Le service de sécurité cloud (CSS, Cloud Security Service) établit un tunnel sécurisé entre un dispositif Edge et les sites du service de sécurité cloud. Cela garantit un flux de trafic sécurisé vers les services de sécurité cloud.
Procédure
- Dans le service SD-WAN du portail d'entreprise, cliquez sur Configurer (Configure) > Services réseau (Network Services).
- Sur la page Services réseau (Network Services), accédez à Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge) > Service de sécurité cloud (Cloud Security Service), puis cliquez sur Nouveau (New).
- Dans la fenêtre Nouveau fournisseur de sécurité cloud (New Cloud Security Provider), sélectionnez un type de service dans le menu déroulant. VMware SD-WAN prend en charge les types de CSS suivants :
- Service de sécurité cloud générique (Generic Cloud Security Service)
- Service de sécurité cloud Symantec/Palo Alto (Symantec / Palo Alto Cloud Security Service)
Note : À partir de la version 5.0.0, le CSS Palo Alto est configuré sous le nouveau modèle de type de service « Service de sécurité cloud Symantec/Palo Alto » (Symantec / Palo Alto Cloud Security Service). Tous les clients disposant d'un CSS Palo Alto existant configuré sous « Service de sécurité cloud générique » (Generic Cloud Security Service) doivent passer au nouveau modèle « Service de sécurité cloud Symantec/Palo Alto » (Symantec / Palo Alto Cloud Security Service).
- Service de sécurité cloud Zscaler
- Si vous avez sélectionné le service de sécurité cloud « Générique » (Generic) ou « Symantec/Palo Alto » comme type de service, configurez les informations requises suivantes et cliquez sur Ajouter (Add).
Option Description Nom du service (Service Name) Entrez un nom descriptif pour le service de sécurité cloud. Point de présence/serveur principal (Primary Point-of-Presence/Server) Entrez l'adresse IP ou le nom d'hôte du serveur principal. Point de présence/serveur secondaire (Secondary Point-of-Presence/Server) Entrez l'adresse IP ou le nom d'hôte du serveur secondaire. Cela est facultatif. - Si vous avez sélectionné le service de sécurité cloud Zscaler comme type de service, vous pouvez choisir entre le déploiement manuel et le déploiement automatisé en cochant la case Automatiser le déploiement du service Cloud (Automate Cloud Service Deployment). En outre, vous pouvez configurer des paramètres supplémentaires tels que les informations sur le contrôle de santé du cloud Zscaler et de couche 7 (L7) pour déterminer et surveiller la santé du serveur Zscaler.
Cette section décrit comment créer automatiquement un tunnel GRE ou IPsec du dispositif SD-WAN Edge vers le fournisseur de services Zscaler.Configurer les tunnels manuels de SD-WAN Edge vers Zscaler- Dans la fenêtre Nouveau fournisseur de sécurité cloud (New Cloud Security Provider), entrez un nom de service.
- Cochez la case Automatiser le déploiement du service Cloud (Automate Cloud Service Deployment).
- Sélectionnez le protocole GRE ou IPsec pour l'établissement du tunnel.
Note : Le nombre total de tunnels CSS Zscaler GRE pouvant être configurés par client dépend de l'abonnement du client sur Zscaler. La valeur par défaut est de 100.
- Configurez des informations supplémentaires telles que Préférence domestique (Domestic Preference), Cloud Zscaler (Zscaler Cloud), Nom d'utilisateur admin partenaire (Partner Admin Username), Mot de passe (Password), Clé du partenaire (Partner Key) et Domaine (Domain), comme décrit dans le tableau suivant.
Option Description Préférence domestique (Domestic Preference) Activez cette option pour donner la priorité aux centres de données Zscaler du pays d'origine de l'adresse IP, même s'ils sont plus éloignés des autres centres de données Zscaler. Note : Cette option est configurable uniquement si GRE est sélectionné pour l'établissement de tunnels.Cloud Zscaler (Zscaler Cloud) Vous pouvez choisir d'utiliser les clouds Zscaler existants ou d'utiliser un nouveau cloud Zscaler. Si vous choisissez d'utiliser le cloud existant, sélectionnez un service cloud Zscaler dans le menu déroulant. Pour un nouveau cloud Zscaler, vous devez entrer le nom du service cloud Zscaler dans la zone de texte.. Nom d'utilisateur admin partenaire Entrez le nom d'utilisateur provisionné de l'administrateur partenaire. Mot de passe de l'administrateur partenaire (Partner Admin Password) Entrez le mot de passe provisionné de l'administrateur partenaire. Note : À partir de la version 4.5, l'utilisation du caractère spécial « < » dans le mot de passe n'est plus prise en charge. Si les utilisateurs ont déjà utilisé « < » dans leurs mots de passe dans les versions précédentes, ils doivent le supprimer pour enregistrer les modifications sur la page.Clé du partenaire (Partner Key) Entrez la clé provisionnée du partenaire. Domaine (Domain) Entrez le nom de domaine sur lequel le service cloud doit être déployé. Cloud secondaire Il s'agit d'un paramètre facultatif que les clients Zscaler Internet Access (ZIA) utilisent pour disposer d'un pool personnalisé de centres de données à des fins de géolocalisation. Note : Cette option est disponible en mode de déploiement automatisé CSS Zscaler, si IPsec est sélectionné pour l'établissement de tunnels. - Cliquez sur Valider les informations d'identification (Validate Credentials). Si la validation réussit, le bouton Enregistrer les modifications (Save Changes) est activé.
Note : Vous devez valider les informations d'identification pour ajouter un nouveau fournisseur CSS.
