콘텐츠로 이동

요구 사항

ZTNA를 설정하기 전에 모든 요구 사항을 충족하는지 확인하십시오.

와일드카드 인증서

ZTNA 게이트웨이에 대한 와일드카드 인증서가 필요합니다. 다음 중 하나를 사용하십시오.

  • Let's Encrypt에서 발급한 인증서.
  • 신뢰할 수 있는 인증 기관에서 발급한 인증서.

이 가이드에서는 인증서를 받는 방법을 알려줍니다.

게이트웨이 호스트

ESXi 서버, Hyper-V 서버 또는 Amazon Web Services에서 ZTNA 게이트웨이를 호스팅할 수 있습니다.

ESXi 서버

ESXi 서버에서 게이트웨이를 호스팅하는 경우 다음 요구 사항을 충족해야 합니다.

  • VMware vSphere Hypervisor(ESXi) 6.5 이상.
  • 2코어, 4GB RAM 및 80GB 디스크 공간.

정확한 날짜와 시간이 설정되었는지 확인해야 합니다. ZTNA 게이트웨이는 호스트의 시간과 동기화되며 이것이 정확하지 않으면 문제가 발생합니다.

참고

시간대를 UTC로 설정해야 합니다.

ESXi 호스트에서 관리 > 시스템 > 시간 및 날짜로 이동한 후 설정 편집을 클릭하여 시간을 설정합니다.

ESXi 시간 설정

Hyper-V 서버

Hyper-V 서버에서 게이트웨이를 호스팅하는 경우 다음 요구 사항을 충족해야 합니다.

  • Windows Server 2016 이상에서 실행되는 Hyper-V 서버.
  • 2코어, 4GB RAM 및 80GB 디스크 공간.

정확한 날짜와 시간이 설정되었는지 확인해야 합니다. ZTNA 게이트웨이는 호스트의 시간과 동기화되며 이것이 정확하지 않으면 문제가 발생합니다.

참고

시간대를 UTC로 설정해야 합니다.

Amazon Web Services

Amazon Web Services(AWS)에서 게이트웨이를 호스팅하는 경우 AWS 계정이 필요합니다.

DNS 관리

DNS 서버에서 다음 설정이 필요합니다.

퍼블릭 DNS 서버

다음 레코드를 확인할 수 있는 퍼블릭(외부) DNS 서버가 필요합니다.

  • ZTNA 게이트웨이를 가리키는 "A 레코드".
  • ZTNA 게이트웨이의 도메인 이름(FQDN)을 가리키는 응용 프로그램의 "CNAME 레코드". Sophos ZTNA 에이전트를 사용하여 액세스하는 경우 응용 프로그램에 이러한 CNAME 레코드가 필요하지 않습니다.

EAP는 단일 도메인만 지원합니다. 따라서 응용 프로그램의 도메인 이름은 게이트웨이의 도메인 이름과 일치해야 합니다.

  • 게이트웨이 FQDN: https://ztna.mycompany.net/
  • 응용 프로그램 FQDN: https://wiki.mycompany.net/#all-updates

프라이빗 DNS 서버

ZTNA 게이트웨이는 인증 및 권한 부여 후에 사용자를 응용 프로그램으로 리디렉션하기 위해 프라이빗(내부) DNS 서버를 가리켜야 합니다.

또는 Sophos Central의 ZTNA에 추가할 때 응용 프로그램의 내부 FQDN/IP를 직접 구성할 수 있습니다.

DNS가 ZTNA와 작동하는 방식에 대한 예는 DNS 흐름을(를) 참조하십시오.

디렉터리 서비스

ZTNA가 사용할 사용자 그룹을 관리하려면 디렉터리 서비스가 필요합니다. Microsoft Azure AD 또는 Active Directory를 사용할 수 있습니다.

Azure AD

사용자 그룹이 구성되고 Sophos Central과 동기화된 Microsoft Azure AD 계정이 필요합니다. 이 가이드에서는 이러한 그룹을 설정하고 동기화하는 방법을 알려줍니다.

사용자 그룹에 보안이 설정되어야 합니다. Azure AD에서 만든 그룹은 자동으로 보안이 설정되지만 Microsoft 365 포털에서 만들거나 AD에서 가져온 그룹은 그렇지 않습니다.

Azure AD를 ID 공급자로 사용할 수도 있습니다.

Active Directory

사용자 그룹이 구성되고 Sophos Central과 동기화된 Active Directory 계정이 필요합니다. Sophos Central 관리자 도움말에서 Active Directory와 동기화 설정을 참조하십시오.

Active Directory를 사용하는 경우 Okta와 같은 별도의 ID 공급자가 필요합니다.

ID 제공자

사용자를 인증하려면 ID 공급자가 필요합니다. 다음 중 하나를 사용할 수 있습니다.

  • Azure AD
  • Okta

이 가이드에서는 ZTNA와 함께 사용하도록 구성하는 방법을 알려줍니다.

허용된 웹 사이트

게이트웨이가 방화벽 뒤에 있는 경우, 다음 필수 웹 사이트에 대한 액세스 권한을 부여해야 합니다(달리 명시된 경우 외에는 포트 443에서).

  • sophos.jfrog.io
  • *.amazonaws.com
  • production.cloudflare.docker.com
  • *.docker.io
  • * .sophos.com
  • login.microsoftonline.com
  • graph.microsoft.com
  • ztna.apu.sophos.com(포트 22)
  • sentry.io
  • *.okta.com(Okta를 ID 공급자로 사용하는 경우)

지원되는 앱 유형

ZTNA는 웹 기반 앱과 로컬 앱 모두에 대한 액세스를 제어할 수 있습니다. 로컬 앱을 제어하려면 ZTNA 에이전트가 필요합니다.

ZTNA는 구형 VoIP 제품과 같이 동적 포트 할당에 의존하거나 다양한 포트를 사용하는 앱을 지원하지 않습니다.