사무실에서 에이전트 없는 ZTNA 및 에이전트 기반 ZTNA 사용

사무실에서 에이전트 없는 액세스 또는 ZTNA 에이전트를 사용하여 ZTNA를 통해 내부 응용 프로그램에 액세스할 수 있습니다.

사무실에서 에이전트 없는 ZTNA 사용

사무실의 사용자는 일반적으로 FQDN을 통해 내부 응용 프로그램에 액세스하므로 요청이 내부 DNS 서버로 전송됩니다.

내부 DNS 서버에는 내부 응용 프로그램에 대한 A 기록이 있어 사용자가 응용 프로그램으로 직접 이동하므로 사용자가 ZTNA 게이트웨이를 통하지 않습니다.

다음과 같은 방법으로 ZTNA를 통해 사용자를 보낼 수 있습니다.

다음은 네트워크 다이어그램의 예입니다. 다음 예는 이 네트워크 설정을 기반으로 합니다.

사용자가 ZTNA를 통하도록 하는 가장 간단한 방법은 사용자의 장치가 항상 외부 DNS 서버의 IP 주소에 지정되도록 구성하는 것입니다.

사용자가 내부 리소스에 액세스하려고 하면 다음과 같은 상황이 발생합니다.

사용자를 내부 DNS 서버의 IP 주소에 지정하려면 DNS 서버에 다음 DNS 기록이 있는지 확인해야 합니다.

내부 응용 프로그램의 외부 FQDN을 ZTNA 게이트웨이의 FQDN에 지정하는 CNAME 기록. 예시:help.ABC.com은ZTNA으로 해석됩니다.
응용 프로그램의 내외부 FQDN이 동일한 경우 내부 FQDN을 변경하고 Sophos Central의 리소스 설정에서 업데이트해야 합니다. 예를 들어 내부 및 외부 FQDN이 모두help.ABC.com인 경우 내부 FQDN을help.in.ABC.com으로 변경하십시오. 리소스 레코드 생성에 대한 자세한 내용은 리소스 추가을 참조하세요.

사용자가 내부 리소스에 액세스하려고 하면 다음과 같은 상황이 발생합니다.

사용자가 브라우저를 통해 내부 애플리케이션인help.ABC.com에 접속하려고 시도합니다.
DNS 요청은 내부 DNS 서버인DNS.ABC.com으로 전송됩니다.
내부 DNS 서버는help.ABC.com애플리케이션을 ZTNA 게이트웨이 인ZTNA으로 해석합니다.
ZTNA 게이트웨이 두 번째 A 레코드 항목인help.in.ABC.com을 사용하여 요청을 애플리케이션으로 전달합니다. 이렇게 하면 루프(help.ABC.com에서ZTNA으로 이동한 다음 다시help.ABC.com으로 돌아가는 현상)가 발생하는 것을 방지할 수 있습니다.
사용자는 ZTNA 게이트웨이에 연결하여 내부 응용 프로그램에 액세스할 수 있습니다.

사무실의 사용자는 일반적으로 FQDN을 통해 내부 응용 프로그램에 액세스하므로 요청이 내부 DNS 서버로 전송됩니다.

그러나 사용자가 ZTNA 에이전트를 엔드포인트 장치에 설치한 경우 ZTNA 에이전트는 DNS 요청을 가로채서 ZTNA 게이트웨이로 보냅니다.

사용자가 브라우저에 IP 주소를 입력하여 내부 리소스에 액세스하려고 하면 사용자는 ZTNA를 우회하여 해당 리소스로 직접 이동합니다. 사용자가 FQDN을 통해 내부 리소스에 액세스할 수 있도록 방화벽 규칙을 추가할 수 있습니다.

다음은 Sophos Firewall에 구성된 방화벽 규칙의 예입니다.

이 규칙은 사용자가 모든 영역에서 ZTNA 게이트웨이에 액세스할 수 있도록 허용하고 다른 응용 프로그램 서버에 대한 액세스를 거부합니다. 즉, 리소스를 호스팅하는 응용 프로그램 서버에 액세스하려면 ZTNA를 거쳐야 합니다.

이 규칙은 사용자가 IP 주소를 사용하여 리소스에 직접 액세스하려고 할 때 에이전트가 있는 경우와 에이전트 없는 경우에 적용됩니다.