Pular para o conteúdo

Configurar um gateway local

Configure o gateway ZTNA local que controlará o acesso aos recursos em sua rede.

As etapas diferem, dependendo se você deseja hospedar o gateway em um servidor ESXi, no Microsoft Hyper-V ou na Amazon Web Services.

Alerta

Os gateways AWS chegam ao fim da vida útil em 31 de março de 2024. Consulte o calendário de retirada. Você pode implantar o SFOS na AWS e migrar os recursos para esse gateway para garantir que os usuários ainda possam acessar aplicativos após essa data.

Alerta

Não configure gateways para operar em sub-redes usadas para serviços internos. Se fizer isso, você pode ter problemas ao acessar aplicativos. As sub-redes são: 10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16.

Alerta

Não configure endereços IPv6 para seus gateways ou permita que endereços IPv6 DHCP sejam atribuídos a endpoints, pois o IPv6 não é suportado.

Nota

Na Amazon Web Services, há custos adicionais de acordo com a sua configuração. Sua licença ZTNA não cobre esses custos.

Dica

Se os seus usuários precisarem acessar recursos ZTNA da mesma rede que o gateway ZTNA, adicione uma regra SNAT do tipo MASQ para impedir o roteamento assimétrico.

Para obter instruções passo a passo, clique na guia do seu host abaixo.

Você configura um gateway no ESXi em dois estágios:

  • Baixe uma imagem do gateway (arquivo OVA) e implante-a no ESXi.

  • Adicione configurações de gateway ao Sophos Central para gerar um arquivo ISO ("imagem de semeadura") que você usa para inicializar o gateway no ESXi.

Você pode configurar um cluster de gateway para garantir a disponibilidade. Para isso, configure instâncias adicionais do gateway, conforme descrito aqui.

Nota

Certifique-se de que a data e a hora corretas estejam definidas no host ESXi. Você deve definir o fuso horário como UTC. O gateway ZTNA terá problemas se você não definir a hora corretamente. Consulte Requisitos.

Se você estiver usando um proxy two-arm, consulte Configuração de Rede.

Baixar e implantar imagem

  1. Em Sophos Central, vá para Dispositivos > Instaladores.

  2. Localize Zero Trust Network Access.

    1. Clique no link de download de uma imagem de gateway.
    2. Aceite o contrato de licença e (se solicitado) os formulários de conformidade de exportação de software.
    3. A imagem do gateway é baixada. Esta é uma imagem OVA genérica do gateway ZTNA para servidores ESXi. Você pode reutilizá-la quantas vezes quiser.

    Página de downloads.

  3. Implemente a imagem OVA em seu host ESXi. No VMware vSphere, clique com o botão direito do mouse no host e selecione Deploy OVA Template. Isso executa um assistente que o orienta pela implantação.

    Alerta

    Desative a opção para ligar automaticamente (o padrão no ESXi) ou impeça que o gateway ZTNA seja inicializado depois que você terminar. Caso contrário, o gateway será inicializado sem os arquivos ISO e você terá que iniciar novamente.

    Página de implantação no VMware vSphere.

Adicionar configurações e inicializar o gateway

  1. Volte para o Sophos Central e vá para Meus produtos > ZTNA > Gateways. Clique em Adicionar gateway.

    Página Gateways.

  2. Em Modo de gateway, selecione No local.

    Modo de gateway local selecionado.

  3. Em Adicionar gateway, faça o seguinte:

    1. Insira um nome de gateway e o FQDN do gateway.
    2. Insira o domínio dos recursos (aplicativos).
    3. Em Tipo de plataforma, selecione VMware ESXi.

    4. Selecione o Modo de implantação.

      • One-arm usa a interface externa para o tráfego de entrada e de saída.
      • Two-arm usa as interfaces externa e interna.

    5. Insira as configurações da Interface.

      • Se selecionar DHCP, defina uma reserva no servidor DHCP.

        Alerta

        O gateway não pode lidar com alterações em seu endereço IP. Você deve definir uma reserva para garantir que ele sempre mantenha o endereço IP inicial que o DHCP atribui.

