Debe habilitar la seguridad de nube para establecer un túnel seguro desde una instancia de Edge a sitios de servicios de seguridad de nube. Esto permite que el tráfico protegido se redirija a sitios de seguridad de nube de terceros.

Antes de comenzar:
  • Asegúrese de tener permiso de acceso para configurar los servicios de red.
  • Asegúrese de que SD-WAN Orchestrator tenga la versión 3.3.x o superior.
  • Debe tener direcciones IP de endpoint de puerta de enlace de servicio de seguridad de nube y credenciales FQDN configuradas en la CSS de terceros.
  1. En el portal de empresas, haga clic en Configurar (Configure) > Perfiles (Profiles).
  2. Haga clic en el icono del dispositivo junto a un perfil o haga clic en el vínculo del perfil y, a continuación, haga clic en la pestaña Dispositivo (Device).
  3. En la sección Seguridad de nube (Cloud Security), cambie el botón de la posición Desactivado (Off) a Activado (On).
  4. Configure los siguientes ajustes:

    Opción Descripción
    Servicio de seguridad de nube (Cloud Security Service) Seleccione un servicio de seguridad de nube en el menú desplegable. También puede hacer clic en Nuevo servicio de seguridad de nube (New Cloud Security Service) en el menú desplegable para crear un nuevo tipo de servicio.
    Protocolo de túnel (Tunneling Protocol) Esta opción solo está disponible para el servicio de seguridad de nube Zscaler. Elija IPsec o GRE. De forma predeterminada, se selecciona la opción IPsec.
    Hash Seleccione la función de hash como SHA 1 o SHA 256 en el menú desplegable. De forma predeterminada, se selecciona la opción SHA 1.
    Nota: VMware no admite MD5 y se recomienda no elegir MD5 como la función hash.
    Cifrado (Encryption) Seleccione el algoritmo de cifrado como AES 128 o AES 256 en el menú desplegable. De forma predeterminada, se selecciona la opción Ninguno (None).
    Protocolo de intercambio de claves (Key Exchange Protocol)

    Esta opción no está disponible para el servicio de seguridad de nube Symantec.

    Seleccione el método de intercambio de claves como IKEv1 o IKEv2. De forma predeterminada, se selecciona la opción IKEv2.

  5. Haga clic en Guardar cambios (Save Changes).

Cuando se habilita el servicio de seguridad de nube y se configuran las opciones de un perfil, la configuración se aplica automáticamente a las instancias de Edge que están asociadas con el perfil. Si es necesario, puede anular la configuración para una instancia específica de Edge. Consulte Configurar servicios de seguridad de nube para instancias de Edge.

Para los perfiles creados con el servicio de seguridad de nube habilitado y configurados antes de la versión 3.3.1, puede optar por redirigir el tráfico de la siguiente manera:

  • Redirigir solo el tráfico web al servicio de seguridad de nube
  • Redirigir todo el tráfico enlazado a Internet al servicio de seguridad de nube
  • Redirigir el tráfico según la configuración de la directiva empresarial; esta opción solo está disponible en la versión 3.3.1. Si la selecciona, las otras dos opciones ya no estarán disponibles.
Nota: Para los nuevos perfiles que se crean en la versión 3.3.1 o versiones posteriores, el tráfico se redirige de forma predeterminada según la configuración de la directiva empresarial.

Puede crear una regla en la directiva empresarial para redirigir el tráfico al servicio de seguridad de nube.

  1. En la pestaña Directiva empresarial (Business Policy) del perfil, cree una nueva regla haciendo clic en Nueva regla (New Rule) o, en el menú desplegable Acciones (Actions), seleccione Nuevo (New).

    Se mostrará el cuadro de diálogo Configurar regla (Configure Rule).

  2. Escriba un nombre único en Nombre de regla (Rule Name).
  3. En el área Acción (Action), haga clic en el botón Red de retorno de Internet (Internet Backhaul) y seleccione Servicio de seguridad de nube (Cloud Security Service).

  4. Haga clic en Aceptar (OK).

    La nueva regla aparece en la pantalla Directiva empresarial (Business Policy).