El Servicio de seguridad de nube (CSS) establece un túnel seguro desde una instancia de Edge hasta los sitios del servicio de seguridad de nube. Esto garantiza un flujo de tráfico seguro a los servicios de seguridad de nube.
Procedimiento
- En el servicio de SD-WAN del portal de empresas, haga clic en Configurar (Configure) > Servicios de red (Network Services).
- En la página Servicios de red (Network Services), desplácese hasta Destinos que no son de SD-WAN a través de Edge (Non SD-WAN Destinations via Edge) > Servicio de seguridad de nube (Cloud Security Service), haga clic en Nuevo (New).
- En la ventana Nuevo proveedor de seguridad de nube (New Cloud Security Provider), seleccione un tipo de servicio en el menú desplegable. VMware SD-WAN admite los siguientes tipos de CSS:
- Servicio de seguridad de nube genérico
- Servicio de Seguridad de Nube de Symantec/Palo Alto
Nota: A partir de la versión 5.0.0, el Servicio de seguridad de nube de Palo Alto se configura en la nueva plantilla de tipo de servicio "Servicio de Seguridad de Nube de Symantec/Palo Alto" (Symantec / Palo Alto Cloud Security Service). Todos los clientes que tengan un Servicio de seguridad de nube de Palo Alto configurado en "Servicio de seguridad de nube genérico" (Generic Cloud Security Service) deberán trasladarse a la nueva plantilla "Servicio de Seguridad de Nube de Symantec/Palo Alto" (Symantec / Palo Alto Cloud Security Service).
- Servicio de seguridad de nube Zscaler
- Si seleccionó el Servicio de seguridad de nube como tipo de servicio "genérico" (Generic) o Symantec/Palo Alto, configure los siguientes detalles necesarios y haga clic en Agregar (Add).
Opción Descripción Nombre del servicio (Service Name) Introduzca un nombre descriptivo para el servicio de seguridad de nube. Servidor/punto de presencia principal (Primary Point-of-Presence/Server) Introduzca la dirección IP o el nombre de host del servidor principal. Servidor/punto de presencia secundario (Secondary Point-of-Presence/Server) Introduzca la dirección IP o el nombre de host del servidor secundario. Esta acción es opcional. - Si seleccionó el servicio de seguridad de nube Zscaler (Zscaler Cloud Security Service) como Tipo de servicio (Service Type), puede elegir entre la implementación manual y la implementación automatizada al seleccionar la casilla de verificación Automatizar la implementación de Cloud Service (Automate Cloud Service Deployment). Además, puede configurar ajustes adicionales, como los detalles de comprobación de estado de nube Zscaler y capa 7 para determinar y supervisar el estado del servidor Zscaler.
En esta sección se describe cómo crear automáticamente un túnel de GRE o IPsec desde SD-WAN Edge a un proveedor de servicios Zscaler.Configurar túneles manuales desde SD-WAN Edge a Zscaler- En la ventana Nuevo proveedor de seguridad de nube (New Cloud Security Provider), introduzca un nombre de servicio.
- Seleccione la casilla de verificación Automatizar la implementación de Cloud Service (Automate Cloud Service Deployment).
- Seleccione GRE o protocolo IPsec para establecer el túnel.
Nota: La cantidad total de túneles GRE de CSS Zscaler que se pueden configurar por cliente depende de la suscripción del cliente a Zscaler. El valor predeterminado es 100.
- Configure otros detalles, como Preferencia doméstica (Domestic Preference), Nube Zscaler (Zscaler Cloud), Nombre de usuario de administrador de socio (Partner Admin Username), Contraseña (Password), Clave de socio (Partner Key) y Dominio (Domain) según se describe en la siguiente tabla.
Opción Descripción Preferencia doméstica Habilite esta opción para priorizar los centros de datos de Zscaler del país de origen de la dirección IP, incluso si están más lejos de los otros centros de datos Zscaler. Nota: Esta opción solo se puede configurar si se selecciona GRE para establecer túneles.Nube Zscaler (Zscaler Cloud) Puede elegir utilizar las nubes existentes de Zscaler o una nube nueva nube de Zscaler. Si decide utilizar la nube existente, seleccione un servicio de nube de Zscaler en el menú desplegable. En el caso de la nube nueva de Zscaler, debe introducir el nombre del servicio de nube Zscaler en el cuadro de texto. Nombre de usuario de administrador de socio (Partner Admin Username) Introduzca el nombre de usuario proporcionado del administrador asociado. Contraseña de administrador de socio (Partner Admin Password) Introduzca contraseña proporcionada del administrador asociado. Nota: A partir de la versión 4.5, ya no se admite el uso del carácter especial "<" en la contraseña. En los casos en los que los usuarios ya hayan utilizado "<" en sus contraseñas en versiones anteriores, deben eliminar el carácter para guardar los cambios en la página.Clave de asociado (Partner Key) Introduzca la clave de asociado proporcionada. Dominio (Domain) Introduzca el nombre de dominio en el que se implementará el servicio de nube. Subnube Este es un parámetro opcional que los clientes de Acceso a Internet de Zscaler (ZIA) utilizan para tener un grupo personalizado de centros de datos para fines de ubicación geográfica. Nota: Esta opción está disponible en el modo de implementación automatizada de CSS Zscaler si IPsec está seleccionado para establecer túneles. - Haga clic en Validar credenciales (Validate Credentials). Si la validación se realiza correctamente, se activará el botón Guardar cambios (Save Changes).
Nota: Debe validar las credenciales para agregar un nuevo proveedor de CSS.
