します。
- VMware vSphere を参照します。
- ゲートウェイ VM を右クリックし、「設定の編集」を選択します。
- 「ハードウェア」タブの「CD/DVD ドライブ」に、ISO ファイルが表示されていることを確認し、「接続」を選択します。
- 「状態」で、「電源オン時に接続」を選択します。
- 「保存」をクリックします。
シリアルデバイスが「仮想ハードウェア」タブに表示される場合は、安全に取り外すことができます。
ゲートウェイが
iso
ファイルを使用して起動すると、Sophos Central に連絡して登録します。 -
Sophos Central に戻ります。「ゲートウェイ」ページで、ゲートウェイの状態が「承認待機中」に変わります。
プロンプトが表示されたら、「承認」をクリックして、ゲートウェイの登録を承認します。
承認が有効になるまでに最大 10分かかる場合があります。その後、ゲートウェイの状態が「アクティブ」および「接続」に変わります。表示されるオプションを使用して、必要に応じてパスワードを作成できます。
注
ゲートウェイインスタンスのクラスタがある場合は、最初のゲートウェイインスタンスのゲートウェイ登録のみを承認します。残りのインスタンスは、明示的に承認しなくても管理されます。
注
ISO ファイルは、ゲートウェイにマウントしたままにしておく必要があります。ゲートウェイの起動後にマウントを解除することはできません。
注
ゲートウェイが Sophos Central に接続できない場合は、VMware vSphere に移動して VM の診断を実行してください。
新しいバージョンの仮想マシンが使用可能になると、「バージョン」列に緑色のチェックマークが表示されます。バージョン番号をクリックして、アップデートを開始またはスケジュール設定してください。詳細は、ゲートウェイの「ゲートウェイのアップデート」を参照してください。
これで、Sophos Cloud ゲートウェイの設定が完了しました。
Microsoft Hyper-V で Sophos Cloud ゲートウェイを設定するには、次の手順を実行します。
-
VM イメージをダウンロードして導入します。
-
ドメインを検証します。
-
ゲートウェイ設定を追加して、ISO ファイル (シードとして使用するイメージ) を生成します。
-
ISO ファイルをダウンロードして、ゲートウェイを起動します。
イメージのダウンロードと導入
-
Sophos Central で「デバイス > インストーラ」にアクセスします。
-
「Zero Trust Network Access」で、「Hyper-V 用のゲートウェイ VM イメージのダウンロード」をクリックします。
VM イメージを含む ZIP ファイルがダウンロードされます。
-
ダウンロードした ZIP ファイルから Hyper-V ベースイメージを展開します。
これによって、ゲートウェイの設定に必要な
.vhdx
ファイルを入手できます。このファイルを使用して複数の VM を導入することはできませんが、コピーを作成して追加の VM 用に使用することはできます。 -
Hyper-V マネージャーの「仮想マシン」リストの「操作」で、「新規」をクリックします。
-
VM の名前を入力します。
-
世代を選択します。「第 1世代」は、32ビットと 64ビットの両方の OS をサポートしています。
-
「メモリの割り当て」で、最低 4096 MB の起動メモリを入力します。
-
「ネットワークの構成」で、ネットワークアダプタを選択します。
-
「仮想ハードディスクの接続」で、「既存の仮想ハードディスクを使用する」を選択し、VMイメージのダウンロードから展開した
.vhdx
ファイルを参照します。 -
「完了」をクリックします。
-
新しい VM の「設定」に移動します。
-
「ハードウェア > プロセッサ」で、「仮想プロセッサの数」を 「2」に設定します。
-
ゲートウェイがツーアーム導入の場合は「ネットワークアダプタ」に移動し、VM に新たにアダプタを追加します。
注
VLAN を使用している場合は、ネットワークイインターフェースに適切な VLAN ID をタグ付けしてください。
-
-
「適用」および「保存」をクリックします。
ドメインの検証
-
Sophos Central で、「マイプロダクト > ZTNA > 設定」の順に選択します。
-
「ドメイン」をクリックします。
-
「ドメインの追加」をクリックしてドメイン名を追加し、「追加」をクリックします。
