Il servizio di sicurezza cloud stabilisce un tunnel sicuro da un Edge ai siti del servizio di sicurezza cloud. Ciò garantisce il flusso di traffico protetto fino ai servizi di sicurezza cloud.
Per configurare un provider di sicurezza cloud, eseguire i passaggi seguenti.
Procedura
Nel portale dell'azienda, fare clic su Configura (Configure) > Servizi di rete (Network Services).
Nella sezione Servizio di sicurezza cloud (Cloud Security Service), fare clic su Nuovo (New).
Nella finestra Nuovo provider di sicurezza cloud (New Cloud Security Provider), specificare i dettagli necessari per configurare un nuovo provider di sicurezza cloud.
Opzione
Descrizione
Nome servizio (Service Name)
Immettere un nome descrittivo per il servizio di sicurezza cloud.
Tipo di servizio (Service Type)
Selezionare una delle seguenti opzioni:
Servizio di sicurezza cloud generico
Servizio di sicurezza Web Symantec
Servizio di sicurezza cloud Zscaler
Punto di presenza primario/Server primario (Primary Point-of-Presence/Server)
Immettere l'indirizzo IP o il nome host del server primario.
Punto di presenza secondario/Server secondario (Secondary Point-of-Presence/Server)
Immettere l'indirizzo IP o il nome host del server secondario. Questa opzione è facoltativa.
Se si seleziona
Servizio di sicurezza cloud Zscaler (Zscaler Cloud Security Service) come
tipo di servizio, è possibile configurare impostazioni aggiuntive come i dettagli di controllo dello stato del cloud Zscaler e del livello 7 (L7) per stabilire e monitorare l'integrità del server Zscaler. È inoltre possibile scegliere tra la distribuzione manuale e la distribuzione automatica selezionando la casella di controllo
Automatizza distribuzione servizio cloud (Automate Cloud Service Deployment).
Nota: Al momento è supportata solo l'automazione IPSec dall'Edge a Zscaler. L'automazione GRE da Edge a Zscaler non è supportata nella versione 4.3, ma sarà disponibile nelle versioni future.
Nota: Durante la distribuzione manuale, se si seleziona Servizio di sicurezza cloud Zscaler (Zscaler Cloud Security Service) come tipo di servizio e si intende assegnare un tunnel GRE, è consigliabile immettere solo l'indirizzo IP in Server primario (Primary Server) e Server secondario (Secondary Server) e non il nome host, perché GRE non supporta i nomi host.
Se si sceglie di automatizzare la distribuzione del servizio cloud, configurare i dettagli aggiuntivi seguenti.
Nota: La funzionalità
Controllo integrità L7 (L7 Health Check) verifica la raggiungibilità HTTP al server back-end Zscaler. Durante l'abilitazione del controllo integrità L7, i probe HTTP L7 vengono inviati dall'Edge a una destinazione Zscaler (esempio: http://<zscaler cloud>/vpntest) che è il server back-end di Zscaler per il controllo dello stato HTTP. Questo metodo è un miglioramento rispetto all'utilizzo del keep-alive a livello di rete (GRE o IPSec) perché consente di verificare solo la raggiungibilità della rete nel front-end di un server Zscaler.
Se non viene ricevuta una risposta L7 dopo 3 tentativi successivi o se si verifica un errore HTTP, il tunnel primario verrà contrassegnato come Inattivo e l'Edge tenterà di eseguire il failover del traffico Zscaler nel tunnel di standby (se disponibile). Se l'Edge esegue correttamente il failover del traffico Zscaler verso il tunnel di standby, quest'ultimo diventa il nuovo tunnel primario.
Nel caso improbabile che il controllo integrità L7 contrassegni sia i tunnel primario che di standby come Inattivo, l''Edge instrada il traffico Zscaler utilizzando un criterio di backhaul condizionale (se è stato configurato tale criterio).
L'Edge invia solo probe L7 tramite il tunnel primario verso il server primario e mai tramite il tunnel di standby.