      • Se você selecionar IP estático, especifique o endereço IP, a sub-rede e as configurações do servidor DNS.

      Em uma implantação two-arm, você deve especificar Rotas estáticas se tiver aplicativos hospedados em várias redes internas.

    6. Carregue os certificados que você criou anteriormente.

    7. Clique em Salvar e gerar arquivo.

    Nota

    Somente um único certificado curinga é suportado nesta versão.

    Caixa de diálogo Adicionar gateway.

  4. Na página Gateways, o status do gateway é Aguardando implantação.

    O ISO da imagem de semeadura está pronto para download. Você precisará dele para inicializar o gateway e concluir o processo de registro. O ISO é exclusivo para cada gateway. Você não pode reutilizá-lo.

    Nota

    Antes de baixar a imagem, sugerimos que você crie um cluster de gateway. Se você não quiser um cluster, vá para a etapa 6.

    Página Gateways mostrando o status do gateway..

  5. Clique no seu novo gateway para abrir a página de detalhes. Clique em Adicionar/Editar instâncias.

    Página de detalhes do gateway.

  6. Em Adicionar/Editar instâncias, faça o seguinte:

    1. Clique em Adicionar outra instância. O clustering é ativado automaticamente.

    2. Digite um IP virtual de cluster. Usado para gerenciamento de cluster e balanceamento de carga. Ele deve estar no mesmo intervalo de IP das instâncias do gateway.

      Em uma implantação two-arm, o VIP do cluster externo é apenas para balanceamento de carga. Se você usar um balanceador externo de carga, deixe isso em branco.

    3. Digite o Nome da VM e IP de interface para a nova instância.

      Em uma implantação two-arm, insira um IP de interface interna e externa.

    4. Repita o processo para adicionar outra instância.

      Nota

      Você deve ter pelo menos três instâncias para um cluster. Você pode ter até nove instâncias, e sempre deve ter um número ímpar de instâncias.

      Nota

      Para manter seu cluster ativo, certifique-se de que pelo menos metade dos gateways nele estejam ativos.

    Caixa de diálogo Adicionar/Editar instâncias.

  7. Baixe cada arquivo ISO e monte-o em seu host. Em seguida, conecte-o ao gateway, da seguinte forma:

    1. Vá para VMware vSphere.
    2. Clique com o botão direito do mouse na VM do gateway e selecione Edit Settings.
    3. Na guia Hardware, em CD/DVD drive, certifique-se de que o arquivo ISO aparece e selecione Connect.
    4. Em Status, selecione Connect at Power on.
    5. Clique em Salvar.

    Se um dispositivo serial estiver listado no hardware virtual, você poderá removê-lo com segurança.

    Quando o gateway inicializar com o arquivo ISO, ele entrará em contato com o Sophos Central para se registrar.

    Guia Virtual Hardware no VMware vSphere.

  8. Volte para o Sophos Central. Na página Gateways, o status do gateway muda para Aguardando Aprovação.

    Quando solicitado, aprove o registro do gateway.

    Pode levar até dez minutos para a aprovação entrar em vigor. O status do gateway muda para Conectado. Você verá uma opção para criar uma senha, se desejar.

    Nota

    Se você tiver um cluster de instâncias de gateway, é necessário aprovar o registro de gateway apenas para a primeira instância de gateway. As instâncias subsequentes são gerenciadas sem aprovação explícita.

    Nota

    O arquivo ISO deve permanecer anexado ao gateway. Não é possível desmontá-lo após a inicialização do gateway.

Você acabou a configuração do gateway local.

Nota

Se o gateway não puder se conectar ao Sophos Central, vá para o VMware vSphere e execute o diagnóstico na VM.

Quando uma nova versão de máquina virtual está disponível, uma marca de seleção verde é exibida na coluna de versão. Clique no número da versão para iniciar ou programar uma atualização. Veja as atualizações do Gateway em Gateways.

Para configurar um gateway no Microsoft Hyper-V, faça o seguinte:

  • Baixe e implante a imagem da VM do gateway.

