Zero Trust Network Access について
Sophos Zero Trust Network Access (ZTNA) を使用して、ネットワーク上のリソース (アプリおよび Web ページ) へのアクセスを制御できます。
ZTNA の導入モード
要件に基づいて、オンプレミスのゲートウェイまたは Sophos Cloud ゲートウェイを使用して ZTNA を導入できます。ゲートウェイの導入モードは互換性があり、モード間で簡単に移行できます。
オンプレミスのゲートウェイ
オンプレミスのゲートウェイを導入する場合は、データセンターにゲートウェイを設定します。
パブリックインターネットに公開されているゲートウェイを管理するため、ファイアウォールポートを開いて、ネットワークを管理する NAT ルールを作成する必要もあります。
オンプレミスのゲートウェイモードの例を次に示します。
Sophos Cloud ゲートウェイ
ソフォスで保護された新しいデータプレーンクラウドを利用して、内部リソースにアクセスすることができます。
マルチテナントである Sophos Cloud は、ネットワークへの導入が直接インターネットにさらされることがないように隔離し、攻撃対象領域を縮小します。ファイアウォールポートを開いたり、NAT ルールを作成したりせずに、ユーザーをアプリケーションに簡単に接続することができます。
ユーザーがリソースにアクセスしようとすると、Sophos Cloud にリダイレクトされます。ソフォスは、Sophos Cloud 内のデータプレーンを管理します。使用するインフラはインターネットから隠されています。データセンターでゲートウェイを設定して、社内リソースを Sophos Cloud と接続します。複数の接続点から選択して、内部リソースへのアクセスを提供できます。遅延を削減するには、データセンターに最も近い接続点を選択します。
Sophos Cloud ゲートウェイの導入モードの例を次に示します。
Sophos Cloud の導入モードは、スケジュールまたは緊急メンテナンス期間中、またはソフォスの合理的な支配を超える要因によって引き起こされる問題を除き、99.999%の可用性で提供されます。接続点の可用性を確認し、今後のメンテナンスに関する通知を取得するには、ソフォスの状態ページを参照してください。ソフォスの「ステータス」ページを参照してください。
接続点は次のとおりです。
- ヨーロッパ (アイルランド) 地域
- ヨーロッパ (フランクフルト) 地域
- 米国東部 (オハイオ) 地域
- 米国西部 (オレゴン) 地域
- アジア太平洋 (ムンバイ) 地域
- アジア太平洋 (シドニー) 地域
ZTNA 2.1 以降では、プライマリ接続点に最も近いセカンダリ接続点がデフォルトで設定されています。接続点間には自動フェールオーバーがあり、ユーザーは中断されることなくリソースにアクセスできます。例: ヨーロッパ (アイルランド) 地域を接続点として設定し、停電により地域がダウンした場合、トラフィックは元の地域がアップするまでヨーロッパ (フランクフルト) 地域を経由して再ルーティングされます。
これは、「設定」ページからオフにできます。Sophos Central: 設定を参照してください。
接続点に問題がある場合は、接続点を変更して、ユーザへの潜在的な影響を最小限に抑えることができます。
接続点を変更するには、次の手順を実行します。
- Sophos Central にサインインします。
- 「マイプロダクト > ZTNA > ゲートウェイ」に移動します。
- ゲートウェイ名をクリックします。
- 「編集」をクリックします。
- 「接続点」で、地域を選択します。
- 「保存」をクリックします。
導入情報
オンプレミスのゲートウェイまたは Sophos Cloud ゲートウェイに関する情報を取得するには、以下で該当する導入の種類のタブをクリックしてください。
Sophos ZTNA は、次のコンポーネントで構成されています。
-
Sophos Central。ZTNA オンプレミスのゲートウェイを設定および管理するための管理ツール。
-
ZTNA オンプレミスのゲートウェイ。ユーザーを認証し、ユーザーのアプリへのアクセスを承認する仮想アプライアンス。
-
ZTNA エージェント。デバイスにインストールされているエージェント。これによって ZTNA は、(Web アプリだけでなく) ローカルアプリを制御できます。
ZTNA オンプレミスゲートウェイは現在、VMware ESXi および Hyper-V で使用できます。
セットアップについて
ZTNA の設定の主な手順は次のとおりです。
- 要件の確認。
- 使用可能なネットワークへの導入の確認 (ESXi ゲートウェイの場合)。
- 証明書の取得。
- ディレクトリサービスの設定。これによって、ユーザーが管理されます。
- ユーザーの同期。これによって、ユーザーが Sophos Central にインポートされます。
- IdP (ID プロバイダ) の設定。これによって、ユーザーが認証されます。
- ゲートウェイの設定。これによって、アプリへのアクセスが制御されます。
- ポリシーの追加。これによって、アクセスの条件が指定されます。
- DNS 設定の追加。
- ZTNA エージェントのインストール。これによって、ローカルアプリへのアクセスが制御されます。
- リソースの追加。これによって、アプリが使用可能になり、それにアクセスできるユーザーを指定できます。
このガイドでは、サードパーティ製品に関する手順についても説明しています。各ベンダーの最新ドキュメントを確認することを推奨します。
Sophos ZTNA は、次のコンポーネントで構成されています。
-
Sophos Central。ゲートウェイを設定するための管理ツール。その後、ゲートウェイはソフォスによって管理されます。
-
ZTNA Sophos Cloud ゲートウェイ。内部リソースへのアクセスを提供する、ソフォスで保護されたデータプレーンクラウド ゲートウェイ。これは、Sophos Cloud とゲートウェイで構成されています。リソースをホストするデータセンターにゲートウェイを導入する必要があります。このようなゲートウェイは、Sophos Cloud とデータセンターのリソースを接続します。
Sophos Cloud ゲートウェイを導入すると、ゲートウェイの接続点を設定します。最適な遅延と接続を得るには、リソースをホストしているデータセンターに最も近い接続点を選択します。
-
ZTNA エージェント。デバイスにインストールされているエージェント。これによって ZTNA は、(Web アプリだけでなく) ローカルアプリを制御できます。
ZTNA Sophos Cloud Gateway は、現在 VMware ESXi および Hyper-V で使用できます。
セットアップについて
ZTNA の設定の主な手順は次のとおりです。
- 要件の確認。
- 証明書の取得。
- ディレクトリサービスの設定。これによって、ユーザーが管理されます。
- ユーザーの同期。これによって、ユーザーが Sophos Central にインポートされます。
- IdP (ID プロバイダ) の設定。これによって、ユーザーが認証されます。
- Sophos Cloud Gateway の設定。これによって、アプリへのアクセスが制御されます。
- ポリシーの追加。これによって、アクセスの条件が指定されます。
- DNS 設定の追加。
- ZTNA エージェントのインストール。これによって、ローカルアプリへのアクセスが制御されます。
- リソースの追加。これによって、アプリが使用可能になり、それにアクセスできるユーザーを指定できます。
このガイドでは、サードパーティ製品に関する手順についても説明しています。各ベンダーの最新ドキュメントを確認することを推奨します。