Une fois que vous avez attribué un profil à un dispositif Edge, celui-ci hérite automatiquement du service de sécurité cloud (CSS) et des attributs configurés dans le profil. Vous pouvez remplacer les paramètres pour sélectionner un autre fournisseur de sécurité du cloud ou modifier les attributs de chaque dispositif Edge.

Pour remplacer la configuration CSS d'un dispositif Edge spécifique, procédez comme suit :

  1. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).
  2. Sélectionnez un dispositif Edge dont vous souhaitez remplacer les paramètres CSS, puis cliquez sur l'icône située sous la colonne Périphérique (Device). La page Paramètres du périphérique (Device Settings) du dispositif Edge sélectionné s'affiche.
  3. Dans la zone Service de sécurité cloud (Cloud Security Service), les paramètres CSS du profil associé s'affichent. Sélectionnez Activer le remplacement au niveau du dispositif Edge (Enable Edge Override) pour sélectionner un autre CSS ou pour modifier les attributs hérités du profil associé au dispositif Edge. Pour plus d'informations sur les attributs, reportez-vous à la section Configurer les services de sécurité cloud pour les profils.
  4. Cliquez sur Enregistrer les modifications (Save Changes) dans la fenêtre Dispositifs Edge (Edges) pour enregistrer les paramètres modifiés.
    Note : Pour le CSS de type Zscaler et Generic, vous devez créer des informations d'identification VPN. Pour le type de CSS Symantec, les informations d'identification VPN ne sont pas nécessaires.

Configuration du fournisseur CSS Zscaler manuel pour les dispositifs Edge

Au niveau du dispositif Edge, pour un fournisseur CSS Zscaler manuel sélectionné, vous pouvez remplacer les paramètres hérités du profil et configurer des paramètres supplémentaires manuellement en fonction du protocole de tunneling sélectionné pour l'établissement du tunnel.

Si vous choisissez de configurer un tunnel IPsec manuellement, indépendamment des attributs hérités, vous devez configurer un nom de domaine complet (FQDN) et une clé prépartagée (PSK) pour la session IPsec.
Note : Les informations d'identification du nom de domaine complet et les adresses IP du point de terminaison de la passerelle du service de sécurité cloud doivent être préalablement configurées dans le service de sécurité cloud tiers.
Configurer les paramètres IPsec
Note : Pour les services de sécurité cloud avec l'URL de connexion Zscaler configurée, le bouton Connexion à Zscaler (Login à Zscaler) s'affiche dans la zone Service de sécurité cloud (Cloud Security Service). Si vous cliquez sur Connexion à Zscaler (Login to Zscaler), vous serez redirigé vers le portail d'administration de Zscaler du cloud Zscaler sélectionné.

Si vous choisissez de configurer un tunnel GRE manuellement, vous devez configurer manuellement les paramètres du tunnel GRE pour utiliser l'interface WAN sélectionnée comme source par le tunnel GRE, en suivant les étapes ci-dessous.

  1. Cliquez sur Ajouter un tunnel (Add Tunnel).
  2. Dans la fenêtre Ajouter un tunnel (Add Tunnel) qui s'affiche, configurez les paramètres de tunnel GRE suivants et cliquez sur OK.
    Option Description
    Liaisons WAN (WAN Links) Sélectionnez l'interface WAN à utiliser comme source par le tunnel GRE.
    Adresse IP publique source du tunnel (Tunnel Source Public IP) Choisissez l'adresse IP à utiliser comme adresse IP publique par le tunnel. Vous pouvez choisir l'adresse IP de liaison WAN ou une adresse IP WAN personnalisée. Si vous choisissez l'adresse IP WAN personnalisée, entrez l'adresse IP à utiliser comme adresse IP publique.
    Point de présence principal (Primary Point-of-Presence) Entrez l'adresse IP publique principale du centre de données Zscaler.
    Point de présence secondaire (Secondary Point-of-Presence) Entrez l'adresse IP publique secondaire du centre de données Zscaler.
    Adresse IP principale/masque du routeur (Primary Router IP/Mask) Entrez l'adresse IP principale du routeur.
    Adresse IP secondaire/masque du routeur (Secondary Router IP/Mask) Entrez l'adresse IP secondaire du routeur.
    Adresse IP principale/masque de ZEN (Primary ZEN IP/Mask) Entrez l'adresse IP principale du dispositif Edge de service public Zscaler interne.
    Adresse IP secondaire/masque de ZEN (Secondary ZEN IP/Mask) Entrez l'adresse IP secondaire du dispositif Edge de service public Zscaler interne.
    Note : L'adresse IP/le masque du routeur et l'adresse IP/le masque de ZEN sont fournis par Zscaler.
    Note : Seul un CSS avec GRE est autorisé par dispositif Edge. Vous ne pouvez pas associer plusieurs segments à un dispositif Edge avec l'automatisation Zscaler GRE activée.

