Le service de sécurité cloud établit un tunnel sécurisé entre un dispositif Edge et les sites du service de sécurité cloud. Cela garantit un flux de trafic sécurisé vers les services de sécurité cloud.

Pour configurer un service de sécurité cloud, effectuez les étapes suivantes.

Procédure

  1. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Services réseau (Network Services).
  2. Dans la section Service de sécurité cloud (Cloud Security Service), cliquez sur Nouveau (New).
  3. Dans la fenêtre Nouveau fournisseur de sécurité cloud (New Cloud Security Provider), sélectionnez un type de service dans le menu déroulant.
    1. Si vous avez sélectionné le service de sécurité cloud « Générique » (Generic) ou « Web de Symantec » comme type de service, configurez les informations requises suivantes et cliquez sur Ajouter (Add).
      Option Description
      Nom du service (Service Name) Entrez un nom descriptif pour le service de sécurité cloud.
      Point de présence/serveur principal (Primary Point-of-Presence/Server) Entrez l'adresse IP ou le nom d'hôte du serveur principal.
      Point de présence/serveur secondaire (Secondary Point-of-Presence/Server) Entrez l'adresse IP ou le nom d'hôte du serveur secondaire. Cela est facultatif.
    2. Si vous avez sélectionné le service de sécurité cloud Zscaler comme type de service, vous pouvez choisir entre le déploiement manuel et le déploiement automatisé en cochant la case Automatiser le déploiement du service Cloud (Automate Cloud Service Deployment). En outre, vous pouvez configurer des paramètres supplémentaires tels que les informations sur le contrôle de santé du cloud Zscaler et de couche 7 (L7) pour déterminer et surveiller la santé du serveur Zscaler.
    Configurer les tunnels automatiques d'un dispositif SD-WAN Edge vers Zscaler
    Cette section décrit comment créer automatiquement un tunnel GRE ou IPsec d'un dispositif SD-WAN Edge vers le fournisseur de services Zscaler.
    1. Dans la fenêtre Nouveau fournisseur de sécurité cloud (New Cloud Security Provider), entrez un nom de service.
    2. Cochez la case Automatiser le déploiement du service Cloud (Automate Cloud Service Deployment).
    3. Sélectionnez le protocole GRE ou IPsec pour l'établissement du tunnel.
      Note : Le nombre total de tunnels CSS Zscaler GRE pouvant être configurés par client dépend de l'abonnement du client sur Zscaler. La valeur par défaut est de 100.
    4. Configurez des informations supplémentaires telles que Préférence domestique (Domestic Preference), Cloud Zscaler (Zscaler Cloud), Nom d'utilisateur admin partenaire (Partner Admin Username), Mot de passe (Password), Clé API (API Key) et Domaine (Domain), comme décrit dans le tableau suivant.
      Option Description
      Préférence domestique (Domestic Preference) Activez cette option pour donner la priorité aux centres de données Zscaler du pays d'origine de l'adresse IP, même s'ils sont plus éloignés des autres centres de données Zscaler.
      Note : Cette option est configurable uniquement si GRE est sélectionné pour l'établissement de tunnels.
      Cloud Zscaler (Zscaler Cloud) Sélectionnez un service cloud Zscaler dans le menu déroulant ou entrez le nom du service cloud Zscaler dans la boîte de texte.
      Nom d'utilisateur admin partenaire Entrez le nom d'utilisateur provisionné de l'administrateur partenaire.
      Mot de passe de l'administrateur partenaire (Partner Admin Password) Entrez le mot de passe provisionné de l'administrateur partenaire.
      Note : À partir de la version 4.5, l'utilisation du caractère spécial « < » dans le mot de passe n'est plus prise en charge. Si les utilisateurs ont déjà utilisé « < » dans leurs mots de passe dans les versions précédentes, ils doivent le supprimer pour enregistrer les modifications sur la page.
      Clé du partenaire (Partner Key) Entrez la clé provisionnée du partenaire.
      Domaine (Domain) Entrez le nom de domaine sur lequel le service cloud doit être déployé.
    5. Cliquez sur Valider les informations d'identification (Validate Credentials). Si la validation réussit, le bouton Ajouter (Add) est activé.
      Note : Vous devez valider les informations d'identification pour ajouter un nouveau fournisseur CSS.
    6. Facultatif : configurez les informations suivantes sur le contrôle de santé L7 pour surveiller la santé du serveur Zscaler.
      Note : La fonctionnalité de contrôle de santé L7 teste l'accessibilité HTTP au serveur principal Zscaler. Lors de l'activation du contrôle de santé L7, le dispositif Edge envoie des sondes HTTP L7 à une destination Zscaler (exemple : http://<zscaler cloud>/vpntest) qui correspond au serveur principal de Zscaler pour le contrôle de santé HTTP. Cette méthode est une amélioration par rapport à l'utilisation du keep-alive au niveau du réseau (GRE ou IPsec), car cette méthode teste uniquement l'accessibilité réseau au serveur frontal d'un serveur Zscaler.

      Si aucune réponse L7 n'est reçue après 3 tentatives successives, ou en cas d'erreur HTTP, le tunnel principal est marqué comme « Inactif » (Down) et le dispositif Edge tente de basculer le trafic Zscaler vers le tunnel passif (si disponible). Si le dispositif Edge bascule sur le trafic Zscaler vers le tunnel passif, celui-ci devient le nouveau tunnel principal.

      Dans le cas improbable où le contrôle de santé L7 marquerait à la fois les tunnels principal et passif comme étant « Inactifs » (Down), le dispositif Edge route le trafic Zscaler à l'aide d'une stratégie de backhaul conditionnel (si une telle stratégie a été configurée).

      Le dispositif Edge envoie uniquement des sondes L7 sur le tunnel principal vers le serveur principal, jamais sur le tunnel passif.

      Option Description
      Contrôle de santé L7 (L7 Health Check) Cochez cette case pour activer le contrôle de santé L7 du fournisseur du service de sécurité cloud Zscaler, avec les détails de la sonde par défaut (Intervalle de sonde HTTP = 5 secondes, Nombre de nouvelles tentatives = 3, Seuil RTT = 3 000 millisecondes). Par défaut, le contrôle de santé L7 n'est pas activé.
      Note : La configuration des détails de la sonde de contrôle de santé n'est pas prise en charge.
      Note : Pour un dispositif Edge/profil donné, un utilisateur ne peut pas remplacer les paramètres du contrôle de santé L7 configurés dans le service réseau.
      Intervalle de sonde HTTP (HTTP Probe Interval) Durée de l'intervalle entre les sondes HTTP individuelles. L'intervalle de sonde par défaut est de 5 secondes.
      Nombre de nouvelles tentatives (Number of Retries) Spécifie le nombre de nouvelles tentatives de sondes autorisées avant de marquer le service cloud comme inactif (DOWN). La valeur par défaut est de 3.
      Seuil RTT (RTT Threshold) Seuil de temps aller-retour (RTT), exprimé en millisecondes, utilisé pour calculer l'état du service cloud. Le service cloud est marqué comme INACTIF (DOWN) si le RTT mesuré dépasse le seuil configuré. La valeur par défaut est de 3000 millisecondes.
      URL de connexion Zscaler (Zscaler Login URL) Entrez l'URL de connexion, puis cliquez sur Connexion à Zscaler (Login to Zscaler). Cela vous redirigera vers le portail d'administration de Zscaler du cloud Zscaler sélectionné.
      Note : Le bouton Connexion à Zscaler (Login à Zscaler) sera activé si vous avez entré l'URL de connexion Zscaler.
    7. Pour vous connecter au portail d'administration de Zscaler à partir d'Orchestrator, entrez l'URL de connexion Zscaler, puis cliquez sur Connexion à Zscaler (Login to Zscaler). Cela vous redirigera vers le portail d'administration de Zscaler du cloud Zscaler sélectionné.
      Note : Le bouton Connexion à Zscaler (Login à Zscaler) sera activé si vous avez entré l'URL de connexion Zscaler.
    Note : Pour plus d'informations sur l'automatisation CSS de Zscaler, reportez-vous au Guide de déploiement de Zscaler et de VMware SD-WAN.
    Note : Pour plus d'informations sur la manière dont Zscaler détermine les meilleures adresses IP virtuelles (VIP) du centre de données à utiliser pour l'établissement de tunnels VPN IPsec, reportez-vous à la section Intégration de l'API SD-WAN pour le provisionnement du tunnel VPN IPsec.
    Configurer les tunnels manuels de SD-WAN Edge vers Zscaler
    Cette section décrit comment créer manuellement un tunnel GRE ou IPsec du dispositif SD-WAN Edge vers le fournisseur de services Zscaler. Contrairement aux tunnels automatiques, la configuration de tunnels manuels vous oblige à spécifier une destination de tunnel pour mettre en place les tunnels.
    1. Dans la fenêtre Nouveau fournisseur de sécurité cloud (New Cloud Security Provider), entrez un nom de service.
    2. Entrez l'adresse IP ou le nom d'hôte du serveur principal.
    3. Vous pouvez entrer éventuellement l'adresse IP ou le nom d'hôte du serveur secondaire.
    4. Sélectionnez un service cloud Zscaler dans le menu déroulant ou entrez le nom du service cloud Zscaler dans la boîte de texte.
    5. Configurez d'autres paramètres comme vous le souhaitez, puis cliquez sur le bouton Ajouter (Add).
    Note : Si vous avez sélectionné Service de sécurité cloud Zscaler (Zscaler Cloud Security Service) comme type de service et que vous envisagez d'attribuer un tunnel GRE, il est recommandé d'entrer uniquement l'adresse IP dans les serveurs principal et secondaire, et pas le nom d'hôte, car GRE ne prend pas en charge les noms d'hôtes.

Résultats

Les services de sécurité cloud configurés s'affichent sous la zone Service de sécurité cloud (Cloud Security Service) dans la fenêtre Services réseau (Network Services).

Que faire ensuite

Associer le service de sécurité cloud à un profil ou à un dispositif Edge :