Pular para o conteúdo
Última atualização: 2022-09-23

Configurar um gateway

Agora, configure um gateway ZTNA que controlará o acesso aos recursos em sua rede.

As etapas diferem, dependendo se você deseja hospedar o gateway em um servidor ESXi, no Microsoft Hyper-V ou na Amazon Web Services.

Alerta

Não configure gateways para operar em sub-redes usadas para serviços internos. Se fizer isso, você pode ter problemas ao acessar aplicativos. As sub-redes são: 10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16.

Nota

Na Amazon Web Services, há custos adicionais de acordo com a sua configuração. Sua licença ZTNA não cobre esses custos.

Para obter instruções passo a passo, clique na guia do seu host abaixo.

Você configura um gateway no ESXi em dois estágios:

  • Baixe uma imagem do gateway (arquivo OVA) e implante-a no ESXi.

  • Adicione configurações de gateway ao Sophos Central para gerar um arquivo ISO ("imagem de semeadura") que você usa para inicializar o gateway no ESXi.

Você pode configurar um cluster de gateway para garantir a disponibilidade. Para isso, configure instâncias adicionais do gateway, conforme descrito aqui.

Nota

Certifique-se de que a data e a hora corretas estejam definidas no host ESXi. Você deve definir o fuso horário como UTC. O gateway ZTNA terá problemas se você não definir a hora corretamente. Consulte Requisitos.

Se você estiver usando um proxy two-arm, consulte Configuração de Rede.

Baixar e implantar imagem

  1. No Sophos Central, vá para Proteção de dispositivos.

  2. Localize Zero Trust Network Access.

    1. Clique no link de download de uma imagem de gateway.
    2. Aceite o contrato de licença e (se solicitado) os formulários de conformidade de exportação de software.
    3. A imagem do gateway é baixada. Esta é uma imagem OVA genérica do gateway ZTNA para servidores ESXi. Você pode reutilizá-la quantas vezes quiser.

    Captura de tela da página de downloads

  3. Implemente a imagem OVA em seu host ESXi. No VMware vSphere, clique com o botão direito do mouse no host e selecione Deploy OVA Template. Isso executa um assistente que o orienta pela implantação.

    Alerta

    Desative a opção para ligar automaticamente (o padrão no ESXi) ou impeça que o gateway ZTNA seja inicializado depois que você terminar. Caso contrário, o gateway será inicializado sem os arquivos ISO e você terá que iniciar novamente.

    Captura de tela da página de implantação no VMware vSphere

Adicionar configurações e inicializar o gateway

  1. Volte para o Sophos Central e vá para ZTNA > Gateways. Clique em Adicionar gateway.

    Captura de tela da página Gateways

  2. Em Adicionar gateway, faça o seguinte:

    1. Insira um nome de gateway e o FQDN do gateway.
    2. Insira o domínio dos recursos (aplicativos).
    3. Em Tipo de plataforma, selecione VMware ESXi.
    4. Selecione o Modo de implantação.

      • One-arm usa a interface externa para o tráfego de entrada e de saída.
      • Two-arm usa as interfaces externa e interna.
    5. Insira as configurações da Interface.

      • Se selecionar DHCP, defina uma reserva no servidor DHCP.

        Alerta

        O gateway não pode lidar com alterações em seu endereço IP. Você deve definir uma reserva para garantir que ele sempre mantenha o endereço IP inicial que o DHCP atribui.

      • Se você selecionar IP estático, especifique o endereço IP, a sub-rede e as configurações do servidor DNS.

      Em uma implantação two-arm, você deve especificar Rotas estáticas se tiver aplicativos hospedados em várias redes internas.

    6. Carregue os certificados que você criou anteriormente.

    7. Clique em Salvar e gerar arquivo.

    Nota

    Somente um único certificado curinga é suportado nesta versão.

    Captura de tela da caixa de diálogo Adicionar gateway

  3. Na página Gateways, o status do gateway é Aguardando implantação.

    O ISO da imagem de semeadura está pronto para download. Você precisará dele para inicializar o gateway e concluir o processo de registro. O ISO é exclusivo para cada gateway. Você não pode reutilizá-lo.

    Nota

    Antes de baixar a imagem, sugerimos que você crie um cluster de gateway. Se você não quiser um cluster, vá para a etapa 6.

    Captura de tela da página Gateways mostrando o status do gateway.

  4. Clique no seu novo gateway para abrir a página de detalhes. Clique em Adicionar/Editar instâncias.

    Página de detalhes do gateway

  5. Em Adicionar/Editar instâncias, faça o seguinte:

    1. Clique em Adicionar outra instância. O clustering é ativado automaticamente.
    2. Digite um IP virtual de cluster. Usado para gerenciamento de cluster e balanceamento de carga. Ele deve estar no mesmo intervalo de IP das instâncias do gateway.

      Em uma implantação two-arm, o VIP do cluster externo é apenas para balanceamento de carga. Se você usar um balanceador externo de carga, deixe isso em branco.

    3. Digite o Nome da VM e IP de interface para a nova instância.

      Em uma implantação two-arm, insira um IP de interface interna e externa.

    4. Repita o processo para adicionar outra instância.

    Você deve ter pelo menos três instâncias para um cluster. Você pode ter até nove instâncias, e sempre deve ter um número ímpar de instâncias.

    Caixa de diálogo Adicionar/Editar instâncias

  6. Baixe cada arquivo ISO e monte-o em seu host. Em seguida, conecte-o ao gateway, da seguinte forma:

    1. Vá para VMware vSphere.
    2. Clique com o botão direito do mouse na VM do gateway e selecione Edit Settings.
    3. Na guia Hardware, em CD/DVD drive, certifique-se de que o arquivo ISO aparece e selecione Connect.
    4. Em Status, selecione Connect at Power on.
    5. Clique em Salvar.

    Se um dispositivo serial estiver listado no hardware virtual, você poderá removê-lo com segurança.

    Quando o gateway inicializar com o arquivo ISO, ele entrará em contato com o Sophos Central para se registrar.

    Captura de tela da guia Virtual Hardware no VMware vSphere

  7. Volte para o Sophos Central. Na página Gateways, o status do gateway muda para Aguardando Aprovação.

    Quando solicitado, aprove o registro do gateway.

    Pode levar até dez minutos para a aprovação entrar em vigor. O status do gateway muda para Conectado. Você verá uma opção para criar uma senha, se desejar.

Nota

O arquivo ISO deve permanecer anexado ao gateway. Não é possível desmontá-lo após a inicialização do gateway.

Você acabou a configuração do gateway.

Nota

Se o gateway não puder se conectar ao Sophos Central, vá para o VMware vSphere e execute o diagnóstico na VM.

Quando uma nova versão de máquina virtual está disponível, uma marca de seleção verde é exibida na coluna de versão. Clique no número da versão para iniciar ou programar uma atualização. Veja as atualizações do Gateway em Gateways.

Para configurar um gateway no Microsoft Hyper-V, faça o seguinte:

  • Baixe e implante a imagem da VM do gateway.

  • Adicione configurações de gateway para gerar um arquivo ISO ("imagem de semeadura").

  • Baixe o arquivo ISO e inicialize o gateway.

Baixar e implantar imagem

  1. No Sophos Central, vá para Proteção de dispositivos.

  2. Em Zero Trust Network Access, clique em Download da imagem Gateway VM para Hyper-V.

    Um arquivo ZIP contendo a imagem da VM é baixado.

    Página Proteger dispositivos

  3. Extraia a imagem Hyper-V Base do arquivo ZIP que você baixou.

    Isso lhe dá o arquivo .vhdx necessário para configurar o gateway. Você não pode usar esse arquivo para implantar mais de uma VM, mas pode fazer cópias e usá-las para VMs adicionais.

  4. No Gerenciador do Hyper-V, na lista Máquinas virtuais, em Ações, clique em Novo.

    Gerenciador do Hyper-V

  5. Insira um nome para o VM.

    Página Especificar nome e local

  6. Selecione a geração. Geração 1 suporta sistemas operacionais de 32 e 64 bits.

    Página Especificar geração

  7. Em Atribuir memória, digite pelo menos 4096 MB de memória de inicialização.

    Página Atribuir memória

  8. Em Configurar rede, selecione um adaptador de rede.

    Página Configurar rede

  9. Em Conectar disco rígido virtual, selecione Usar um disco rígido virtual existente e navegue até o arquivo .vhdx que você extraiu do download da imagem da VM.

    Página Conectar disco rígido virtual

  10. Clique em Terminar.

    Preenchendo a página Nova VM

  11. Vá para Configurações da nova VM.

    1. Em Hardware > Processadores, defina Número de processadores virtuais como "2".

    2. Se o gateway estiver em uma implantação two-arm, vá para Adaptador de rede e adicione outro adaptador à VM.

    Configurações de VM

  12. Clique em Aplicar e Salvar.

Adicionar configurações de gateway

  1. Volte para o Sophos Central e vá para ZTNA > Gateways. Clique em Adicionar gateway.

    Página Gateways

  2. Em Adicionar gateway, faça o seguinte:

    1. Insira um nome de gateway e o FQDN do gateway.
    2. Insira o domínio dos recursos (aplicativos).
    3. Em Tipo de plataforma, selecione Hyper-V.
    4. Selecione o Modo de implantação.

      • One-arm usa a interface externa para o tráfego de entrada e de saída.
      • Two-arm usa as interfaces externa e interna.
    5. Insira as configurações da Interface.

      • Se selecionar DHCP, defina uma reserva no servidor DHCP.

        Alerta

        O gateway não pode lidar com alterações em seu endereço IP. Você deve definir uma reserva para garantir que ele sempre mantenha o endereço IP inicial que o DHCP atribui.

      • Se você selecionar IP estático, insira o endereço IP, a sub-rede e as configurações do servidor DNS.

      Em uma implantação two-arm, você deve especificar Rotas estáticas se tiver aplicativos hospedados em várias redes internas.

    6. Carregue os certificados que você criou anteriormente.

    7. Clique em Salvar e gerar arquivo.

    Nota

    Somente um único certificado curinga é suportado nesta versão.

    Caixa de diálogo Adicionar gateway

  3. Na página Gateways, o status do novo gateway é Aguardando implantação. Clique no gateway para ver detalhes.

  4. Nos detalhes do gateway, você pode ver que a imagem ISO está pronta para download. Você precisará dela para inicializar o gateway. O ISO é exclusivo para cada gateway. Você não pode reutilizá-lo.

    Antes de baixar a imagem, sugerimos que você crie um cluster de gateway. Se você não quiser um cluster, vá para a seção 'Baixar o arquivo ISO e inicializar o gateway'.

    Detalhes do novo gateway

  5. Nos detalhes do gateway, clique em Adicionar/Editar instâncias.

    Página de detalhes do gateway

  6. Em Adicionar/Editar instâncias, clique em Adicionar outra instância. O clustering é ativado automaticamente.

    Caixa de diálogo Adicionar/Editar instâncias

  7. Insira os detalhes da nova instância da seguinte forma:

    1. Digite um IP virtual de cluster. Usado para gerenciamento de cluster e balanceamento de carga. Ele deve estar no mesmo intervalo de IP das instâncias do gateway.

      Em uma implantação two-arm, o VIP do cluster externo é apenas para balanceamento de carga. Se você usar um balanceador externo de carga, deixe isso em branco.

    2. Digite o Nome da VM e IP de interface para a nova instância.

      Em uma implantação two-arm, insira um IP de interface interna e externa.

    3. Repita o processo para adicionar outra instância.

      Nota

      Você deve ter pelo menos três instâncias para um cluster. Você pode ter até nove instâncias, e sempre deve ter um número ímpar de instâncias.

    Detalhes da instância

Em seguida, baixe os arquivos ISO e inicialize o gateway.

Baixar o arquivo ISO e inicializar o gateway

Baixe o arquivo ISO para cada instância, anexe-o à VM do gateway e inicialize o gateway da seguinte forma:

  1. Nos detalhes do gateway, vá para cada instância e clique em Download da imagem.

    Instâncias de gateway com downloads

  2. No Gerenciador do Hyper-V, vá para Configurações da VM. Em Unidade de DVD, faça o seguinte:

    1. Em Controlador, selecione Controlador IDE 1.
    2. Em Mídia, selecione Arquivo de imagem e insira o caminho para o ISO de semeadura.
    3. Clique em Aplicar e Salvar.

    Nota

    O arquivo ISO deve permanecer anexado ao gateway. Não é possível desmontá-lo após a inicialização do gateway.

    Unidade de DVD da VM

  3. Ligue as instâncias do gateway. Aguarde alguns minutos.

  4. No Sophos Central, vá para ZTNA > Gateways e clique no novo gateway para abrir sua página de detalhes.

    O status do gateway muda para Aguardando aprovação do gateway. Clique em Aprovar.

    Status do gateway com o botão Aprovar

  5. O status do gateway muda para Ativo.

Você acabou a configuração do gateway.

Nota

Se o gateway não puder se conectar ao Sophos Central, vá para o Gerenciador do Hyper-V e execute o diagnóstico na VM.

Quando uma nova versão de máquina virtual está disponível, uma marca de seleção verde é exibida na coluna de versão. Clique no número da versão para iniciar ou programar uma atualização. Veja as atualizações do Gateway em Gateways.