Configuration du fournisseur CSS Zscaler automatisé pour les dispositifs Edge

Au niveau du dispositif Edge, l'intégration de VMware SD-WAN et de Zscaler prend en charge les éléments suivants : Pour un fournisseur CSS Zscaler automatisé sélectionné au niveau du dispositif Edge, vous pouvez remplacer les paramètres CSS hérités du profil, établir des tunnels IPsec/GRE automatiques pour chaque segment de dispositif Edge, créer des sous-emplacements et configurer des options de passerelle et des contrôles de bande passante pour l'emplacement et les sous-emplacements.

Automatisation du tunnel IPsec/GRE

Vous pouvez configurer l'automatisation du tunnel IPsec/GRE pour chaque segment de dispositif Edge. Effectuez les étapes suivantes pour établir des tunnels automatiques à partir d'un dispositif Edge.
  1. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).
  2. Sélectionnez un dispositif Edge pour lequel vous souhaitez établir des tunnels automatiques.
  3. Cliquez sur l'icône sous la colonne Périphérique (Device). La page Paramètres du périphérique (Device Settings) du dispositif Edge sélectionné s'affiche.
  4. Dans la section Service de sécurité cloud (Cloud Security Service), sélectionnez Activer le remplacement au niveau du dispositif Edge (Enable Edge Override).
  5. Dans le menu déroulant Service de sécurité cloud (Cloud Security Service), sélectionnez un fournisseur CSS automatisé et cliquez sur Enregistrer les modifications (Save Changes).

    L'automatisation crée un tunnel dans le segment pour la liaison WAN publique de chaque dispositif Edge avec une adresse IPv4 valide. L'emplacement est automatiquement créé après l'établissement du tunnel. Vous pouvez afficher les détails de l'établissement du tunnel et les liaisons WAN dans la section Service de sécurité cloud (Cloud Security Service), comme indiqué dans la capture d'écran suivante.

    Note : Après l'établissement du tunnel automatique, le remplacement d'un fournisseur de services Zscaler automatisé par un autre fournisseur CSS n'est pas autorisé sur un segment. Pour le dispositif Edge sélectionné sur un segment, vous devez désactiver explicitement le service de sécurité cloud, puis réactiver le CSS si vous souhaitez remplacer le fournisseur de services Zscaler automatisé par un autre fournisseur CSS.

Configuration d'un emplacement/sous-emplacement de Zscaler

Effectuez les étapes suivantes pour créer des sous-emplacements pour le dispositif Edge sélectionné.
Note : Avant de créer un sous-emplacement, assurez-vous que le tunnel est établi à partir du dispositif Edge sélectionné et que l'emplacement est automatiquement créé. Vous n'êtes pas autorisé à créer un sous-emplacement si les informations d'identification VPN ou les options GRE ne sont pas configurées pour le dispositif Edge. Avant de configurer des sous-emplacements, assurez-vous de bien comprendre le concept de sous-emplacement et ses limitations. Reportez-vous à la section https://help.zscaler.com/zia/about-sub-locations.
Note : Avant la version 4.5.0, la configuration d'un sous-emplacement se situe dans la section Service de sécurité cloud (Cloud Security Service) pour chaque segment. Actuellement, Orchestrator permet de configurer les configurations de Zscaler pour l'emplacement et le sous-emplacement de l'ensemble du dispositif Edge dans la section Zscaler de la page Paramètres du périphérique (Device Settings). Pour l'utilisateur existant de l'automatisation des sous-emplacements CSS, les données seront migrées dans le cadre de la mise à niveau d'Orchestrator.
  1. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).
  2. Sélectionnez un dispositif Edge pour lequel vous souhaitez créer un sous-emplacement.
  3. Cliquez sur l'icône sous la colonne Périphérique (Device). La page Paramètres du périphérique (Device Settings) du dispositif Edge sélectionné s'affiche.
  4. Accédez à la section Zscaler et activez le bouton bascule.
  5. Cliquez sur l'icône Développer (Expand) pour afficher la page suivante.

    Si vous cliquez sur Afficher (View) sous la colonne Détails de l'action (Action Details), les valeurs réelles s'affichent pour la configuration extraite de Zscaler, si présentes.

  6. Pour créer un sous-emplacement, dans la table Sous-emplacements (Sub-Locations), cliquez sur l'icône sous la colonne Action.
    1. Dans la zone de texte Nom du sous-emplacement (Sub-Location Name), entrez un nom unique pour le sous-emplacement. Le nom du sous-emplacement doit être unique dans tous les segments pour le dispositif Edge. Le nom ne doit pas dépasser 32 caractères et peut contenir des caractères alphanumériques.
    2. Dans le menu déroulant Réseaux LAN (LAN Networks), sélectionnez un VLAN configuré pour le dispositif Edge. Le sous-réseau du réseau LAN sélectionné est automatiquement renseigné.
      Note : Pour un dispositif Edge sélectionné, les sous-emplacements ne doivent pas disposer d'adresses IP de sous-réseau qui se chevauchent.
    3. Cliquez sur Enregistrer les modifications (Save Changes).
      Note : Une fois que vous avez créé au moins un sous-emplacement dans Orchestrator, un sous-emplacement « Autre » (Other) est automatiquement créé côté Zscaler et s'affiche dans l'interface utilisateur d'Orchestrator. Vous pouvez également configurer les options de la passerelle du sous-emplacement « Autre » (Other) en cliquant sur le bouton Modifier (Edit) sous Options de passerelle (Gateway Options) dans la table Sous-emplacements (Sub-Locations).
    4. Pour configurer les options de passerelle et les contrôles de bande passante pour l'emplacement et le sous-emplacement, cliquez sur le bouton Modifier (Edit) sous Options de passerelle (Gateway Options), dans la table correspondante.
      La fenêtre Options de passerelle Zscaler et contrôle de bande passante (Zscaler Gateway Options and Bandwidth Control) s'affiche.

      Configurez les options de passerelle et les contrôles de bande passante pour l'emplacement et le sous-emplacement, si nécessaire, puis cliquez sur Enregistrer les modifications (Save Changes).

      Note : Les paramètres Options de passerelle Zscaler (Zscaler Gateway Options) et Contrôle de bande passante (Bandwidth Control) qui peuvent être configurés pour les emplacements et les sous-emplacements sont légèrement différents. Toutefois, les paramètres Options de passerelle (Gateway Options) et Contrôle de bande passante (Bandwidth Control) pour les emplacements et les sous-emplacements sont les mêmes que ceux que vous pouvez configurer sur le portail Zscaler. Pour plus d'informations sur les options de passerelle Zscaler et les paramètres de contrôle de bande passante, reportez-vous à la section https://help.zscaler.com/zia/configuring-locations
      Option Description
      Options de passerelle pour un emplacement/sous-emplacement
      Utiliser XFF à partir d'une demande client (Use XFF from Client Request) Activez cette option si l'emplacement utilise le chaînage de proxy pour transférer le trafic vers le service Zscaler et que vous souhaitez que le service découvre l'adresse IP du client à partir des en-têtes X-Forwarded-For (XFF) que votre serveur proxy sur site insère dans les demandes HTTP sortantes. L'en-tête XFF identifie l'adresse IP du client, qui peut être exploitée par le service pour identifier le sous-emplacement du client. À l'aide des en-têtes XFF, le service peut appliquer la stratégie de sous-emplacement appropriée à la transaction, et si l'option Activer la substitution d'adresse IP (Enable IP Surrogate) est activée pour l'emplacement ou le sous-emplacement, la stratégie d'utilisateur appropriée est appliquée à la transaction. Lorsque le service transfère le trafic vers sa destination, il supprime l'en-tête XFF d'origine et le remplace par un en-tête XFF qui contient l'adresse IP de la passerelle client (l'adresse IP publique de l'organisation), ce qui garantit que les adresses IP internes d'une organisation ne sont jamais exposées à l'extérieur.
      Note : Cette option de passerelle n'est configurable que pour l'emplacement parent.
      Activer un avertissement (Enable Caution) Si vous n'avez pas activé Authentification (Authentication), vous pouvez activer cette fonctionnalité pour afficher une notification d'avertissement aux utilisateurs non authentifiés.
      Activer AUP (Enable AUP) Si vous n'avez pas activé Authentification (Authentication), vous pouvez activer cette fonctionnalité pour afficher une stratégie d'utilisation acceptable (AUP) pour le trafic non authentifié et exiger que les utilisateurs l'acceptent. Si vous activez cette fonctionnalité :
      • Dans Fréquence AUP personnalisée (jours) (Custom AUP Frequency [Days]), indiquez la fréquence d'affichage d'AUP en jours aux utilisateurs.
      • Une section Comportement AUP initial (First Time AUP Behavior) s'affiche avec les paramètres suivants :
        • Bloquer l'accès Internet (Block Internet Access) : activez cette fonctionnalité pour désactiver tout accès à Internet, y compris le trafic non-HTTP, jusqu'à ce que l'utilisateur accepte l'AUP qui lui est affichée.
        • Forcer l'inspection SSL (Force SSL Inspection) : activez cette fonctionnalité pour que l'inspection SSL applique une AUP pour le trafic HTTPS.
      Appliquer le contrôle de pare-feu (Enforce Firewall Control) Sélectionnez cette option pour activer le contrôle du pare-feu du service.
      Note : Avant d'activer cette option, l'utilisateur doit s'assurer que son compte Zscaler dispose d'un abonnement pour « Pare-feu basique » (Firewall Basic).
      Activer le contrôle IPS (Enable IPS Control) Si vous avez activé l'option Appliquer le contrôle de pare-feu (Enforce Firewall Control), sélectionnez cette option pour activer les contrôles IPS du service.
      Note : Avant d'activer cette option, l'utilisateur doit s'assurer que son compte Zscaler dispose d'un abonnement pour « Pare-feu basique » (Firewall Basic) et IPS cloud de pare-feu (Firewall Cloud IPS).
      Authentification (Authentication) Activez cette option pour exiger que les utilisateurs de l'emplacement ou du sous-emplacement s'authentifient auprès du service.
      Substitut d'adresse IP (IP Surrogate) Si vous avez activé Authentification (Authentication), sélectionnez cette option si vous souhaitez mapper des utilisateurs à des adresses IP de périphériques.
      Durée d'inactivité pour la dissociation (Idle Time for Dissociation) Si vous avez activé l'option Substitut d'adresse IP (IP Surrogate), spécifiez la durée de rétention du mappage adresse IP-utilisateur après une transaction terminée. Vous pouvez spécifier la durée d'inactivité pour la dissociation en minutes (par défaut), en heures ou en jours.
      • Si l'utilisateur sélectionne l'unité Minutes, la plage autorisée est comprise entre 1 et 43 200.
      • Si l'utilisateur sélectionne l'unité Heures, la plage autorisée est comprise entre 1 et 720.
      • Si l'utilisateur sélectionne l'unité Jours, la plage autorisée est comprise entre 1 et 30.
      Adresse IP de substitution pour les navigateurs connus (Surrogate IP for Known Browsers) Activez cette option pour utiliser le mappage adresse IP-utilisateur existant à l'utilisateur (obtenu à partir de l'adresse IP de substitution) pour authentifier les utilisateurs qui envoient du trafic à partir de navigateurs connus.
      Durée d'actualisation de la revalidation de la substitution (Refresh Time for re-validation of Surrogacy) Si vous avez activé l'option Adresse IP de substitution pour les navigateurs connus (Surrogate IP for Known Browsers), spécifiez la durée pendant laquelle le service Zscaler peut utiliser le mappage adresse IP-utilisateur pour authentifier les utilisateurs qui envoient du trafic à partir de navigateurs connus. Une fois la période définie écoulée, le service actualise et revalide le mappage adresse IP-utilisateur existant afin qu'il puisse continuer à utiliser le mappage pour authentifier les utilisateurs sur les navigateurs. Vous pouvez spécifier la durée d'actualisation de la revalidation de la substitution en minutes (par défaut), en heures ou en jours.
      • Si l'utilisateur sélectionne l'unité Minutes, la plage autorisée est comprise entre 1 et 43 200.
      • Si l'utilisateur sélectionne l'unité Heures, la plage autorisée est comprise entre 1 et 720.
      • Si l'utilisateur sélectionne l'unité Jours, la plage autorisée est comprise entre 1 et 30.
      Option de contrôle de bande passante pour l'emplacement
      Contrôle de bande passante (Bandwidth Control) Activez cette option pour appliquer des contrôles de bande passante pour l'emplacement. Si cette option est activée, spécifiez les limites de bande passante maximales pour le téléchargement (Mbits/s) et le chargement (Mbits/s). Tous les sous-emplacements partageront les limites de bande passante attribuées à cet emplacement.
      Télécharger (Download) Si vous avez activé l'option Contrôle de bande passante (Bandwidth Control), spécifiez les limites de bande passante maximales pour le téléchargement en Mbits/s. La plage autorisée est comprise entre 0,1 et 99 999.
      Charger (Upload) Si vous avez activé l'option Contrôle de bande passante (Bandwidth Control), spécifiez les limites de bande passante maximales pour le chargement en Mbits/s. La plage autorisée est comprise entre 0,1 et 99 999.
      Options de contrôle de bande passante pour le sous-emplacement (si le contrôle de bande passante est activé sur l'emplacement parent)
      Note : Les options de contrôle de bande passante suivantes sont configurables pour le sous-emplacement uniquement si le contrôle de bande passante est activé sur l'emplacement parent. Si le contrôle de bande passante n'est pas activé sur l'emplacement parent, les options de contrôle de bande passante pour le sous-emplacement sont les mêmes que pour l'emplacement (Contrôle de bande passante [Bandwidth Control], Téléchargement [Download], Chargement [Upload]).
      Utiliser la bande passante d'emplacement (Use Location Bandwidth) Si le contrôle de bande passante est activé sur l'emplacement parent, sélectionnez cette option pour activer le contrôle de bande passante sur le sous-emplacement et utiliser les limites de bande passante maximales de téléchargement et de chargement telles que spécifiées pour l'emplacement parent.
      Remplacer (Override) Sélectionnez cette option pour activer le contrôle de bande passante sur le sous-emplacement, puis spécifiez les limites de bande passante maximales pour le téléchargement (Mbits/s) et le chargement (Mbits/s). Cette bande passante est dédiée au sous-emplacement et n'est pas partagée avec d'autres utilisateurs.
      Désactivé (Disabled) Sélectionnez cette option pour exempter le trafic des stratégies de gestion de bande passante. Le sous-emplacement avec cette option ne peut utiliser qu'un maximum de bande passante partagée disponible à un moment donné.
    5. Après avoir créé un sous-emplacement, vous pouvez mettre à jour les configurations de celui-ci à partir de la même page d'Orchestrator. Une fois que vous avez cliqué sur Enregistrer les modifications (Save Changes), les configurations du sous-emplacement côté Zscaler sont automatiquement mises à jour.
    6. Pour supprimer un sous-emplacement, cliquez sur l'icône sous la colonne Action.
      Note : Lorsque le dernier sous-emplacement est supprimé de la table, le sous-emplacement « Autre » (Other) est également supprimé automatiquement.

Limitations

  • Dans la version 4.5.0, lorsqu'un sous-emplacement est créé, Orchestrator enregistre automatiquement le sous-emplacement « Autre » (Other). Dans les versions antérieures d'Orchestrator, le sous-emplacement « Autre » (Other) de Zscaler n'était pas enregistré dans Orchestrator. Après la mise à niveau d'Orchestrator vers la version 4.5.0, le sous-emplacement « Autre » (Other) sera importé automatiquement uniquement après la création d'un nouveau sous-emplacement normal (non-Autre) à l'aide de l'automatisation.
  • Les sous-emplacements Zscaler ne peuvent pas disposer d'adresses IP qui se chevauchent (plages d'adresses IP de sous-réseau). La tentative de modification (d'ajout, de mise à jour ou de suppression) de plusieurs sous-emplacements avec des adresses IP en conflit peut entraîner l'échec de l'automatisation.
  • Les utilisateurs ne peuvent pas mettre à jour la bande passante de l'emplacement et du sous-emplacement en même temps.
  • Les sous-emplacements prennent en charge l'option Utiliser la bande passante d'emplacement (Use Location Bandwidth) pour le contrôle de la bande passante lorsque le contrôle de bande passante de l'emplacement parent est activé. Lorsque l'utilisateur désactive le contrôle de bande passante sur un emplacement parent, Orchestrator ne vérifie pas ni ne met à jour l'option de contrôle de bande passante de sous-emplacement de manière proactive.

Liens associés