Aktivieren Sie den Cloud-Sicherheitsdienst (Cloud Security Service, CSS), um einen sicheren Tunnel von einem Edge zu Cloudsicherheitsdienst-Sites einzurichten. Dadurch kann der gesicherte Datenverkehr an die Cloud-Sicherheits-Sites von Drittanbietern umgeleitet werden. Auf der Profilebene unterstützt die VMware SD-WAN- und Zscaler-Integration die Automatisierung von IPsec- und GRE-Tunneln.

Hinweis: Pro Profil ist nur ein CSS mit GRE zulässig.
Bevor Sie beginnen:
  • Stellen Sie sicher, dass Sie über Zugriffsberechtigungen zum Konfigurieren der Netzwerkdienste verfügen.
  • Stellen Sie sicher, dass Ihr SD-WAN Orchestrator die Version 3.3.x oder höher aufweist.
  • Die Endpoint-IPs und FQDN-Anmeldedaten des Cloud-Sicherheitsdienst-Gateways sollten im Cloud-Sicherheitsdienst des Drittanbieters konfiguriert sein.
  1. Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Profile (Profiles).
  2. Klicken Sie auf das Gerätesymbol neben einem Profil oder klicken Sie auf den Link zum Profil und dann auf die Registerkarte Gerät (Device).
  3. Schalten Sie im Bereich Cloud-Sicherheit (Cloud Security) den Wählschalter von der Position Aus (Off) in die Position Ein (On).
  4. Konfigurieren Sie die folgenden Einstellungen:

    Option Beschreibung
    Cloud-Sicherheitsdienst (Cloud Security Service) Wählen Sie aus dem Dropdown-Menü einen Cloud-Sicherheitsdienst für die Zuordnung zum Profil aus. Sie können im Dropdown-Menü auch auf Neuer Cloud-Sicherheitsdienst (New Cloud Security Service) klicken, um einen neuen Diensttyp zu erstellen. Weitere Informationen zum Hinzufügen eines neuen CSS finden Sie unter Konfigurieren eines Cloud-Sicherheitsdienstes.
    Hinweis: Für Cloud-Sicherheitsdienste mit konfigurierter Zscaler-Anmelde-URL wird die Schaltfläche Bei Zscaler anmelden (Login to Zscaler) im Bereich Cloud-Sicherheitsdienst (Cloud Security Service) angezeigt. Wenn Sie auf Bei Zscaler anmelden (Login to Zscaler) klicken, werden Sie zum Zscaler-Admin-Portal der ausgewählten Zscaler-Cloud umgeleitet.
    Tunnelprotokoll (Tunneling Protocol) Diese Option ist nur für den Zscaler-Cloud-Sicherheitsdienstanbieter verfügbar. Wenn Sie einen manuellen Zscaler-Dienstanbieter auswählen, wählen Sie entweder IPsec oder GRE als Tunnelprotokoll aus. Standardmäßig ist „IPsec“ ausgewählt.
    Hinweis: Wenn Sie einen automatisierten Zscaler-Dienstanbieter auswählen, ist das Feld Tunnelprotokoll (Tunneling Protocol) nicht konfigurierbar, zeigt aber den vom Dienstanbieter verwendeten Protokollnamen an.
    Hash Wählen Sie als Hash-Funktion „SHA 1“ oder „SHA 256“ in der Dropdown-Liste aus. Standardmäßig ist „SHA 1“ ausgewählt.
    Verschlüsselung (Encryption) Wählen Sie als Verschlüsselungsalgorithmus „AES 128“ oder „AES 256“ in der Dropdown-Liste aus. Standardmäßig ist „Keine (None)“ ausgewählt.
    Schlüsselaustauschprotokoll (Key Exchange Protocol)

    Wählen Sie als Schlüsselaustauschmethode „IKEv1“ oder „IKEv2“ aus. Standardmäßig ist „IKEv2“ ausgewählt.

    Diese Option ist für den Symantec-Cloud-Sicherheitsdienst nicht verfügbar.

    Bei Zscaler anmelden Klicken Sie auf Bei Zscaler anmelden (Login to Zscaler), um sich beim Zscaler-Admin-Portal der ausgewählten Zscaler-Cloud anzumelden.
  5. Klicken Sie auf Änderungen speichern (Save Changes).

Wenn Sie den Cloud-Sicherheitsdienst aktivieren und die Einstellungen in einem Profil konfigurieren, wird die Einstellung automatisch auf die Edges angewendet, die mit dem Profil verknüpft sind. Falls erforderlich, können Sie die Konfiguration für einen bestimmten Edge außer Kraft setzen. Weitere Informationen finden Sie unter Konfigurieren von Cloud-Sicherheitsdiensten für Edges.

Für die Profile, die mit vor Version 3.3.1 aktivierten und konfigurierten Cloud-Sicherheitsdiensten erstellt wurden, kann der Datenverkehr wie folgt umgeleitet werden:

  • Nur Webdatenverkehr an Cloud-Sicherheitsdienst umleiten
  • Gesamten internetgebundenen Datenverkehr an Cloud-Sicherheitsdienst umleiten
  • Datenverkehr basierend auf Unternehmensrichtlinieneinstellungen umleiten – Diese Option ist erst ab Version 3.3.1 verfügbar. Bei Auswahl dieser Option stehen die beiden anderen Optionen nicht länger zur Verfügung.
Hinweis: Für die neuen Profile, die Sie für Version 3.3.1 oder höher erstellt haben, wird der Datenverkehr standardmäßig gemäß der Unternehmensrichtlinieneinstellungen umgeleitet. Weitere Informationen finden Sie unter Konfigurieren von Unternehmensrichtlinien mit Cloud-Sicherheitsdiensten.