Sie müssen die Cloud-Sicherheit aktivieren, um einen sicheren Tunnel von einem Edge zu Cloud-Sicherheitsdienst-Sites einzurichten. Dadurch kann der gesicherte Datenverkehr an die Cloud-Sicherheits-Sites von Drittanbietern umgeleitet werden.

Bevor Sie beginnen:
  • Stellen Sie sicher, dass Sie über Zugriffsberechtigungen zum Konfigurieren der Netzwerkdienste verfügen.
  • Stellen Sie sicher, dass Ihr SD-WAN Orchestrator die Version 3.3.x oder höher aufweist.
  • Die Endpoint-IPs und FQDN-Zugangsdaten des Cloud-Sicherheitsdienst-Gateways sollten im CSS des Drittanbieters konfiguriert sein.
  1. Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Profile (Profiles).
  2. Klicken Sie auf das Gerätesymbol neben einem Profil oder klicken Sie auf den Link zum Profil und dann auf die Registerkarte Gerät (Device).
  3. Schalten Sie im Abschnitt Cloud-Sicherheit (Cloud Security) den Wählschalter von der Position Aus (Off) in die Position Ein (On).
  4. Konfigurieren Sie die folgenden Einstellungen:

    Option Beschreibung
    Cloud-Sicherheitsdienst (Cloud Security Service) Wählen Sie im Dropdown-Menü einen Cloud-Sicherheitsdienst aus. Sie können im Dropdown-Menü auch auf Neuer Cloud-Sicherheitsdienst (New Cloud Security Service) klicken, um einen neuen Diensttyp zu erstellen.
    Tunnelprotokoll (Tunneling Protocol) Diese Option ist nur für den Zscaler-Cloud-Sicherheitsdienst verfügbar. Wählen Sie entweder „IPSec“ oder „GRE“ aus. Standardmäßig ist „IPsec“ ausgewählt.
    Hash Wählen Sie als Hash-Funktion „SHA 1“ oder „SHA 256“ in der Dropdown-Liste aus. Standardmäßig ist „SHA 1“ ausgewählt.
    Hinweis: VMware unterstützt MD5 nicht und es wird empfohlen, MD5 nicht als Hash-Funktion zu wählen.
    Verschlüsselung (Encryption) Wählen Sie als Verschlüsselungsalgorithmus „AES 128“ oder „AES 256“ in der Dropdown-Liste aus. Standardmäßig ist „Keine (None)“ ausgewählt.
    Schlüsselaustauschprotokoll (Key Exchange Protocol)

    Diese Option ist für den Symantec-Cloud-Sicherheitsdienst nicht verfügbar.

    Wählen Sie als Schlüsselaustauschmethode „IKEv1“ oder „IKEv2“ aus. Standardmäßig ist „IKEv2“ ausgewählt.
  5. Klicken Sie auf Änderungen speichern (Save Changes).

Wenn Sie den Cloud-Sicherheitsdienst aktivieren und die Einstellungen in einem Profil konfigurieren, wird die Einstellung automatisch auf die Edges angewendet, die mit dem Profil verknüpft sind. Falls erforderlich, können Sie die Konfiguration für einen bestimmten Edge außer Kraft setzen. Weitere Informationen finden Sie unter Konfigurieren von Cloud-Sicherheitsdiensten für Edges.

Für die Profile, die mit vor Version 3.3.1 aktivierten und konfigurierten Cloud-Sicherheitsdiensten erstellt wurden, kann der Datenverkehr wie folgt umgeleitet werden:

  • Nur Webdatenverkehr an Cloud-Sicherheitsdienst umleiten
  • Gesamten internetgebundenen Datenverkehr an Cloud-Sicherheitsdienst umleiten
  • Datenverkehr basierend auf Unternehmensrichtlinieneinstellungen umleiten – Diese Option ist erst ab Version 3.3.1 verfügbar. Bei Auswahl dieser Option stehen die beiden anderen Optionen nicht länger zur Verfügung.
Hinweis: Für die neuen Profile, die Sie für Version 3.3.1 oder höher erstellt haben, wird der Datenverkehr standardmäßig gemäß der Unternehmensrichtlinieneinstellungen umgeleitet.

Zum Umleiten des Datenverkehrs zum Cloud-Sicherheitsdienst können Sie eine Regel in der Unternehmensrichtlinie erstellen.

  1. Erstellen Sie auf der Registerkarte Unternehmensrichtlinie (Business Policy) des Profils eine neue Regel, indem Sie auf Neue Regel (New Rule) klicken oder im Dropdown-Menü Aktionen (Actions) die Option Neu (New) auswählen.

    Das Dialogfeld Regel konfigurieren (Configure Rule) wird angezeigt.

  2. Geben Sie einen eindeutigen Namen unter Regelname (Rule Name) ein.
  3. Klicken Sie im Bereich Aktion (Action) auf die Schaltfläche Internet-Backhaul (Internet Backhaul) und wählen Sie Cloud-Sicherheitsdienst (Cloud Security Service) aus.

  4. Klicken Sie auf OK.

    Die neue Regel wird auf der Seite Unternehmensrichtlinie (Business Policy) angezeigt.