Requisitos

Antes de configurar o ZTNA, verifique se você atende a todos os requisitos a seguir.

Certificado curinga

Você precisa de um certificado curinga para o ZTNA gateway. Use um destes:

• Um certificado emitido usando Let's Encrypt.
• Um certificado emitido por uma autoridade de certificação confiável.

Este guia mostra como obter um certificado. Veja Obter um certificado.

Host de Gateway

Você pode hospedar o gateway ZTNA em um servidor ESXi ou Hyper-V, ou configurar um gateway Sophos Cloud. Veja Adicionar um gateway.

Sophos Firewall

Para integrar o seu Sophos Firewall com ZTNA, você deve atender aos seguintes requisitos:

• Seu firewall deve estar na versão 19.5 MR3 ou posterior.
• O firewall deve ser gerenciado pelo Sophos Central.

Você pode integrar o ZTNA a todos os tipos de firewalls: hardware, nuvem, virtual e software.

Servidor ESXi

Se você hospedar o gateway em um servidor ESXi, certifique-se de que a versão do hipervisor VMware vSphere (ESXi) seja 6.5 ou posterior.

Para obter um desempenho estável e confiável, certifique-se de que o sistema atenda às seguintes especificações mínimas:

• CPU: 2 núcleos

• Memória: 4 GB de RAM

• Armazenamento: 80 GB

  Nota

  Recomendamos o uso de SSDs para obter um desempenho de E/S de disco mais rápido e consistente.

Certifique-se de que a data e a hora corretas estejam definidas. O ZTNA gateway é sincronizado com a hora do host e apresentará problemas se não estiver correto.

Em seu host ESXi, vá para Manage > System > Time & date e clique em Edit settings para definir a hora.

Servidor Hyper-V.

Se você hospedar o gateway em um servidor Hyper-V, certifique-se de que o servidor Hyper-V esteja sendo executado no Windows Server 2016 ou posterior.

Para obter um desempenho estável e confiável, certifique-se de que o sistema atenda às seguintes especificações mínimas:

• CPU: 2 núcleos

• Memória: 4 GB de RAM

• Armazenamento: 80 GB

  Nota

  Recomendamos o uso de SSDs para obter um desempenho de E/S de disco mais rápido e consistente.

Certifique-se de que a data e a hora corretas estejam definidas. O ZTNA gateway é sincronizado com a hora do host e apresentará problemas se não estiver correto.

Gerenciamento de DNS

Você deve definir as configurações do seu servidor DNS. Veja Add your DNS settings.

Serviço de diretório

Você precisa de um serviço de diretório para gerenciar os grupos de usuários que o ZTNA usará. Você pode usar o Microsoft Entra ID (Azure AD) ou o Active Directory. Veja Configurar serviço de diretório.

Microsoft Entra ID (Azure AD)

Você precisa de uma conta do Microsoft Entra ID (Azure AD) com grupos de usuários configurados e sincronizados com o Sophos Central. Este guia mostra como configurar e sincronizar esses grupos. Veja Sincronizar usuários no Sophos Central.

Seus grupos de usuários devem ser habilitados para segurança. Os grupos criados no Microsoft Entra ID (Azure AD) são automaticamente habilitados para segurança, mas os grupos criados a partir do portal Microsoft 365 ou importados do AD não são.

Você também pode usar o Microsoft Entra ID (Azure AD) como seu provedor de identidade. Veja Configurar um provedor de identidade.

Active Directory

Você precisa de uma conta do Active Directory com grupos de usuários configurados e sincronizados com o Sophos Central. Consulte Configurar sincronização com o Active Directory na Ajuda ao Administrador no Sophos Central.

Você também pode usar o Active Directory como o seu provedor de identidade. Veja Configurar um provedor de identidade.

Provedor de identidade

Você precisa de um provedor de identidade para autenticar os seus usuários. Você pode usar as seguintes soluções:

• Microsoft Entra ID (Azure AD)
• Okta
• Ative Directory (no local)

Este guia mostra como configurá-los para usar com o ZTNA. Veja Configurar um provedor de identidade.

Sites da Web Permitidos

Se o gateway estiver atrás de um firewall, você deve conceder acesso aos sites necessários (na porta 443, a menos que especificado de outra forma). Na lista abaixo, *.domínio indica que são permitidos vários níveis de subdomínios.

Os sites necessários são os seguintes:

• sophos.jfrog.io
• jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com
• *.amazonaws.com
• production.cloudflare.docker.com
• *.docker.io
• *.sophos.com
• login.microsoftonline.com
• graph.microsoft.com
• ztna.apu.sophos.com (Porta 22)
• sentry.io
• *.okta.com (se você usar o Okta como provedor de identidade)
• wsserver-<customer gateway FQDN>
• FQDN do gateway ZTNA (o domínio que você definiu nas configurações do gateway ZTNA)

Exclusões

Suponha que a descriptografia SSL/TLS esteja habilitada em um firewall upstream. Nesse caso, você deve adicionar o FQDN externo do gateway ZTNA à lista de exclusão do firewall no seguinte formato: wsserver-<fqdn-do-gateway-do-cliente>. Para obter informações, consulte Exceções.

Tipos de aplicativos compatíveis

O ZTNA pode controlar o acesso a aplicativos locais e baseados na Web. O controle de aplicativos locais requer o agente ZTNA.

O ZTNA não suporta aplicativos que dependem da alocação dinâmica de portas ou usam uma ampla variedade de portas, por exemplo, produtos VOIP mais antigos.

Para obter informações sobre como adicionar aplicativos e páginas da web, consulte Adicionar recursos.

Agente Sophos ZTNA

Você pode instalar o agente ZTNA nos seguintes sistemas operacionais:

• Windows 10.1803 ou posterior

• macOS BigSur (macOS11) ou posterior

Para obter mais informações, consulte Instalar o agente ZTNA.