ドメイン情報がドメインテーブルに表示されます。ドメインの TXT レコードが生成されます。
-
DNS サーバーに移動し、ドメインの TXT レコードを追加します。
数分間待ってから、次の手順に進みます。
-
Sophos Central に戻り、「マイプロダクト > ZTNA > 設定 > ドメイン」に移動し、 「検証」をクリックします。
ドメインの状態が「検証」に変わります。
ゲートウェイ設定とインスタンスの追加
-
「ゲートウェイの追加」をクリックします。
-
「ゲートウェイモード」で、「Sophos Cloud」を選択します。
-
ゲートウェイ名とゲートウェイ FQDN を入力します。
注
ゲートウェイの FQDN が、「アプリケーションの登録」ページで指定したものと同じであることを確認します。詳細は、ZTNA アプリの登録を参照してください。
-
「ドメイン (検証済み)」を選択します。
-
「プラットフォームの種類」として「VMware ESXi」を選択します。
-
「IdP (Identity Provider)」を選択します。
-
「接続点」で、「地域」を選択します。
遅延を削減するには、データセンターがある場所に最も近い地域を選択します。
-
「導入モード」を選択します。
- 「ワンアーム」では、受信トラフィックと送信トラフィックに外部インターフェースが使用されます。
- 「ツーアーム」では、外部インターフェースと内部インターフェースの両方が使用されます。
-
「インターフェースの設定」を入力します。
-
「DHCP」を選択した場合は、DHCP サーバーで予約を設定します。
警告
ゲートウェイは、IP アドレスの変更を処理できません。DHCP が割り当てた初期 IP アドレスが常に保持されるように、予約を設定する必要があります。
-
「静的 IP」を選択した場合は、IP アドレス、サブネット、DNS サーバーの設定を入力します。
ツーアーム導入では、複数の内部ネットワークでホストされているアプリがある場合、「静的ルート」を指定する必要があります。
-
-
先ほど作成した証明書をアップロードします。
-
「保存して、ファイルを生成」をクリックします。
「ゲートウェイの追加」ポップアップが表示され、ゲートウェイ用に生成された「エイリアスドメイン」が表示されます。後で、ゲートウェイのエイリアスドメインを、パブリック DNS サーバーに CNAME エントリとして追加する必要があります。詳細は、DNS 設定の追加を参照してください。
-
「コピー」をクリックします。
このゲートウェイが「ゲートウェイ」ページに表示されます。次に例を示します。
-
ゲートウェイの「名前」をクリックします。
これによって、「ゲートウェイの詳細」ページが表示されます。
-
ゲートウェイの詳細で、ISO イメージがダウンロード可能であることがわかります。これは、ゲートウェイを起動するために必要となります。ISO はゲートウェイごとに一意です。それを再使用することはできません。
イメージをダウンロードする前に、ゲートウェイクラスタを作成することを推奨します。クラスタが不要な場合は、「ISO ファイルのダウンロードとゲートウェイの起動」セクションに進んでください。
-
ゲートウェイの詳細で、「インスタンスの追加/編集」をクリックします。
-
「インスタンスの追加/編集」で、「別のインスタンスの追加」をクリックします。クラスタリングは自動的にオンになります。
-
新しいインスタンスの詳細を次のように入力します。
-
「クラスタ仮想 IP」を入力します。これは、クラスタ管理および負荷分散に使用されます。ゲートウェイインスタンスと同じ IP 範囲にある必要があります。
ツーアーム導入の場合、外部クラスタ VIP は負荷分散のためのみに使用されます。外部の負荷分散を使用する場合、これは空白のままにしてください。
-
新しいインスタンスの「VM 名」と「インターフェース IP」を入力します。
ツーアーム導入の場合、内部および外部インターフェース IP を入力します。
-
操作を繰り返して、さらにインスタンスを追加します。
注
クラスタには、少なくとも 3つのインスタンスが必要です。最大 9つのインスタンスを追加できますが、その数は常に奇数である必要があります。
注
クラスターをアクティブに保つには、クラスター内のゲートウェイの少なくとも半分がアクティブであることを確認してください。
-
次に、ISO ファイルをダウンロードし、ゲートウェイを起動します。
ISO ファイルのダウンロードとゲートウェイの起動
各インスタンスの ISO ファイルをダウンロードし、ゲートウェイ VM に添付して、次のようにゲートウェイを起動します。
-
ゲートウェイの詳細で、各インスタンスに移動し、「イメージのダウンロード」をクリックします。
-
Hyper-V マネージャーで、VM の「設定」に移動します。「DVD ドライブ」で、次の手順を実行します。
- 「コントローラー」で「IDE コントローラー 1」を選択します。
- 「メディア」で「イメージファイル」を選択し、シード ISO へのパスを入力します。
- 「適用」および「保存」をクリックします。
注
ISO ファイルは、ゲートウェイにマウントしたままにしておく必要があります。ゲートウェイの起動後にマウントを解除することはできません。
-
ゲートウェイインスタンスの電源をオンにします。数分間待ちます。
-
Sophos Central で、「マイプロダクト > ZTNA > ゲートウェイ」に移動し 、新しいゲートウェイをクリックして詳細ページを開きます。
ゲートウェイの状態が「ゲートウェイの承認を待機中」に変わります。「承認」をクリックします。
注
ゲートウェイインスタンスのクラスタがある場合は、最初のゲートウェイインスタンスのゲートウェイ登録のみを承認します。残りのインスタンスは、明示的に承認しなくても管理されます。
-
ゲートウェイの状態が「アクティブ」に変わります。
これで、Sophos Cloud ゲートウェイの設定が完了しました。
注
ゲートウェイが Sophos Central に接続できない場合は、Hyper-Vマネージャーに移動して VM の診断を実行してください。
新しいバージョンの仮想マシンが使用可能になると、「バージョン」列に緑色のチェックマークが表示されます。バージョン番号をクリックして、アップデートを開始またはスケジュール設定してください。詳細は、ゲートウェイの「ゲートウェイのアップデート」を参照してください。
Amazon Web Services (AWS) で ZTNA Sophos Cloud ゲートウェイを設定するには、次の手順を実行します。
ドメインの検証
-
Sophos Central で、「マイプロダクト > ZTNA > 設定」の順に選択します。
-
「ドメイン」をクリックします。
-
「ドメインの追加」をクリックしてドメイン名を追加し、「追加」をクリックします。
ドメイン情報がドメインテーブルに表示されます。ドメインの TXT レコードが生成されます。
-
DNS サーバーに移動し、ドメインの TXT レコードを追加します。
数分間待ってから、次の手順に進みます。
-
Sophos Central に戻り、「マイプロダクト > ZTNA > 設定 > ドメイン」に移動し、 「検証」をクリックします。
ドメインの状態が「検証」に変わります。
ゲートウェイ設定とインスタンスの追加
-
「ゲートウェイの追加」をクリックします。
-
「ゲートウェイモード」で、「Sophos Cloud」を選択します。
-
ゲートウェイ名とゲートウェイ FQDN を入力します。
注
ゲートウェイの FQDN が、「アプリケーションの登録」ページで指定したものと同じであることを確認します。詳細は、ZTNA アプリの登録を参照してください。
-
「ドメイン (検証済み)」を選択します。
-
「プラットフォームの種類」として「AWS」を選択します。
-
「IdP (Identity Provider)」を選択します。
-
「接続点」で、「地域」を選択します。
遅延を削減するには、データセンターがある場所に最も近い地域を選択します。
-
「導入モード」を選択します。
- 「ワンアーム」では、受信トラフィックと送信トラフィックに外部インターフェースが使用されます。
- 「ツーアーム」では、外部インターフェースと内部インターフェースの両方が使用されます。
-
「インターフェースの設定」を入力します。
-
「DHCP」を選択した場合は、DHCP サーバーで予約を設定します。
警告
ゲートウェイは、IP アドレスの変更を処理できません。DHCP が割り当てた初期 IP アドレスが常に保持されるように、予約を設定する必要があります。
-
「静的 IP」を選択した場合は、IP アドレス、サブネット、DNS サーバーの設定を入力します。
ツーアーム導入では、複数の内部ネットワークでホストされているアプリがある場合、「静的ルート」を指定する必要があります。
-
-
先ほど作成した証明書をアップロードします。
-
「保存して、ファイルを生成」をクリックします。
「ゲートウェイの追加」ポップアップが表示され、ゲートウェイ用に生成された「エイリアスドメイン」が表示されます。後で、ゲートウェイのエイリアスドメインを、パブリック DNS サーバーに CNAME エントリとして追加する必要があります。詳細は、DNS 設定の追加を参照してください。
-
「コピー」をクリックします。
このゲートウェイが「ゲートウェイ」ページに表示されます。次に例を示します。
-
ゲートウェイの横にある「スタックの起動」リンクをクリックします。
AWS でのスタックの作成
AWS の CloudFormation で、「スタックのクイック作成」テンプレートを表示できます。既にソフォスで一部設定済みです。以下の手順を実行して、完了します。
-
「スタックのクイック作成」ページで、次の手順を実行します。
- 画面の右上で AWS リージョンを選択します。
- 「スタックの名前」にカスタム名を入力します。
-
「基本設定」で、ゲートウェイの可用性を確保するために、2つまたは 3つのアベイラビリティゾーンを選択します。
-
「VPC ネットワークの設定」で、次の手順を実行します。
- アベイラビリティゾーンの数を設定します。これは、1つ前のステップで選択したゾーンの数と一致する必要があります。
- サブネットが既存のリソースと競合しないようにします。
- 「MaxNumberOfNodes」で、ノードの最大数を設定します。デフォルトでこれは 3つです。
- 「NodeInstanceType」で、使用する EC2 インスタンスの種類を選択します。
- 「NumberOfNodes」で、必要なノードの数を設定します。デフォルトは、アベイラビリティゾーンごとに 1つです。
自動スケーリングは、現在 ZTNA では使用できません。
-
「スタックの作成」をクリックし、処理が完了するまで待ちます。これには、最大 1時間かかる場合があります。完了すると、新しいスタックは AWS のスタックリストに表示され、詳細は次のようになります。
-
Sophos Central で、新しいゲートウェイを参照します。「承認」をクリックします。
承認が有効になるまでに最大 10分かかる場合があります。その後、ゲートウェイの状態が「接続」に変わります。
注
ゲートウェイインスタンスのクラスタがある場合は、最初のゲートウェイインスタンスのゲートウェイ登録のみを承認します。残りのインスタンスは、明示的に承認しなくても管理されます。
新しい VPC の設定
次のように VPC を設定します。
-
AWS で、「仮想プライベートクラウド > VPC」を参照します。
-
新しい VPC を参照し、VPC ID を探します。この ID を使用して、作成した他のコンポーネントを検索できます。
-
EC2 インスタンスを参照し、新しい VPC ID のあるインスタンスを検索します。これによって、ZTNA ゲートウェイクラスタを構成するインスタンスが検出されます。名前を変更します。
注
クラスターをアクティブに保つには、クラスター内のゲートウェイの少なくとも半分がアクティブであることを確認してください。
ピアリング接続の作成
ゲートウェイは常に新しい VPC 内にあるため、ピアリングを使用して、アプリケーションが存在する VPC に接続する必要があります。
-
「VPC > ピアリング接続」を参照します。「ピアリング接続の作成」をクリックして、次の手順を実行します。
- 「VPC ID (リクエスタ)」で、ZTNA ゲートウェイの ID を選択します。
- 「VPC ID (アクセプタ)」で、リソースが存在する VPC を選択します。
- 「ピアリング接続の作成」をクリックします。
-
「サブネット」を参照し、リソースのサブネットと、ゲートウェイのプライベートサブネットをルートテーブルに追加します。これによって、ZTNA はピアリング接続を使用してリソースに接続できます。
これで、Sophos Cloud ゲートウェイの設定が完了しました。
新しいバージョンの仮想マシンが使用可能になると、「バージョン」列に緑色のチェックマークが表示されます。バージョン番号をクリックして、アップデートを開始またはスケジュール設定してください。詳細は、ゲートウェイの「ゲートウェイのアップデート」を参照してください。
一元管理しているファイアウォールでは、ZTNA ゲートウェイを使って内部リソースへの安全なアクセスを提供できます。Sophos Central を使用してファイアウォールを管理する方法については、Sophos Firewall:Sophos Central を参照してください。
ネットワークリソースへのアクセスを制御する Sophos Cloud ゲートウェイをセットアップするには、次の手順を実行します。
-
Sophos Central で、「マイプロダクト > ZTNA > ゲートウェイ」の順に選択します。
-
「ゲートウェイの追加」をクリックします。
-
「ゲートウェイモード」で、「Sophos Cloud」を選択します。
-
ゲートウェイ名とゲートウェイ FQDN を入力します。
注
ゲートウェイの FQDN が、「アプリケーションの登録」ページで指定したものと同じであることを確認します。詳細は、ZTNA アプリの登録を参照してください。
-
「ドメイン (検証済み)」を選択します。
-
「プラットフォームの種類」として「ファイアウォール」を選択します。
-
「ファイアウォール」で、ドロップダウンリストから SFOS ファイアウォールを選択します。
ドロップダウンリストには、Sophos Central によって管理され、ファームウェアバージョン 19.5 MR3 以降にあるファイアウォールのみが含まれます。
冗長化ペアからアクティブなファイアウォールを選択できます。これにより、トラフィックとサービスのフェールオーバーが保証され、ZTNA のダウンタイムが最小限に抑えられます。
-
「IdP (Identity Provider)」を選択します。
-
「接続点」で、「地域」を選択します。
遅延を削減するには、データセンターがある場所に最も近い地域を選択します。
-
先ほど作成した証明書をアップロードします。詳細は、証明書の取得を参照してください。
-
「保存」をクリックします。
このゲートウェイが「ゲートウェイ」ページに表示されます。
注
ゲートウェイは、約 5分後にアクティブになります。
-
ゲートウェイの「名前」をクリックします。
これによって、「ゲートウェイの詳細」ページが表示されます。ゲートウェイの詳細を表示および編集したり、ゲートウェイを削除したりできます。
注
IdP を設定する場合は、ファイアウォールゲートウェイに次の形式で新しいリダイレクト URI を追加する必要があります。https://<gateway’s external FQDN>/ztna-oauth2/callback
。この形式は、他のゲートウェイプラットフォームとは異なります。
ファイアウォールの Web 管理ポータルをリソースとして追加
ファイアウォール Web 管理ポータルをリソースとして追加できます。この操作を行うと、エージェント とエージェントレスの両方のアクセス方法の「リソースの種類」ドロップダウンリストに「Web 管理ポータル」が表示されます。
エージェントレスアクセス
http://firewall.xyz.com
などの外部 FQDN を定義し、リソースの種類を Web 管理ポータルに設定できます。リソースを追加すると、エイリアスドメインが生成されます。これは、パブリック DNS サーバーの CNAME レコードとして追加する必要があります。Web 管理ポータルへのすべてのトラフィックは、ソフォスが所有するエイリアスドメインにリダイレクトされます。
エージェントベースのアクセス
リソースの外部 FQDN として任意のものを追加でき、ZTNA エージェントがそれを傍受します。ファイアウォールゲートウェイの A レコードを追加したときにトンネルが作成され、Web 管理ポータルへのすべてのトラフィックがトンネルを通過します。
リソースの移行
ゲートウェイプラットフォームの背後にある既存のリソースをファイアウォールゲートウェイに移行するには、次の手順を実行します。
- ファイアウォールゲートウェイを設定します。
- ファイアウォールゲートウェイの新しいリダイレクト URI を追加します。
- 既存のリソースを編集します。これを行うには、「リソースとアクセス」に移動し、リソース名をクリックして、「リソースの詳細」を開きます。 「ゲートウェイ]で、ファイアウォールゲートウェイを選択します。
- アクセス方法がエージェントレスの場合は、ファイアウォールのエイリアスドメインをコピーし、パブリック DNS サーバーに追加します。
次に、DNS 設定を追加します。詳細は、DNS 設定の追加を参照してください。