Opzione
Descrizione
Cloud Zscaler (Zscaler Cloud)
Selezionare un servizio cloud Zscaler dal menu a discesa o immettere il nome del servizio cloud Zscaler nella casella di testo.
Nome utente amministratore partner (Partner Admin Username)
Immettere il nome utente dell'amministratore partner fornito.
Immettere la password dell'amministratore partner fornita.
Chiave partner (Partner Key)
Immettere la chiave partner fornita.
Dominio (Domain)
Immettere il nome del dominio in cui verrà distribuito il servizio cloud.
Controllo integrità L7 (L7 Health Check)
Selezionare la casella di controllo per abilitare il controllo integrità L7 per il provider del servizio di sicurezza cloud Zscaler con i dettagli del probe predefinito (Intervallo probe HTTP (HTTP Probe interval) = 5 secondi, Numero di tentativi (Number of Retries) = 3, Soglia RTT (RTT Threshold) = 3000 millisecondi). Per impostazione predefinita, il controllo di integrità L7 è disabilitato.
Nota: La configurazione dei dettagli del probe del controllo dello stato non è supportata.
Intervallo probe HTTP (HTTP Probe Interval)
Durata dell'intervallo tra un probe HTTP e l'altro. L'intervallo di probe predefinito è 5 secondi.
N. di tentativi (# of Retries)
Specifica il numero di tentativi di probe consentiti prima di contrassegnare il servizio cloud come INATTIVO. Il valore predefinito è 3.
Soglia RTT (RTT Threshold)
La soglia RTT (Round Trip Time), espressa in millisecondi, utilizzata per calcolare lo stato del servizio cloud. Il servizio cloud viene contrassegnato come INATTIVO se l'RTT misurato è superiore alla soglia configurata. Il valore predefinito è 3000 millisecondi.
URL di accesso a Zscaler
Immettere l'URL di accesso e fare clic su Accedi a Zscaler (Login in Zscaler). Si verrà reindirizzati al portale di amministrazione di Zscaler del cloud Zscaler selezionato.
Nota: Il pulsante
Accedi a Zscaler (Login to Zscaler) è abilitato quando viene immesso l'URL di accesso a Zscaler.
Nota: Per un determinato Edge/profilo, l'utente non può sostituire i parametri del controllo di integrità L7 configurati nel servizio di rete.
Fare clic su Aggiungi (Add).
Ripetere i passaggi precedenti per configurare altri servizi di sicurezza cloud.
I servizi di sicurezza cloud configurati vengono visualizzati nell'area
Servizio di sicurezza cloud (Cloud Security Service) della finestra
Servizi di rete (Network Services).
Puoi visualizzare lo stato del servizio da
Monitora (Monitor) > Servizi di rete (Network Service) > Siti servizio di sicurezza cloud (Cloud Security Service Sites) > Stato servizio (Service Status).
Per visualizzare le statistiche del controllo di integrità di livello 7 (L7) per il servizio di sicurezza cloud, passare a
Monitora (Monitor) > Edge (Edges).
Nota: Durante la distribuzione manuale, se si seleziona Servizio di sicurezza cloud Zscaler (Zscaler Cloud Security Service) come tipo di servizio e si intende assegnare un tunnel GRE, è consigliabile immettere solo l'indirizzo IP in Server primario (Primary Server) e Server secondario (Secondary Server) e non il nome host, perché GRE non supporta i nomi host.
Nota: La funzionalità Controllo integrità L7 (L7 Health Check) verifica la raggiungibilità HTTP al server back-end Zscaler. Durante l'abilitazione del controllo integrità L7, i probe HTTP L7 vengono inviati dall'Edge a una destinazione Zscaler (esempio: http://<zscaler cloud>/vpntest) che è il server back-end di Zscaler per il controllo dello stato HTTP. Questo metodo è un miglioramento rispetto all'utilizzo del keep-alive a livello di rete (GRE o IPSec) perché consente di verificare solo la raggiungibilità della rete nel front-end di un server Zscaler.
