Habilite el servicio de seguridad de nube (CSS) para establecer un túnel seguro desde una instancia de Edge hasta sitios de servicios de seguridad de nube. Esto permite que el tráfico protegido se redirija a sitios de seguridad de nube de terceros. En el nivel de perfil, la integración de VMware SD-WAN y Zscaler admite la automatización de túneles de IPsec y GRE.

Nota: Solo se permite un CSS con GRE por perfil.
Antes de comenzar:
  • Asegúrese de tener permiso de acceso para configurar los servicios de red.
  • Asegúrese de que SD-WAN Orchestrator tenga la versión 3.3.x o superior.
  • Debe tener direcciones IP de endpoint de puerta de enlace de servicio de seguridad de nube y credenciales FQDN configuradas en el servicio de seguridad de nube de terceros.
  1. En el portal de empresas, haga clic en Configurar (Configure) > Perfiles (Profiles).
  2. Haga clic en el icono del dispositivo junto a un perfil o haga clic en el vínculo del perfil y, a continuación, haga clic en la pestaña Dispositivo (Device).
  3. En el área Seguridad de nube (Cloud Security), cambie el botón de la posición Desactivado (Off) a Activado (On).
  4. Configure los siguientes ajustes:

    Opción Descripción
    Servicio de seguridad de nube (Cloud Security Service) Seleccione un servicio de seguridad de nube en el menú desplegable para asociarlo con el perfil. También puede hacer clic en Nuevo servicio de seguridad de nube (New Cloud Security Service) en el menú desplegable para crear un nuevo tipo de servicio. Para obtener más información sobre cómo crear un CSS nuevo, consulte Configurar un servicio de seguridad de nube.
    Nota: Para los servicios de seguridad en la nube con la URL de inicio de sesión de Zscaler configurada, el botón Iniciar sesión en Zscaler (Login to Zscaler) aparece en el área Servicio de seguridad de nube (Cloud Security Service). Al hacer clic en Iniciar sesión en Zscaler (Login to Zscaler), el botón le redirigirá al portal de administración de Zscaler de la nube Zscaler seleccionada.
    Protocolo de túnel (Tunneling Protocol) Esta opción solo está disponible para el proveedor de servicios de seguridad de nube Zscaler. Si selecciona un proveedor de servicios de Zscaler manual, elija IPsec o GRE como protocolo de túnel. De forma predeterminada, se selecciona la opción IPsec.
    Nota: Si selecciona un proveedor de servicios de Zscaler automatizado, el campo Protocolo de túnel (Tunneling Protocol) no se puede configurar, pero muestra el nombre de protocolo que utiliza el proveedor de servicios.
    Hash Seleccione la función de hash como SHA 1 o SHA 256 en el menú desplegable. De forma predeterminada, se selecciona la opción SHA 1.
    Cifrado (Encryption) Seleccione el algoritmo de cifrado como AES 128 o AES 256 en el menú desplegable. De forma predeterminada, se selecciona la opción Ninguno (None).
    Protocolo de intercambio de claves (Key Exchange Protocol)

    Seleccione el método de intercambio de claves como IKEv1 o IKEv2. De forma predeterminada, se selecciona la opción IKEv2.

    Esta opción no está disponible para el servicio de seguridad de nube Symantec.

    Iniciar sesión en Zscaler (Login to Zscaler) Al hacer clic en Iniciar sesión en Zscaler (Login to Zscaler) para iniciar sesión en el portal de administración de Zscaler de la nube Zscaler seleccionada.
  5. Haga clic en Guardar cambios (Save Changes).

Cuando se habilita el servicio de seguridad de nube y se configuran las opciones de un perfil, la configuración se aplica automáticamente a las instancias de Edge que están asociadas con el perfil. Si es necesario, puede anular la configuración para una instancia específica de Edge. Consulte Configurar servicios de seguridad de nube para instancias de Edge.

Para los perfiles creados con el servicio de seguridad de nube habilitado y configurados antes de la versión 3.3.1, puede optar por redirigir el tráfico de la siguiente manera:

  • Redirigir solo el tráfico web al servicio de seguridad de nube
  • Redirigir todo el tráfico enlazado a Internet al servicio de seguridad de nube
  • Redirigir el tráfico según la configuración de la directiva empresarial; esta opción solo está disponible en la versión 3.3.1. Si la selecciona, las otras dos opciones ya no estarán disponibles.
Nota: Para los nuevos perfiles que se crean en la versión 3.3.1 o versiones posteriores, el tráfico se redirige de forma predeterminada según la configuración de la directiva empresarial. Consulte Configurar directivas empresariales con servicios de seguridad de nube.