- Facultatif : configurez les informations suivantes sur le contrôle de santé L7 pour surveiller la santé du serveur Zscaler.
Note : La fonctionnalité de contrôle de santé L7 teste l'accessibilité HTTP au serveur principal Zscaler. Lors de l'activation du contrôle de santé L7, le dispositif Edge envoie des sondes HTTP L7 à une destination Zscaler (exemple : http://<zscaler cloud>/vpntest) qui correspond au serveur principal de Zscaler pour le contrôle de santé HTTP. Cette méthode est une amélioration par rapport à l'utilisation du keep-alive au niveau du réseau (GRE ou IPsec), car cette méthode teste uniquement l'accessibilité réseau au serveur frontal d'un serveur Zscaler.
Si aucune réponse L7 n'est reçue après 3 tentatives successives, ou en cas d'erreur HTTP, le tunnel principal est marqué comme « Inactif » (Down) et le dispositif Edge tente de basculer le trafic Zscaler vers le tunnel passif (si disponible). Si le dispositif Edge bascule sur le trafic Zscaler vers le tunnel passif, celui-ci devient le nouveau tunnel principal.
Dans le cas improbable où le contrôle de santé L7 marquerait à la fois les tunnels principal et passif comme étant « Inactifs » (Down), le dispositif Edge route le trafic Zscaler à l'aide d'une stratégie de backhaul conditionnel (si une telle stratégie a été configurée).
Le dispositif Edge envoie uniquement des sondes L7 sur le tunnel principal vers le serveur principal, jamais sur le tunnel passif.
Option Description Contrôle de santé L7 (L7 Health Check) Cochez cette case pour activer le contrôle de santé L7 du fournisseur du service de sécurité cloud Zscaler, avec les détails de la sonde par défaut (Intervalle de sonde HTTP = 5 secondes, Nombre de nouvelles tentatives = 3, Seuil RTT = 3 000 millisecondes). Par défaut, le contrôle de santé L7 n'est pas activé. Note : La configuration des détails de la sonde de contrôle de santé n'est pas prise en charge.Note : Pour un dispositif Edge/profil donné, un utilisateur ne peut pas remplacer les paramètres du contrôle de santé L7 configurés dans le service réseau.Intervalle de sonde HTTP (HTTP Probe Interval) Durée de l'intervalle entre les sondes HTTP individuelles. L'intervalle de sonde par défaut est de 5 secondes. Nombre de nouvelles tentatives (Number of Retries) Spécifie le nombre de nouvelles tentatives de sondes autorisées avant de marquer le service cloud comme inactif (DOWN). La valeur par défaut est de 3. Seuil RTT (RTT Threshold) Seuil de temps aller-retour (RTT), exprimé en millisecondes, utilisé pour calculer l'état du service cloud. Le service cloud est marqué comme INACTIF (DOWN) si le RTT mesuré dépasse le seuil configuré. La valeur par défaut est de 3000 millisecondes. URL de connexion Zscaler (Zscaler Login URL) Entrez l'URL de connexion, puis cliquez sur Connexion à Zscaler (Login to Zscaler). Cela vous redirigera vers le portail d'administration de Zscaler du cloud Zscaler sélectionné. Note : Le bouton Connexion à Zscaler (Login à Zscaler) sera activé si vous avez entré l'URL de connexion Zscaler. - Pour vous connecter au portail d'administration de Zscaler à partir d'Orchestrator, entrez l'URL de connexion Zscaler, puis cliquez sur Connexion à Zscaler (Login to Zscaler). Cela vous redirigera vers le portail d'administration de Zscaler du cloud Zscaler sélectionné.
Note : Le bouton Connexion à Zscaler (Login à Zscaler) sera activé si vous avez entré l'URL de connexion Zscaler.
Note : Pour plus d'informations sur le déploiement automatisé CSS de Zscaler, reportez-vous au Guide de déploiement de Zscaler et de VMware SD-WAN.Note : Pour plus d'informations sur la manière dont Zscaler détermine les meilleures adresses IP virtuelles (VIP) du centre de données à utiliser pour l'établissement de tunnels VPN IPsec, reportez-vous à la section Intégration de l'API SD-WAN pour le provisionnement du tunnel VPN IPsec.Cette section décrit comment créer manuellement un tunnel GRE ou IPsec d'un dispositif SD-WAN Edge vers le fournisseur de services Zscaler. Contrairement aux tunnels automatiques, la configuration de tunnels manuels vous oblige à spécifier une destination de tunnel pour mettre en place les tunnels.- Dans la fenêtre Nouveau fournisseur de sécurité cloud (New Cloud Security Provider), entrez un nom de service.
- Entrez l'adresse IP ou le nom d'hôte du serveur principal.
- Vous pouvez entrer éventuellement l'adresse IP ou le nom d'hôte du serveur secondaire.
- Sélectionnez un service cloud Zscaler dans le menu déroulant ou entrez le nom du service cloud Zscaler dans la boîte de texte.
- Configurez les autres paramètres selon vos besoins, puis cliquez sur le bouton Enregistrer les modifications (Save Changes).
Note : Si vous avez sélectionné Service de sécurité cloud Zscaler (Zscaler Cloud Security Service) comme type de service et que vous envisagez d'attribuer un tunnel GRE, il est recommandé d'entrer uniquement l'adresse IP dans les serveurs principal et secondaire, et pas le nom d'hôte, car GRE ne prend pas en charge les noms d'hôtes.
Résultats
Que faire ensuite
Associer le service de sécurité cloud à un profil ou à un dispositif Edge :