  • Adicione configurações de gateway para gerar um arquivo ISO ("imagem de semeadura").

  • Baixe o arquivo ISO e inicialize o gateway.

Baixar e implantar imagem

  1. Em Sophos Central, vá para Dispositivos > Instaladores.

  2. Em Zero Trust Network Access, clique em Download da imagem Gateway VM para Hyper-V.

    Um arquivo ZIP contendo a imagem da VM é baixado.

    Página Proteger dispositivos.

  3. Extraia a imagem Hyper-V base do arquivo ZIP que você baixou.

    Isso lhe dá o arquivo .vhdx necessário para configurar o gateway. Você não pode usar esse arquivo para implantar mais de uma VM, mas pode fazer cópias e usá-las para VMs adicionais.

  4. No Gerenciador do Hyper-V, na lista Máquinas virtuais, em Ações, clique em Novo.

    Gerenciador do Hyper-V.

  5. Insira um nome para o VM.

    Página Especificar nome e local.

  6. Selecione a geração. Geração 1 suporta sistemas operacionais de 32 e 64 bits.

    Página Especificar geração.

  7. Em Atribuir memória, digite pelo menos 4096 MB de memória de inicialização.

    Página Atribuir memória.

  8. Em Configurar rede, selecione um adaptador de rede.

    Página Configurar rede.

  9. Em Conectar disco rígido virtual, selecione Usar um disco rígido virtual existente e navegue até o arquivo .vhdx que você extraiu do download da imagem da VM.

    Página Conectar disco rígido virtual.

  10. Clique em Terminar.

    Preenchendo a página Nova VM.

  11. Vá para Configurações da nova VM.

    1. Em Hardware > Processadores, defina Número de processadores virtuais como "2".

    2. Se o gateway estiver em uma implantação two-arm, vá para Adaptador de rede e adicione outro adaptador à VM.

    Definições da VM.

    Nota

    Se você estiver usando VLANs, certifique-se de marcar suas interfaces de rede com os IDs de VLAN apropriados.

  12. Clique em Aplicar e Salvar.

Adicionar configurações de gateway

  1. Volte para o Sophos Central e vá para Meus produtos > ZTNA > Gateways. Clique em Adicionar gateway.

    Página Gateways.

  2. Em Modo de gateway, selecione No local.

    Modo de gateway local selecionado.

  3. Em Adicionar gateway, faça o seguinte:

    1. Insira um nome de gateway e o FQDN do gateway.
    2. Insira o domínio dos recursos (aplicativos).
    3. Em Tipo de plataforma, selecione Hyper-V.

    4. Selecione o Modo de implantação.

      • One-arm usa a interface externa para o tráfego de entrada e de saída.
      • Two-arm usa as interfaces externa e interna.

    5. Insira as configurações da Interface.

      • Se selecionar DHCP, defina uma reserva no servidor DHCP.

        Alerta

        O gateway não pode lidar com alterações em seu endereço IP. Você deve definir uma reserva para garantir que ele sempre mantenha o endereço IP inicial que o DHCP atribui.

      • Se você selecionar IP estático, insira o endereço IP, a sub-rede e as configurações do servidor DNS.

      Em uma implantação two-arm, você deve especificar Rotas estáticas se tiver aplicativos hospedados em várias redes internas.

    6. Carregue os certificados que você criou anteriormente.

    7. Clique em Salvar e gerar arquivo.

    Nota

    Somente um único certificado curinga é suportado nesta versão.

    Caixa de diálogo Adicionar gateway.

  4. Na página Gateways, o status do novo gateway é Aguardando implantação. Clique no gateway para ver detalhes.

    Status Aguardando implantação.

  5. Nos detalhes do gateway, você pode ver que a imagem ISO está pronta para download. Você precisará dela para inicializar o gateway. O ISO é exclusivo para cada gateway. Você não pode reutilizá-lo.

    Antes de baixar a imagem, sugerimos que você crie um cluster de gateway. Se você não quiser um cluster, vá para a seção Baixar o arquivo ISO e inicializar o gateway.

    Detalhes do novo gateway.

  6. Nos detalhes do gateway, clique em Adicionar/Editar instâncias.

    Página de detalhes do gateway.

  7. Em Adicionar/Editar instâncias, clique em Adicionar outra instância. O clustering é ativado automaticamente.

    Caixa de diálogo Adicionar/Editar instâncias.

  8. Insira os detalhes da nova instância da seguinte forma:

    1. Digite um IP virtual de cluster. Usado para gerenciamento de cluster e balanceamento de carga. O endereço IP deve ser um endereço que você não usou antes nessa configuração e deve estar no mesmo intervalo de IP que as instâncias do gateway.

      Dica

      Em uma implantação two-arm, o endereço IP da interface externa é usado apenas para balanceamento de carga. Se você usar um balanceador externo de carga, deixe esse campo em branco.

    2. Digite o Nome da VM e IP de interface para a nova instância.

      Em uma implantação two-arm, insira um IP de interface interna e externa.

    3. Repita o processo para adicionar outra instância.

      Nota

      Você deve ter pelo menos três instâncias para um cluster. Você pode ter até nove instâncias, e sempre deve ter um número ímpar de instâncias.

      Nota

      Para manter seu cluster ativo, certifique-se de que pelo menos metade dos gateways nele estejam ativos.

    Detalhes da instância.

Em seguida, baixe os arquivos ISO e inicialize o gateway.

Baixar o arquivo ISO e inicializar o gateway

Baixe o arquivo ISO para cada instância, anexe-o à VM do gateway e inicialize o gateway da seguinte forma:

  1. Nos detalhes do gateway, vá para cada instância e clique em Download da imagem.

    Instâncias de gateway com downloads.

  2. No Gerenciador do Hyper-V, vá para Configurações da VM. Em Unidade de DVD, faça o seguinte:

    1. Em Controlador, selecione Controlador IDE 1.
    2. Em Mídia, selecione Arquivo de imagem e insira o caminho para o ISO de semeadura.
    3. Clique em Aplicar e Salvar.

    Nota

    O arquivo ISO deve permanecer anexado ao gateway. Não é possível desmontá-lo após a inicialização do gateway.

    Unidade de DVD da VM.

  3. Ligue as instâncias do gateway. Aguarde alguns minutos.

  4. No Sophos Central, vá para Meus produtos > ZTNA > Gateways e clique no novo gateway para abrir sua página de detalhes.

    O status do gateway muda para Aguardando aprovação do gateway. Clique em Aprovar.

    Status do gateway com o botão Aprovar.

    Nota

    Se você tiver um cluster de instâncias de gateway, é necessário aprovar o registro de gateway apenas para a primeira instância de gateway. As instâncias subsequentes são gerenciadas sem aprovação explícita.

  5. O status do gateway muda para Ativo.

Você acabou a configuração do gateway local.

Nota

Se o gateway não puder se conectar ao Sophos Central, vá para o Gerenciador do Hyper-V e execute o diagnóstico na VM.

Quando uma nova versão de máquina virtual está disponível, uma marca de seleção verde é exibida na coluna de versão. Clique no número da versão para iniciar ou programar uma atualização. Veja as atualizações do Gateway em Gateways.

Para configurar um gateway ZTNA no Amazon Web Services (AWS), faça o seguinte:

  1. No Sophos Central, vá para Meus produtos > ZTNA > Gateways.

    Menu ZTNA.

  2. Na página Gateways, clique em Adicionar gateway.

    Página Gateways.

  3. Em Modo de gateway, selecione No local.

    Modo de gateway local selecionado.

  4. Na caixa de diálogo Adicionar gateway, adicione os seus detalhes da seguinte forma:

    1. Digite o nome do gateway e o FQDN.
    2. Digite o domínio dos recursos (aplicativos).
    3. Em Tipo de plataforma, selecione Amazon Web Services.
    4. Em Provedor de identidade, selecione o provedor de identidade que você configurou anteriormente.
    5. Carregue os certificados que você criou anteriormente.
    6. Clique em Salvar.

    Adicionar Gateway.

  5. Na página Gateways, agora você verá o novo gateway. Clique no link Iniciar pilha ao lado dele.

    Gateway com o link Iniciar pilha.

Criar uma pilha no AWS

No AWS, em CloudFormation, você vê o modelo Quick create stack. Nós já o configuramos parcialmente. Siga as etapas abaixo para concluir.

  1. Na página Quick create stack, faça o seguinte:

    1. Selecione uma região AWS (canto superior direito da tela).
    2. Em Stack name, digite um nome personalizado.

    Modelo da pilha.

  2. Em Basic configuration, selecione duas ou três zonas de disponibilidade para garantir a disponibilidade do gateway.

    Configuração básica da pilha.

  3. Em VPC network configuration, faça o seguinte:

    1. Defina o número de zonas de disponibilidade. Isso deve corresponder ao número de zonas selecionadas na etapa anterior.
    2. Certifique-se de que as sub-redes não entrem em conflito com os recursos existentes.
    3. Em MaxNumberOfNodes, defina o número máximo de nós. Por padrão, são três.
    4. Em NodeInstanceType, selecione o tipo de instância EC2 a ser usado.
    5. Em NumberOfNodes, defina o número de nós desejados. O padrão é um para cada zona de disponibilidade.

    O dimensionamento automático não está disponível no momento para ZTNA.

    Configuração da rede VPC.

  4. Clique em Create slack e aguarde até que o processo seja concluído. Isso pode levar até uma hora. Quando terminar, sua nova pilha estará na lista de pilhas do AWS, e os detalhes serão parecidos com estes.

    Nova pilha ZTNA.

  5. No Sophos Central, vá para o novo gateway. Clique em Aprovar.

    Pode levar até dez minutos para a aprovação entrar em vigor. O status do gateway muda para Conectado.

    Página de detalhes do gateway.

    Nota

    Se você tiver um cluster de instâncias de gateway, é necessário aprovar o registro de gateway apenas para a primeira instância de gateway. As instâncias subsequentes são gerenciadas sem aprovação explícita.

Configurar o seu novo VPC

Configure o VPC da seguinte maneira:

  1. No AWS, vá para Virtual Private Cloud > Your VPCs.

    Menu VPCs do AWS.

  2. Vá para o seu novo VPC e procure o ID do VPC. Você pode usar esse ID para pesquisar os outros componentes que criou.

    Detalhes do novo VPC.

  3. Vá para suas instâncias do EC2 e pesquise instâncias com o ID do novo VPC. Isso localiza as instâncias que compõem o cluster do ZTNA gateway. Renomeie-as.

    Instâncias EC2.

    Nota

    Para manter seu cluster ativo, certifique-se de que pelo menos metade dos gateways nele estejam ativos.

  4. Em Load balancing, use o ID do VPC para localizar o balanceador de carga para ZTNA. Abra seus detalhes e copie o nome em DNS name. Você precisa disso para criar um registro DNS público (CNAME) para o gateway, que aponta para o balanceador de carga.

    Balanceador de carga do AWS.

Criar uma conexão por emparelhamento

O gateway está sempre em um novo VPC, portanto, você deve usar o emparelhamento para conectá-lo ao VPC onde os seus aplicativos estão.

  1. Vá para VPC > Peering connections. Clique em Create peering connection e faça o seguinte:

    1. Em VPC ID (requester), selecione o ID do ZTNA gateway.
    2. Em VPC ID (Accepter), selecione o VPC onde estão os seus recursos.
    3. Clique em Create peering connection.

    Conexão por emparelhamento de VPC.

  2. Vá para Subnets e adicione sua sub-rede de recursos e as sub-redes privadas do gateway às tabelas de rotas. Isso permite que o ZTNA use a conexão de emparelhamento para se conectar aos recursos.

    Página de sub-redes.

Você acabou a configuração do gateway local.

Quando uma nova versão de máquina virtual está disponível, uma marca de seleção verde é exibida na coluna de versão. Clique no número da versão para iniciar ou programar uma atualização. Veja as atualizações do Gateway em Gateways.

Agora, adicione as configurações de DNS.