Impostazioni
È possibile visualizzare e modificare le impostazioni di Zero Trust Network Access (ZTNA).
Aprire ZTNA > Impostazioni.
Supporto tecnico Sophos per istanza del gateway
È possibile fornire al Supporto tecnico Sophos un token che consente ai nostri esperti di accedere all'istanza del gateway a scopo di risoluzione dei problemi. Qui è possibile impostare l'ora di scadenza dei token.
Per fornire a Sophos l'accesso a un gateway, è necessario selezionare Gateway > Dettagli gateway e generare un token di supporto.
Dopo aver modificato le impostazioni, occorre cliccare su Salva.
Tempo minimo al termine del quale lo stato di integrità di un dispositivo attiva una regola
È possibile modificare il tempo minimo al termine del quale lo stato di integrità di un dispositivo attiva una regola in un criterio di accesso. Questa opzione impedisce a ZTNA di attivarsi troppo rapidamente in caso di un problema temporaneo.
Dopo aver modificato le impostazioni, occorre cliccare su Salva.
Timeout di inattività per il tunnel dell’agente
È ora possibile impostare un timeout di inattività per il tunnel tra l’agente ZTNA e il gateway ZTNA. Se non viene rilevata alcuna attività per un determinato periodo di tempo, il tunnel si chiuderà automaticamente.
Selezionare una delle seguenti opzioni:
- 5 minuti
- 15 minuti
- 30 minuti
- 1 ora
Il valore predefinito è 5 minuti.
Quando il traffico riprende, il tunnel verrà ristabilito.
Domini e certificati
Cliccare su Domini e certificati per generare gratuitamente un certificato Let’s Encrypt e aggiungere i propri domini. Vedere Come ottenere un certificato.
Point of Presence
Su ZTNA 2.1 e versioni successive, viene configurato per impostazione predefinita un Point of Presence secondario, più vicino al Point of Presence principale. Tra i Point of Presence c’è failover automatico, così gli utenti possono accedere alle risorse senza interruzioni.
Se si utilizza Sophos Firewall per il proprio Sophos Cloud Gateway, occorre avere SFOS 20 MR2 o versione successiva per utilizzare questa funzionalità.
Se si desidera disattivare il Point of Presence secondario, procedere come segue:
- Accedere a Sophos Central.
- Aprire Prodotti > ZTNA > Impostazioni.
- In Point of Presence, disattivare l’opzione dei Point of Presence secondari.
- Andare all’inizio della pagina e cliccare su Salva.
Non intercettare il traffico on-premise
Al momento, questa opzione è disponibile solamente per l’agente ZTNA per Windows. Il supporto per macOS sarà presto disponibile.
Si supponga che l’agente ZTNA sia connesso a un ufficio o a una rete attendibile e che anche le risorse ZTNA configurate si trovino sulla stessa rete. In tal caso, il traffico viene instradato attraverso l’interfaccia WAN del gateway ZTNA o Sophos Cloud. Sebbene questo mantenga un’esperienza utente e un profilo di sicurezza uniformi, l’hairpinning potrebbe introdurre latenza, soprattutto per applicazioni come Common Internet File System (CIFS) e Remote Desktop Protocol (RDP).
Se si desidera assicurarsi che le risorse siano accessibili tramite la LAN e non attraverso il gateway ZTNA, attivare questa funzionalità procedendo come segue:
- Accedere a Sophos Central.
- Aprire Prodotti > ZTNA > Impostazioni.
-
In Non intercettare il traffico on-premise, attivare la funzionalità.
Nota
Se si attiva questa funzionalità, occorre assicurarsi che le risorse siano raggiungibili attraverso la LAN.
-
Aggiungere l’FQDN e l’indirizzo IP della rete.
Questo permetterà all’agente ZTNA di controllare la rete.
Nota
Devi aggiungere gli stessi dettagli al tuo server DNS on-premise. Se il server DNS è in grado di risolvere l’FQDN, l’agente ZTNA saprà che la rete è on-premise e non invierà traffico da questa rete al gateway ZTNA.
-
Andare all’inizio della pagina e cliccare su Salva.
-
Scaricare il pacchetto software speciale. Vedere Speciale. Il token da inserire è
e047cf82-a1b3-532f-8ff5-b18a79489a04
.Nella sezione Pacchetti software verrà visualizzato il seguente pacchetto:
FTS 2025.1.2.20.2-ZTNA-SPECIAL-61157
. -
Aprire Prodotti > Endpoint > Criteri.
- In Gestione aggiornamenti, cliccare sul criterio al quale si desidera applicare il pacchetto software, e successivamente su Impostazioni.
- In Seleziona un pacchetto software, selezionare il pacchetto
FTS 2025.1.2.20.2-ZTNA-SPECIAL-61157
e successivamente cliccare su Salva. - Gli endpoint si aggiorneranno automaticamente se è stata impostata una pianificazione. È anche possibile aggiornare gli endpoint manualmente.
L’agente ZTNA controlla la rete ogni volta che cambia l’interfaccia di rete sul dispositivo endpoint.
Pool di connessioni per le risorse
Il pool di connessioni per le risorse basate su NTLM è attivato per impostazione predefinita sul gateway ZTNA. Disattivare questa opzione se sono presenti risorse senza agente che utilizzano protocolli di autenticazione NTLM o simili.