Služba pro zabezpečení cloudu funguje vytvořením zabezpečeného tunelu z jednoho Edge do lokality pro zabezpečení cloudových služeb. Tím se zajistí zabezpečený tok dat do služeb pro zabezpečení cloudu.

Chcete-li konfigurovat službu pro zabezpečení cloudu, proveďte následující kroky.

Procedura

  1. V podnikovém portálu klikněte na možnost Konfigurovat (Configure) > Síťové služby (Network Services).
  2. V sekci Služba pro zabezpečení cloudu (Cloud Security Service) klikněte na tlačítko Nový (New).
  3. V okně Nový poskytovatel zabezpečení cloudu (New Cloud Security Provider) vyberte typ služby z rozevírací nabídky.
    1. Pokud jste jako službu pro zabezpečení cloudu zvolili typ „Obecná“ (Generic) nebo „Web Symantec“ (Symantec Web), nakonfigurujte následující požadované údaje a klikněte na možnost Přidat (Add).
      Možnost Popis
      Název služby (Service Name) Zadejte popisný název pro službu zabezpečení cloudu.
      Primární PoP/Server (Primary Point-of-Presence/Server) Zadejte IP adresu nebo název hostitele pro primární server.
      Sekundární PoP/Server (Secondary Point-of-Presence/Server) Zadejte IP adresu nebo název hostitele pro sekundární server. Tato akce není povinná.
    2. Pokud jste jako službu pro zabezpečení cloudu zvolili typ Zscaler (Zscaler Cloud Security Service), můžete pomocí pole Automatizovat nasazení cloudové služby (Automate Cloud Service Deployment) volit mezi ručním a automatickým zaváděním. Pro určení a monitorování stavu serveru Zscaler můžete také nakonfigurovat další nastavení, jako jsou parametry Zscaler Cloud a detaily kontroly stavu vrstvy 7 (L7).
    Konfigurace automatických tunelů ze zařízení SD-WAN Edge do Zscaler (Configure Automatic Tunnels from SD-WAN Edge to Zscaler)
    Tato část popisuje, jak automaticky vytvořit tunel GRE nebo IPsec ze zařízení SD-WAN Edge do poskytovatele služby Zscaler.
    1. V okně Nový poskytovatel zabezpečení cloudu (New Cloud Security Provider) vložte název služby.
    2. Zaškrtněte políčko Automatizovat nasazení cloudové služby (Automate Cloud Service Deployment).
    3. Vyberte protokol GRE nebo IPsec pro vytvoření tunelu.
      Poznámka: Celkový počet tunelů CSS Zscaler GRE, které lze pro jednotlivé zákazníky nakonfigurovat, závisí na předplatném zákazníka u poskytovatele Zscaler. Výchozí hodnota je 100.
    4. Nakonfigurujte další údaje, jako jsou domácí předvolba (Domestic Preference), cloud Zscaler (Zscaler Cloud), uživatelské jméno administrátora partnerského serveru (Partner Admin Username), heslo (Password), klíč API (API Key) a doména (Domain) dle popisu v následující tabulce.
      Možnost Popis
      Domácí předvolba Tato možnost slouží k nastavení priority pro datová centra Zscaler ze země původu IP adresy, i když jsou dále od ostatních datových center Zscaler.
      Poznámka: Tuto možnost lze konfigurovat pouze v případě, že je pro vytvoření tunelů zvolena možnost GRE.
      Zscaler Cloud (Zscaler Cloud) Z rozevírací nabídky zvolte cloudovou službu Zscaler nebo do textového pole zadejte název cloudové služby Zscaler..
      Uživatelské jméno administrátora partnerského serveru (Partner Admin Username) Zadejte zřízené uživatelské jméno administrátora partnera.
      Heslo administrátora partnerského serveru (Partner Admin Password) Zadejte zřízené heslo administrátora partnera.
      Poznámka: Počínaje verzí 4.5 již není podporováno použití speciálního znaku „<“ v heslu. Pokud uživatelé používali znak „<“ ve svých heslech v předchozích verzích, musí jej odstranit, jinak se změny neuloží.
      Klíč partnerského serveru (Partner Key) Zadejte zřízený klíč partnerského serveru.
      Doména (Domain) Zadejte název domény, na kterou bude cloudová služba nasazena.
    5. Klikněte na možnost Ověřit přihlašovací údaje (Validate Credentials). Pokud ověření proběhne úspěšně, bude tlačítko Přidat (Add) aktivní.
      Poznámka: Chcete-li přidat nového poskytovatele CSS, musíte ověřit přihlašovací údaje.
    6. Volitelně: Chcete-li sledovat stav serveru Zscaler, nakonfigurujte následující údaje kontroly stavu L7 (L7 Health Check).
      Poznámka: Funkce Kontrola stavu L7 (L7 Health Check) testuje dosažitelnost HTTP na backendový server Zscaler. Po aktivaci funkce Kontrola stavu L7 (L7 Health Check) zařízení Edge odešle sondy HTTP L7 do cíle Zscaler (Příklad: http://<zscaler cloud>/vpntest), což je backendový server Zscaler pro kontrolu stavu HTTP. Tato metoda je vylepšením za použití protokolu keep-alive na úrovni sítě (GRE nebo IPsec), protože tato metoda testuje pouze dosažitelnost sítě na frontendu serveru Zscaler.

      Pokud po 3 po sobě jdoucích opakováních nebude přijata odpověď L7 nebo dojde k chybě s HTTP, primární tunel bude označen jako „mimo provoz“ a zařízení Edge se pokusí přepnout provoz Zscaler na tunel v pohotovostním režimu (pokud je k dispozici). Pokud zařízení Edge úspěšně převezme služby při selhání pro přenášení dat Zscaler do tunelu v pohotovostním režimu, stane se zařízení v pohotovostním režimu novým primárním tunelem.

      V nepravděpodobném případě, že kontrola stavu L7 označí primární i pohotovostní tunely jako „mimo provoz“, zařízení Edge směruje provoz Zscaler za použití zásad podmíněného páteřního připojení (pokud byly tyto zásady nakonfigurovány).

      Zařízení Edge odesílá pouze sondy L7 přes primární tunelové propojení směrem k primárnímu serveru, nikdy přes tunel v pohotovostním režimu.

      Možnost Popis
      Kontrola stavu L7 (L7 Health Check) Zaškrtnutím políčka povolíte kontrolu stavu L7 u poskytovatele Služby pro zabezpečení cloudu Zscaler (Zscaler Cloud Security Service) s detaily o výchozí sondě (interval sondy HTTP = 5 sekund, počet opakovaných pokusů = 3, mezní hodnota RTT = 3 000 milisekund). Ve výchozím nastavení není funkce Kontrola stavu L7 (L7 Health Check) aktivována.
      Poznámka: Konfigurace detailů sondy kontroly stavu není podporována.
      Poznámka: U daného zařízení Edge / profilu uživatel nemůže přepsat parametry kontroly stavu L7 nakonfigurované v síťové službě.
      Interval sondy HTTP (HTTP Probe Interval) Doba trvání intervalu mezi individuálními sondami HTTP. Výchozí interval sondy je 5 sekund.
      Počet opakovaných pokusů (Number of Retries) Určuje počet povolených opakování sondy před označením cloudové služby jako MIMO PROVOZ. Výchozí hodnota je 3.
      Mezní hodnota RTT (RTT Threshold) Mezní hodnota doby cesty tam a zpět (RTT) vyjádřená v milisekundách, používaná k výpočtu stavu cloudové služby. Cloudová služba je označena jako MIMO PROVOZ, pokud je měřená RTT nad nakonfigurovanou mezní hodnotou. Výchozí hodnota je 3000 milisekund.
      Přihlašovací adresa URL do Zscaler (Zscaler Login URL) Zadejte přihlašovací adresu URL a poté klikněte na Přihlášení do Zscaler (Login do Zscaler). Tato možnost vás přesměruje na portál správce Zscaler ve vybraném cloudu Zscaler.
      Poznámka: Tlačítko Přihlášení do Zscaler (Login do Zscaler) bude aktivováno, pokud jste zadali přihlašovací adresu URL do Zscaler.
    7. Pokud se chcete přihlásit k portálu správce Zscaler ze systému Orchestrator, zadejte přihlašovací adresu URL do Zscaler a poté klikněte na možnost Přihlášení do Zscaler (Login do Zscaler). Tato možnost vás přesměruje na portál správce Zscaler ve vybraném cloudu Zscaler.
      Poznámka: Tlačítko Přihlášení do Zscaler (Login do Zscaler) bude aktivováno, pokud jste zadali přihlašovací adresu URL do Zscaler.
    Poznámka: Další informace o automatizaci CSS Zscaler najdete v  Průvodci nasazením Zscaler a VMware SD-WAN.
    Poznámka: Konkrétní detaily o tom, jak služba Zscaler určuje virtuální IP adresy nejlepšího datového centra (VIPs) pro použití pro zřízení tunelů VPN IPsec, naleznete v části Integrace rozhraní API SD-WAN pro zřízení tunelu VPN IPSec.
    Konfigurace ručních tunelů ze zařízení SD-WAN Edge do poskytovatele služby Zscaler (Configure Manual Tunnels from SD-WAN Edge to Zscaler)
    Tato část popisuje, jak ručně vytvořit tunel GRE nebo IPsec ze zařízení SD-WAN Edge do poskytovatele služby Zscaler. Na rozdíl od automatických tunelů je při konfiguraci ručních tunelů nutné zadat cíl tunelu, aby se tunely spustily.
    1. V okně Nový poskytovatel zabezpečení cloudu (New Cloud Security Provider) vložte název služby.
    2. Zadejte IP adresu nebo název hostitele pro primární server.
    3. Případně lze zadat IP adresu nebo název hostitele pro sekundární server.
    4. Z rozevírací nabídky zvolte cloudovou službu Zscaler nebo do textového pole zadejte název cloudové služby Zscaler..
    5. Nakonfigurujte podle potřeby další parametry a poté klikněte na možnost Přidat (Add).
    Poznámka: Pokud jste jako typ služby zvolili službu pro zabezpečení cloudu Zscaler (Zscaler Cloud Security Service) a chystáte se přiřadit tunel GRE, doporučujeme pro primární a sekundární server zadat pouze IP adresu, a nikoli název hostitele, protože GRE používání názvů hostitelů nepodporuje.

Výsledek

Nakonfigurované služby pro zabezpečení cloudu se zobrazují v oblasti Služba pro zabezpečení cloudu (Cloud Security Service) v okně Síťové služby (Network Services).

Jak pokračovat dále

Přiřaďte službu pro zabezpečení cloudu k profilu nebo zařízení Edge: