Služba pro zabezpečení cloudu (CSS) funguje vytvořením zabezpečeného tunelu z jednoho Edge do lokalit pro zabezpečení cloudových služeb. Tím se zajistí zabezpečený tok dat do služeb pro zabezpečení cloudu.

Chcete-li konfigurovat službu pro zabezpečení cloudu, proveďte následující kroky.

Procedura

  1. Ve službě SD-WAN podnikového portálu klikněte na možnost Konfigurovat (Configure) > Síťové služby (Network Services).
  2. Na stránce Síťové služby (Network Services) přejděte na Cíle jiné než SD-WAN prostřednictvím Edge (Non SD-WAN Destinations via Edge) > Služba pro zabezpečení cloudu (Cloud Security Service) a klikněte na možnost Nové (New).
  3. V okně Nový poskytovatel zabezpečení cloudu (New Cloud Security Provider) vyberte typ služby z rozevírací nabídky. VMware SD-WAN podporuje následující typy CSS:
    • Obecná služba pro zabezpečení cloudu (Generic Cloud Security Service)
    • Služba pro zabezpečení cloudu (Cloud Security Service) Symantec / Palo Alto
      Poznámka: Od verze 5.0.0 se Palo Alto CSS konfigurují dle nové šablony typu služby „Služba pro zabezpečení cloudu (Cloud Security Service) Symantec / Palo Alto“. Všichni zákazníci s nakonfigurovanou stávající službou Palo Alto CSS v oblasti části „Obecná služba pro zabezpečení cloudu (Generic Cloud Security Service)“ se musí přesunout do nové šablony „Služba pro zabezpečení cloudu (Cloud Security Service) Symantec / Palo Alto“.
    • Služba pro zabezpečení cloudu Zscaler (Zscaler Cloud Security Service)
    1. Pokud jste jako službu pro zabezpečení cloudu (Cloud Security Service) Fzvolili typ „Obecná“ (Generic) nebo „Symantec / Palo Alto“, nakonfigurujte následující požadované údaje a klikněte na možnost Přidat (Add).
      Možnost Popis
      Název služby (Service Name) Zadejte popisný název pro službu zabezpečení cloudu.
      Primární PoP/Server (Primary Point-of-Presence/Server) Zadejte IP adresu nebo název hostitele pro primární server.
      Sekundární PoP/Server (Secondary Point-of-Presence/Server) Zadejte IP adresu nebo název hostitele pro sekundární server. Tato akce není povinná.
    2. Pokud jste jako službu pro zabezpečení cloudu zvolili typ Zscaler (Zscaler Cloud Security Service), můžete pomocí pole Automatizovat nasazení cloudové služby (Automate Cloud Service Deployment) volit mezi ručním a automatickým zaváděním. Pro určení a monitorování stavu serveru Zscaler můžete také nakonfigurovat další nastavení, jako jsou parametry Zscaler Cloud a detaily kontroly stavu vrstvy 7 (L7).
    Konfigurace automatických tunelů ze zařízení SD-WAN Edge do Zscaler (Configure Automatic Tunnels from SD-WAN Edge to Zscaler)
    Tato část popisuje, jak automaticky vytvořit tunel GRE nebo IPsec ze zařízení SD-WAN Edge do poskytovatele služby Zscaler.
    1. V okně Nový poskytovatel zabezpečení cloudu (New Cloud Security Provider) vložte název služby.
    2. Zaškrtněte políčko Automatizovat nasazení cloudové služby (Automate Cloud Service Deployment).
    3. Vyberte protokol GRE nebo IPsec pro vytvoření tunelu.
      Poznámka: Celkový počet tunelů CSS Zscaler GRE, které lze pro jednotlivé zákazníky nakonfigurovat, závisí na předplatném zákazníka u poskytovatele Zscaler. Výchozí hodnota je 100.
    4. Nakonfigurujte další údaje, jako jsou domácí předvolba (Domestic Preference), cloud Zscaler (Zscaler Cloud), uživatelské jméno administrátora partnerského serveru (Partner Admin Username), heslo (Password), klíč partnerského serveru (Partner Key) a doména (Domain) dle popisu v následující tabulce.
      Možnost Popis
      Domácí předvolba Tato možnost slouží k nastavení priority pro datová centra Zscaler ze země původu IP adresy, i když jsou dále od ostatních datových center Zscaler.
      Poznámka: Tuto možnost lze konfigurovat pouze v případě, že je pro vytvoření tunelů zvolena možnost GRE.
      Zscaler Cloud (Zscaler Cloud) Můžete se rozhodnout použít stávající Zscaler cloudy nebo můžete použít nový Zscaler cloud. Pokud se rozhodnete použít existující cloud, vyberte z rozevírací nabídky cloudovou službu Zscaler. V případě nového Zscaler cloudu musíte do textového pole zadat název cloudové služby Zscaler..
      Uživatelské jméno administrátora partnerského serveru (Partner Admin Username) Zadejte zřízené uživatelské jméno administrátora partnera.
      Heslo administrátora partnerského serveru (Partner Admin Password) Zadejte zřízené heslo administrátora partnera.
      Poznámka: Počínaje verzí 4.5 již není podporováno použití speciálního znaku „<“ v heslu. Pokud uživatelé používali znak „<“ ve svých heslech v předchozích verzích, musí jej odstranit, jinak se změny neuloží.
      Klíč partnerského serveru (Partner Key) Zadejte zřízený klíč partnerského serveru.
      Doména (Domain) Zadejte název domény, na kterou bude cloudová služba nasazena.
      Sub Cloud Je to volitelný parametr, který zákazníci služby Zscaler Internet Access (ZIA) používají k vytvoření vlastního fondu datových center pro účely geolokace.
      Poznámka: Tato možnost je k dispozici v režimu automatického zavádění CSS Zscaler, pokud je pro vytvoření tunelů vybrána možnost protokolu IPsec.
    5. Klikněte na možnost Ověřit přihlašovací údaje (Validate Credentials). Pokud ověření proběhne úspěšně, bude tlačítko Uložit změny (Save Changes) aktivní.
      Poznámka: Chcete-li přidat nového poskytovatele CSS, musíte ověřit přihlašovací údaje.
    6. Volitelně: Chcete-li sledovat stav serveru Zscaler, nakonfigurujte následující údaje kontroly stavu L7 (L7 Health Check).
      Poznámka: Funkce Kontrola stavu L7 (L7 Health Check) testuje dosažitelnost HTTP na backendový server Zscaler. Po aktivaci funkce Kontrola stavu L7 (L7 Health Check) zařízení Edge odešle sondy HTTP L7 do cíle Zscaler (Příklad: http://<zscaler cloud>/vpntest), což je backendový server Zscaler pro kontrolu stavu HTTP. Tato metoda je vylepšením za použití protokolu keep-alive na úrovni sítě (GRE nebo IPsec), protože tato metoda testuje pouze dosažitelnost sítě na frontendu serveru Zscaler.

      Pokud po 3 po sobě jdoucích opakováních nebude přijata odpověď L7 nebo dojde k chybě s HTTP, primární tunel bude označen jako „mimo provoz“ a zařízení Edge se pokusí přepnout provoz Zscaler na tunel v pohotovostním režimu (pokud je k dispozici). Pokud zařízení Edge úspěšně převezme služby při selhání pro přenášení dat Zscaler do tunelu v pohotovostním režimu, stane se zařízení v pohotovostním režimu novým primárním tunelem.

      V nepravděpodobném případě, že kontrola stavu L7 označí primární i pohotovostní tunely jako „mimo provoz“, zařízení Edge směruje provoz Zscaler za použití zásad podmíněného páteřního připojení (pokud byly tyto zásady nakonfigurovány).

      Zařízení Edge odesílá pouze sondy L7 přes primární tunelové propojení směrem k primárnímu serveru, nikdy přes tunel v pohotovostním režimu.

      Možnost Popis
      Kontrola stavu L7 (L7 Health Check) Zaškrtnutím políčka povolíte kontrolu stavu L7 u poskytovatele Služby pro zabezpečení cloudu Zscaler (Zscaler Cloud Security Service) s detaily o výchozí sondě (interval sondy HTTP = 5 sekund, počet opakovaných pokusů = 3, mezní hodnota RTT = 3 000 milisekund). Ve výchozím nastavení není funkce Kontrola stavu L7 (L7 Health Check) aktivována.
      Poznámka: Konfigurace detailů sondy kontroly stavu není podporována.
      Poznámka: U daného zařízení Edge / profilu uživatel nemůže přepsat parametry kontroly stavu L7 nakonfigurované v síťové službě.
      Interval sondy HTTP (HTTP Probe Interval) Doba trvání intervalu mezi individuálními sondami HTTP. Výchozí interval sondy je 5 sekund.
      Počet opakovaných pokusů (Number of Retries) Určuje počet povolených opakování sondy před označením cloudové služby jako MIMO PROVOZ. Výchozí hodnota je 3.
      Mezní hodnota RTT (RTT Threshold) Mezní hodnota doby cesty tam a zpět (RTT) vyjádřená v milisekundách, používaná k výpočtu stavu cloudové služby. Cloudová služba je označena jako MIMO PROVOZ, pokud je měřená RTT nad nakonfigurovanou mezní hodnotou. Výchozí hodnota je 3000 milisekund.
      Přihlašovací adresa URL do Zscaler (Zscaler Login URL) Zadejte přihlašovací adresu URL a poté klikněte na Přihlášení do Zscaler (Login do Zscaler). Tato možnost vás přesměruje na portál správce Zscaler ve vybraném cloudu Zscaler.
      Poznámka: Tlačítko Přihlášení do Zscaler (Login do Zscaler) bude aktivováno, pokud jste zadali přihlašovací adresu URL do Zscaler.
    7. Pokud se chcete přihlásit k portálu správce Zscaler ze systému Orchestrator, zadejte přihlašovací adresu URL do Zscaler a poté klikněte na možnost Přihlášení do Zscaler (Login do Zscaler). Tato možnost vás přesměruje na portál správce Zscaler ve vybraném cloudu Zscaler.
      Poznámka: Tlačítko Přihlášení do Zscaler (Login do Zscaler) bude aktivováno, pokud jste zadali přihlašovací adresu URL do Zscaler.
    Poznámka: Další informace o automatizovaném nasazení služby CSS Zscaler najdete v  Průvodci nasazením Zscaler a VMware SD-WAN (Zscaler and VMware SD-WAN Deployment Guide).
    Poznámka: Konkrétní detaily o tom, jak služba Zscaler určuje virtuální IP adresy nejlepšího datového centra (VIPs) pro použití pro zřízení tunelů VPN IPsec, naleznete v části Integrace rozhraní API SD-WAN pro zřízení tunelu VPN IPSec.
    Konfigurace ručních tunelů ze zařízení SD-WAN Edge do poskytovatele služby Zscaler (Configure Manual Tunnels from SD-WAN Edge to Zscaler)
    Tato část popisuje, jak manuálně vytvořit tunel GRE nebo IPsec ze zařízení SD-WAN Edge do poskytovatele služby Zscaler. Na rozdíl od automatických tunelů je při konfiguraci ručních tunelů nutné zadat cíl tunelu, aby se tunely spustily.
    1. V okně Nový poskytovatel zabezpečení cloudu (New Cloud Security Provider) vložte název služby.
    2. Zadejte IP adresu nebo název hostitele pro primární server.
    3. Případně lze zadat IP adresu nebo název hostitele pro sekundární server.
    4. Z rozevírací nabídky zvolte cloudovou službu Zscaler nebo do textového pole zadejte název cloudové služby Zscaler..
    5. Nakonfigurujte podle potřeby další parametry a poté klikněte na možnost Uložit změny (Save Changes).
    Poznámka: Pokud jste jako typ služby zvolili službu pro zabezpečení cloudu Zscaler (Zscaler Cloud Security Service) a chystáte se přiřadit tunel GRE, doporučujeme pro primární a sekundární server zadat pouze IP adresu, a nikoli název hostitele, protože GRE používání názvů hostitelů nepodporuje.

Výsledek

Nakonfigurované služby pro zabezpečení cloudu se zobrazují v oblasti Služba pro zabezpečení cloudu (Cloud Security Service) v okně Síťové služby (Network Services).

Jak pokračovat dále

Přiřaďte službu pro zabezpečení cloudu k profilu nebo zařízení Edge: