跳至內容

關於 Zero Trust Network Access

Sophos Zero Trust Network Access (ZTNA) 允許您控制對網路上資源(應用程式和網頁)的存取。

ZTNA 部署模式

您可以根據自己的需求,使用內部部署閘道或 Sophos Cloud 閘道部署 ZTNA。部署模式可以互換,您可以輕鬆從一個閘道模式移轉到另一個閘道模式。

內部部署閘道

部署內部部署閘道時,您需要在資料中心中設定閘道。

您要管理公開於公用網際網路的閘道,因此您也需要開啟防火牆連接埠,並建立 NAT 規則來管理您的網路。

以下是內部部署閘道模式的範例。

圖表:ZTNA 內部部署閘道模式。

Sophos Cloud 閘道

您可以使用受 Sophos 保護的新資料層雲端來提供對內部資源的存取。

多租用戶 Sophos Cloud 可將網路部署與直接的網際網路暴露隔離,並減少攻擊面。您可以輕鬆將使用者連接到應用程式,而無需打開防火牆連接埠及建立 NAT 規則。

當使用者嘗試存取資源時,他們會被導向至 Sophos Cloud。Sophos 管理 Sophos Cloud 內的資料層。您的基礎架構在網際網路上處於隱藏狀態。您可以在資料中心中設定閘道,以便將 Sophos Cloud 與內部資源連接。您可以從多個存在點中進行選擇,以提供對您內部資源的存取。選擇離您的資料中心最近的存在點以減少延遲。

以下是 Sophos Cloud 閘道部署模式的範例。

圖表:ZTNA Cloud 部署模式。

Sophos Cloud 部署模式的可用性為 99.999%,但在任何計劃或緊急維護視窗期間或由於 Sophos 合理控制範圍之外的因素導致的問題除外。要查看存在點的可用性並獲取有關即將進行的維護的通知,請移至 Sophos 狀態頁。請參閱 Sophos 狀態頁面

接入點如下:

  • 歐洲 (愛爾蘭) 地區
  • 歐洲 (法蘭克福) 地區
  • 美國東部 (俄亥俄州) 地區
  • 美國西部 (俄勒岡州) 地區
  • 亞太地區 (孟買) 地區
  • 亞太地區 (悉尼) 地區

在 ZTNA 2.1 及更新版本上,預設情況下會設定一個離您的主要接入點最近的次要接入點。在接入點之間有自動故障轉移,因此使用者可以在不中斷的情況下存取資源。範例:如果您將歐洲 (愛爾蘭) 地區設定為接入點,並且該地區由於中斷而停機,流量將透過歐洲 (法蘭克福) 地區重新路由,直到原始地區恢復正常。

您可以從設定頁面關閉此功能。請參見 Sophos Central:設定

如果網路存取點存在任何問題,您可以變更您的網路存取點,以確保對使用者的潛在影響最小。

要變更網路存取點,請執行以下操作:

  1. 登入 Sophos Central。
  2. 移至我的產品 > ZTNA > 閘道
  3. 按一下閘道名稱。
  4. 按一下 編輯
  5. 網路存取點下,選取地區。
  6. 按一下 儲存

新增閘道頁面 - 接入點選項。

部署資訊

要獲取有關內部部署閘道或 Sophos Cloud 閘道的資訊,請按一下下面的部署類型索引標籤。

Sophos ZTNA 由以下元件組成:

  • Sophos Central。使用此管理工具可設定和管理 ZTNA 內部部署閘道。

  • ZTNA 內部部署閘道。一種用於驗證使用者並授權他們存取應用程式的虛擬設備。

  • ZTNA 代理程式。安裝在您裝置上的代理程式。這可讓 ZTNA 控制本機應用程式(不只是 Web 應用程式)。

ZTNA 內部部署閘道目前可用於 VMware ESXi 和 Hyper-V。

關於設定

設定 ZTNA 的主要步驟如下:

  • 檢查需求
  • 檢查可用的網路部署(適用於 ESXi 閘道)。
  • 獲取憑證。
  • 設定一個目錄服務。目錄服務可管理您的使用者。
  • 同步使用者。此操作會將您的使用者匯入 Sophos Central。
  • 設定身分識別提供者 (IDP)。身分識別提供者可驗證使用者。
  • 設定閘道。閘道可控制對應用程式的存取。
  • 新增原則。這些原則會設定存取條件。
  • 新增您的 DNS 設定。
  • 安裝 ZTNA 代理程式。ZTNA 代理程式可控制對本機應用程式的存取。
  • 新增資源。資源可使應用程式可用,並可讓您指定哪些使用者可以存取這些應用程式。

本指南包括協力廠商產品的說明。我們建議您查看廠商的最新文件。

Sophos ZTNA 由以下元件組成:

  • Sophos Central。使用此管理工具可設定閘道。然後,閘道由 Sophos 管理。

  • ZTNA Sophos Cloud 閘道。受 Sophos 保護的資料層雲端閘道,提供對內部資源的存取。這包括 Sophos Cloud 和閘道。您必須在承載資源的資料中心中部署閘道。這些閘道會連接 Sophos Cloud 和資料中心中的資源。

    部署 Sophos Cloud 閘道時,您要設定閘道的存在點。要獲得最佳的延遲和連接性,請選擇離您託管資源的資料中心最近的存在點。

  • ZTNA 代理程式。安裝在您裝置上的代理程式。這可讓 ZTNA 控制本機應用程式(不只是 Web 應用程式)。

ZTNA Sophos Cloud Gateway 目前可用於 VMware ESXi 和 Hyper-V。

關於設定

設定 ZTNA 的主要步驟如下:

  • 檢查需求
  • 獲取憑證。
  • 設定一個目錄服務。目錄服務可管理您的使用者。
  • 同步使用者。此操作會將您的使用者匯入 Sophos Central。
  • 設定身分識別提供者 (IDP)。身分識別提供者可驗證使用者。
  • 設定 Sophos Cloud Gateway。閘道可控制對應用程式的存取。
  • 新增原則。這些原則會設定存取條件。
  • 新增您的 DNS 設定。
  • 安裝 ZTNA 代理程式。ZTNA 代理程式可控制對本機應用程式的存取。
  • 新增資源。資源可使應用程式可用,並可讓您指定哪些使用者可以存取這些應用程式。

本指南包括協力廠商產品的說明。我們建議您查看廠商的最新文件。