Avant de configurer l'automatisation du dispositif Security Service Edge (SSE), vous devez d'abord configurer les profils IKE et IPsec à utiliser par l'automatisation SSE. Cela est nécessaire pour lancer le tunnel du dispositif Edge vers le cloud Prisma. Il s'agit d'une configuration manuelle à usage unique qui doit être effectuée dans le portail Palo Alto Networks Strata Cloud Manager.

Suivez les étapes ci-dessous pour configurer les profils IKE et IPsec :
Note : Cette procédure est fournie à titre indicatif uniquement.

Conditions préalables

Il n'existe aucun emplacement dédié dans le portail Palo Alto Networks Strata Cloud Manager pour configurer les profils IKE et IPsec. Par conséquent, cette configuration doit être effectuée dans la section de configuration des Réseaux distants (Remote Networks).

Reportez-vous au modèle ci-dessous lorsque vous entrez les valeurs des profils IKE et IPsec :
  • CBC AES 128
  • Groupe DH 14 (Profil de chiffrement IKE) [IKE Crypto Profile]
  • PFS désactivé (Profil de chiffrement IPsec - Groupe DH) [IPsec Crypto Profile - DH Group]
  • SHA 256
  • Durée de vie de la SA IKE (1 440 min) [IKE SA Lifetime (1440 min)]
  • Durée de vie de la SA IPsec (480 min) [IPsec SA Lifetime (480 min)]

Procédure

  1. Connectez-vous au portail Palo Alto Networks Strata Cloud Manager.
    L'écran suivant s'affiche :
  2. Accédez à Workflows > Configuration de Prisma Access > Réseaux distants (Remote Networks) comme indiqué sur la capture d'écran ci-dessus.
    L'écran Configuration des réseaux distants (Remote Networks Setup) s'affiche.
  3. Cliquez sur Ajouter des réseaux distants (Add Remote Networks) dans le coin supérieur droit de l'écran Configuration des réseaux distants (Remote Networks Setup).
  4. Dans l'écran Ajouter des réseaux distants (Add Remote Networks), ignorez les champs obligatoires et accédez directement aux configurations des profils IKE et IPsec en cliquant sur Configurer (Set Up) dans la section Tunnel principal (Primary Tunnel) comme indiqué ci-dessous :
  5. Dans l'écran Créer le tunnel IPsec (Create IPsec Tunnel), cliquez sur Créer (Create).
  6. Ignorez tous les champs obligatoires et faites défiler l'écran vers le bas. Cliquez sur Options avancées IKE (IKE Advanced Options).
  7. Cliquez sur Créer (Create New) dans l'écran Options avancées IKE (IKE Advanced Options).
    Note : Ignorez toutes les options préconfigurées. Vous devez créer un profil IKE à utiliser pour l'automatisation SSE VMware.
  8. Lorsque vous cliquez sur Créer (Create), l'écran suivant s'affiche :
  9. Entrez les valeurs basées sur le modèle fourni dans la section conditions préalables, puis cliquez sur Enregistrer (Save).
  10. Cliquez sur Enregistrer (Save) dans l'écran Options avancées IKE (IKE Advanced Options) pour enregistrer le profil IKE.
    Cette étape vous ramène à l'écran Créer un tunnel IPsec (Create IPsec Tunnel).
  11. Dans l'écran Créer le tunnel IPsec (Create IPsec Tunnel), cliquez sur Options avancées IPsec (IPsec Advanced Options) comme indiqué ci-dessous :
  12. Cliquez sur Créer (Create New) dans l'écran Options avancées IPsec (IPsec Advanced Options).
    Note : Ignorez toutes les options préconfigurées. Vous devez créer un profil IPsec à utiliser pour l'automatisation SSE VMware.
  13. Lorsque vous cliquez sur Créer (Create), l'écran suivant s'affiche :
  14. Entrez les valeurs basées sur le modèle fourni dans la section conditions préalables, puis cliquez sur Enregistrer (Save).
  15. Cliquez sur Enregistrer (Save) dans l'écran Options avancées IPsec (IPsec Advanced Options) pour enregistrer le profil IPsec.

Que faire ensuite

Vous pouvez désormais passer au dispositif VMware Cloud Orchestrator pour configurer le dispositif SSE (Security Service Edge) et initier l'automatisation. Pour plus d'informations, reportez-vous à la section Security Service Edge (SSE).