Le service de sécurité cloud établit un tunnel sécurisé entre un dispositif Edge et les sites du service de sécurité cloud. Cela garantit un flux de trafic sécurisé vers les services de sécurité cloud.
Pour configurer un fournisseur de sécurité cloud, effectuez les étapes suivantes.
Procédure
Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Services réseau (Network Services).
Dans la section Service de sécurité cloud (Cloud Security Service), cliquez sur Nouveau (New).
Dans la fenêtre Nouveau fournisseur de sécurité Cloud (New Cloud Security Provider), fournissez les détails requis pour configurer un nouveau fournisseur de sécurité cloud.
Option
Description
Nom du service (Service Name)
Entrez un nom descriptif pour le service de sécurité cloud.
Type de service (Service Type)
Sélectionnez l'une des options suivantes :
Service de sécurité cloud générique (Generic Cloud Security Service)
Service de sécurité Web de Symantec (Symantec Web Security Service)
Service de sécurité cloud Zscaler
Point de présence/serveur principal (Primary Point-of-Presence/Server)
Entrez l'adresse IP ou le nom d'hôte du serveur principal.
Point de présence/serveur secondaire (Secondary Point-of-Presence/Server)
Entrez l'adresse IP ou le nom d'hôte du serveur secondaire. Cela est facultatif.
Si vous avez sélectionné
Service de sécurité cloud Zscaler (Zscaler Cloud Security Service) comme
Type de service (Service Type), vous pouvez configurer des paramètres supplémentaires tels que les informations sur le contrôle de santé du cloud Zscaler et de couche 7 (L7) pour déterminer et surveiller la santé du serveur Zscaler. Vous pouvez également choisir d'utiliser un déploiement manuel et un déploiement d'automatisation en cochant
Automatiser le déploiement du service Cloud (Auto cloud Service Deployment).
Note : L'automatisation IPsec d'Edge à Zscaler est uniquement prise en charge et l'automatisation GRE d'Edge à Zscaler n'est actuellement pas prise en charge dans la version 4.3, mais sera disponible dans les versions ultérieures.
Note : Dans le déploiement manuel, si vous avez sélectionné Service de sécurité cloud Zscaler (Zscaler Cloud Security Service) comme type de service et que vous envisagez d'attribuer un tunnel GRE, il est recommandé d'entrer uniquement l'adresse IP dans les serveurs principal et secondaire, et pas le nom d'hôte, car GRE ne prend pas en charge les noms d'hôte.
Configurez les détails supplémentaires suivants si vous choisissez d'automatiser le déploiement du service cloud.
Note : La fonctionnalité de
contrôle de santé L7 teste l'accessibilité HTTP au serveur principal Zscaler. Lors de l'activation du contrôle de santé L7, les sondes HTTP L7 sont envoyées du dispositif Edge vers une destination Zscaler (exemple : http://<zscaler cloud>/vpntest) qui correspond au serveur principal de Zscaler pour le contrôle de santé HTTP. Cette méthode est une amélioration par rapport à l'utilisation du keep-alive au niveau du réseau (GRE ou IPsec), car cette méthode teste uniquement l'accessibilité réseau au serveur frontal d'un serveur Zscaler.
Si aucune réponse L7 n'est reçue après 3 tentatives successives, ou en cas d'erreur HTTP, le tunnel principal est marqué comme « Inactif » (Down) et le dispositif Edge tente de basculer le trafic Zscaler vers le tunnel passif (si disponible). Si le dispositif Edge bascule sur le trafic Zscaler vers le tunnel passif, celui-ci devient le nouveau tunnel principal.
Dans le cas improbable où le contrôle de santé L7 marquerait à la fois les tunnels principal et passif comme étant « Inactifs » (Down), le dispositif Edge route le trafic Zscaler à l'aide d'une stratégie de backhaul conditionnel (si une telle stratégie a été configurée).
Le dispositif Edge envoie uniquement des sondes L7 sur le tunnel principal vers le serveur principal, jamais sur le tunnel passif.
Option
Description
Cloud Zscaler (Zscaler Cloud)
Sélectionnez un service cloud Zscaler dans le menu déroulant ou entrez le nom du service cloud Zscaler dans la boîte de texte.
Nom d'utilisateur admin partenaire
Entrez le nom d'utilisateur provisionné de l'administrateur partenaire.
Mot de passe de l'administrateur partenaire (Partner Admin Password)
Entrez le mot de passe provisionné de l'administrateur partenaire.
Clé du partenaire (Partner Key)
Entrez la clé provisionnée du partenaire.
Domaine (Domain)
Entrez le nom de domaine sur lequel le service cloud doit être déployé.
Contrôle de santé L7 (L7 Health Check)
Cochez cette case pour activer le contrôle de santé L7 du fournisseur du service de sécurité cloud Zscaler, avec les détails de la sonde par défaut (Intervalle de sonde HTTP = 5 secondes, Nombre de nouvelles tentatives = 3, Seuil RTT = 3 000 millisecondes). Par défaut, le contrôle de santé L7 est désactivé.
Note : La configuration des détails de la sonde de contrôle de santé n'est pas prise en charge.
Intervalle de sonde HTTP (HTTP Probe Interval)
Durée de l'intervalle entre les sondes HTTP individuelles. L'intervalle de sonde par défaut est de 5 secondes.
Nombre de nouvelles tentatives (Number of Retries)
Spécifie le nombre de nouvelles tentatives de sondes autorisées avant de marquer le service cloud comme inactif (DOWN). La valeur par défaut est de 3.
Seuil RTT (RTT Threshold)
Seuil de temps aller-retour (RTT), exprimé en millisecondes, utilisé pour calculer l'état du service cloud. Le service cloud est marqué comme INACTIF (DOWN) si le RTT mesuré dépasse le seuil configuré. La valeur par défaut est de 3000 millisecondes.
URL de connexion Zscaler (Zscaler Login URL)
Entrez l'URL de connexion, puis cliquez sur Connexion à Zscaler (Login to Zscaler). Cela vous redirigera vers le portail d'administration de Zscaler du cloud Zscaler sélectionné.
Note : Le bouton
Connexion à Zscaler (Login à Zscaler) sera activé si vous avez entré l'URL de connexion Zscaler.
Note : Pour un dispositif Edge/profil donné, l'utilisateur ne peut pas remplacer les paramètres du contrôle de santé L7 configurés dans le service réseau.
Cliquez sur Ajouter (Add).
Répétez les étapes ci-dessus pour configurer davantage de services de sécurité cloud.
Note : Pour plus d'informations sur la manière dont Zscaler détermine les meilleures adresses IP virtuelles (VIP) du centre de données à utiliser pour l'établissement de tunnels VPN IPsec, reportez-vous à la section
Intégration de l'API SD-WAN pour le provisionnement du tunnel VPN IPsec.
Résultats
Les services de sécurité cloud configurés s'affichent sous la zone
Service de sécurité cloud (Cloud Security Service) dans la fenêtre
Services réseau (Network Services).
Vous pouvez afficher l'état du service depuis
Surveiller (Monitor) > Services réseau (Network Services) > Sites du service de sécurité cloud (Cloud Security Service Sites) > État du service (Service Status).
Pour afficher les statistiques de contrôle de santé de couche 7 (L7) du service de sécurité cloud, accédez à
Surveiller (Monitor) > Dispositifs Edge (Edges).
Note : Dans le déploiement manuel, si vous avez sélectionné Service de sécurité cloud Zscaler (Zscaler Cloud Security Service) comme type de service et que vous envisagez d'attribuer un tunnel GRE, il est recommandé d'entrer uniquement l'adresse IP dans les serveurs principal et secondaire, et pas le nom d'hôte, car GRE ne prend pas en charge les noms d'hôte.
Note : La fonctionnalité de contrôle de santé L7 teste l'accessibilité HTTP au serveur principal Zscaler. Lors de l'activation du contrôle de santé L7, les sondes HTTP L7 sont envoyées du dispositif Edge vers une destination Zscaler (exemple : http://<zscaler cloud>/vpntest) qui correspond au serveur principal de Zscaler pour le contrôle de santé HTTP. Cette méthode est une amélioration par rapport à l'utilisation du keep-alive au niveau du réseau (GRE ou IPsec), car cette méthode teste uniquement l'accessibilité réseau au serveur frontal d'un serveur Zscaler.
