ZTNA (Zero Trust Network Access)

最新推荐文章于 2023-11-02 14:00:00 发布

期待未来的男孩

最新推荐文章于 2023-11-02 14:00:00 发布

阅读量3.6k

点赞数

分类专栏：安全设备文章标签： sophos 安全

本文链接：https://blog.csdn.net/u012391293/article/details/124347076

版权

安全设备专栏收录该内容

34 篇文章 0 订阅

订阅专栏

ZTNA 文档 (sophos.com)
在这里插入图片描述

解决方案概述

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iNrU5a3H-1650612487824)(../../图片/typora/1650606333478.png)]

架构设计

在这里插入图片描述

单臂代理部署使用 WAN（外部接口）来处理通过防火墙的传入和传出流量。它可以最大限度地减少对基础结构的更改。
双臂代理部署同时使用 WAN 和 LAN（外部和内部接口）。这需要更改基础结构，但提供最佳的安全性和吞吐量。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bfkxBjTX-1650612487826)(../../图片/typora/1650606567770.png)]

前置条件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xsnM3lCP-1650612487826)(../../图片/typora/1650606776449.png)]

公共 DNS 服务器

您需要一个可以解析以下记录的公共（外部）DNS 服务器：

指向 ZTNA 网关的“A 记录”。
指向 ZTNA 网关的域名（FQDN）的应用程序的“CNAME 记录”。如果您使用 Sophos ZTNA 代理访问这些 CNAME 记录，则应用程序不需要这些 CNAME 记录。

EAP 仅支持单个域。因此，应用程序的域名必须与网关的域名匹配。

私有 DNS 服务器

ZTNA 网关必须指向专用（内部）DNS 服务器，以便在身份验证和授权后将用户重定向到应用程序。

或者，当您将应用程序添加到 Sophos Central 中的 ZTNA 时，可以直接配置应用程序的内部 FQDN/IP。

身份提供程序

您需要一个身份提供程序来对用户进行身份验证。您可以使用以下任一方法：

Azure AD
Okta

本指南告诉您如何配置它们以与 ZTNA 一起使用。

允许的网站

如果网关位于防火墙后面，则必须授予对这些所需网站的访问权限（在端口 443 上，除非另有说明）：

sophos.jfrog.io
*.amazonaws.com
production.cloudflare.docker.com
*.docker.io
*.sophos.com
login.microsoftonline.com
graph.microsoft.com
ztna.apu.sophos.com（端口 22）
sentry.io
*.okta.com（如果您使用 Okta 作为身份提供商）

支持的应用类型

ZTNA 可以控制对基于 Web 的应用程序和本地应用程序的访问。本地应用程序的控制需要 ZTNA 代理。

ZTNA 不支持依赖于动态端口分配或使用各种端口的应用，例如较旧的 VOIP 产品。

认证数据库

设置目录服务

您需要一个目录服务来管理您的用户组。

您可以使用Microsoft Azure AD或Active Directory。为了帮助您决定使用哪个，请考虑以下事项：

如果使用 Azure AD，还可以将其用作标识提供者。
如果您使用 Active Directory，则需要一个单独的身份提供程序，例如 Okta。

在我们的说明中，我们向您展示了如何设置Microsoft Azure AD。

若要使用 Azure AD 管理用户，需要创建 Azure AD 租户、注册 ZTNA 应用程序并设置用户组。

必须已具有 Azure AD 帐户。

安装网关

分两个阶段在 ESXi 上设置网关：

下载网关映像（OVA 文件）并将其部署在 ESXi 中。
在 Sophos Central 中添加网关设置以生成用于在 ESXi 中引导网关的 ISO 文件（“种子映像”）。

您可以设置网关群集以确保可用性。为此，请设置网关的其他实例，如此处所述。

下载并部署映像

在 Sophos Central 中，转到概述>保护设备。
查找零信任网络访问。
1. 单击网关映像的下载链接。
2. 接受许可协议和（如果出现提示）软件导出合规性表单。
3. 网关映像已下载。这是用于 ESXi 服务器的 ZTNA 网关的通用 OVA 映像。您可以根据需要多次重复使用它。
  3. 将 OVA 映像部署到 ESXi 主机。在 VMware vSphere 中，右键单击主机，然后选择部署 OVA 模板。这将运行一个助手来指导您完成部署。
警告

关闭自动开机选项（ESXi 上的默认选项）或阻止 ZTNA 网关在完成后启动。否则，网关将在没有 ISO 文件的情况下启动，您必须重新开始。

添加设置和启动网关
返回 Sophos Central，然后转到 ZTNA > Gateways。单击添加网关。
在**“添加网关”**中，执行以下操作：
1. 输入网关名称和网关 FQDN。
2. 输入资源（应用）的域。
3. 在**“平台类型”中**，选择“VMware ESXi”。
4. 选择部署模式。
  - 单臂使用外部接口处理传入和传出流量。
  - 双臂同时使用外部和内部接口。
5. 输入接口设置。
  - 如果选择 DHCP，请在 DHCP 服务器上设置预留。
    
    警告
    
    网关无法处理其 IP 地址中的更改。必须设置预留以确保它始终保留 DHCP 分配的初始 IP 地址。
  - 如果选择“静态 IP”，请指定 IP 地址、子网和 DNS 服务器设置。
  在双臂部署中，如果应用托管在多个内部网络上，则必须指定静态路由。
6. 上传您之前创建的证书。
7. 单击保存并生成文件。
注意

此版本仅支持单个通配符证书。
在**“网关**”页上，网关的状态为“正在等待部署”。

种子映像 ISO 已准备好下载。你将需要它来启动网关并完成注册过程。ISO 对于每个网关都是唯一的。您不能重复使用它。

注意

在下载映像之前，建议您创建网关集群。如果不需要群集，请跳到步骤 9。
单击新网关以打开其详细信息页面。单击添加/编辑实例。
在**“添加/编辑实例”中**，执行以下操作：
1. 单击添加其他实例。群集将自动打开。
2. 输入群集虚拟 IP。这用于群集管理和负载平衡。它必须与网关实例位于同一 IP 范围内。
在双臂部署中，外部群集 VIP 仅用于负载平衡。如果使用外部负载均衡器，请将其留空。
1. 输入新实例的 VM 名称和接口 IP。
在双臂部署中，输入内部和外部接口 IP。
1. 重复该过程以添加另一个实例。

一个集群必须至少有三个实例。您最多可以有九个实例，但必须始终具有奇数。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iKmAlhmI-1650612487829)(../../%E5%9B%BE%E7%89%87/typora/gateway-add-instances-3.png)]

下载每个 ISO 文件并将其挂载到主机上。然后将其附加到网关，如下所示：
1. 转到 VMware vSphere。
2. 右键单击网关 VM，然后选择**“编辑设置”**。
3. 在“硬件”选项卡上的 CD/DVD 驱动器中，确保显示 ISO 文件，然后选择“连接”。
4. 在**“状态”中**，选择“开机时连接”。
5. 点击保存。
如果虚拟硬件中列出了串行设备，则可以安全地将其删除。

当网关使用 ISO 文件启动时，它将联系 Sophos Central 进行注册。
回到索福斯中心。在**“网关**”页上，网关状态将更改为**“正在等待批准”**。

出现提示时，请批准网关注册。

批准最长可能需要十分钟才能生效。然后，网关状态将更改为**“已连接”**。如果需要，您将看到一个用于创建密码的选项。

注意

ISO 文件必须保持与网关的连接。在网关启动后，无法将其卸载。

安装代理

安装 ZTNA 代理

ZTNA 代理在您的设备上运行，并允许您执行以下操作：

控制对本地应用的访问。如果不使用代理，ZTNA 只能控制对基于 Web 的应用程序的访问。
设置策略，在允许访问之前检查设备的安全运行状况。

安装过程取决于您是现有客户（您已经拥有我们的端点保护）还是新客户。

新终端

如果您是新客户，则必须安装 Sophos 端点保护代理和 ZTNA 代理，如下所示：

转到概述>保护设备。
在**“终结点保护”**部分，单击“下载完整的 Windows 安装程序”。此安装程序将安装你获得许可的所有终结点产品。
在设备上运行安装程序。

有关不同类型的安装（包括脚本式安装）的帮助，请参阅端点保护部署方法
若要检查是否已安装代理，请转到**“概述****”>设备“**。“**保护”**和“ZTNA”列显示安装了代理的设备的勾选标记。
转到其中一个设备，然后双击任务栏中的 Sophos 图标。在**“状态”**页上，可以看到 ZTNA 已列出。

注意

安装 ZTNA 代理会更改默认的 TAP 适配器。如果您用于执行 DNS 查找，它现在默认使用 ZTNA TAP 适配器。查找不在 ZTNA 网关后面的应用将失败。您需要将正确的适配器添加到命令中。例如：nslookup``nslookup

nslookup <FQDN-to-be-resolved><DNS-Server>

用户如何访问应用

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7egvCnoH-1650612487831)(../../图片/typora/1650606850833.png)]

用户可以执行以下操作：

登录以访问应用。
通过 ZTNA 用户门户访问应用程序。
注销 ZTNA。

登录以访问应用

系统会要求首次尝试访问应用的新用户登录。

首次登录后，用户可以访问你授予他们访问权限的所有应用。他们不必每次都登录。

注意
如果用户在 7 天内未访问网关后面的任何应用，则必须重新登录。

通过 ZTNA 用户门户访问应用程序

用户可以通过零信任用户门户访问应用，该门户向他们显示可以使用的应用。

为用户提供门户的 Web 地址（这是添加网关时输入的 FQDN），并告诉他们在浏览器中输入该地址。

注意
目前，门户不显示通过 ZTNA 代理访问的应用。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7xDg4Agk-1650612487832)(../../图片/typora/ZTUserPortal.png)]

注销 ZTNA

用户将保持登录到 ZTNA，除非他们在 7 天内处于非活动状态。

您可能需要用户注销，例如，如果他们使用的是共享设备，或者存在可以通过重新身份验证来修复的问题。

目前，只有管理员才能将用户注销。

期待未来的男孩

关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
打赏
0
评论
ZTNA (Zero Trust Network Access)

ZTNA 文档 (sophos.com)解决方案概述架构设计单臂代理部署使用 WAN（外部接口）来处理通过防火墙的传入和传出流量。它可以最大限度地减少对基础结构的更改。双臂代理部署同时使用 WAN 和 LAN（外部和内部接口）。这需要更改基础结构，但提供最佳的安全性和吞吐量。前置条件公共 DNS 服务器您需要一个可以解析以下记录的公共（外部）DNS 服务器：指向 ZTNA 网关的“A 记录”。指向 ZTNA 网关的域名（FQDN）的应用程序的“CNAME 记录”。如
复制链接

扫一扫