Para configurar um gateway ZTNA no Amazon Web Services (AWS), faça o seguinte:

  1. No Sophos Central, vá para ZTNA > Gateways.

    Menu ZTNA

  2. Na página Gateways, clique em Adicionar gateway.

    Página Gateways

  3. Na caixa de diálogo Adicionar gateway, adicione os seus detalhes da seguinte forma:

    1. Digite o nome do gateway e o FQDN.
    2. Digite o domínio dos recursos (aplicativos).
    3. Em Tipo de plataforma, selecione Amazon Web Services.
    4. Em Provedor de identidade, selecione o provedor de identidade que você configurou anteriormente.
    5. Carregue os certificados que você criou anteriormente.
    6. Clique em Salvar.

    Adicionar gateway

  4. Na página Gateways, agora você verá o novo gateway. Clique no link Iniciar pilha ao lado dele.

    Gateway com o link Iniciar pilha

Criar uma pilha no AWS

No AWS, em CloudFormation, você vê o modelo Quick create stack. Nós já o configuramos parcialmente. Siga as etapas abaixo para concluir.

  1. Na página Quick create stack, faça o seguinte:

    1. Selecione uma região AWS (canto superior direito da tela).
    2. Em Stack name, digite um nome personalizado.

    Modelo da pilha

  2. Em Basic configuration, selecione duas ou três zonas de disponibilidade para garantir a disponibilidade do gateway.

    Configuração básica da pilha

  3. Em VPC network configuration, faça o seguinte:

    1. Defina o número de zonas de disponibilidade. Isso deve corresponder ao número de zonas selecionadas na etapa anterior.
    2. Certifique-se de que as sub-redes não entrem em conflito com os recursos existentes.
    3. Em MaxNumberOfNodes, defina o número máximo de nós. Por padrão, são três.
    4. Em NodeInstanceType, selecione o tipo de instância EC2 a ser usado.
    5. Em NumberOfNodes, defina o número de nós desejados. O padrão é um para cada zona de disponibilidade.

    O dimensionamento automático não está disponível no momento para ZTNA.

    Configuração da rede VPC

  4. Clique em Create slack e aguarde até que o processo seja concluído. Isso pode levar até uma hora. Quando terminar, sua nova pilha estará na lista de pilhas do AWS, e os detalhes serão parecidos com estes.

    Nova pilha ZTNA

  5. No Sophos Central, vá para o novo gateway. Clique em Aprovar.

    Pode levar até dez minutos para a aprovação entrar em vigor. O status do gateway muda para Conectado.

    Página de detalhes do gateway

Configurar o seu novo VPC

Configure o VPC da seguinte maneira:

  1. No AWS, vá para Virtual Private Cloud > Your VPCs.

    Menu VPCs do AWS

  2. Vá para o seu novo VPC e procure o ID do VPC. Você pode usar esse ID para pesquisar os outros componentes que criou.

    Detalhes do novo VPC

  3. Vá para suas instâncias do EC2 e pesquise instâncias com o ID do novo VPC. Isso localiza as instâncias que compõem o cluster do ZTNA gateway. Renomeie-as.

    Instâncias EC2

  4. Em Load balancing, use o ID do VPC para localizar o balanceador de carga para ZTNA. Abra seus detalhes e copie o nome em DNS name. Você precisa disso para criar um registro DNS público (CNAME) para o gateway, que aponta para o balanceador de carga.

    Balanceador de carga do AWS

Criar uma conexão por emparelhamento

Na versão ZTNA EAP2, o gateway está sempre em um novo VPC. Portanto, você deve usar o emparelhamento para conectá-lo ao VPC onde os seus aplicativos estão.

  1. Vá para VPC > Peering connections. Clique em Create peering connection e faça o seguinte:

    1. Em VPC ID (requester), selecione o ID do ZTNA gateway.
    2. Em VPC ID (Accepter), selecione o VPC onde estão os seus recursos.
    3. Clique em Create peering connection.

    Conexão por emparelhamento de VPC

  2. Vá para Subnets e adicione sua sub-rede de recursos e as sub-redes privadas do gateway às tabelas de rotas. Isso permite que o ZTNA use a conexão de emparelhamento para se conectar aos recursos.

    Página de sub-redes

Você acabou a configuração do gateway.

Quando uma nova versão de máquina virtual está disponível, uma marca de seleção verde é exibida na coluna de versão. Clique no número da versão para iniciar ou programar uma atualização. Veja as atualizações do Gateway em Gateways.

Em seguida, adicione políticas.