Le service de sécurité cloud établit un tunnel sécurisé entre un dispositif Edge et les sites du service de sécurité cloud. Cela garantit un flux de trafic sécurisé vers les services de sécurité cloud.

Pour configurer un service de sécurité cloud, effectuez les étapes suivantes.

Procédure

  1. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Services réseau (Network Services).
  2. Dans la section Service de sécurité cloud (Cloud Security Service), cliquez sur Nouveau (New).
  3. Dans la fenêtre Nouveau fournisseur de sécurité cloud (New Cloud Security Provider), sélectionnez un type de service dans le menu déroulant.
    1. Si vous avez sélectionné le service de sécurité cloud « Générique » (Generic) ou « Web de Symantec » comme type de service, configurez les informations requises suivantes et cliquez sur Ajouter (Add).
      Option Description
      Nom du service (Service Name) Entrez un nom descriptif pour le service de sécurité cloud.
      Point de présence/serveur principal (Primary Point-of-Presence/Server) Entrez l'adresse IP ou le nom d'hôte du serveur principal.
      Point de présence/serveur secondaire (Secondary Point-of-Presence/Server) Entrez l'adresse IP ou le nom d'hôte du serveur secondaire. Cela est facultatif.
    2. Si vous avez sélectionné le service de sécurité cloud Zscaler comme type de service, vous pouvez choisir entre le déploiement manuel et le déploiement automatisé en cochant la case Automatiser le déploiement du service Cloud (Automate Cloud Service Deployment). En outre, vous pouvez configurer des paramètres supplémentaires tels que les informations sur le contrôle de santé du cloud Zscaler et de couche 7 (L7) pour déterminer et surveiller la santé du serveur Zscaler.
    Configurer les tunnels automatiques de SD-WAN Edge vers Zscaler
    Cette section décrit comment créer automatiquement un tunnel GRE ou IPsec du dispositif SD-WAN Edge vers le fournisseur de services Zscaler.
    1. Dans la fenêtre Nouveau fournisseur de sécurité cloud (New Cloud Security Provider), entrez un nom de service.
    2. Cochez la case Automatiser le déploiement du service Cloud (Automate Cloud Service Deployment).
    3. Sélectionnez le protocole GRE ou IPsec pour l'établissement du tunnel.
      Note : Le nombre total de tunnels CSS Zscaler GRE pouvant être configurés par client dépend de l'abonnement du client sur Zscaler. La valeur par défaut est de 100.
    4. Configurez des informations supplémentaires telles que Préférence domestique (Domestic Preference), Cloud Zscaler (Zscaler Cloud), Nom d'utilisateur admin partenaire (Partner Admin Username), Mot de passe (Password), Clé API (API Key) et Domaine (Domain), comme décrit dans le tableau suivant.
      Option Description
      Préférence domestique (Domestic Preference) Activez cette option pour donner la priorité aux centres de données Zscaler du pays d'origine de l'adresse IP, même s'ils sont plus éloignés des autres centres de données Zscaler.
      Note : Cette option est configurable uniquement si GRE est sélectionné pour l'établissement de tunnels.
      Cloud Zscaler (Zscaler Cloud) Sélectionnez un service cloud Zscaler dans le menu déroulant ou entrez le nom du service cloud Zscaler dans la boîte de texte.
      Nom d'utilisateur admin partenaire Entrez le nom d'utilisateur provisionné de l'administrateur partenaire.
      Mot de passe de l'administrateur partenaire (Partner Admin Password) Entrez le mot de passe provisionné de l'administrateur partenaire.
      Clé du partenaire (Partner Key) Entrez la clé provisionnée du partenaire.
      Domaine (Domain) Entrez le nom de domaine sur lequel le service cloud doit être déployé.
    5. Cliquez sur Valider les informations d'identification (Validate Credentials). Si la validation réussit, le bouton Ajouter (Add) est activé.
      Note : Vous devez valider les informations d'identification pour ajouter un nouveau fournisseur CSS.
    6. Configurez les informations suivantes sur le contrôle de santé L7 pour surveiller la santé du serveur Zscaler.
      Option Description
      Contrôle de santé L7 (L7 Health Check) Cochez cette case pour activer le contrôle de santé L7 du fournisseur du service de sécurité cloud Zscaler, avec les détails de la sonde par défaut (Intervalle de sonde HTTP = 5 secondes, Nombre de nouvelles tentatives = 3, Seuil RTT = 3 000 millisecondes). Par défaut, le contrôle de santé L7 n'est pas activé.
      Note : La configuration des détails de la sonde de contrôle de santé n'est pas prise en charge.
      Note : Pour un dispositif Edge/profil donné, un utilisateur ne peut pas remplacer les paramètres du contrôle de santé L7 configurés dans le service réseau.
      Intervalle de sonde HTTP (HTTP Probe Interval) Durée de l'intervalle entre les sondes HTTP individuelles. L'intervalle de sonde par défaut est de 5 secondes.
      Nombre de nouvelles tentatives (Number of Retries) Spécifie le nombre de nouvelles tentatives de sondes autorisées avant de marquer le service cloud comme inactif (DOWN). La valeur par défaut est de 3.
      Seuil RTT (RTT Threshold) Seuil de temps aller-retour (RTT), exprimé en millisecondes, utilisé pour calculer l'état du service cloud. Le service cloud est marqué comme INACTIF (DOWN) si le RTT mesuré dépasse le seuil configuré. La valeur par défaut est de 3000 millisecondes.
      URL de connexion Zscaler (Zscaler Login URL) Entrez l'URL de connexion, puis cliquez sur Connexion à Zscaler (Login to Zscaler). Cela vous redirigera vers le portail d'administration de Zscaler du cloud Zscaler sélectionné.
      Note : Le bouton Connexion à Zscaler (Login à Zscaler) sera activé si vous avez entré l'URL de connexion Zscaler.
    7. Si vous souhaitez vous connecter au portail d'administration de Zscaler à partir d'Orchestrator, entrez l'URL de connexion Zscaler, puis cliquez sur Connexion à Zscaler (Login to Zscaler). Cela vous redirigera vers le portail d'administration de Zscaler du cloud Zscaler sélectionné.
      Note : Le bouton Connexion à Zscaler (Login à Zscaler) sera activé si vous avez entré l'URL de connexion Zscaler.
    Note : Pour plus d'informations sur l'automatisation CSS de Zscaler, reportez-vous au Guide de déploiement de Zscaler et de VMware SD-WAN.
    Note : Pour plus d'informations sur la manière dont Zscaler détermine les meilleures adresses IP virtuelles (VIP) du centre de données à utiliser pour l'établissement de tunnels VPN IPsec, reportez-vous à la section Intégration de l'API SD-WAN pour le provisionnement du tunnel VPN IPsec.
    Configurer les tunnels manuels de SD-WAN Edge vers Zscaler
    Cette section décrit comment créer manuellement un tunnel GRE ou IPsec du dispositif SD-WAN Edge vers le fournisseur de services Zscaler. Contrairement aux tunnels automatiques, la configuration de tunnels manuels vous oblige à spécifier une destination de tunnel pour mettre en place les tunnels.
    1. Dans la fenêtre Nouveau fournisseur de sécurité cloud (New Cloud Security Provider), entrez un nom de service.
    2. Entrez l'adresse IP ou le nom d'hôte du serveur principal.
    3. Vous pouvez entrer éventuellement l'adresse IP ou le nom d'hôte du serveur secondaire.
    4. Sélectionnez un service cloud Zscaler dans le menu déroulant ou entrez le nom du service cloud Zscaler dans la boîte de texte.
    5. Configurez d'autres paramètres comme vous le souhaitez, puis cliquez sur le bouton Ajouter (Add).
    Note : Si vous avez sélectionné Service de sécurité cloud Zscaler (Zscaler Cloud Security Service) comme type de service et que vous envisagez d'attribuer un tunnel GRE, il est recommandé d'entrer uniquement l'adresse IP dans les serveurs principal et secondaire, et pas le nom d'hôte, car GRE ne prend pas en charge les noms d'hôtes.

Résultats

Les services de sécurité cloud configurés s'affichent sous la zone Service de sécurité cloud (Cloud Security Service) dans la fenêtre Services réseau (Network Services).

Que faire ensuite

Associer le service de sécurité cloud à un profil ou à un dispositif Edge :