À partir de la version 5.3.0, VMware SD-WAN prend en charge la fonctionnalité Security Service Edge (SSE). Cette fonctionnalité permet à VMware SD-WAN de s'intégrer facilement à un fournisseur SSE tiers à l'aide de l'automatisation transparente via Orchestrator. Vous pouvez configurer plusieurs intégrations SSE avec le même fournisseur.

Les utilisateurs d'entreprise peuvent désormais configurer Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge) et Abonnement cloud (Cloud Subscription) via la fonctionnalité Security Service Edge (SSE). Pour obtenir la configuration manuelle des services réseau, reportez-vous à la section Configurer les services réseau.
Note : Actuellement, seul le service réseau Destination non-SD-WAN via un dispositif Edge (Non SD-WAN Destination via Edge) est pris en charge.

La fonctionnalité Security Service Edge (SSE) prend actuellement en charge les abonnements PAN Prisma et Symantec. Pour un utilisateur d'entreprise, la fonctionnalité SSE est activée par défaut.

Conditions préalables :
  • Pour l'intégration SSE à PAN Prisma, l'utilisateur d'entreprise doit d'abord créer des profils IKE et IPsec sur le portail Palo Alto Networks Strata Cloud Manager. Ces profils peuvent ensuite être utilisés pour l'intégration SSE. Pour plus d'informations sur la configuration des profils IKE et IPsec sur le portail Palo Alto Networks Strata Cloud Manager, reportez-vous à la section Configuration de Palo Alto Networks Strata Cloud Manager.
  • Pour l'intégration Symantec, l'utilisateur d'entreprise doit d'abord créer un nom d'utilisateur et un mot de passe pour les informations d'identification de l'API configurées dans le portail Symantec Cloud.
Note : L'établissement du tunnel étant une opération asynchrone, la configuration automatisée de SSE (Security Service Edge) peut prendre entre 5 et 30 minutes par tunnel de lien WAN. Ce délai est dû à PAN Prisma.

Avant de créer une Intégration SSE (SSE Integration), vous devez d'abord créer un Abonnement SSE (SSE Subscription).

Abonnements SSE

Pour afficher ou créer un abonnement SSE, procédez comme suit :
  1. Dans le service SD-WAN du portail d'entreprise, cliquez sur Configurer (Configure) > Security Service Edge (SSE).
  2. Cliquez sur l'onglet Abonnements SSE (SSE Subscriptions) sur la page de lancement de Security Service Edge (SSE). L'écran suivant s'affiche :
  3. Dans chaque vignette, cliquez sur Afficher (View) pour afficher les détails de l'abonnement existant. Cliquez sur les trois points verticaux, puis sur Supprimer (Delete) pour supprimer un abonnement.
  4. Pour créer un abonnement, cliquez sur + Nouvel abonnement SSE (New SSE Subscription).
  5. La fenêtre Configurer l'abonnement SSE (Configure SSE Subscription) s'affiche. Vous devez entrer un nom (Name) pour l'abonnement et sélectionner un type d'abonnement (Subscription Type) dans le menu déroulant. Les champs affichés à l'écran varient en fonction du type d'abonnement (Subscription Type) sélectionné.
    L'image et le tableau ci-dessous correspondent au type d'abonnement Prisma Access.
    Option Description
    ID TSG (Tsg Id) Entrez l'ID. Cette valeur doit être un entier positif.
    Nom d'utilisateur (User Name) Entrez un nom d'utilisateur.
    Mot de passe (Password) Entrez un mot de passe.
    Note : À partir de la version 4.5, l'utilisation du caractère spécial « < » dans le mot de passe n'est plus prise en charge. Si les utilisateurs ont déjà utilisé « < » dans leurs mots de passe dans les versions précédentes, ils doivent le supprimer pour enregistrer les modifications sur la page.
    Domaine (Domain) Entrez le domaine de votre entreprise. Exemple : vmware.com
    Note : Ce champ est obligatoire pour la création d'un nom de domaine complet IPsec.
    Note : Les champs ID TSG (Tsg Id), Nom d'utilisateur (User Name) et Mot de passe (Password) doivent correspondre aux valeurs configurées dans le portail Palo Alto Networks Strata Cloud Manager.
    L'image et le tableau ci-dessous s'appliquent au type d'abonnement Symantec.
    Option Description
    Nom d'utilisateur (User Name) Entrez un nom d'utilisateur.
    Mot de passe (Password) Entrez un mot de passe.
    Note : À partir de la version 4.5, l'utilisation du caractère spécial « < » dans le mot de passe n'est plus prise en charge. Si les utilisateurs ont déjà utilisé « < » dans leurs mots de passe dans les versions précédentes, ils doivent le supprimer pour enregistrer les modifications sur la page.
    Type de cloud Actuellement, ce champ affiche Prod. (Prod), qui est la valeur par défaut.
  6. Cliquez sur Valider l'abonnement (Validate Subscription) pour vous assurer que les informations d'identification entrées sont correctes, puis cliquez sur Enregistrer (Save) pour enregistrer l'abonnement configuré.

Intégration SSE

Pour afficher ou créer une intégration SSE, procédez comme suit :
  1. Dans le service SD-WAN du portail d'entreprise, cliquez sur Configurer (Configure) > Security Service Edge (SSE). Par défaut, l'onglet Intégrations SSE (SSE Integrations) s'affiche.
  2. Pour créer une intégration SSE, cliquez sur + Nouvelle intégration SSE (New SSE Integration). L'écran suivant s'affiche :
  3. Sous la section Choisir un abonnement cloud (Choose Cloud Subscription), configurez les options suivantes :
    Option Description
    Type d'abonnement (Subscription Type) Sélectionnez un type d'abonnement pour lequel vous souhaitez configurer une intégration SSE. Les options disponibles sont les suivantes :
    • Prisma Access
    • Symantec (tech preview)
    Abonnement cloud (Cloud Subscription) Sélectionnez un abonnement cloud dans le menu déroulant.

    Seuls les abonnements cloud configurés sous le fournisseur SSE sélectionné dans Type d'abonnement (Subscription Type) s'affichent dans le menu déroulant.

    Ces abonnements cloud sont renseignés en fonction des configurations sous Configurer (Configure) > Security Service Edge (SSE) > Abonnements SSE (SSE Subscriptions).
  4. Cliquez sur Étape suivante (Next Step) pour activer la section suivante.
  5. Les champs affichés sous la section Créer un service réseau (Create Network Service) varient selon le type d'abonnement (Subscription Type) sélectionné.
    L'image et le tableau ci-dessous correspondent au type d'abonnement Prisma Access :
    Option Description
    Nom du service (Service Name) Entrez un nom de service unique.
    Bande passante minimale par tunnel (Mbits/s) (Minimum Bandwidth per Tunnel (Mbps)) Entrez la bande passante requise. La valeur par défaut est de 2.
    Protocole de tunneling (Tunneling Protocol) Par défaut, le protocole de tunneling IPsec est sélectionné. Vous devez sélectionner le Profil de chiffrement IPsec (IPsec Crypto Profile) et le Profil de chiffrement IKE (IKE Crypto Profile) dans les menus déroulants respectifs. Ces menus déroulants sont remplis en fonction des profils créés dans le portail Palo Alto Networks Strata Cloud portail Manager.
    L'image et le tableau ci-dessous s'appliquent au type d'abonnement Symantec :
    Option Description
    Nom du service (Service Name) Entrez un nom de service unique.
    Protocole de tunneling (Tunneling Protocol) Ce champ est défini sur IPsec, qui est le seul protocole pris en charge.
  6. Cliquez sur Créer et continuer (Create and Continue) pour activer la section suivante.
  7. Sous la section Sélectionner un profil ou des dispositifs Edge (Select Profile/Edges), configurez les options suivantes :
    Option Description
    Sélectionner un profil (Select Profile) Sélectionnez un profil Edge SD-WAN dans le menu déroulant.
    Sélectionner un segment (Select Segment) Sélectionnez un segment dans le menu déroulant. Par défaut, Segment global (Global Segment) est sélectionné.
    Note : Vous ne pouvez sélectionner qu'un seul segment pour l'abonnement Prisma, alors qu'il est possible de sélectionner plusieurs segments pour l'abonnement Symantec.
  8. Une fois que vous avez sélectionné Profil (Profile) et Segment, une liste de dispositifs Edge associés au profil sélectionné est renseignée automatiquement. Sélectionnez un ou plusieurs dispositifs Edge pour lesquels vous souhaitez appliquer l'intégration SSE.
  9. Si un dispositif Edge dispose de plus de deux liens WAN, les deux premiers liens WAN sont renseignés automatiquement dans le tableau. Vous pouvez sélectionner les liens WAN que vous souhaitez utiliser pour l'automatisation.
  10. Cliquez sur Valider la configuration du tunnel (Validate Tunnel Configuration). Un avertissement s'affiche en cas de surabonnement de l'un des centres de données.
    Note : Le bouton Valider la configuration du tunnel (Validate Tunnel Configuration) est disponible uniquement pour le type d'abonnement Prisma Access. Dans le déploiement Prisma, vous devez acheter une licence pour ajouter de la capacité de bande passante à un centre de données. Cette licence limite le débit maximal, affichant par là même un avertissement.
  11. Une fois la configuration du tunnel validée, cliquez sur Enregistrer et terminer (Save and Finish). L'intégration SSE récemment créée s'affiche dans la liste sur la page de lancement Security Service Edge (SSE).
  12. Si vous souhaitez modifier l'intégration SSE existante, sélectionnez-la dans la liste et cliquez sur Modifier (Edit). Vous pouvez également cliquer sur le lien du nom de l'intégration SSE pour modifier cette intégration.
  13. Pour supprimer l'intégration SSE, sélectionnez-la dans la liste et cliquez sur Supprimer (Delete).
    Note : Vous ne pouvez pas supprimer les intégrations SSE actuellement utilisées par les dispositifs Edge.
  14. Pour surveiller l'état de l'automatisation, cliquez sur le lien Afficher (View) dans la colonne État du déploiement du tunnel (Tunnel Deployment Status). L'écran suivant s'affiche :

    Les actions createOrUpdateEdgeConfiguration et deleteEdgeConfiguration indiquent que l'automatisation SSE permet de mettre à jour les paramètres du périphérique Orchestrator Edge (Orchestrator Edge Device Settings). Les autres actions concernent les automatisations tierces.

    Note : Vous pouvez également surveiller l'état du déploiement SSE sur les écrans Surveiller (Monitor) > Événements (Events) et Surveiller (Monitor) > Services réseau (Network Services) > Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge). Pour plus d'informations, reportez-vous aux sections Surveiller les événements et Surveiller les services réseau.
  15. Pour vérifier si les tunnels sont actifs, accédez à Surveiller (Monitor) > Dispositifs Edge (Edges) et passez la souris sous la colonne Tunnels du dispositif Edge (Edge Tunnels). Vous pouvez afficher les détails, comme indiqué ci-dessous :

Étape suivante (What to do next) :

Associer l'abonnement Security Service Edge à un dispositif Edge. Pour plus d'informations, reportez-vous à la section Configurer les paramètres du VPN cloud et du tunnel pour les dispositifs Edge.

Pour diriger le trafic réseau vers un cloud d'entreprise spécifique, accédez à Configurer (Configure) > Dispositifs Edge (Edges) > Business Policy. Cliquez sur + Ajouter (Add) pour ajouter une nouvelle règle. Pour plus d'informations, reportez-vous à la section Créer une règle de business policy.