Pular para o conteúdo

Configurar gateway Sophos Cloud

Agora, configure o gateway Sophos Cloud que controlará o acesso aos recursos em sua rede.

As etapas diferem, dependendo se você deseja hospedar o gateway em um servidor ESXi ou Microsoft Hyper-V. Você também pode configurar um gateway em seus dispositivos SFOS gerenciados centralmente.

Alerta

Os gateways AWS chegam ao fim da vida útil em 31 de março de 2024. Consulte o calendário de retirada. Você pode implantar o SFOS na AWS e migrar os recursos para esse gateway para garantir que os usuários ainda possam acessar aplicativos após essa data.

Alerta

Não configure gateways para operar em sub-redes usadas para serviços internos. Se fizer isso, você pode ter problemas ao acessar aplicativos. As sub-redes são: 10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16.

Alerta

IPv6 não é suportado. Portanto, não configure endereços IPv6 para seus gateways, ou permita que endereços IPv6 DHCP sejam atribuídos a endpoints. Se você já tiver endpoints com endereços IPv6 atribuídos a eles, seus usuários deverão desativar manualmente as configurações de IPv6 em cada endpoint.

Dica

Se os seus usuários precisarem acessar recursos ZTNA da mesma rede que o gateway ZTNA, adicione uma regra SNAT do tipo MASQ para impedir o roteamento assimétrico.

Para obter instruções passo a passo, clique na guia do seu host abaixo.

Para configurar um gateway Sophos Cloud no ESXi, siga este procedimento:

  • Baixe e implante a imagem da VM.

  • Valide o seu domínio.

  • Adicione as configurações do gateway e adicione instâncias.

  • Baixe as imagens e inicialize a VM.

Nota

Certifique-se de que a data e a hora corretas estejam definidas no host ESXi. Você deve definir o fuso horário como UTC. O gateway ZTNA terá problemas se você não definir a hora corretamente. Consulte Requisitos.

Se você estiver usando um proxy two-arm, consulte Configuração de Rede.

Baixar e implantar imagem

  1. Em Sophos Central, vá para Dispositivos > Instaladores.

  2. Localize Zero Trust Network Access.

    1. Clique no link de download de uma imagem de gateway.
    2. Aceite o contrato de licença e (se solicitado) os formulários de conformidade de exportação de software.
    3. A imagem do gateway é baixada. Esta é uma imagem OVA genérica do gateway ZTNA para servidores ESXi. Você pode reutilizá-la quantas vezes quiser.

    Página de downloads.

  3. Implemente a imagem OVA em seu host ESXi. No VMware vSphere, clique com o botão direito do mouse no host e selecione Deploy OVA Template. Isso executa um assistente que o orienta pela implantação.

    Alerta

    Desative a opção para ligar automaticamente (o padrão no ESXi) ou impeça que o gateway ZTNA seja inicializado depois que você terminar. Caso contrário, o gateway será inicializado sem os arquivos ISO e você terá que iniciar novamente.

    Página de implantação no VMware vSphere.

Validar o seu domínio

  1. Em Sophos Central, vá para Meus produtos > ZTNA > Configurações.

  2. Clique em Domínios.

  3. Clique em Adicionar domínio, adicione seu nome de domínio e clique em Adicionar.

    Você verá suas informações de domínio na tabela de domínios. Um registro TXT é gerado para o seu domínio.

  4. Vá para o seu servidor DNS e adicione o registro TXT do domínio.

    Aguarde alguns minutos antes de passar para a próxima etapa.

  5. Volte para o Sophos Central e vá para Meus produtos > ZTNA > Configurações > Domínios e clique em Validar.

    O status do domínio muda para "Validado".

Adicionar configurações de gateway e adicionar instâncias

  1. Clique em Adicionar gateway.

  2. Em Modo de gateway, selecione Sophos Cloud.

    Modo de gateway Sophos Cloud selecionado.

  3. Insira um nome de gateway e o FQDN do gateway.

    Nota

    Certifique-se de que o FQDN do gateway seja o mesmo especificado na página Registrar um aplicativo. Consulte Registrar o aplicativo ZTNA.

  4. Selecione seu Domínio (validado).

  5. Selecione VMWare ESXi como o Tipo de plataforma.

  6. Selecione seu Provedor de identidade.

  7. Em Pontos de presença, selecione a sua região.

    Selecione a região mais próxima de onde seu datacenter está para reduzir a latência.

    No ZTNA 2.1 e posterior, um ponto de presença secundário é configurado por padrão, mais próximo do seu ponto de presença primário. Você pode desativar essa opção na página Configurações. Consulte Sophos Central: Configurações.

  8. Selecione o Modo de implantação.

    • One-arm usa a interface externa para o tráfego de entrada e de saída.
    • Two-arm usa as interfaces externa e interna.

  9. Insira as configurações da Interface.

    • Se selecionar DHCP, defina uma reserva no servidor DHCP.

      Alerta

      O gateway não pode lidar com alterações em seu endereço IP. Você deve definir uma reserva para garantir que ele sempre mantenha o endereço IP inicial que o DHCP atribui.

    • Se você selecionar IP estático, especifique o endereço IP, a sub-rede e as configurações do servidor DNS.

      Em uma implantação two-arm, você deve especificar Rotas estáticas se tiver aplicativos hospedados em várias redes internas.

  10. Carregue os certificados que você criou anteriormente. Consulte Obter um certificado.

  11. Clique em Salvar e gerar arquivo.

    Você verá a janela pop-up Gateway adicionado, que mostra o Domínio de alias gerado para o gateway. Mais tarde, você precisará adicionar o domínio de alias do gateway ao seu servidor DNS público como uma entrada CNAME. Consulte Adicionar configurações de DNS.

  12. Clique em Copiar.

    Você verá seu gateway na página Gateways. Veja um exemplo.

    Resumo do gateway.

  13. Clique no Nome do seu gateway.

    Isso o levará à página Detalhes do Gateway.

  14. Nos detalhes do gateway, você pode ver que a imagem ISO está pronta para download. Você precisará dela para inicializar o gateway. O ISO é exclusivo para cada gateway. Você não pode reutilizá-lo.

    Antes de baixar a imagem, sugerimos que você crie um cluster de gateway. Se você não quiser um cluster, vá para a seção Baixar imagens e inicializar a VM.

    Detalhes do novo gateway.

  15. Nos detalhes do gateway, clique em Adicionar/Editar instâncias.

    Página de detalhes do gateway.

  16. Em Adicionar/Editar instâncias, clique em Adicionar outra instância. O clustering é ativado automaticamente.

    Caixa de diálogo Adicionar/Editar instâncias.

  17. Insira os detalhes da nova instância da seguinte forma:

    1. Digite um IP virtual de cluster. Usado para gerenciamento de cluster e balanceamento de carga. O endereço IP deve ser um endereço que você não usou antes nessa configuração e deve estar no mesmo intervalo de IP que as instâncias do gateway.

      Dica

      Em uma implantação two-arm, o endereço IP da interface externa é usado apenas para balanceamento de carga. Se você usar um balanceador externo de carga, deixe esse campo em branco.

    2. Digite o Nome da VM e IP de interface para a nova instância.

      Em uma implantação two-arm, insira um IP de interface interna e externa.

    3. Repita o processo para adicionar outra instância.

      Nota

      Você deve ter pelo menos três instâncias para um cluster. Você pode ter até nove instâncias, e sempre deve ter um número ímpar de instâncias.

      Nota

      Para manter seu cluster ativo, certifique-se de que pelo menos metade dos gateways nele estejam ativos.

    Detalhes da instância.

Em seguida, baixe os arquivos ISO e inicialize o gateway.

Baixar imagens e inicializar a VM

  1. Vá para Instâncias do Gateway e role para baixo.

    Você verá suas instâncias em Status.

  2. Baixe cada arquivo ISO e monte-o em seu host. Em seguida, conecte-o ao gateway, da seguinte forma:

    1. Vá para VMware vSphere.
    2. Clique com o botão direito do mouse na VM do gateway e selecione Edit Settings.
    3. Na guia Hardware, em CD/DVD drive, certifique-se de que o arquivo ISO aparece e selecione Connect.
    4. Em Status, selecione Connect at Power on.
    5. Clique em Salvar.

    Se um dispositivo serial estiver listado no hardware virtual, você poderá removê-lo com segurança.

    Quando o gateway inicializar com o arquivo iso, ele entrará em contato com o Sophos Central para se registrar.

    Guia Virtual Hardware no VMware vSphere.

  3. Volte para o Sophos Central. Na página Gateways, o status do gateway muda para Aguardando Aprovação.

    Quando solicitado, para aprovar o registro do gateway clique em Aprovar.

    Pode levar até dez minutos para a aprovação entrar em vigor. O status do gateway muda para Ativo e Conectado. Você verá uma opção para criar uma senha, se desejar.

    Nota

    Se você tiver um cluster de instâncias de gateway, é necessário aprovar o registro de gateway apenas para a primeira instância de gateway. As instâncias subsequentes são gerenciadas sem aprovação explícita.

    Nota

    O arquivo ISO deve permanecer anexado ao gateway. Não é possível desmontá-lo após a inicialização do gateway.

    Nota

    Se o gateway não puder se conectar ao Sophos Central, vá para o VMware vSphere e execute o diagnóstico na VM.

    Quando uma nova versão de máquina virtual está disponível, uma marca de seleção verde é exibida na coluna de versão. Clique no número da versão para iniciar ou programar uma atualização. Veja as atualizações do Gateway em Gateways.

Você acabou a configuração do gateway Sophos Cloud.

Para configurar um gateway Sophos Cloud no Microsoft Hyper-V, faça o seguinte:

  • Baixe e implante a imagem da VM.

  • Valide o seu domínio.

  • Adicione configurações de gateway para gerar um arquivo ISO ("imagem de semeadura").

  • Baixe o arquivo ISO e inicialize o gateway.

Baixar e implantar imagem

  1. Em Sophos Central, vá para Dispositivos > Instaladores.

  2. Em Zero Trust Network Access, clique em Download da imagem Gateway VM para Hyper-V.

    Um arquivo ZIP contendo a imagem da VM é baixado.

    Página Proteger dispositivos.

  3. Extraia a imagem Hyper-V base do arquivo ZIP que você baixou.

    Isso lhe dá o arquivo .vhdx necessário para configurar o gateway. Você não pode usar esse arquivo para implantar mais de uma VM, mas pode fazer cópias e usá-las para VMs adicionais.

  4. No Gerenciador do Hyper-V, na lista Máquinas virtuais, em Ações, clique em Novo.

    Gerenciador do Hyper-V.

  5. Insira um nome para o VM.

    Página Especificar nome e local.

  6. Selecione a geração. Geração 1 suporta sistemas operacionais de 32 e 64 bits.

    Página Especificar geração.

  7. Em Atribuir memória, digite pelo menos 4096 MB de memória de inicialização.

    Página Atribuir memória.

  8. Em Configurar rede, selecione um adaptador de rede.

    Página Configurar rede.

  9. Em Conectar disco rígido virtual, selecione Usar um disco rígido virtual existente e navegue até o arquivo .vhdx que você extraiu do download da imagem da VM.

    Página Conectar disco rígido virtual.

  10. Clique em Terminar.

    Preenchendo a página Nova VM.

  11. Vá para Configurações da nova VM.

    1. Em Hardware > Processadores, defina Número de processadores virtuais como "2".

    2. Se o gateway estiver em uma implantação two-arm, vá para Adaptador de rede e adicione outro adaptador à VM.

    Definições da VM.

    Nota

    Se você estiver usando VLANs, certifique-se de marcar suas interfaces de rede com os IDs de VLAN apropriados.

  12. Clique em Aplicar e Salvar.

Validar o seu domínio

  1. Em Sophos Central, vá para Meus produtos > ZTNA > Configurações.

  2. Clique em Domínios.

  3. Clique em Adicionar domínio, adicione seu nome de domínio e clique em Adicionar.

    Você verá suas informações de domínio na tabela de domínios. Um registro TXT é gerado para o seu domínio.

  4. Vá para o seu servidor DNS e adicione o registro TXT do domínio.

    Aguarde alguns minutos antes de passar para a próxima etapa.

  5. Volte para o Sophos Central e vá para Meus produtos > ZTNA > Configurações > Domínios e clique em Validar.

    O status do domínio muda para "Validado".

Adicionar configurações de gateway e adicionar instâncias

  1. Clique em Adicionar gateway.

  2. Em Modo de gateway, selecione Sophos Cloud.

    Modo de gateway Sophos Cloud selecionado.

  3. Insira um nome de gateway e o FQDN do gateway.

    Nota

    Certifique-se de que o FQDN do gateway seja o mesmo especificado na página Registrar um aplicativo. Consulte Registrar o aplicativo ZTNA.

  4. Selecione seu Domínio (validado).

  5. Selecione VMWare ESXi como o Tipo de plataforma.

  6. Selecione seu Provedor de identidade.

  7. Em Pontos de presença, selecione a sua região.

    Selecione a região mais próxima de onde seu datacenter está para reduzir a latência.

    No ZTNA 2.1 e posterior, um ponto de presença secundário é configurado por padrão, mais próximo do seu ponto de presença primário. Você pode desativar essa opção na página Configurações. Consulte Sophos Central: Configurações.

  8. Selecione o Modo de implantação.

    • One-arm usa a interface externa para o tráfego de entrada e de saída.
    • Two-arm usa as interfaces externa e interna.

  9. Insira as configurações da Interface.

    • Se selecionar DHCP, defina uma reserva no servidor DHCP.

      Alerta

      O gateway não pode lidar com alterações em seu endereço IP. Você deve definir uma reserva para garantir que ele sempre mantenha o endereço IP inicial que o DHCP atribui.

    • Se você selecionar IP estático, especifique o endereço IP, a sub-rede e as configurações do servidor DNS.

      Em uma implantação two-arm, você deve especificar Rotas estáticas se tiver aplicativos hospedados em várias redes internas.

  10. Carregue os certificados que você criou anteriormente.

  11. Clique em Salvar e gerar arquivo.

    Você verá a janela pop-up Gateway adicionado, que mostra o Domínio de alias gerado para o gateway. Mais tarde, você precisará adicionar o domínio de alias do gateway ao seu servidor DNS público como uma entrada CNAME. Consulte Adicionar configurações de DNS.

  12. Clique em Copiar.

    Você verá seu gateway na página Gateways. Veja um exemplo.

    Resumo do gateway.

  13. Clique no Nome do seu gateway.

    Isso o levará à página Detalhes do Gateway.

  14. Nos detalhes do gateway, você pode ver que a imagem ISO está pronta para download. Você precisará dela para inicializar o gateway. O ISO é exclusivo para cada gateway. Você não pode reutilizá-lo.

    Antes de baixar a imagem, sugerimos que você crie um cluster de gateway. Se você não quiser um cluster, vá para a seção Baixar o arquivo ISO e inicializar o gateway.

    Detalhes do novo gateway.

  15. Nos detalhes do gateway, clique em Adicionar/Editar instâncias.

    Página de detalhes do gateway.

  16. Em Adicionar/Editar instâncias, clique em Adicionar outra instância. O clustering é ativado automaticamente.

    Caixa de diálogo Adicionar/Editar instâncias.

  17. Insira os detalhes da nova instância da seguinte forma:

    1. Digite um IP virtual de cluster. Usado para gerenciamento de cluster e balanceamento de carga. Ele deve estar no mesmo intervalo de IP das instâncias do gateway.

      Em uma implantação two-arm, o VIP do cluster externo é apenas para balanceamento de carga. Se você usar um balanceador externo de carga, deixe isso em branco.

    2. Digite o Nome da VM e IP de interface para a nova instância.

      Em uma implantação two-arm, insira um IP de interface interna e externa.

    3. Repita o processo para adicionar outra instância.

      Nota

      Você deve ter pelo menos três instâncias para um cluster. Você pode ter até nove instâncias, e sempre deve ter um número ímpar de instâncias.

      Nota

      Para manter seu cluster ativo, certifique-se de que pelo menos metade dos gateways nele estejam ativos.

    Detalhes da instância.

Em seguida, baixe os arquivos ISO e inicialize o gateway.

Baixar o arquivo ISO e inicializar o gateway

Baixe o arquivo ISO para cada instância, anexe-o à VM do gateway e inicialize o gateway da seguinte forma:

  1. Nos detalhes do gateway, vá para cada instância e clique em Download da imagem.

    Instâncias de gateway com downloads.

  2. No Gerenciador do Hyper-V, vá para Configurações da VM. Em Unidade de DVD, faça o seguinte:

    1. Em Controlador, selecione Controlador IDE 1.
    2. Em Mídia, selecione Arquivo de imagem e insira o caminho para o ISO de semeadura.
    3. Clique em Aplicar e Salvar.

    Nota

    O arquivo ISO deve permanecer anexado ao gateway. Não é possível desmontá-lo após a inicialização do gateway.

    Unidade de DVD da VM.

  3. Ligue as instâncias do gateway. Aguarde alguns minutos.

  4. No Sophos Central, vá para Meus produtos > ZTNA > Gateways e clique no novo gateway para abrir sua página de detalhes.

    O status do gateway muda para Aguardando aprovação do gateway. Clique em Aprovar.

    Status do gateway com o botão Aprovar.

    Nota

    Se você tiver um cluster de instâncias de gateway, é necessário aprovar o registro de gateway apenas para a primeira instância de gateway. As instâncias subsequentes são gerenciadas sem aprovação explícita.

  5. O status do gateway muda para Ativo.

Você acabou a configuração do gateway Sophos Cloud.

Nota

Se o gateway não puder se conectar ao Sophos Central, vá para o Gerenciador do Hyper-V e execute o diagnóstico na VM.

Quando uma nova versão de máquina virtual está disponível, uma marca de seleção verde é exibida na coluna de versão. Clique no número da versão para iniciar ou programar uma atualização. Veja as atualizações do Gateway em Gateways.

Firewalls gerenciados centralmente podem usar um gateway de ZTNA para oferecer acesso seguro a recursos internos. Para saber como gerenciar seu firewall através do Sophos Central, consulte Sophos Firewall: Sophos Central.

Restrições

  • Não é possível acessar o seu painel de controle de administrador da web do firewall via ZTNA se o seu firewall fizer parte de uma implantação ativa-ativa de alta disponibilidade.
  • O acesso ao portal do usuário e ao portal VPN do firewall ainda não é suportado pelo gateway ZTNA.

Para configurar um gateway Sophos Cloud que controla o acesso aos recursos da sua rede, faça o seguinte:

  1. No Sophos Central, vá para Meus produtos > ZTNA > Gateways.

  2. Clique em Adicionar gateway.

  3. Em Modo de gateway, selecione Sophos Cloud.

  4. Insira um nome de gateway e o FQDN do gateway.

    Nota

    Certifique-se de que o FQDN do gateway seja o mesmo especificado na página Registrar um aplicativo. Consulte Registrar o aplicativo ZTNA.

  5. Selecione seu Domínio (validado).

  6. Selecione Firewall como o Tipo de plataforma.

  7. Em Firewall, selecione seu firewall SFOS na lista suspensa.

    Selecionar firewall na lista.

    A lista suspensa inclui somente firewalls gerenciados pelo Sophos Central e que estão na versão de firmware 19.5 MR3 e posterior.

    Você pode selecionar um firewall ativo a partir de um par de alta disponibilidade, o que garante o failover de tráfego e serviços e minimiza o tempo de inatividade do ZTNA.

  8. Selecione seu Provedor de identidade.

  9. Em Pontos de presença, selecione a sua região.

    Selecione a região mais próxima de onde seu datacenter está para reduzir a latência.

    No ZTNA 2.1 e posterior, um ponto de presença secundário é configurado por padrão, mais próximo do seu ponto de presença primário. Você pode desativar essa opção na página Configurações. Consulte Sophos Central: Configurações.

  10. Carregue os certificados que você criou anteriormente. Consulte Obter um certificado.

  11. Clique em Salvar.

    Você verá seu gateway na página Gateways.

    Nota

    O gateway deve estar ativo em aproximadamente 5 minutos.

  12. Clique no Nome do seu gateway.

    Isso o levará à página Detalhes do Gateway. Você pode visualizar e editar os detalhes do seu gateway ou deletar o gateway.

Nota

Ao configurar um provedor de identidade, você deve adicionar um novo URI de redirecionamento para o gateway de firewall no seguinte formato: https://<gateway’s external FQDN>/ztna-oauth2/callback. Esse formato difere de outras plataformas de gateway.

Adicionar o portal de administração da Web do seu firewall como um recurso

Você pode adicionar seu portal de administração da Web de firewall como um recurso. Quando fizer isso, você verá o Web Admin Portal na lista suspensa Tipo de recurso para o método de acesso: Sem agente.

Lista de tipos de recursos.

Acesso sem agente

Você pode definir um FQDN externo, como http://firewall.xyz.com, e definir o tipo de recurso como Web Admin Portal. Quando você adiciona o recurso, um domínio de alias é gerado. Você deve adicioná-lo como um registro CNAME no seu servidor DNS público. Todo o tráfego para o seu portal de administração da web é redirecionado para o domínio de alias de propriedade da Sophos.

Acesso baseado em agente

Você pode adicionar qualquer coisa como um FQDN externo para o recurso, e o agente ZTNA o interceptará. Um túnel foi criado quando você adicionou um registro A para o gateway de firewall, e todo o tráfego para o seu portal de administração da Web passa pelo túnel.

Migrar recursos

Para migrar recursos existentes atrás de uma plataforma de gateway para um gateway de firewall, faça o seguinte:

  1. Configure um gateway ZTNA.
  2. Adicione um novo URI de redirecionamento para o gateway de firewall.
  3. Edite seus recursos existentes. Para isso, vá para Recursos e acesso e clique no nome do recurso para abrir os Detalhes do recurso. Para Gateway, selecione o gateway de firewall.
  4. Se o método de acesso for Sem agente, copie o domínio de alias do firewall e adicione-o ao servidor DNS público.

Agora, adicione as configurações de DNS. Consulte Adicionar configurações de DNS.