사무실에서 에이전트 없는 ZTNA 및 에이전트 기반 ZTNA 사용

사무실에서 에이전트 없는 액세스 또는 ZTNA 에이전트를 사용하여 ZTNA를 통해 내부 응용 프로그램에 액세스할 수 있습니다.

사무실에서 에이전트 없는 ZTNA 사용

사무실의 사용자는 일반적으로 FQDN을 통해 내부 응용 프로그램에 액세스하므로 요청이 내부 DNS 서버로 전송됩니다.

내부 DNS 서버에는 내부 응용 프로그램에 대한 A 기록이 있어 사용자가 응용 프로그램으로 직접 이동하므로 사용자가 ZTNA 게이트웨이를 통하지 않습니다.

다음과 같은 방법으로 ZTNA를 통해 사용자를 보낼 수 있습니다.

다음은 네트워크 다이어그램의 예입니다. 다음 예는 이 네트워크 설정을 기반으로 합니다.

사용자가 ZTNA를 통하도록 하는 가장 간단한 방법은 사용자의 장치가 항상 외부 DNS 서버의 IP 주소에 지정되도록 구성하는 것입니다.

사용자가 내부 리소스에 액세스하려고 하면 다음과 같은 상황이 발생합니다.

사용자를 내부 DNS 서버의 IP 주소에 지정하려면 DNS 서버에 다음 DNS 기록이 있는지 확인해야 합니다.

내부 응용 프로그램의 외부 FQDN을 ZTNA 게이트웨이의 FQDN에 지정하는 CNAME 기록. 예: help.ABC.com은 ZTNA.ABC.com으로 확인됩니다.
응용 프로그램의 내외부 FQDN이 동일한 경우 내부 FQDN을 변경하고 Sophos Central의 리소스 설정에서 업데이트해야 합니다. 예를 들어 내외부 FQDN이 모두 help.ABC.com인 경우 내부 FQDN을 help.in.ABC.com으로 변경합니다. 리소스 기록 생성에 대한 내용은 리소스 추가를 참조하십시오.

사용자가 내부 리소스에 액세스하려고 하면 다음과 같은 상황이 발생합니다.

사용자가 브라우저를 통해 내부 응용 프로그램인 help.ABC.com에 액세스하려고 합니다.
DNS 요청이 내부 DNS 서버인 DNS.ABC.com으로 이동됩니다.
내부 DNS 서버는 응용 프로그램인 help.ABC.com을 ZTNA 게이트웨이인 ZTNA.ABC.com으로 확인합니다.
ZTNA 게이트웨이는 두 번째 A 기록 항목인 help.in.ABC.com을 사용하여 요청을 응용 프로그램에 전달합니다. 이렇게 하면 루프(help.ABC.com에서 ZTNA.ABC.com으로, 그리고 다시 help.ABC.com으로)가 방지됩니다.
사용자는 ZTNA 게이트웨이에 연결하여 내부 응용 프로그램에 액세스할 수 있습니다.

사무실의 사용자는 일반적으로 FQDN을 통해 내부 응용 프로그램에 액세스하므로 요청이 내부 DNS 서버로 전송됩니다.

그러나 사용자가 ZTNA 에이전트를 엔드포인트 장치에 설치한 경우 ZTNA 에이전트는 DNS 요청을 가로채서 ZTNA 게이트웨이로 보냅니다.

사용자가 브라우저에 IP 주소를 입력하여 내부 리소스에 액세스하려고 하면 사용자는 ZTNA를 우회하여 해당 리소스로 직접 이동합니다. 사용자가 FQDN을 통해 내부 리소스에 액세스할 수 있도록 방화벽 규칙을 추가할 수 있습니다.

다음은 Sophos Firewall에 구성된 방화벽 규칙의 예입니다.

이 규칙은 사용자가 모든 영역에서 ZTNA 게이트웨이에 액세스할 수 있도록 허용하고 다른 응용 프로그램 서버에 대한 액세스를 거부합니다. 즉, 리소스를 호스팅하는 응용 프로그램 서버에 액세스하려면 ZTNA를 거쳐야 합니다.

이 규칙은 사용자가 IP 주소를 사용하여 리소스에 직접 액세스하려고 할 때 에이전트가 있는 경우와 에이전트 없는 경우에 적용됩니다.