跳至內容

關於 Zero Trust Network Access

Sophos Zero Trust Network Access (ZTNA) 允許您控制對網路上資源(應用程式和網頁)的存取。

ZTNA 部署模式

您可以根據自己的需求,使用內部部署閘道或 Sophos Cloud 閘道部署 ZTNA。部署模式可以互換,您可以輕鬆從一個閘道模式移轉到另一個閘道模式。

內部部署閘道

部署內部部署閘道時,您需要在資料中心中設定閘道。

您要管理公開於公用網際網路的閘道,因此您也需要開啟防火牆連接埠,並建立 NAT 規則來管理您的網路。

以下是內部部署閘道模式的範例。

圖表:ZTNA 內部部署閘道模式

Sophos Cloud 閘道

您可以使用受 Sophos 保護的新資料層雲端來提供對內部資源的存取。

多租用戶 Sophos Cloud 可將網路部署與直接的網際網路暴露隔離,並減少攻擊面。您可以輕鬆將使用者連接到應用程式,而無需打開防火牆連接埠及建立 NAT 規則。

當使用者嘗試存取資源時,他們會被導向至 Sophos Cloud。Sophos 管理 Sophos Cloud 內的資料層。您的基礎架構在網際網路上處於隱藏狀態。您可以在資料中心中設定閘道,以便將 Sophos Cloud 與內部資源連接。您可以從多個存在點中進行選擇,以提供對您內部資源的存取。選擇離您的資料中心最近的存在點以減少延遲。

以下是 Sophos Cloud 閘道部署模式的範例。

圖表:ZTNA Cloud 部署模式

注意

Sophos Cloud 部署模式的可用性為 99.999%,但在任何計劃或緊急維護視窗期間或由於 Sophos 合理控制範圍之外的因素導致的問題除外。要查看存在點的可用性並獲取有關即將進行的維護的通知,請移至 Sophos 狀態頁

部署資訊

要獲取有關內部部署閘道或 Sophos Cloud 閘道的資訊,請按一下下面的部署類型索引標籤。

Sophos ZTNA 由以下元件組成:

  • Sophos Central。使用此管理工具可設定和管理 ZTNA 內部部署閘道。

  • ZTNA 內部部署閘道。一種用於驗證使用者並授權他們存取應用程式的虛擬設備。

  • ZTNA 代理程式。安裝在您裝置上的代理程式。這可讓 ZTNA 控制本機應用程式(不只是 Web 應用程式)。

ZTNA 內部部署閘道目前可用於 VMware ESXi、Hyper-V 和 Amazon Web Services。

關於設定

設定 ZTNA 的主要步驟如下:

  • 檢查需求
  • 檢查可用的網路部署(適用於 ESXi 閘道)。
  • 獲取憑證。
  • 設定一個目錄服務。目錄服務可管理您的使用者。
  • 同步使用者。此操作會將您的使用者匯入 Sophos Central。
  • 設定身分識別提供者 (IDP)。身分識別提供者可驗證使用者。
  • 設定閘道。閘道可控制對應用程式的存取。
  • 新增原則。這些原則會設定存取條件。
  • 新增您的 DNS 設定。
  • 安裝 ZTNA 代理程式。ZTNA 代理程式可控制對本機應用程式的存取。
  • 新增資源。資源可使應用程式可用,並可讓您指定哪些使用者可以存取這些應用程式。

注意

本指南包括協力廠商產品的說明。我們建議您查看廠商的最新文件。

Sophos ZTNA 由以下元件組成:

  • Sophos Central。使用此管理工具可設定閘道。然後,閘道由 Sophos 管理。

  • ZTNA Sophos Cloud 閘道。受 Sophos 保護的資料層雲端閘道,提供對內部資源的存取。這包括 Sophos Cloud 和閘道。您必須在承載資源的資料中心中部署閘道。這些閘道會連接 Sophos Cloud 和資料中心中的資源。

    部署 Sophos Cloud 閘道時,您要設定閘道的存在點。要獲得最佳的延遲和連接性,請選擇離您託管資源的資料中心最近的存在點。

  • ZTNA 代理程式。安裝在您裝置上的代理程式。這可讓 ZTNA 控制本機應用程式(不只是 Web 應用程式)。

ZTNA Sophos Cloud Gateway 目前可用於 VMware ESXi、Hyper-V 和 Amazon Web Services。

關於設定

設定 ZTNA 的主要步驟如下:

  • 檢查需求
  • 獲取憑證。
  • 設定一個目錄服務。目錄服務可管理您的使用者。
  • 同步使用者。此操作會將您的使用者匯入 Sophos Central。
  • 設定身分識別提供者 (IDP)。身分識別提供者可驗證使用者。
  • 設定 Sophos Cloud Gateway。閘道可控制對應用程式的存取。
  • 新增原則。這些原則會設定存取條件。
  • 新增您的 DNS 設定。
  • 安裝 ZTNA 代理程式。ZTNA 代理程式可控制對本機應用程式的存取。
  • 新增資源。資源可使應用程式可用,並可讓您指定哪些使用者可以存取這些應用程式。

注意

本指南包括協力廠商產品的說明。我們建議您查看廠商的最新文件。