El Servicio de seguridad de nube (CSS) establece un túnel seguro desde una instancia de Edge hasta los sitios del servicio de seguridad de nube. Esto garantiza un flujo de tráfico seguro a los servicios de seguridad de nube.

Para configurar un servicio de seguridad de nube, realice los siguientes pasos.

Procedimiento

  1. En el portal de empresas, haga clic en Configurar (Configure) > Servicios de red (Network Services).
  2. En la sección Servicio de seguridad de nube (Cloud Security Service), haga clic en Nuevo (New).
  3. En la ventana Nuevo proveedor de seguridad de nube (New Cloud Security Provider), seleccione un tipo de servicio en el menú desplegable. VMware SD-WAN admite los siguientes tipos de CSS:
    • Servicio de seguridad de nube genérico
    • Servicio de Seguridad de Nube de Symantec/Palo Alto
      Nota: A partir de la versión 5.0.0, el Servicio de seguridad de nube de Palo Alto se configura en la nueva plantilla de tipo de servicio "Servicio de Seguridad de Nube de Symantec/Palo Alto" (Symantec / Palo Alto Cloud Security Service). Todos los clientes que tengan un Servicio de seguridad de nube de Palo Alto configurado en "Servicio de seguridad de nube genérico" (Generic Cloud Security Service) deberán trasladarse a la nueva plantilla "Servicio de Seguridad de Nube de Symantec/Palo Alto" (Symantec / Palo Alto Cloud Security Service).
    • Servicio de seguridad de nube Zscaler
    1. Si seleccionó el Servicio de seguridad de nube como tipo de servicio "genérico" (Generic) o Symantec/Palo Alto, configure los siguientes detalles necesarios y haga clic en Agregar (Add).
      Opción Descripción
      Nombre del servicio (Service Name) Introduzca un nombre descriptivo para el servicio de seguridad de nube.
      Servidor/punto de presencia principal (Primary Point-of-Presence/Server) Introduzca la dirección IP o el nombre de host del servidor principal.
      Servidor/punto de presencia secundario (Secondary Point-of-Presence/Server) Introduzca la dirección IP o el nombre de host del servidor secundario. Esta acción es opcional.
    2. Si seleccionó el servicio de seguridad de nube Zscaler (Zscaler Cloud Security Service) como Tipo de servicio (Service Type), puede elegir entre la implementación manual y la implementación de automatización al seleccionar la casilla de verificación Automatizar la implementación de Cloud Service (Automate Cloud Service Deployment). Además, puede configurar ajustes adicionales, como los detalles de comprobación de estado de nube Zscaler y capa 7 para determinar y supervisar el estado del servidor Zscaler.
    Configurar túneles automáticos desde SD-WAN Edge a Zscaler
    En esta sección se describe cómo crear automáticamente un túnel de GRE o IPsec desde SD-WAN Edge a un proveedor de servicios Zscaler.
    1. En la ventana Nuevo proveedor de seguridad de nube (New Cloud Security Provider), introduzca un nombre de servicio.
    2. Seleccione la casilla de verificación Automatizar la implementación de Cloud Service (Automate Cloud Service Deployment).
    3. Seleccione GRE o protocolo IPsec para establecer el túnel.
      Nota: La cantidad total de túneles GRE de CSS Zscaler que se pueden configurar por cliente depende de la suscripción del cliente a Zscaler. El valor predeterminado es 100.
    4. Configure otros detalles, como Preferencia doméstica (Domestic Preference), Nube Zscaler (Zscaler Cloud), Nombre de usuario de administrador de socio (Partner Admin Username), Contraseña (Password), Clave de socio (Partner Key) y Dominio (Domain) según se describe en la siguiente tabla.
      Opción Descripción
      Preferencia doméstica Habilite esta opción para priorizar los centros de datos de Zscaler del país de origen de la dirección IP, incluso si están más lejos de los otros centros de datos Zscaler.
      Nota: Esta opción solo se puede configurar si se selecciona GRE para establecer túneles.
      Nube Zscaler (Zscaler Cloud) Seleccione un servicio de nube Zscaler en el menú desplegable o introduzca el nombre del servicio de nube Zscaler en el cuadro de texto.
      Nombre de usuario de administrador de socio (Partner Admin Username) Introduzca el nombre de usuario proporcionado del administrador asociado.
      Contraseña de administrador de socio (Partner Admin Password) Introduzca contraseña proporcionada del administrador asociado.
      Clave de asociado (Partner Key) Introduzca la clave de asociado proporcionada.
      Dominio (Domain) Introduzca el nombre de dominio en el que se implementará el servicio de nube.
    5. Haga clic en Validar credenciales (Validate Credentials). Si la validación se realiza correctamente, se habilitará el botón Agregar (Add).
      Nota: Debe validar las credenciales para agregar un nuevo proveedor de CSS.
    6. Configure los siguientes detalles de comprobación de estado de capa 7 (L7) para supervisar el estado del servidor Zscaler.
      Opción Descripción
      Comprobación de estado de capa 7 (L7 Health Check) Active la casilla de verificación para habilitar la comprobación de estado de capa 7 para el proveedor del Servicio de seguridad de nube (Cloud Security Service) de Zscaler, con los detalles de sondeo predeterminados (intervalo de sondeo HTTP = 5 segundos, número de reintentos = 3, umbral de RTT = 3000 milisegundos). De forma predeterminada, la comprobación de estado de L7 no está habilitada.
      Nota: No se admite la configuración de los detalles del sondeo de comprobación de estado.
      Nota: Para una instancia de Edge o un perfil determinados, un usuario no puede anular los parámetros de comprobación de estado de capa 7 configurados en el servicio de red.
      Intervalo de sondeo de HTTP (HTTP Probe Interval) La duración del intervalo entre sondeos de HTTP individuales. El intervalo de sondeo predeterminado es de 5 segundos.
      Número de reintentos (Number of Retries) Especifica el número de reintentos de sondeo permitidos antes de marcar el servicio en la nube como INACTIVO (DOWN). El valor predeterminado es 3.
      Umbral de RTT (RTT Threshold) El umbral de Tiempo de ida y vuelta (Round Trip Time, RTT), expresado en milisegundos, utilizado para calcular el estado del servicio de nube. El servicio de nube se marca como FUERA DE SERVICIO (DOWN) si el RTT medido se encuentra por encima del umbral configurado. El valor predeterminado es 3000 milisegundos.
      URL de inicio de sesión de Zscaler (Zscaler Login URL) Introduzca la URL de inicio de sesión y haga clic en Iniciar sesión en Zscaler (Login to Zscaler). Se le redirigirá al portal de administración de Zscaler de la nube Zscaler seleccionada.
      Nota: El botón Iniciar sesión en Zscaler (Login to Zscaler) estará activado si introdujo la URL de inicio de sesión de Zscaler.
    7. Si desea iniciar sesión en el portal de administración de Zscaler desde Orchestrator, introduzca la URL de inicio de sesión de Zscaler y, a continuación, haga clic en Iniciar sesión en Zscaler (Login to Zscaler). Se le redirigirá al portal de administración de Zscaler de la nube Zscaler seleccionada.
      Nota: El botón Iniciar sesión en Zscaler (Login to Zscaler) estará activado si introdujo la URL de inicio de sesión de Zscaler.
    Nota: Para obtener más información sobre la automatización del servicio de seguridad de nube Zscaler, consulte la Guía de implementación de Zscaler y VMware SD-WAN.
    Nota: Para obtener detalles específicos sobre cómo Zscaler determina las mejores direcciones IP virtuales (VIP) del centro de datos que se utilizarán para establecer túneles VPN de IPsec, consulte el tema sobre la Integración de la API de SD-WAN para el aprovisionamiento de túneles VPN de IPsec.
    Configurar túneles manuales desde SD-WAN Edge a Zscaler
    En esta sección se describe cómo crear manualmente un túnel de GRE o IPsec desde SD-WAN Edge a un proveedor de servicios Zscaler. A diferencia de los túneles automáticos, para configurar túneles manuales debe especificar un destino de túnel para que muestre los túneles.
    1. En la ventana Nuevo proveedor de seguridad de nube (New Cloud Security Provider), introduzca un nombre de servicio.
    2. Introduzca la dirección IP o el nombre de host del servidor principal.
    3. Opcionalmente, puede introducir la dirección IP o el nombre de host del servidor secundario.
    4. Seleccione un servicio de nube Zscaler en el menú desplegable o introduzca el nombre del servicio de nube Zscaler en el cuadro de texto.
    5. Configure otros parámetros como desee y, a continuación, haga clic en Agregar (Add).
    Nota: Si seleccionó Servicio de seguridad de nube Zscaler (Zscaler Cloud Security Service) como Tipo de servicio (Service Type) y planea asignar un túnel GRE, se recomienda introducir solo la dirección IP en el servidor principal y secundario en lugar del nombre de host, ya que GRE no es compatible con los nombres de host.

Resultados

Los servicios de seguridad de nube configurados se muestran en el área Servicio de seguridad de nube (Cloud Security Service) de la ventana Servicios de red (Network Services).

Qué hacer a continuación

Asocie el servicio de seguridad de nube con un perfil o una instancia de Edge: