Η υπηρεσία ασφαλείας Cloud (CSS) δημιουργεί μια ασφαλή διοχέτευση από ένα Edge στις τοποθεσίες υπηρεσιών ασφαλείας cloud. Αυτό εξασφαλίζει ασφαλή ροή κυκλοφορίας στις υπηρεσίες ασφαλείας cloud.

Για να διαμορφώσετε μια υπηρεσία ασφαλείας Cloud, εκτελέστε τα ακόλουθα βήματα.

Διαδικασία

  1. Στην υπηρεσία SD-WAN της πύλης επιχείρησης, κάντε κλικ στις επιλογές Διαμόρφωση > Υπηρεσίες δικτύου (Configure > Network Services).
  2. Στη σελίδα «Υπηρεσίες δικτύου» (Network Services), μεταβείτε στις επιλογές Προορισμοί μη SD-WAN μέσω Edge > Υπηρεσία ασφαλείας Cloud (Non SD-WAN Destinations via Edge > Cloud Security Service), κάντε κλικ στην επιλογή Νέο (New).
  3. Στο παράθυρο Νέος πάροχος ασφαλείας cloud (New Cloud Security Provider), εισαγάγετε έναν τύπο υπηρεσίας από το αναπτυσσόμενο μενού. Το VMware SD-WAN υποστηρίζει τους ακόλουθους τύπους CSS:
    • Γενική υπηρεσία ασφαλείας cloud
    • Υπηρεσία ασφαλείας Cloud Symantec / Palo Alto
      Σημείωση: Ξεκινώντας από την έκδοση 5.0.0, τα Palo Alto CSS διαμορφώνονται στο νέο πρότυπο τύπου υπηρεσίας «Υπηρεσία ασφαλείας Cloud Symantec / Palo Alto». Όλοι οι πελάτες που έχουν ένα υπάρχον Palo Alto CSS ρυθμισμένο στην ενότητα «Γενική υπηρεσία ασφαλείας Cloud» πρέπει να μετακινηθούν στο νέο πρότυπο «Υπηρεσία ασφαλείας Cloud Symantec / Palo Alto».
    • Υπηρεσία ασφαλείας Cloud Zscaler
    1. Εάν έχετε επιλέξει την υπηρεσία ασφαλείας Cloud «Γενική» (Generic) ή «Symantec / Palo Alto» ως τύπο υπηρεσίας, διαμορφώστε τις ακόλουθες απαιτούμενες λεπτομέρειες και κάντε κλικ στην επιλογή Προσθήκη (Add).
      Επιλογή Περιγραφή
      Όνομα υπηρεσίας (Service Name) Εισαγάγετε ένα περιγραφικό όνομα για την υπηρεσία ασφαλείας cloud.
      Κύριο σημείο παρουσίας/Διακομιστής (Primary Point-of-Presence/Server) Εισαγάγετε τη διεύθυνση IP ή το όνομα κεντρικού υπολογιστή για τον κύριο διακομιστή.
      Δευτερεύον σημείο παρουσίας/Διακομιστής (Secondary Point-of-Presence/Server) Εισαγάγετε τη διεύθυνση IP ή το όνομα κεντρικού υπολογιστή για τον δευτερεύοντα διακομιστή. Αυτό είναι προαιρετικό.
    2. Εάν έχετε επιλέξει την υπηρεσία ασφαλείας Cloud Zscaler ως τύπο υπηρεσίας, τότε μπορείτε να επιλέξετε μεταξύ μη αυτόματης ανάπτυξης και αυτοματοποιημένης ανάπτυξης, επιλέγοντας το πλαίσιο ελέγχου Αυτοματοποίηση ανάπτυξης υπηρεσίας cloud (Automate Cloud Service Deployment). Επίσης, μπορείτε να διαμορφώσετε πρόσθετες ρυθμίσεις, όπως τις λεπτομέρειες ελέγχου εύρυθμης λειτουργίας Zscaler Cloud και Layer 7 (L7) για να προσδιορίζετε και να παρακολουθείτε την εύρυθμη λειτουργία του διακομιστή Zscaler.
    Διαμόρφωση αυτόματων διοχετεύσεων από το SD-WAN Edge στο Zscaler
    Αυτή η ενότητα περιγράφει τον τρόπο αυτόματης δημιουργίας μιας διοχέτευσης GRE ή IPsec από το SD-WAN Edge στον πάροχο υπηρεσιών Zscaler.
    1. Στο παράθυρο Νέος πάροχος ασφαλείας cloud (New Cloud Security Provider), εισαγάγετε ένα όνομα υπηρεσίας.
    2. Επιλέξτε το πλαίσιο ελέγχου Αυτοματοποίηση ανάπτυξης υπηρεσίας cloud (Automate Cloud Service Deployment).
    3. Επιλέξτε πρωτόκολλο GRE ή IPsec για δημιουργία διοχέτευσης.
      Σημείωση: Ο συνολικός αριθμός διοχετεύσεων CSS Zscaler GRE που μπορούν να διαμορφωθούν ανά πελάτη εξαρτάται από τη συνδρομή του πελάτη στο Zscaler. Η προεπιλεγμένη τιμή είναι 100.
    4. Διαμορφώστε πρόσθετα στοιχεία, όπως τοπική προτίμηση, Zscaler Cloud, όνομα χρήστη διαχειριστή συνεργατών, κωδικό πρόσβασης, κλειδί συνεργάτη και τομέα, όπως περιγράφεται στον παρακάτω πίνακα.
      Επιλογή Περιγραφή
      Τοπική προτίμηση (Domestic Preference) Ενεργοποιήστε αυτήν την επιλογή για να δώσετε προτεραιότητα στα κέντρα δεδομένων Zscaler από τη χώρα προέλευσης της διεύθυνσης IP, ακόμη και αν βρίσκονται πιο μακριά από τα άλλα κέντρα δεδομένων Zscaler.
      Σημείωση: Αυτή η επιλογή μπορεί να ρυθμιστεί μόνο εάν έχει επιλεχθεί το GRE για τη δημιουργία διοχετεύσεων.
      Zscaler Cloud (Zscaler Cloud) Μπορείτε να επιλέξετε να χρησιμοποιήσετε τα υπάρχοντα Zscaler Cloud ή να χρησιμοποιήσετε ένα νέο Zscaler Cloud. Εάν επιλέξετε να χρησιμοποιήσετε το υπάρχον cloud, επιλέξτε μια υπηρεσία Zscaler Cloud από το αναπτυσσόμενο μενού. Για το νέο Zscaler Cloud, πρέπει να εισαγάγετε το όνομα της υπηρεσίας Zscaler Cloud στο πλαίσιο κειμένου.
      Όνομα χρήστη συνεργάτη διαχειριστή (Partner Admin Username) Εισαγάγετε το όνομα χρήστη του διαχειριστή συνεργατών που παρέχεται.
      Κωδικός πρόσβασης συνεργάτη διαχειριστή (Partner Admin Password) Εισαγάγετε τον κωδικό πρόσβασης του διαχειριστή συνεργατών που παρέχεται.
      Σημείωση: Ξεκινώντας από την έκδοση 4.5, η χρήση του ειδικού χαρακτήρα «<» στον κωδικό πρόσβασης δεν υποστηρίζεται πλέον. Σε περιπτώσεις όπου οι χρήστες έχουν ήδη χρησιμοποιήσει το «<» στους κωδικούς πρόσβασής τους σε προηγούμενες εκδόσεις, πρέπει να το αφαιρέσουν για να αποθηκεύσουν τυχόν αλλαγές στη σελίδα.
      Κλειδί συνεργάτη (Partner Key) Εισαγάγετε το κλειδί συνεργάτη που παρέχεται.
      Τομέας (Domain) Εισαγάγετε το όνομα τομέα στο οποίο θα αναπτυχθεί η υπηρεσία cloud.
      Sub Cloud Αυτή είναι μια προαιρετική παράμετρος που χρησιμοποιούν οι πελάτες της πρόσβασης στο Internet με Zscaler (ZIA) για να έχουν μια προσαρμοσμένη ομάδα κέντρων δεδομένων για σκοπούς γεωγραφικού εντοπισμού.
      Σημείωση: Αυτή η επιλογή είναι διαθέσιμη στην αυτοματοποιημένη λειτουργία ανάπτυξης CSS Zscaler, εάν είναι επιλεγμένο το IPsec για τη δημιουργία διοχετεύσεων.
    5. Κάντε κλικ στην επιλογή Επικύρωση διαπιστευτηρίων (Validate Credentials). Εάν η επικύρωση είναι επιτυχής, θα ενεργοποιηθεί το κουμπί Αποθήκευση αλλαγών (Save Changes).
      Σημείωση: Πρέπει να επικυρώσετε τα διαπιστευτήρια για να προσθέσετε έναν νέο πάροχο CSS.
    6. Προαιρετικά: Διαμορφώστε τις ακόλουθες λεπτομέρειες του ελέγχου εύρυθμης λειτουργίας L7 για να παρακολουθείτε την εύρυθμη λειτουργία του διακομιστή Zscaler.
      Σημείωση: Η δυνατότητα ελέγχου εύρυθμη λειτουργίας L7 δοκιμάζει την δυνατότητα προσέγγισης HTTP στον διακομιστή backend Zscaler. Με την ενεργοποίηση του ελέγχου εύρυθμης λειτουργίας L7, το Edge στέλνει διερευνήσεις HTTP L7 σε έναν προορισμό Zscaler (Παράδειγμα: http://<zscaler cloud>/vpntest) που είναι ο διακομιστής backend του Zscaler για τον έλεγχο εύρυθμης λειτουργίας HTTP. Αυτή η μέθοδος αποτελεί βελτίωση σε σχέση με τη χρήση διατήρησης εν ενεργεία (keep-alive) σε επίπεδο δικτύου (GRE ή IPsec), καθώς αυτή η μέθοδος ελέγχει μόνο τη δυνατότητα πρόσβασης του δικτύου στο frontend ενός διακομιστή Zscaler.

      Εάν δεν ληφθεί απάντηση L7 μετά από 3 διαδοχικές επαναλήψεις ή εάν υπάρξει σφάλμα HTTP, η πρωτεύουσα διοχέτευση θα επισημανθεί ως «Ανενεργή» (Down) και το Edge θα προσπαθήσει να ανακατευθύνει την κυκλοφορία Zscaler στη διοχέτευση αναμονής (εάν υπάρχει διαθέσιμη). Εάν το Edge ανακατευθυνθεί επιτυχώς από την κυκλοφορία Zscaler στη διοχέτευση αναμονής, η διοχέτευση αναμονής γίνεται η νέα πρωτεύουσα διοχέτευση.

      Στην απίθανη περίπτωση που ο έλεγχος εύρυθμης λειτουργίας L7 επισημαίνει τόσο τις πρωτεύουσες διοχετεύσεις όσο και τις διοχετεύσεις αναμονής ως «Ανενεργές», το Edge θα δρομολογήσει την κυκλοφορία Zscaler χρησιμοποιώντας πολιτική backhaul υπό όρους (εάν έχει διαμορφωθεί μια τέτοια πολιτική).

      Το Edge στέλνει μόνο διερευνήσεις L7 μέσω της πρωτεύουσας διοχέτευσης προς τον κύριο διακομιστή, ποτέ μέσω της διοχέτευσης αναμονής.

      Επιλογή Περιγραφή
      Έλεγχος εύρυθμης λειτουργίας L7 (L7 Health Check) Επιλέξτε το πλαίσιο ελέγχου για να ενεργοποιήσετε τον έλεγχο εύρυθμης λειτουργίας L7 για τον πάροχο Υπηρεσίας ασφαλείας Cloud Zscaler, με προεπιλεγμένα στοιχεία διερεύνησης (διάστημα διερεύνησης HTTP = 5 δευτερόλεπτα, αριθμός επαναλήψεων = 3, όριο RTT = 3000 χιλιοστά του δευτερολέπτου). Από προεπιλογή, ο έλεγχος εύρυθμης λειτουργίας L7 δεν είναι ενεργοποιημένος.
      Σημείωση: Η διαμόρφωση των στοιχείων της διερεύνησης ελέγχου εύρυθμης λειτουργίας δεν υποστηρίζεται.
      Σημείωση: Για ένα δεδομένο Edge/προφίλ, ένας χρήστης δεν μπορεί να παρακάμψει τις παραμέτρους ελέγχου εύρυθμης λειτουργίας L7 που έχουν διαμορφωθεί στην υπηρεσία δικτύου.
      Διάστημα διερεύνησης HTTP (HTTP Probe Interval) Η διάρκεια του διαστήματος μεταξύ μεμονωμένων διερευνήσεων HTTP. Το προεπιλεγμένο διάστημα διερεύνησης είναι 5 δευτερόλεπτα.
      Αριθμός επαναλήψεων (Number of Retries) Καθορίζει τον αριθμό των επαναλήψεων διερευνήσεων που επιτρέπονται πριν από τη σήμανση της υπηρεσίας cloud ως ΑΠΕΝΕΡΓΟΠΟΙΗΜΕΝΟ (DOWN). Η προεπιλεγμένη τιμή είναι 3.
      Όριο RTT (RTT Threshold) Το όριο χρόνου αποστολής και επιστροφής (RTT), εκφραζόμενο σε χιλιοστά του δευτερολέπτου, χρησιμοποιείται για τον υπολογισμό της κατάστασης της υπηρεσίας cloud. Η υπηρεσία cloud επισημαίνεται ως ΑΠΕΝΕΡΓΟΠΟΙΗΜΕΝΟ (DOWN) εάν η μετρούμενη RTT είναι πάνω από το διαμορφωμένο όριο. Η προεπιλεγμένη τιμή είναι 3000 χιλιοστά του δευτερολέπτου.
      URL σύνδεσης Zscaler (Zscaler Login URL) Εισαγάγετε τη διεύθυνση URL σύνδεσης και, στη συνέχεια, κάντε κλικ στην επιλογή Σύνδεση σε Zscaler (Login to Zscaler). Αυτό θα σας ανακατευθύνει στην πύλη διαχείρισης Zscaler του επιλεγμένου Zscaler Cloud.
      Σημείωση: Το κουμπί Σύνδεση σε Zscaler (Login to Zscaler) θα ενεργοποιηθεί, αν έχετε εισαγάγει τη διεύθυνση URL σύνδεσης σε Zscaler.
    7. Εάν θέλετε να συνδεθείτε στην πύλη διαχείρισης Zscaler από το Orchestrator, εισαγάγετε τη διεύθυνση URL σύνδεσης Zscaler και, στη συνέχεια, κάντε κλικ στο κουμπί Σύνδεση σε Zscaler (Login to Zscaler). Αυτό θα σας ανακατευθύνει στην πύλη διαχείρισης Zscaler του επιλεγμένου Zscaler Cloud.
      Σημείωση: Το κουμπί Σύνδεση σε Zscaler (Login to Zscaler) θα ενεργοποιηθεί, αν έχετε εισαγάγει τη διεύθυνση URL σύνδεσης σε Zscaler.
    Σημείωση: Για περισσότερες πληροφορίες σχετικά με την αυτοματοποιημένη ανάπτυξη CSS Zscaler, ανατρέξτε στον Οδηγό ανάπτυξης Zscaler και VMware SD-WAN (Zscaler and VMware SD-WAN Deployment Guide).
    Σημείωση: Για συγκεκριμένες λεπτομέρειες σχετικά με τον τρόπο με τον οποίο το Zscaler καθορίζει τις καλύτερες εικονικές διευθύνσεις IP (VIP) του κέντρου δεδομένων που θα χρησιμοποιηθούν για τη δημιουργία διοχετεύσεων IPsec VPN, ανατρέξτε στο θέμα Ενοποίηση SD-WAN API για την παροχή διοχετεύσεων IPSec VPN (SD-WAN API Integration for IPSec VPN Tunnel Provisioning).
    Διαμόρφωση μη αυτόματων διοχετεύσεων από το SD-WAN Edge στο Zscaler
    Αυτή η ενότητα περιγράφει τον τρόπο μη αυτόματης δημιουργίας μιας διοχέτευσης GRE ή IPsec από ένα SD-WAN Edge σε έναν πάροχο υπηρεσιών Zscaler. Σε αντίθεση με τις αυτόματες διοχετεύσεις, η ρύθμιση μη αυτόματων διοχετεύσεων απαιτεί να καθορίσετε έναν προορισμό διοχέτευσης για την εμφάνιση των διοχετεύσεων.
    1. Στο παράθυρο Νέος πάροχος ασφαλείας cloud (New Cloud Security Provider), εισαγάγετε ένα όνομα υπηρεσίας.
    2. Εισαγάγετε τη διεύθυνση IP ή το όνομα κεντρικού υπολογιστή για τον κύριο διακομιστή.
    3. Προαιρετικά, μπορείτε να εισαγάγετε τη διεύθυνση IP ή το όνομα κεντρικού υπολογιστή για τον δευτερεύοντα διακομιστή.
    4. Επιλέξτε μια υπηρεσία Zscaler Cloud από το αναπτυσσόμενο μενού ή εισαγάγετε το όνομα της υπηρεσίας Zscaler Cloud στο πλαίσιο κειμένου.
    5. Διαμορφώστε τις άλλες παραμέτρους όπως θέλετε και, στη συνέχεια, κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).
    Σημείωση: Εάν έχετε επιλέξει την υπηρεσία ασφαλείας Cloud Zscaler ως τύπο υπηρεσίας και σχεδιάζετε να εκχωρήσετε μια διοχέτευση GRE, συνιστάται να εισαγάγετε μόνο τη διεύθυνση IP στον κύριο και δευτερεύοντα διακομιστή και όχι το όνομα κεντρικού υπολογιστή, καθώς το GRE δεν υποστηρίζει ονόματα κεντρικών υπολογιστών.

Αποτελέσματα

Οι διαμορφωμένες υπηρεσίες ασφαλείας cloud εμφανίζονται στην περιοχή Υπηρεσία ασφαλείας Cloud (Cloud Security Service) στο παράθυρο Υπηρεσίες δικτύου (Network Services).

Επόμενες ενέργειες

Συσχετίστε την υπηρεσία ασφαλείας Cloud με ένα προφίλ ή ένα Edge: