Configurar um gateway local
Configure o gateway ZTNA local que controlará o acesso aos recursos em sua rede.
As etapas diferem, dependendo se você deseja hospedar o gateway em um servidor ESXi, no Microsoft Hyper-V ou na Amazon Web Services.
Alerta
Os gateways AWS chegam ao fim da vida útil em 31 de março de 2024. Consulte o calendário de retirada. Você pode implantar o SFOS na AWS e migrar os recursos para esse gateway para garantir que os usuários ainda possam acessar aplicativos após essa data.
Alerta
Não configure gateways para operar em sub-redes usadas para serviços internos. Se fizer isso, você pode ter problemas ao acessar aplicativos. As sub-redes são: 10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16.
Alerta
Não configure endereços IPv6 para seus gateways ou permita que endereços IPv6 DHCP sejam atribuídos a endpoints, pois o IPv6 não é suportado.
Nota
Na Amazon Web Services, há custos adicionais de acordo com a sua configuração. Sua licença ZTNA não cobre esses custos.
Dica
Se os seus usuários precisarem acessar recursos ZTNA da mesma rede que o gateway ZTNA, adicione uma regra SNAT do tipo MASQ para impedir o roteamento assimétrico.
Para obter instruções passo a passo, clique na guia do seu host abaixo.
Você configura um gateway no ESXi em dois estágios:
-
Baixe uma imagem do gateway (arquivo OVA) e implante-a no ESXi.
-
Adicione configurações de gateway ao Sophos Central para gerar um arquivo ISO ("imagem de semeadura") que você usa para inicializar o gateway no ESXi.
Você pode configurar um cluster de gateway para garantir a disponibilidade. Para isso, configure instâncias adicionais do gateway, conforme descrito aqui.
Nota
Certifique-se de que a data e a hora corretas estejam definidas no host ESXi. Você deve definir o fuso horário como UTC. O gateway ZTNA terá problemas se você não definir a hora corretamente. Consulte Requisitos.
Se você estiver usando um proxy two-arm, consulte Configuração de Rede.
Baixar e implantar imagem
-
Em Sophos Central, vá para Dispositivos > Instaladores.
-
Localize Zero Trust Network Access.
- Clique no link de download de uma imagem de gateway.
- Aceite o contrato de licença e (se solicitado) os formulários de conformidade de exportação de software.
- A imagem do gateway é baixada. Esta é uma imagem OVA genérica do gateway ZTNA para servidores ESXi. Você pode reutilizá-la quantas vezes quiser.
-
Implemente a imagem OVA em seu host ESXi. No VMware vSphere, clique com o botão direito do mouse no host e selecione Deploy OVA Template. Isso executa um assistente que o orienta pela implantação.
Alerta
Desative a opção para ligar automaticamente (o padrão no ESXi) ou impeça que o gateway ZTNA seja inicializado depois que você terminar. Caso contrário, o gateway será inicializado sem os arquivos ISO e você terá que iniciar novamente.
Adicionar configurações e inicializar o gateway
-
Volte para o Sophos Central e vá para Meus produtos > ZTNA > Gateways. Clique em Adicionar gateway.
-
Em Modo de gateway, selecione No local.
-
Em Adicionar gateway, faça o seguinte:
- Insira um nome de gateway e o FQDN do gateway.
- Insira o domínio dos recursos (aplicativos).
- Em Tipo de plataforma, selecione VMware ESXi.
-
Selecione o Modo de implantação.
- One-arm usa a interface externa para o tráfego de entrada e de saída.
- Two-arm usa as interfaces externa e interna.
-
Insira as configurações da Interface.
-
Se selecionar DHCP, defina uma reserva no servidor DHCP.
Alerta
O gateway não pode lidar com alterações em seu endereço IP. Você deve definir uma reserva para garantir que ele sempre mantenha o endereço IP inicial que o DHCP atribui.
-
Se você selecionar IP estático, especifique o endereço IP, a sub-rede e as configurações do servidor DNS.
Em uma implantação two-arm, você deve especificar Rotas estáticas se tiver aplicativos hospedados em várias redes internas.
-
-
Carregue os certificados que você criou anteriormente.
- Clique em Salvar e gerar arquivo.
Nota
Somente um único certificado curinga é suportado nesta versão.
-
Na página Gateways, o status do gateway é Aguardando implantação.
O ISO da imagem de semeadura está pronto para download. Você precisará dele para inicializar o gateway e concluir o processo de registro. O ISO é exclusivo para cada gateway. Você não pode reutilizá-lo.
Nota
Antes de baixar a imagem, sugerimos que você crie um cluster de gateway. Se você não quiser um cluster, vá para a etapa 6.
.
-
Clique no seu novo gateway para abrir a página de detalhes. Clique em Adicionar/Editar instâncias.
-
Em Adicionar/Editar instâncias, faça o seguinte:
- Clique em Adicionar outra instância. O clustering é ativado automaticamente.
-
Digite um IP virtual de cluster. Usado para gerenciamento de cluster e balanceamento de carga. Ele deve estar no mesmo intervalo de IP das instâncias do gateway.
Em uma implantação two-arm, o VIP do cluster externo é apenas para balanceamento de carga. Se você usar um balanceador externo de carga, deixe isso em branco.
-
Digite o Nome da VM e IP de interface para a nova instância.
Em uma implantação two-arm, insira um IP de interface interna e externa.
-
Repita o processo para adicionar outra instância.
Nota
Você deve ter pelo menos três instâncias para um cluster. Você pode ter até nove instâncias, e sempre deve ter um número ímpar de instâncias.
Nota
Para manter seu cluster ativo, certifique-se de que pelo menos metade dos gateways nele estejam ativos.
-
Baixe cada arquivo ISO e monte-o em seu host. Em seguida, conecte-o ao gateway, da seguinte forma:
- Vá para VMware vSphere.
- Clique com o botão direito do mouse na VM do gateway e selecione Edit Settings.
- Na guia Hardware, em CD/DVD drive, certifique-se de que o arquivo ISO aparece e selecione Connect.
- Em Status, selecione Connect at Power on.
- Clique em Salvar.
Se um dispositivo serial estiver listado no hardware virtual, você poderá removê-lo com segurança.
Quando o gateway inicializar com o arquivo ISO, ele entrará em contato com o Sophos Central para se registrar.
-
Volte para o Sophos Central. Na página Gateways, o status do gateway muda para Aguardando Aprovação.
Quando solicitado, aprove o registro do gateway.
Pode levar até dez minutos para a aprovação entrar em vigor. O status do gateway muda para Conectado. Você verá uma opção para criar uma senha, se desejar.
Nota
Se você tiver um cluster de instâncias de gateway, é necessário aprovar o registro de gateway apenas para a primeira instância de gateway. As instâncias subsequentes são gerenciadas sem aprovação explícita.
Nota
O arquivo ISO deve permanecer anexado ao gateway. Não é possível desmontá-lo após a inicialização do gateway.
Você acabou a configuração do gateway local.
Nota
Se o gateway não puder se conectar ao Sophos Central, vá para o VMware vSphere e execute o diagnóstico na VM.
Quando uma nova versão de máquina virtual está disponível, uma marca de seleção verde é exibida na coluna de versão. Clique no número da versão para iniciar ou programar uma atualização. Veja as atualizações do Gateway em Gateways.
Para configurar um gateway no Microsoft Hyper-V, faça o seguinte:
-
Baixe e implante a imagem da VM do gateway.
-
Adicione configurações de gateway para gerar um arquivo ISO ("imagem de semeadura").
-
Baixe o arquivo ISO e inicialize o gateway.
Baixar e implantar imagem
-
Em Sophos Central, vá para Dispositivos > Instaladores.
-
Em Zero Trust Network Access, clique em Download da imagem Gateway VM para Hyper-V.
Um arquivo ZIP contendo a imagem da VM é baixado.
-
Extraia a imagem Hyper-V base do arquivo ZIP que você baixou.
Isso lhe dá o arquivo
.vhdx
necessário para configurar o gateway. Você não pode usar esse arquivo para implantar mais de uma VM, mas pode fazer cópias e usá-las para VMs adicionais. -
No Gerenciador do Hyper-V, na lista Máquinas virtuais, em Ações, clique em Novo.
-
Insira um nome para o VM.
-
Selecione a geração. Geração 1 suporta sistemas operacionais de 32 e 64 bits.
-
Em Atribuir memória, digite pelo menos 4096 MB de memória de inicialização.
-
Em Configurar rede, selecione um adaptador de rede.
-
Em Conectar disco rígido virtual, selecione Usar um disco rígido virtual existente e navegue até o arquivo
.vhdx
que você extraiu do download da imagem da VM. -
Clique em Terminar.
-
Vá para Configurações da nova VM.
-
Em Hardware > Processadores, defina Número de processadores virtuais como "2".
-
Se o gateway estiver em uma implantação two-arm, vá para Adaptador de rede e adicione outro adaptador à VM.
Nota
Se você estiver usando VLANs, certifique-se de marcar suas interfaces de rede com os IDs de VLAN apropriados.
-
-
Clique em Aplicar e Salvar.
Adicionar configurações de gateway
-
Volte para o Sophos Central e vá para Meus produtos > ZTNA > Gateways. Clique em Adicionar gateway.
-
Em Modo de gateway, selecione No local.
-
Em Adicionar gateway, faça o seguinte:
- Insira um nome de gateway e o FQDN do gateway.
- Insira o domínio dos recursos (aplicativos).
- Em Tipo de plataforma, selecione Hyper-V.
-
Selecione o Modo de implantação.
- One-arm usa a interface externa para o tráfego de entrada e de saída.
- Two-arm usa as interfaces externa e interna.
-
Insira as configurações da Interface.
-
Se selecionar DHCP, defina uma reserva no servidor DHCP.
Alerta
O gateway não pode lidar com alterações em seu endereço IP. Você deve definir uma reserva para garantir que ele sempre mantenha o endereço IP inicial que o DHCP atribui.
-
Se você selecionar IP estático, insira o endereço IP, a sub-rede e as configurações do servidor DNS.
Em uma implantação two-arm, você deve especificar Rotas estáticas se tiver aplicativos hospedados em várias redes internas.
-
-
Carregue os certificados que você criou anteriormente.
- Clique em Salvar e gerar arquivo.
Nota
Somente um único certificado curinga é suportado nesta versão.
-
Na página Gateways, o status do novo gateway é Aguardando implantação. Clique no gateway para ver detalhes.
-
Nos detalhes do gateway, você pode ver que a imagem ISO está pronta para download. Você precisará dela para inicializar o gateway. O ISO é exclusivo para cada gateway. Você não pode reutilizá-lo.
Antes de baixar a imagem, sugerimos que você crie um cluster de gateway. Se você não quiser um cluster, vá para a seção Baixar o arquivo ISO e inicializar o gateway.
-
Nos detalhes do gateway, clique em Adicionar/Editar instâncias.
-
Em Adicionar/Editar instâncias, clique em Adicionar outra instância. O clustering é ativado automaticamente.
-
Insira os detalhes da nova instância da seguinte forma:
-
Digite um IP virtual de cluster. Usado para gerenciamento de cluster e balanceamento de carga. O endereço IP deve ser um endereço que você não usou antes nessa configuração e deve estar no mesmo intervalo de IP que as instâncias do gateway.
Dica
Em uma implantação two-arm, o endereço IP da interface externa é usado apenas para balanceamento de carga. Se você usar um balanceador externo de carga, deixe esse campo em branco.
-
Digite o Nome da VM e IP de interface para a nova instância.
Em uma implantação two-arm, insira um IP de interface interna e externa.
-
Repita o processo para adicionar outra instância.
Nota
Você deve ter pelo menos três instâncias para um cluster. Você pode ter até nove instâncias, e sempre deve ter um número ímpar de instâncias.
Nota
Para manter seu cluster ativo, certifique-se de que pelo menos metade dos gateways nele estejam ativos.
-
Em seguida, baixe os arquivos ISO e inicialize o gateway.
Baixar o arquivo ISO e inicializar o gateway
Baixe o arquivo ISO para cada instância, anexe-o à VM do gateway e inicialize o gateway da seguinte forma:
-
Nos detalhes do gateway, vá para cada instância e clique em Download da imagem.
-
No Gerenciador do Hyper-V, vá para Configurações da VM. Em Unidade de DVD, faça o seguinte:
- Em Controlador, selecione Controlador IDE 1.
- Em Mídia, selecione Arquivo de imagem e insira o caminho para o ISO de semeadura.
- Clique em Aplicar e Salvar.
Nota
O arquivo ISO deve permanecer anexado ao gateway. Não é possível desmontá-lo após a inicialização do gateway.
-
Ligue as instâncias do gateway. Aguarde alguns minutos.
-
No Sophos Central, vá para Meus produtos > ZTNA > Gateways e clique no novo gateway para abrir sua página de detalhes.
O status do gateway muda para Aguardando aprovação do gateway. Clique em Aprovar.
Nota
Se você tiver um cluster de instâncias de gateway, é necessário aprovar o registro de gateway apenas para a primeira instância de gateway. As instâncias subsequentes são gerenciadas sem aprovação explícita.
-
O status do gateway muda para Ativo.
Você acabou a configuração do gateway local.
Nota
Se o gateway não puder se conectar ao Sophos Central, vá para o Gerenciador do Hyper-V e execute o diagnóstico na VM.
