Der Cloud-Sicherheitsdienst stellt einen sicheren Tunnel von einem Edge zu den Cloud-Sicherheitsdienst-Sites her. Dadurch wird sichergestellt, dass der Datenverkehr für die Cloud-Sicherheitsdienste gesichert ist.

Führen Sie die folgenden Schritte aus, um einen Cloud-Sicherheitsdienst zu konfigurieren.

Prozedur

  1. Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Netzwerkdienste (Network Services).
  2. Klicken Sie im Abschnitt Cloud-Sicherheitsdienst (Cloud Security Service) auf Neu (New).
  3. Wählen Sie im Fenster Neuer Cloud Security Provider (New Cloud Security Provider) einen Diensttyp aus dem Dropdown-Menü aus.
    1. Wenn Sie als Diensttyp entweder den „Generic“ oder „Symantec Web“ Cloud-Sicherheitsdienst ausgewählt haben, konfigurieren Sie die folgenden erforderlichen Details und klicken Sie auf Hinzufügen (Add).
      Option Beschreibung
      Dienstname (Service Name) Geben Sie einen beschreibenden Namen für den Cloud-Sicherheitsdienst ein.
      Primärer Point-of-Presence/Server (Primary Point-of-Presence/Server) Geben Sie die IP-Adresse oder den Hostnamen für den primären Server ein.
      Sekundärer Point-of-Presence/Server (Secondary Point-of-Presence/Server) Geben Sie die IP-Adresse oder den Hostnamen für den sekundären Server ein. Diese Einstellung ist optional.
    2. Wenn Sie den Zscaler-Cloud-Sicherheitsdienst als Diensttyp ausgewählt haben, können Sie zwischen manueller und automatischer Bereitstellung wählen, indem Sie das Kontrollkästchen Bereitstellung von Cloud-Dienst automatisieren (Automate Cloud Service Deployment) aktivieren. Darüber hinaus können Sie zusätzliche Einstellungen wie z. B. Zscaler Cloud- und Schicht 7 (L7)-Integritätsprüfungsdetails konfigurieren, um den Systemzustand von Zscaler Server zu ermitteln und zu überwachen.
    Konfigurieren von automatischen Tunneln von SD-WAN Edge zu Zscaler
    In diesem Abschnitt wird beschrieben, wie Sie automatisch einen GRE- oder IPsec-Tunnel vom SD-WAN Edge zum Zscaler-Dienstanbieter erstellen.
    1. Geben Sie im Fenster Neuer Cloud Security Provider (New Cloud Security Provider) einen Dienstnamen ein.
    2. Aktivieren Sie das Kontrollkästchen Bereitstellung von Cloud-Dienst automatisieren (Automate Cloud Service Deployment).
    3. Wählen Sie GRE oder IPsec-Protokoll für die Tunneleinrichtung aus.
      Hinweis: Die Gesamtanzahl der CSS-Zscaler-GRE-Tunnel, die pro Kunde konfiguriert werden können, hängt vom Abonnement des Kunden bei Zscaler ab. Der Standardwert ist 100.
    4. Konfigurieren Sie weitere Details, wie z. B. Inländische Voreinstellung, Zscaler Cloud, Partner-Admin-Benutzername, Kennwort, API-Schlüssel und Domäne, gemäß der Beschreibung in der folgenden Tabelle.
      Option Beschreibung
      Inländische Voreinstellung Aktivieren Sie diese Option, um Zscaler-Datencenter aus dem Ursprungsland der IP-Adresse zu priorisieren, selbst wenn sie weiter von den anderen Zscaler-Datencentern entfernt sind.
      Hinweis: Diese Option ist nur konfigurierbar, wenn GRE für die Einrichtung von Tunneln ausgewählt ist.
      Zscaler-Cloud (Zscaler Cloud) Wählen Sie einen Zscaler-Cloud-Dienst aus dem Dropdown-Menü aus oder geben Sie den Namen des Zscaler-Cloud-Diensts in das Textfeld ein..
      Partner-Administratorbenutzername (Partner Admin Username) Geben Sie den bereitgestellten Benutzernamen des Partner-Administrators ein.
      Partner-Administratorkennwort (Partner Admin Password) Geben Sie das bereitstellte Kennwort des Partner-Administrators ein.
      Partnerschlüssel (Partner Key) Geben Sie den bereitgestellten Partnerschlüssel ein.
      Domäne (Domain) Geben Sie den Domänennamen ein, auf dem der Clouddienst bereitgestellt werden soll.
    5. Klicken Sie auf Anmeldedaten validieren (Validate Credentials). Wenn die Validierung erfolgreich ist, wird die Schaltfläche Hinzufügen (Add) aktiviert.
      Hinweis: Sie müssen die Anmeldedaten validieren, um einen neuen CSS-Anbieter hinzuzufügen.
    6. Konfigurieren Sie die folgenden L7-Integritätsprüfungsdetails, um die Integrität des Zscaler-Servers zu überwachen.
      Option Beschreibung
      L7-Integritätsprüfung (L7 Health Check) Aktivieren Sie das Kontrollkästchen, um die L7-Integritätsprüfung für den Anbieter des Zscaler Cloud-Sicherheitsdiensts mit Standardprüfpunktdetails zu aktivieren (HTTP-Prüfintervall = 5 Sekunden, Anzahl der Wiederholungen = 3, RTT-Schwellenwert = 3.000 Millisekunden). Die L7-Integritätsprüfung ist standardmäßig nicht aktiviert.
      Hinweis: Die Konfiguration der Details für die Integritätsprüfung wird nicht unterstützt.
      Hinweis: Für einen bestimmten Edge/Profil kann ein Benutzer die im Netzwerkdienst konfigurierten L7-Integritätsprüfungsparameter nicht außer Kraft setzen.
      HTTP-Prüfintervall (HTTP Probe Interval) Die Dauer des Intervalls zwischen einzelnen HTTP-Tests. Das Standardprüfintervall beträgt 5 Sekunden.
      Anzahl der Wiederholungen (Number of Retries) Gibt die Anzahl der zulässigen Testwiederholungen an, bevor der Cloud-Dienst als „INAKTIV (DOWN)“ markiert wird. Der Standardwert ist 3.
      RTT-Schwellenwert (RTT Threshold) Der Schwellenwert für die Round-Trip-Zeit (RTT), ausgedrückt in Millisekunden, der zum Berechnen des Cloud-Dienststatus verwendet wird. Der Cloud-Dienst ist als „INAKTIV (DOWN)“ markiert, wenn die gemessene RTT über dem konfigurierten Schwellenwert liegt. Der Standardwert ist 3.000 Millisekunden.
      Zscaler-Anmelde-URL (Zscaler Login URL) Geben Sie die Anmelde-URL ein und klicken Sie dann auf Bei Zscaler anmelden (Login to Zscaler). Dadurch werden Sie zum Zscaler-Admin-Portal der ausgewählten Zscaler-Cloud umgeleitet.
      Hinweis: Die Schaltfläche Bei Zscaler anmelden (Login to Zscaler) wird aktiviert, wenn Sie die Zscaler-Anmelde-URL eingegeben haben.
    7. Wenn Sie sich über Orchestrator beim Zscaler-Admin-Portal anmelden möchten, geben Sie die Zscaler-Anmelde-URL ein und klicken Sie dann auf Bei Zscaler anmelden (Login to Zscaler). Dadurch werden Sie zum Zscaler-Admin-Portal der ausgewählten Zscaler-Cloud umgeleitet.
      Hinweis: Die Schaltfläche Bei Zscaler anmelden (Login to Zscaler) wird aktiviert, wenn Sie die Zscaler-Anmelde-URL eingegeben haben.
    Hinweis: Weitere Informationen zur Zscaler-CSS-Automatisierung finden Sie im Bereitstellungshandbuch für Zscaler und VMware SD-WAN.
    Hinweis: Spezifische Informationen dazu, wie Zscaler die besten virtuellen Datencenter-IP-Adressen (VIPs) für die Einrichtung von IPsec-VPN-Tunneln bestimmt, finden Sie unter Integration der SD-WAN-API für die Bereitstellung von IPSec-VPN-Tunneln.
    Konfigurieren von manuellen Tunneln vom SD-WAN Edge zu Zscaler
    In diesem Abschnitt wird beschrieben, wie Sie manuell einen GRE- oder IPsec-Tunnel vom SD-WAN Edge zum Zscaler-Dienstanbieter erstellen. Im Gegensatz zu automatischen Tunneln müssen Sie beim Konfigurieren von manuellen Tunneln ein Tunnelziel angeben, um die Tunnel aufzurufen.
    1. Geben Sie im Fenster Neuer Cloud Security Provider (New Cloud Security Provider) einen Dienstnamen ein.
    2. Geben Sie die IP-Adresse oder den Hostnamen für den primären Server ein.
    3. Geben Sie die IP-Adresse oder den Hostnamen für den sekundären Server ein.
    4. Wählen Sie einen Zscaler-Cloud-Dienst aus dem Dropdown-Menü aus oder geben Sie den Namen des Zscaler-Cloud-Diensts in das Textfeld ein..
    5. Konfigurieren Sie andere Parameter nach Bedarf und klicken Sie dann auf Hinzufügen (Add).
    Hinweis: Wenn Sie den Zscaler-Cloud-Sicherheitsdienst als Diensttyp ausgewählt haben und planen, einen GRE-Tunnel zuzuweisen, empfiehlt es sich, nur die IP-Adresse im primären und sekundären Server einzugeben und nicht den Hostnamen, da GRE keine Hostnamen unterstützt.

Ergebnisse

Die konfigurierten Cloud-Sicherheitsdienste werden im Bereich Cloud-Sicherheitsdienst (Cloud Security Service) im Fenster Netzwerkdienste (Network Services) angezeigt.

Nächste Maßnahme

Ordnen Sie den Cloud-Sicherheitsdienst einem Profil oder einem Edge zu: