Requisitos

Antes de configurar o ZTNA, verifique se você atende a todos os requisitos a seguir.

Certificado curinga

Você precisa de um certificado curinga para o ZTNA gateway. Use um destes:

• Um certificado emitido usando Let's Encrypt.
• Um certificado emitido por uma autoridade de certificação confiável.

Este guia mostra como obter um certificado.

Host de Gateway

Você pode hospedar um ZTNA gateway em um servidor ESXi, um servidor Hyper-V ou no Amazon Web Services.

Servidor ESXi

Se você hospedar o gateway em um servidor ESXi, deverá atender a estes requisitos:

• Hipervisor VMware vSphere (ESXi) 6.5 ou posterior.
• 2 núcleos, 4 GB de RAM e 80 GB de espaço em disco.

Você deve garantir que a data e a hora corretas estejam definidas. O ZTNA gateway é sincronizado com a hora do host e apresentará problemas se não estiver correto.

Em seu host ESXi, vá para Manage > System > Time & date e clique em Edit settings para definir a hora.

Servidor Hyper-V.

Se você hospedar o gateway em um servidor Hyper-V, deverá atender a estes requisitos:

• Servidor Hyper-V executado no Windows Server 2016 ou posterior.
• 2 núcleos, 4 GB de RAM e 80 GB de espaço em disco.

Você deve garantir que a data e a hora corretas estejam definidas. O ZTNA gateway é sincronizado com a hora do host e apresentará problemas se não estiver correto.

Amazon Web Services

Se você hospedar o gateway no Amazon Web Services (AWS), precisará de uma conta AWS.

Gerenciamento de DNS

Você deve definir as configurações do seu servidor DNS. Consulte Adicionar configurações de DNS.

Serviço de diretório

Você precisa de um serviço de diretório para gerenciar os grupos de usuários que o ZTNA usará. Você pode usar o Microsoft Entra ID (Azure AD) ou o Active Directory.

Microsoft Entra ID (Azure AD)

Você precisa de uma conta do Microsoft Entra ID (Azure AD) com grupos de usuários configurados e sincronizados com o Sophos Central. Este guia mostra como configurar e sincronizar esses grupos.

Seus grupos de usuários devem ter a segurança ativada. Os grupos criados no Microsoft Entra ID (Azure AD) são automaticamente habilitados para segurança, mas os grupos criados a partir do portal Microsoft 365 ou importados do AD não são.

Você também pode usar o Microsoft Entra ID (Azure AD) como seu provedor de identidade.

Active Directory

Você precisa de uma conta do Active Directory com grupos de usuários configurados e sincronizados com o Sophos Central. Consulte Configurar sincronização com o Active Directory na Ajuda ao Administrador no Sophos Central.

Se você usar o Active Directory, precisará de um provedor de identidade separado, como o Okta.

Provedor de identidade

Você precisa de um provedor de identidade para autenticar os seus usuários. Você pode usar um destes:

• Microsoft Entra ID (Azure AD)
• Okta

Este guia mostra como configurá-los para usar com o ZTNA.

Sites da Web Permitidos

Se o gateway estiver atrás de um firewall, você deve conceder acesso aos sites necessários (na porta 443, a menos que especificado de outra forma).

Os sites necessários são os seguintes:

• sophos.jfrog.io
• jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com
• *.amazonaws.com
• production.cloudflare.docker.com
• *.docker.io
• *.sophos.com
• login.microsoftonline.com
• graph.microsoft.com
• ztna.apu.sophos.com (Porta 22)
• sentry.io
• *.okta.com (se você usar o Okta como provedor de identidade)
• wsserver-ztna.<customerdomain.com>
• FQDN do gateway ZTNA (o domínio que você definiu nas configurações do gateway ZTNA)

Tipos de aplicativos compatíveis

O ZTNA pode controlar o acesso a aplicativos locais e baseados na Web. O controle de aplicativos locais requer o agente ZTNA.

O ZTNA não suporta aplicativos que dependem da alocação dinâmica de portas ou usam uma ampla variedade de portas, por exemplo, produtos VOIP mais antigos.

Agente Sophos ZTNA

Você pode instalar o agente ZTNA nos seguintes sistemas operacionais:

• Windows 10.1803 ou posterior

• macOS BigSur (macOS11) ou posterior