Služba pro zabezpečení cloudu funguje vytvořením zabezpečeného tunelu z jednoho Edge do lokality pro zabezpečení cloudových služeb. Tím se zajistí zabezpečený tok dat do služeb pro zabezpečení cloudu.
Procedura
- V podnikovém portálu klikněte na možnost Konfigurovat (Configure) > Síťové služby (Network Services).
- V sekci Služba pro zabezpečení cloudu (Cloud Security Service) klikněte na tlačítko Nový (New).
- V okně Nový poskytovatel zabezpečení cloudu (New Cloud Security Provider) zadejte podrobnosti pro konfiguraci nového poskytovatele zabezpečení cloudu.
Možnost Popis (Description) Název služby (Service Name) Zadejte popisný název pro službu zabezpečení cloudu. Typ služby (Service Type) Vyberte jednu z následujících možností: - Obecná služba pro zabezpečení cloudu (Generic Cloud Security Service)
- Služba pro zabezpečení cloudu Symantec (Symantec Web Security Service)
- Služba pro zabezpečení cloudu Zscaler (Zscaler Cloud Security Service)
Primární PoP/Server (Primary Point-of-Presence/Server) Zadejte IP adresu nebo název hostitele pro primární server. Sekundární PoP/Server (Secondary Point-of-Presence/Server) Zadejte IP adresu nebo název hostitele pro sekundární server. Tato akce není povinná. Pokud jste jako typ služby zvolili Službu pro zabezpečení cloudu Zscaler (Zscaler Cloud Security Service), můžete pro určení a monitorování stavu serveru Zscaler nakonfigurovat další nastavení, jako jsou parametry Zscaler Cloud a Kontrola stavu vrstvy 7 (L7). Můžete také zvolit ruční zavádění a automatické zavádění tak, že zaškrtnete políčko Automatizovat nasazení cloudové služby (Automate Cloud Service Deployment).Poznámka: Je podporována pouze automatizace IPsec ze služby Edge na Zscaler. Automatizace GRE z Edge na Zscaler není aktuálně podporována ve verzi 4.3, ale bude dostupná v budoucích verzích.Poznámka: Pokud jste v ručním nasazování jako typ služby zvolili Zscaler Cloud Security Service a chystáte se přiřadit tunel GRE, doporučujeme pro primární a sekundární server zadat pouze adresu IP, a nikoli název hostitele, protože GRE používání názvů hostitelů nepodporuje. - Pokud se rozhodnete automatizovat nasazení cloudové služby, nakonfigurujte další následující údaje:
Poznámka: Funkce Kontrola stavu L7 (L7 Health Check) testuje dosažitelnost HTTP na backendový server Zscaler. Po aktivaci funkce Kontrola stavu L7 (L7 Health Check) jsou ze zařízení Edge odeslány sondy HTTP L7 do cíle Zscaler (Příklad: http://<zscaler cloud>/vpntest), což je backendový server Zscaler pro kontrolu stavu HTTP. Tato metoda je vylepšením za použití protokolu keep-alive na úrovni sítě (GRE nebo IPsec), protože tato metoda testuje pouze dosažitelnost sítě na frontendu serveru Zscaler.
Pokud po 3 po sobě jdoucích opakováních nebude přijata odpověď L7 nebo dojde k chybě s HTTP, primární tunel bude označen jako „mimo provoz“ a zařízení Edge se pokusí přepnout provoz Zscaler na tunel v pohotovostním režimu (pokud je k dispozici). Pokud zařízení Edge úspěšně převezme služby při selhání pro přenášení dat Zscaler do tunelu v pohotovostním režimu, stane se zařízení v pohotovostním režimu novým primárním tunelem.
V nepravděpodobném případě, že kontrola stavu L7 označí primární i pohotovostní tunely jako „mimo provoz“, zařízení Edge směruje provoz Zscaler za použití zásad podmíněného páteřního připojení (pokud byly tyto zásady nakonfigurovány).
Zařízení Edge odesílá pouze sondy L7 přes primární tunelové propojení směrem k primárnímu serveru, nikdy přes tunel v pohotovostním režimu.
Možnost Popis Zscaler Cloud (Zscaler Cloud) Z rozevírací nabídky zvolte cloudovou službu Zscaler nebo do textového pole zadejte název cloudové služby Zscaler.. Uživatelské jméno administrátora partnerského serveru (Partner Admin Username) Zadejte zřízené uživatelské jméno administrátora partnera. Heslo administrátora partnerského serveru (Partner Admin Password) Zadejte zřízené heslo administrátora partnera. Klíč partnerského serveru (Partner Key) Zadejte zřízený klíč partnerského serveru. Doména (Domain) Zadejte název domény, na kterou bude cloudová služba nasazena. Kontrola stavu L7 (L7 Health Check) Zaškrtnutím políčka povolíte kontrolu stavu L7 u poskytovatele Služby pro zabezpečení cloudu Zscaler (Zscaler Cloud Security Service) s detaily o výchozí sondě (interval sondy HTTP = 5 sekund, počet opakovaných pokusů = 3, mezní hodnota RTT = 3 000 milisekund). Ve výchozím nastavení je kontrola stavu L7 deaktivována. Poznámka: Konfigurace detailů sondy kontroly stavu není podporována.Interval sondy HTTP (HTTP Probe Interval) Doba trvání intervalu mezi individuálními sondami HTTP. Výchozí interval sondy je 5 sekund. Počet opakovaných pokusů (Number of Retries) Určuje počet povolených opakování sondy před označením cloudové služby jako MIMO PROVOZ. Výchozí hodnota je 3. Mezní hodnota RTT (RTT Threshold) Mezní hodnota doby cesty tam a zpět (RTT) vyjádřená v milisekundách, používaná k výpočtu stavu cloudové služby. Cloudová služba je označena jako MIMO PROVOZ, pokud je měřená RTT nad nakonfigurovanou mezní hodnotou. Výchozí hodnota je 3000 milisekund. Přihlašovací adresa URL do Zscaler (Zscaler Login URL) Zadejte přihlašovací adresu URL a poté klikněte na Přihlášení do Zscaler (Login do Zscaler). Tato možnost vás přesměruje na portál správce Zscaler ve vybraném cloudu Zscaler. Poznámka: Tlačítko Přihlášení do Zscaler (Login do Zscaler) bude aktivováno, pokud jste zadali přihlašovací adresu URL do Zscaler.Poznámka: U daného zařízení Edge/profilu uživatel nemůže přepsat parametry kontroly stavu L7 nakonfigurované v síťové službě. - Klikněte na možnost Přidat (Add).
- Opakujte výše uvedené kroky a nakonfigurujte další služby pro zabezpečení cloudu.
Poznámka: Další informace o automatizaci CSS Zscaler najdete v Průvodci nasazením Zscaler a VMware SD-WAN.Poznámka: Konkrétní detaily o tom, jak služba Zscaler určuje virtuální IP adresy nejlepšího datového centra (VIPs) pro použití pro zřízení tunelů VPN IPsec, naleznete v části Integrace rozhraní API SD-WAN pro zřízení tunelu VPN IPSec.
Výsledek
Jak pokračovat dále
- Přiřaďte službu pro zabezpečení cloudu k profilu. Viz téma Konfigurace služeb pro zabezpečení cloudu pro profily.