オフィスでエージェントレスおよびエージェントベースの ZTNA を使用する

オフィス内で、エージェントレス ZTNA または ZTNA エージェント使って、社内アプリケーションにアクセスできます。

オフィスでエージェントレス ZTNA を使用する

オフィス内のユーザーは通常、FQDN によって社内アプリケーションにアクセスするため、リクエストは内部の DNS サーバーに送信されます。

内部の DNS サーバーには社内アプリケーションのレコードがあるため、ユーザーは直接そのアプリケーションに移動します。そのため、ZTNA ゲートウェイを経由しません。

ユーザーに ZTNA を経由させるには、次の手順を実行します。

ネットワーク構成の例を以下に示します。次の例は、このネットワーク設定に基づいています。

ユーザーが ZTNA を確実に経由するようにする最も簡単な方法は、ユーザーのデバイスが常に外部の DNS サーバーの IP アドレスをポイントするように設定することです。

ユーザーが内部リソースにアクセスしたときの処理の流れは次のようになります。

ユーザーを内部の DNS サーバーの IP アドレスにポイントする場合は、DNS サーバーに次の DNS レコードがあることを確認してください。

社内アプリケーションの外部 FQDN を、ZTNA ゲートウェイの FQDN にポイントする CNAME レコード。help.ABC.com が ZTNA.ABC.com に解決されます。
アプリケーションの内部 FQDN と外部 FQDN が同じである場合は、内部 FQDN を変更し、Sophos Central のリソース設定を更新する必要があります。たとえば、内部 FQDN と外部 FQDN の両方が help.ABC.comの場合、内部 FQDN を help.in.ABC.comに変更します。リソースレコードの作成については、リソースの追加を参照してください。

ユーザーが内部リソースにアクセスしたときの処理の流れは次のようになります。

ユーザーはブラウザを通じて内部アプリケーション help.ABC.comにアクセスしようとします。
DNS 要求は内部 DNS サーバー DNS.ABC.comに送信されます。
内部 DNS サーバーは、アプリケーション help.ABC.comをZTNA ゲートウェイ ZTNA.ABC.comに解決します。
ZTNA ゲートウェイは、 2 番目の A レコードエントリ help.in.ABC.comを使用して、要求をアプリケーションに転送します。これにより、ループ (help.ABC.com から ZTNA.ABC.com へ、そして再び help.ABC.comへ) が防止されます。
ユーザーが ZTNA ゲートウェイに接続して、社内アプリケーションにアクセスできるようになります。

オフィス内のユーザーは通常、FQDN によって社内アプリケーションにアクセスするため、リクエストは内部の DNS サーバーに送信されます。

ただし、ユーザーのエンドポイントデバイスに ZTNA エージェントがインストールされている場合、ZTNA エージェントが DNS リクエストをインターセプトし、ZTNA ゲートウェイに送信します。

ユーザーがブラウザに IP アドレスを入力して内部リソースにアクセスしようとすると、ZTNA をバイパスして直接リソースにアクセスすることになります。ユーザーが FQDN によって内部リソースにアクセスするようにするには、ファイアウォールルールを追加します。

こちらは、Sophos Firewall で設定したファイアウォールルールの例です。

このルールは、ユーザーが任意のゾーンから ZTNA ゲートウェイにアクセスできるようにする一方で、他のアプリケーションサーバーへのアクセスを拒否しています。つまり、リソースをホストするアプリケーションサーバーにアクセスするには、ZTNA を経由する必要があります。

このルールは、ユーザーが IP アドレスを使ってリソースに直接アクセスしようとしたときに、エージェント利用またはエージェントレスの両方のケースに適用されます。