1 Mục đích
Policy trong ZTNA là những chính sách để quản lý người dùng truy cập vào dịch vụ trong hệ thống mạng của mình. Bằng cách giới hạn truy cập đối với những thiết bị có nguy cơ lây nhiễm cao và cho phép truy cập đối với những thiết bị an toàn, ta hạn chế được sự lây nhiễm virus trong hệ thống của mình.
Policy được cấu hình trên Sophos Central. Sau đó áp dụng lên ZTNA gateway để quản lý quyền truy cập đến các Resource của User.
2 Resource
Mục đích của ZTNA đó là bảo mật truy cập đến các ứng dụng, chúng ta có thể quản lý chúng ở mục Resources & Access
2.1 Web Application
Các Resource đó có thể là Web Application đây cũng là kiểu Resource duy nhất hỗ trợ cho Agentless Access. Agentless Web Application có thể hỗ trợ HTTP hoặc HTTPS
Tùy chọn Show resource in user portal để cho phép user mở ứng dụng trên trang portal khi kết nối đến ZTNA gateway.
2.2 Agent Access Resource Type
Agent Access có các Resource Type như Web Application, SSH, RDP.. Chúng ta có thể dùng để truy cập web nội bộ của tổ chức mà không cần public DNS của trang Web đó ra ngoài.
Agentless cũng có thể hỗ trợ truy cập đa port. Ví dụ trên sử dụng ứng dụng RDP với port type UDP và TCP, chọn Add another để thêm 1 port khác.
Resource type OTHER có thể chọn port type là TCP, UDP và ICMP
2.3 Exterenal và Internal FQDN
User ở bên ngoài truy cập vào ứng dụng bằng External FQDN, gateway sử dụng Internal FQDN hoặc IP address để truy cập đến ứng dụng từ bên trong
2.4 Cấu hình Resource
Resource có thể được gán cho 1 hoặc nhiều Group để cho phép truy cập. Ví dụ trên Resource sử dụng Okta Identity và được gán cho ZTNA ALL group
3 Policies
ZTNA bao gồm những policy dùng để quản lý truy cập đến các Resource dưa trên Health Status của thiết bị.
Có 2 loại Policy đo là Agent và Agentless. Ít nhất phải tạo 1 policy cho các kiểu Resource access dùng cho ZTNA.
3.1 Agentless Policy
Agentless policy bắt buộc phải tạo ra tuy nhiên không nhất thiết phải có rule nào gán đến nó. Policy cần được Enforced đế cho phép truy cập đến các Resource sử dụng Policy đó
3.2 Agent Policy
Mặc định Agent policy enable User condition to manage access. Điều kiện là dựa vào Health status của thiết bị đó. Ví dụ ở trên cho thấy Resource chỉ được phép truy cập nếu thiết bị muốn truy cập vào nó thỏa mãn Health status là Green.
Các tùy chọn khác với Health status:
- Green
- Green or yellow
- Green, yellow or red
3.3 Sophos Health
Agent sẽ cho biết endpoint Health status khi thiết bị kết nối đến Resource. Ví dụ trên thiết bị có Health status là Green nên được quyền truy cập đến Resource
Ở ví dụ này thì thiết bị có Health là Red, có thể kết nối đến gateway nhưng không được truy cập đến Resource