Sophos ZTNA Einrichtung: Anleitung für Admins und User

In den Kategorien: Anleitungen Rss feed , Sophos Central Rss feed Sophos ZTNA Einrichtung: Anleitung für Admins und User

Für mehr Netzwerksicherheit: ZTNA in Sophos Central einrichten

Sophos ZTNA wird zentral über Sophos Central verwaltet und bietet ein modernes Zero-Trust-Konzept für den sicheren Zugriff auf interne Anwendungen. Im Gegensatz zu klassischen VPN-Lösungen überprüft ZTNA kontinuierlich Benutzer- und Gerätezustände und gewährt nur dann Zugriff, wenn alle Sicherheitsanforderungen erfüllt sind. Diese Anleitung beschreibt zunächst die Einrichtung auf Admin-Seite und anschließend die notwendigen Schritte für Endanwender.

Sophos ZTNA: Die technischen Voraussetzungen

  • Sophos Central Account: Ein aktives Konto ist zwingend erforderlich. Für Tests kann ein 30-Tage-Testaccount genutzt werden.
  • Directory Sync: Für ZTNA wird ein Cloud-Directory benötigt, z. B. Azure Active Directory oder Okta. Ein klassisches On-Premises Active Directory wird nicht unterstützt.
  • VM-Umgebung: Eine Infrastruktur wie VMware ESXi, Microsoft Hyper-V, AWS oder Azure wird benötigt, um das ZTNA-Gateway zu betreiben.
  • Feste IP-Adresse: Das Gateway muss über eine statische öffentliche IP-Adresse erreichbar sein.
  • Wildcard-Zertifikat: Für ZTNA ist ein gültiges SSL-Wildcard-Zertifikat notwendig. Ein kürzlich erfolgtes Update ermöglicht die Nutzung von Let's Encrypt Zertifikaten mit Sophos ZTNA, welche sich automatisch 30 Tage vor Ablauf erneuern.

Sophos ZTNA: Einrichtung durch Administratoren

Schritt 1: ZTNA aktivieren

  1. In Sophos Central einloggen.
  2. Im Hauptmenü zu ZTNA navigieren und das Feature aktivieren.
  3. Lizenzen und Zuweisungen für Benutzer und Geräte prüfen.

Dashboard von Sophos ZTNA mit Gateway-, IDP- und Policy-Settings

Schritt 2: Verzeichnisdienst hinzufügen

Um Benutzer und Gruppen für ZTNA zu synchronisieren, muss ein Cloud-Verzeichnisdienst eingebunden werden:

  1. In Sophos Central unter Directory Service den Einrichtungsassistenten starten.
  2. Azure AD oder Okta auswählen.
  3. Die Verbindung mit den notwendigen API-Rechten und Zugangsdaten herstellen.
  4. Synchronisation testen, um sicherzustellen, dass alle relevanten Benutzergruppen übernommen wurden.

Schritt 3: Identitätsanbieter einrichten

ZTNA benötigt einen Identity Provider (IdP) für die Authentifizierung:

  1. In Sophos Central unter ZTNA > Identity Provider einen neuen Provider hinzufügen.
  2. Für Azure AD: Client ID, Tenant ID und Client Secret eintragen.
  3. Den Testzugang über den integrierten Authentifizierungstest prüfen.

Schritt 4: Gateway/Connector bereitstellen

Das ZTNA-Gateway ist die zentrale Komponente für den Zugriff auf interne Ressourcen:

  1. In Sophos Central auf ZTNA > Gateways klicken und Neues Gateway hinzufügen.
  2. Gateway-Typ (VMware, Hyper-V, AWS oder Azure) wählen und das entsprechende Image herunterladen.
  3. Die VM starten und registrieren, anschließend den Online-Status in Sophos Central prüfen.

Schritt 5: Richtlinie definieren

Die Richtlinien steuern, welche Benutzer auf welche Ressourcen zugreifen dürfen:

  1. Unter ZTNA > Policies eine neue Richtlinie erstellen.
  2. Benutzergruppen und Anwendungen zuordnen.
  3. Zugriffsrechte festlegen (z. B. rollenbasierter Zugriff).
  4. Richtlinie speichern und bereitstellen.

Schritt 6: Ressourcen hinzufügen

Im letzten Schritt werden die zu schützenden Ressourcen hinterlegt:

  1. Unter ZTNA > Resources eine neue Ressource hinzufügen.
  2. Name, URL/IP-Adresse und den passenden Gateway-Connector angeben.
  3. Ressource der zuvor erstellten Richtlinie zuordnen.

Schritt 7: ZTNA-Agent bereitstellen

  1. ZTNA-Agent (Windows oder macOS) unter Endpoint > Agenten herunterladen.
  2. Installationsdateien und Anmeldedaten an Endanwender verteilen.

Sophos ZTNA: Einrichtung auf Windows & Mac

Schritt 1: Installation des ZTNA-Agents

  1. Installationsdatei (Windows: .msi, Mac: .pkg) starten.
  2. Den Installationsanweisungen folgen und Setup abschließen.
  3. Den ZTNA-Agent starten (Taskleiste oder Menüleiste).

Schritt 2: Anmeldung und Verbindung

  1. Im Agent die bereitgestellten ZTNA-Zugangsdaten eingeben.
  2. Verbindung aufbauen und Zugriff auf die freigegebenen Anwendungen prüfen.
  3. Optional: Automatische Verbindung in den Einstellungen aktivieren.

FAQ & Troubleshooting

Was tun, wenn der ZTNA Agent offline bleibt?

Prüfen, ob der ZTNA Agent korrekt installiert ist, das Gateway online ist und keine Firewall-Regeln die Verbindung blockieren. Gegebenenfalls den Agent neu starten.

Warum wird der ZTNA Zugriff verweigert?

Möglicherweise fehlen Berechtigungen oder Richtlinienzuweisungen. Der Administrator sollte die ZTNA-Policy überprüfen und sicherstellen, dass der Benutzer der richtigen Gruppe zugeordnet ist.

Was tun bei Fehlern mit dem Zertifikat?

Überprüfen, ob das Wildcard-Zertifikat gültig und korrekt auf dem Gateway installiert ist. Wenn ja, ggf. erneut installieren.

Warum ist das Gateway offline?

Stellen Sie sicher, dass die VM läuft, die öffentliche IP erreichbar ist und alle erforderlichen Ports (HTTPS/443) offen sind. Bei anhaltenden Problemen Gateway-Logs in Sophos Central prüfen.

Probleme mit Directory-Sync – was nun?

Vergewissern Sie sich, dass die API-Berechtigungen in Azure AD oder Okta korrekt gesetzt sind. Eine erneute Verbindung und vollständige Synchronisation kann das Problem lösen.

ZTNA-Agent lässt sich nicht installieren?

Prüfen, ob alle Systemanforderungen (Windows 10+, macOS 10.15+) erfüllt sind. Eventuell blockiert ein lokaler Endpoint-Schutz die Installation. Ein temporäres Deaktivieren kann helfen.

Verwandte Beiträge

Unsere Experten beraten Sie gerne

Sie haben Fragen, benötigen Informationen oder wünschen eine individuelle Produktvorstellung? Unser Team freut sich auf Ihre Anfrage!

×