ZTNA gateway có thể được triển khai dưới dạng một cụm (cluster) gồm ba instances trở lên. Số lượng instances phải tăng theo số lẻ do kiến trúc Kubernetes của ZTNA. Hiện tại, số instances được hỗ trợ tối đa trong một cụm là chín.

Triển khai ZTNA như một cụm cung cấp khả năng dự phòng và có khả năng hỗ trợ số lượng người dùng cao hơn. Cụm có thể được sử dụng có hoặc không có bộ cân bằng tải bên ngoài. ZTNA có thể quản lý cân bằng tải của riêng nó, nhưng nếu bạn đã có bộ cân bằng tải trong cơ sở hạ tầng của mình, thì có thể sử dụng bộ cân bằng tải đó.

One-arm proxy deployment: Sử dụng WAN (external interface) cho cả lưu lượng đến và đi thông qua tường lửa. Cách triển khai này giảm thiểu những thay đổi đối với cơ sở hạ tầng của bạn.

Two-arm proxy deployment: sử dụng cả WAN và LAN (external and internal interface). Cách triển khai này yêu cầu thay đổi cơ sở hạ tầng nhưng cung cấp thông lượng và bảo mật tốt nhất.

2. Network Diagram

One-arm proxy deployment

Cụm sẽ có một địa chỉ IP ảo, được giữ bởi master instance. Master instance được xác định là có octet cuối cùng cao nhất trong địa chỉ IP của chúng.
Trong sơ đồ trên, không có bộ cân bằng tải bên ngoài, lưu lượng truy cập được DNAT thông qua tường lửa đến địa chỉ IP cụm ảo. Instance có IP cụm ảo sẽ cân bằng các kết nối đến với các instance cụm, sử dụng tính năng round-robin.
Instance xử lý yêu cầu sẽ sử dụng địa chỉ IP của chính nó và do đó sẽ nhận được phản hồi từ ứng dụng. Lưu lượng được gửi lại thông qua master instance cho người dùng với địa chỉ nguồn là IP cụm ảo.

Bạn có thể tham khảo việc triển khai ZTNA Gateway trên VMware Esxi qua bài biết sau: https://www.thegioifirewall.com/huong-dan-cau-hinh-trien-khai-sophos-ztna-tren-vmware-esxi/

3. Hướng dẫn

Bước 1: Add Instances.

Sau khi đã tạo ZTNA Gateway, bạn có thể chọn thêm các instances. Trên Sophos Central > Zero Trust Network Access > Gateways > Click chọn ZTNA1.

Click Add/Instances.

Trong Add/Instances:

Thay đổi trang thái Gateway Clustering sang ON.

Cluster virtual IP: điền ip 172.30.30.80. IP này được sử dụng để quản lý cụm và cân bằng tải. IP phải nằm trong cùng dải IP với các gateway instances.

Click Add another instances

Add thêm các Instances: Điền các VM name là ztna-gateway2 và ztna-gateway3 với ip là 172.30.30.82 và 172.30.30.83. Click Save.

Xuất hiện cảnh báo, click Save.

Bước 2: Download image và cài đặt Gateway Instances

Sau khi đã add các instances > click chọn Download image ở mỗi instances.

Các bước tiếp theo bạn có thể cài đặt theo hướng dẫn sau: https://www.thegioifirewall.com/huong-dan-cau-hinh-trien-khai-sophos-ztna-tren-vmware-esxi/

Các gateway instances đã cài đặt thành công.

Với ZTNA bạn có thể chọn quyền truy cập agentless hoặc agent cho một tài nguyên.

Agentless: Điều này chỉ có thể kiểm soát quyền truy cập vào các ứng dụng và trang web, không phải ứng dụng cục bộ. Và không thể kiểm tra tình trạng sức khỏe thiết bị.

Agent: Với quyền truy cập này có thể kiểm tra tình trạng của thiết bị và kiểm soát quyền truy cập vào tất cả các loại tài nguyên. Bạn phải cài đặt Agent Sophos Endpoint trên thiết bị của mình. Điều này ngăn chặn các thiết bị có khả năng bị nhiễm virut truy cập vào tài nguyên của bạn.

2. Network Diagram.

Khi một người dùng Agentless muốn kết nối với một tài nguyên, họ sẽ tra cứu FQDN của nó trong Public DNS. Phân giải thành địa chỉ IP của ZTNA Gateway. Gateway sẽ phân giải FQDN của ứng dụng bằng Internal DNS Server.

Người dùng đăng nhập vào FQDN của ZTNA Gateway để truy cập user portal.

3. Hướng dẫn cấu hình.

Bước 1: Add Resource.

Để thêm các tài nguyên (ứng dụng và trang web) mà người dùng sẽ truy cập thông qua gateway.

Trên Sophos Central > Zero Trust Network Access > Resources & Access và click Add Resource.

Trong Add Resource, điền các thông số sau:

Name: Điền tên tài nguyên. Ex: Intranet và click chọn Show resource in user portal.

Gateway: chọn gateway. Ex: ZTNA1

Access method: chọn Agentless để truy cập tài nguyên

Policy: chọn policy apply cho tài nguyên

Resource type: Ex: Web Application.

Điền External FQDN và Internal FQDN/IP address của tài nguyên.

Kéo xuống phần Assign User Groups, click chọn group bạn muốn truy cập đến tài nguyên trong bảng Available user groups (Ex: ZTNA_ALL), chuyển qua bảng Assigned user groups bằng icon “>“

Click Save.

Bước 2: Kiểm tra

Mở 1 trình duyệt trên máy tính, nhập địa chỉ ztna1.app.trainingdemo.xyz. Trang ZTNA Gateway Application sẽ xuất hiện và user là jsmith@trainingdemo.xyz

Click Intranet.

Bạn đã truy cập thành công tài nguyên

Bây giờ bạn sẽ logged in như local user. Nhập địa chỉ intranet.app.trainingdemo.xyz và nhấn Enter.

Bạn sẽ được yêu nhập user để xác thực.