Quando uma nova versão de máquina virtual está disponível, uma marca de seleção verde é exibida na coluna de versão. Clique no número da versão para iniciar ou programar uma atualização. Veja as atualizações do Gateway em Gateways.
Para configurar um gateway ZTNA no Amazon Web Services (AWS), faça o seguinte:
-
No Sophos Central, vá para Meus produtos > ZTNA > Gateways.
-
Na página Gateways, clique em Adicionar gateway.
-
Em Modo de gateway, selecione No local.
-
Na caixa de diálogo Adicionar gateway, adicione os seus detalhes da seguinte forma:
- Digite o nome do gateway e o FQDN.
- Digite o domínio dos recursos (aplicativos).
- Em Tipo de plataforma, selecione Amazon Web Services.
- Em Provedor de identidade, selecione o provedor de identidade que você configurou anteriormente.
- Carregue os certificados que você criou anteriormente.
- Clique em Salvar.
-
Na página Gateways, agora você verá o novo gateway. Clique no link Iniciar pilha ao lado dele.
Criar uma pilha no AWS
No AWS, em CloudFormation, você vê o modelo Quick create stack. Nós já o configuramos parcialmente. Siga as etapas abaixo para concluir.
-
Na página Quick create stack, faça o seguinte:
- Selecione uma região AWS (canto superior direito da tela).
- Em Stack name, digite um nome personalizado.
-
Em Basic configuration, selecione duas ou três zonas de disponibilidade para garantir a disponibilidade do gateway.
-
Em VPC network configuration, faça o seguinte:
- Defina o número de zonas de disponibilidade. Isso deve corresponder ao número de zonas selecionadas na etapa anterior.
- Certifique-se de que as sub-redes não entrem em conflito com os recursos existentes.
- Em MaxNumberOfNodes, defina o número máximo de nós. Por padrão, são três.
- Em NodeInstanceType, selecione o tipo de instância EC2 a ser usado.
- Em NumberOfNodes, defina o número de nós desejados. O padrão é um para cada zona de disponibilidade.
O dimensionamento automático não está disponível no momento para ZTNA.
-
Clique em Create slack e aguarde até que o processo seja concluído. Isso pode levar até uma hora. Quando terminar, sua nova pilha estará na lista de pilhas do AWS, e os detalhes serão parecidos com estes.
-
No Sophos Central, vá para o novo gateway. Clique em Aprovar.
Pode levar até dez minutos para a aprovação entrar em vigor. O status do gateway muda para Conectado.
Nota
Se você tiver um cluster de instâncias de gateway, é necessário aprovar o registro de gateway apenas para a primeira instância de gateway. As instâncias subsequentes são gerenciadas sem aprovação explícita.
Configurar o seu novo VPC
Configure o VPC da seguinte maneira:
-
No AWS, vá para Virtual Private Cloud > Your VPCs.
-
Vá para o seu novo VPC e procure o ID do VPC. Você pode usar esse ID para pesquisar os outros componentes que criou.
-
Vá para suas instâncias do EC2 e pesquise instâncias com o ID do novo VPC. Isso localiza as instâncias que compõem o cluster do ZTNA gateway. Renomeie-as.
Nota
Para manter seu cluster ativo, certifique-se de que pelo menos metade dos gateways nele estejam ativos.
-
Em Load balancing, use o ID do VPC para localizar o balanceador de carga para ZTNA. Abra seus detalhes e copie o nome em DNS name. Você precisa disso para criar um registro DNS público (CNAME) para o gateway, que aponta para o balanceador de carga.
Criar uma conexão por emparelhamento
O gateway está sempre em um novo VPC, portanto, você deve usar o emparelhamento para conectá-lo ao VPC onde os seus aplicativos estão.
-
Vá para VPC > Peering connections. Clique em Create peering connection e faça o seguinte:
- Em VPC ID (requester), selecione o ID do ZTNA gateway.
- Em VPC ID (Accepter), selecione o VPC onde estão os seus recursos.
- Clique em Create peering connection.
-
Vá para Subnets e adicione sua sub-rede de recursos e as sub-redes privadas do gateway às tabelas de rotas. Isso permite que o ZTNA use a conexão de emparelhamento para se conectar aos recursos.
Você acabou a configuração do gateway local.
Quando uma nova versão de máquina virtual está disponível, uma marca de seleção verde é exibida na coluna de versão. Clique no número da versão para iniciar ou programar uma atualização. Veja as atualizações do Gateway em Gateways.
Agora, adicione as configurações de DNS.