Pular para o conteúdo

Requisitos

Antes de configurar o ZTNA, verifique se você atende a todos os requisitos a seguir.

Certificado curinga

Você precisa de um certificado curinga para o ZTNA gateway. Use um destes:

  • Um certificado emitido usando Let's Encrypt.
  • Um certificado emitido por uma autoridade de certificação confiável.

Nota

Oferecemos suporte apenas aos certificados RSA e ECDSA com as exceções abaixo:

  • ECDSA: P-384 e P-521 não são suportados.
  • RSA: O tamanho da chave inferior a 2048 não é suportado.

Este guia mostra como obter um certificado. Consulte Obter um certificado.

Host de Gateway

Você pode hospedar o gateway ZTNA em um servidor ESXi ou Hyper-V, ou configurar um gateway Sophos Cloud. Consulte Adicionar um gateway.

Sophos Firewall

Para integrar o seu Sophos Firewall com ZTNA, você deve atender aos seguintes requisitos:

  • Seu firewall deve estar na versão 19.5 MR3 ou posterior.
  • O firewall deve ser gerenciado pelo Sophos Central.

Você pode integrar o ZTNA a todos os tipos de firewalls: hardware, nuvem, virtual e software.

Servidor ESXi

Se você hospedar o gateway em um servidor ESXi, deverá atender a estes requisitos:

  • Hipervisor VMware vSphere (ESXi) 6.5 ou posterior.
  • 2 núcleos, 4 GB de RAM e 80 GB de espaço em disco.

Você deve garantir que a data e a hora corretas estejam definidas. O ZTNA gateway é sincronizado com a hora do host e apresentará problemas se não estiver correto.

Nota

Você deve definir o fuso horário como UTC.

Em seu host ESXi, vá para Manage > System > Time & date e clique em Edit settings para definir a hora.

Configurações de hora no ESXi.

Servidor Hyper-V.

Se você hospedar o gateway em um servidor Hyper-V, deverá atender a estes requisitos:

  • Servidor Hyper-V executado no Windows Server 2016 ou posterior.
  • 2 núcleos, 4 GB de RAM e 80 GB de espaço em disco.

Você deve garantir que a data e a hora corretas estejam definidas. O ZTNA gateway é sincronizado com a hora do host e apresentará problemas se não estiver correto.

Nota

Você deve definir o fuso horário como UTC.

Gerenciamento de DNS

Você deve definir as configurações do seu servidor DNS. Consulte Adicionar configurações de DNS.

Serviço de diretório

Você precisa de um serviço de diretório para gerenciar os grupos de usuários que o ZTNA usará. Você pode usar o Microsoft Entra ID (Azure AD) ou o Active Directory. Consulte Configurar serviço de diretório.

Microsoft Entra ID (Azure AD)

Você precisa de uma conta do Microsoft Entra ID (Azure AD) com grupos de usuários configurados e sincronizados com o Sophos Central. Este guia mostra como configurar e sincronizar esses grupos. Consulte Sincronizar usuários no Sophos Central.

Seus grupos de usuários devem ser habilitados para segurança. Os grupos criados no Microsoft Entra ID (Azure AD) são automaticamente habilitados para segurança, mas os grupos criados a partir do portal Microsoft 365 ou importados do AD não são.

Você também pode usar o Microsoft Entra ID (Azure AD) como seu provedor de identidade. Consulte Configurar um provedor de identidade.

Active Directory

Você precisa de uma conta do Active Directory com grupos de usuários configurados e sincronizados com o Sophos Central. Consulte Configurar sincronização com o Active Directory na Ajuda ao Administrador no Sophos Central.

Você também pode usar o Active Directory como o seu provedor de identidade. Consulte Configurar um provedor de identidade.

Provedor de identidade

Você precisa de um provedor de identidade para autenticar os seus usuários. Você pode usar as seguintes soluções:

  • Microsoft Entra ID (Azure AD)
  • Okta
  • Ative Directory (no local)

Este guia mostra como configurá-los para usar com o ZTNA. Consulte Configurar um provedor de identidade.

Sites da Web Permitidos

Se o gateway estiver atrás de um firewall, você deve conceder acesso aos sites necessários (na porta 443, a menos que especificado de outra forma).

Nota

Isso se aplica somente aos gateways locais.

Os sites necessários são os seguintes:

  • sophos.jfrog.io
  • jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com
  • *.amazonaws.com
  • production.cloudflare.docker.com
  • *.docker.io
  • *.sophos.com
  • login.microsoftonline.com
  • graph.microsoft.com
  • ztna.apu.sophos.com (Porta 22)
  • sentry.io
  • *.okta.com (se você usar o Okta como provedor de identidade)
  • wsserver-<customer gateway FQDN>
  • FQDN do gateway ZTNA (o domínio que você definiu nas configurações do gateway ZTNA)

Exclusões

Suponha que a descriptografia SSL/TLS esteja habilitada em um firewall upstream. Nesse caso, você deve adicionar o FQDN externo do gateway ZTNA à lista de exclusão do firewall no seguinte formato: wsserver-<customer-gateway-fqdn>. Para obter informações, consulte Exceções.

Tipos de aplicativos compatíveis

O ZTNA pode controlar o acesso a aplicativos locais e baseados na Web. O controle de aplicativos locais requer o agente ZTNA.

O ZTNA não suporta aplicativos que dependem da alocação dinâmica de portas ou usam uma ampla variedade de portas, por exemplo, produtos VOIP mais antigos.

Para obter informações sobre como adicionar aplicativos e páginas da Web, consulte Adicionar recursos.

Agente Sophos ZTNA

Você pode instalar o agente ZTNA nos seguintes sistemas operacionais:

  • Windows 10.1803 ou posterior

  • macOS BigSur (macOS11) ou posterior

Para obter mais informações, consulte Instalar o agente ZTNA.