- Configure los siguientes detalles de Comprobación de estado de capa 7 (L7 Health Check) para supervisar el estado del servidor Zscaler.
Nota: La función Comprobación de estado de capa 7 (L7 Health Check) prueba la accesibilidad HTTP al servidor back-end de Zscaler. Después de habilitar Comprobación de estado de capa 7 (L7 Health Check), Edge envía los sondeos de capa 7 HTTP a un destino Zscaler (por ejemplo: http://<nube_zscaler>/vpntest) que es el servidor back-end de Zscaler para la comprobación de estado HTTP. Este método es una mejora en comparación con el uso de la conexión persistente a nivel de red (GRE o IPsec) porque ese método solo prueba la disponibilidad de la red para el front-end de un servidor Zscaler.
Si no se recibe una respuesta de capa 7 después de 3 reintentos sucesivos o si se produce un error de HTTP, el túnel principal se marcará como "Inactivo" (Down) y la instancia de Edge intentará realizar la conmutación por error del tráfico de Zscaler al túnel en espera (si hay uno disponible). Si la instancia de Edge conmuta correctamente el tráfico de Zscaler al túnel en espera, el modo de espera se convierte en el nuevo túnel principal.
En caso poco probable de que la comprobación de estado de capa 7 marque los túneles principal y en espera como "Inactivo" (Down), la instancia de Edge enrutará el tráfico de Zscaler mediante una directiva de red de retorno condicional (si se configuró dicha directiva).
Edge solo envía sondeos de capa 7 a través del túnel principal hacia el servidor principal, nunca a través del túnel en espera.
Opción Descripción Comprobación de estado de capa 7 (L7 Health Check) Active la casilla de verificación para habilitar la comprobación de estado de capa 7 para el proveedor del Servicio de seguridad de nube (Cloud Security Service) de Zscaler, con los detalles de sondeo predeterminados (intervalo de sondeo HTTP = 5 segundos, número de reintentos = 3, umbral de RTT = 3000 milisegundos). De forma predeterminada, la comprobación de estado de L7 no está habilitada. Nota: No se admite la configuración de los detalles del sondeo de comprobación de estado.Nota: Para una instancia de Edge o un perfil determinados, un usuario no puede anular los parámetros de comprobación de estado de capa 7 configurados en el servicio de red.Intervalo de sondeo de HTTP (HTTP Probe Interval) La duración del intervalo entre sondeos de HTTP individuales. El intervalo de sondeo predeterminado es de 5 segundos. Número de reintentos (Number of Retries) Especifica el número de reintentos de sondeo permitidos antes de marcar el servicio en la nube como INACTIVO (DOWN). El valor predeterminado es 3. Umbral de RTT (RTT Threshold) El umbral de Tiempo de ida y vuelta (Round Trip Time, RTT), expresado en milisegundos, utilizado para calcular el estado del servicio de nube. El servicio de nube se marca como FUERA DE SERVICIO (DOWN) si el RTT medido se encuentra por encima del umbral configurado. El valor predeterminado es 3000 milisegundos. URL de inicio de sesión de Zscaler (Zscaler Login URL) Introduzca la URL de inicio de sesión y haga clic en Iniciar sesión en Zscaler (Login to Zscaler). Se le redirigirá al portal de administración de Zscaler de la nube Zscaler seleccionada. Nota: El botón Iniciar sesión en Zscaler (Login to Zscaler) estará activado si introdujo la URL de inicio de sesión de Zscaler. - Si desea iniciar sesión en el portal de administración de Zscaler desde Orchestrator, introduzca la URL de inicio de sesión de Zscaler y, a continuación, haga clic en Iniciar sesión en Zscaler (Login to Zscaler). Se le redirigirá al portal de administración de Zscaler de la nube Zscaler seleccionada.
Nota: El botón Iniciar sesión en Zscaler (Login to Zscaler) estará activado si introdujo la URL de inicio de sesión de Zscaler.
Nota: Para obtener más información sobre la implementación automatizada del servicio de seguridad de nube Zscaler, consulte la Guía de implementación de Zscaler y VMware SD-WAN.Nota: Para obtener detalles específicos sobre cómo Zscaler determina las mejores direcciones IP virtuales (VIP) del centro de datos que se utilizarán para establecer túneles VPN de IPsec, consulte el tema sobre la Integración de la API de SD-WAN para el aprovisionamiento de túneles VPN de IPsec.En esta sección se describe cómo crear manualmente un túnel de GRE o IPsec desde SD-WAN Edge a un proveedor de servicios Zscaler. A diferencia de los túneles automáticos, para configurar túneles manuales debe especificar un destino de túnel para que muestre los túneles.- En la ventana Nuevo proveedor de seguridad de nube (New Cloud Security Provider), introduzca un nombre de servicio.
- Introduzca la dirección IP o el nombre de host del servidor principal.
- Opcionalmente, puede introducir la dirección IP o el nombre de host del servidor secundario.
- Seleccione un servicio de nube Zscaler en el menú desplegable o introduzca el nombre del servicio de nube Zscaler en el cuadro de texto.
- Configure otros parámetros como desee y, a continuación, haga clic en Guardar cambios (Save Changes).
Nota: Si seleccionó Servicio de seguridad de nube Zscaler (Zscaler Cloud Security Service) como Tipo de servicio (Service Type) y planea asignar un túnel GRE, se recomienda introducir solo la dirección IP en el servidor principal y secundario en lugar del nombre de host, ya que GRE no es compatible con los nombres de host.
Resultados
Qué hacer a continuación
Asocie el servicio de seguridad de nube con un perfil o una instancia de Edge: