El servicio de seguridad de nube establece un túnel seguro desde una instancia de Edge hasta los sitios de servicios de seguridad de nube. Esto garantiza un flujo de tráfico seguro a los servicios de seguridad de nube.

Para configurar un proveedor de seguridad de nube, realice los siguientes pasos.

Procedimiento

  1. En el portal de empresas, haga clic en Configurar (Configure) > Servicios de red (Network Services).
  2. En la sección Servicio de seguridad de nube (Cloud Security Service), haga clic en Nuevo (New).
  3. En la ventana Nuevo proveedor de seguridad de nube (New Cloud Security Provider), proporcione los detalles necesarios para configurar un nuevo proveedor de seguridad de nube.
    Opción Descripción
    Nombre del servicio (Service Name) Introduzca un nombre descriptivo para el servicio de seguridad de nube.
    Tipo de servicio (Service Type) Seleccione una de las opciones siguientes:
    • Servicio de seguridad de nube genérico
    • Servicio de seguridad web de Symantec
    • Servicio de seguridad de nube Zscaler
    Servidor/punto de presencia principal (Primary Point-of-Presence/Server) Introduzca la dirección IP o el nombre de host del servidor principal.
    Servidor/punto de presencia secundario (Secondary Point-of-Presence/Server) Introduzca la dirección IP o el nombre de host del servidor secundario. Esta acción es opcional.
    Si seleccionó el Servicio de seguridad de nube Zscaler (Zscaler Cloud Security Service) como el Tipo de servicio (Service Type), puede configurar ajustes adicionales, como los detalles de comprobación de estado de nube Zscaler y capa 7 para determinar y supervisar el estado del servidor Zscaler. También puede elegir entre la implementación manual y la implementación de automatización seleccionando la casilla de verificación Automatizar la implementación de Cloud Service (Automate Cloud Service Deployment).
    Nota: Solo se admite la automatización de IPsec de Edge a Zscaler. La automatización de GRE de Edge a Zscaler no se admite actualmente en la versión 4.3, pero estará disponible en futuras versiones.
    Nota: En la implementación manual, si seleccionó Servicio de seguridad de nube Zscaler (Zscaler Cloud Security Service) como el tipo de servicio y planea asignar un túnel GRE, se recomienda introducir solo la dirección IP en el servidor principal y secundario, y no el nombre de host, ya que GRE no es compatible con los nombres de host.
  4. Si decide automatizar la implementación del servicio de nube, configure los siguientes detalles adicionales.
    Nota: La función Comprobación de estado de capa 7 (L7 Health Check) prueba la accesibilidad HTTP al servidor back-end de Zscaler. Después de habilitar Comprobación de estado de capa 7 (L7 Health Check), los sondeos de capa 7 HTTP se envían desde Edge a un destino Zscaler (por ejemplo: http://<nube_zscaler>/vpntest) que es el servidor back-end de Zscaler para la comprobación de estado HTTP. Este método es una mejora en comparación con el uso de la conexión persistente a nivel de red (GRE o IPsec) porque ese método solo prueba la disponibilidad de la red para el front-end de un servidor Zscaler.

    Si no se recibe una respuesta de capa 7 después de 3 reintentos sucesivos o si se produce un error de HTTP, el túnel principal se marcará como "Inactivo" (Down) y la instancia de Edge intentará realizar la conmutación por error del tráfico de Zscaler al túnel en espera (si hay uno disponible). Si la instancia de Edge conmuta correctamente el tráfico de Zscaler al túnel en espera, el modo de espera se convierte en el nuevo túnel principal.

    En caso poco probable de que la comprobación de estado de capa 7 marque los túneles principal y en espera como "Inactivo" (Down), la instancia de Edge enrutará el tráfico de Zscaler mediante una directiva de red de retorno condicional (si se configuró dicha directiva).

    Edge solo envía sondeos de capa 7 a través del túnel principal hacia el servidor principal, nunca a través del túnel en espera.

    Opción Descripción
    Nube Zscaler (Zscaler Cloud) Seleccione un servicio de nube Zscaler en el menú desplegable o introduzca el nombre del servicio de nube Zscaler en el cuadro de texto.
    Nombre de usuario de administrador de socio (Partner Admin Username) Introduzca el nombre de usuario proporcionado del administrador asociado.
    Contraseña de administrador de socio (Partner Admin Password) Introduzca contraseña proporcionada del administrador asociado.
    Clave de asociado (Partner Key) Introduzca la clave de asociado proporcionada.
    Dominio (Domain) Introduzca el nombre de dominio en el que se implementará el servicio de nube.
    Comprobación de estado de capa 7 (L7 Health Check) Active la casilla de verificación para habilitar la comprobación de estado de capa 7 para el proveedor del Servicio de seguridad de nube (Cloud Security Service) de Zscaler, con los detalles de sondeo predeterminados (intervalo de sondeo HTTP = 5 segundos, número de reintentos = 3, umbral de RTT = 3000 milisegundos). De forma predeterminada, la comprobación de estado de L7 está deshabilitada.
    Nota: No se admite la configuración de los detalles del sondeo de comprobación de estado.
    Intervalo de sondeo de HTTP (HTTP Probe Interval) La duración del intervalo entre sondeos de HTTP individuales. El intervalo de sondeo predeterminado es de 5 segundos.
    Número de reintentos (Number of Retries) Especifica el número de reintentos de sondeo permitidos antes de marcar el servicio en la nube como INACTIVO (DOWN). El valor predeterminado es 3.
    Umbral de RTT (RTT Threshold) El umbral de Tiempo de ida y vuelta (Round Trip Time, RTT), expresado en milisegundos, utilizado para calcular el estado del servicio de nube. El servicio de nube se marca como FUERA DE SERVICIO (DOWN) si el RTT medido se encuentra por encima del umbral configurado. El valor predeterminado es 3000 milisegundos.
    URL de inicio de sesión de Zscaler (Zscaler Login URL) Introduzca la URL de inicio de sesión y haga clic en Iniciar sesión en Zscaler (Login to Zscaler). Se le redirigirá al portal de administración de Zscaler de la nube Zscaler seleccionada.
    Nota: El botón Iniciar sesión en Zscaler (Login to Zscaler) estará activado si introdujo la URL de inicio de sesión de Zscaler.
    Nota: Para una instancia de Edge o un perfil determinados, el usuario no puede anular los parámetros de comprobación de estado de capa 7 configurados en el servicio de red.
  5. Haga clic en Agregar (Add).
  6. Repita los pasos anteriores para configurar más servicios de seguridad de nube.
    Nota: Para obtener más información sobre la automatización del servicio de seguridad de nube Zscaler, consulte la Guía de implementación de Zscaler y VMware SD-WAN.
    Nota: Para obtener detalles específicos sobre cómo Zscaler determina las mejores direcciones IP virtuales (VIP) del centro de datos que se utilizarán para establecer túneles VPN de IPsec, consulte el tema sobre la Integración de la API de SD-WAN para el aprovisionamiento de túneles VPN de IPsec.

Resultados

Los servicios de seguridad de nube configurados se muestran en el área Servicio de seguridad de nube (Cloud Security Service) de la ventana Servicios de red (Network Services).

Puede ver el estado del servicio desde Supervisar (Monitor) > Servicios de red (Network Services) > Sitios del servicio de seguridad de nube (Cloud Security Service Sites) > Estado del servicio (Service Status).
Para ver las estadísticas de comprobación de estado de capa 7 para el Servicio de seguridad de nube (Cloud Security Service), vaya al menú Supervisar (Monitor) > Instancias de Edge (Edges).

Qué hacer a continuación