Abilitare il servizio di sicurezza cloud (CSS) per stabilire un tunnel protetto da un Edge ai siti dei servizi di sicurezza cloud. In questo modo il traffico protetto può essere reindirizzato a siti di sicurezza cloud di terze parti. A livello di profilo, l'integrazione di VMware SD-WAN e Zscaler supporta l'automazione dei tunnel IPSec e GRE.
- Assicurarsi di disporre dell'autorizzazione di accesso per configurare i servizi di rete.
- Assicurarsi che SASE Orchestrator disponga della versione 3.3.X o superiore.
- È necessario disporre degli IP dell'endpoint del gateway dei servizi di sicurezza cloud e delle credenziali FQDN configurate nel servizio di sicurezza cloud di terze parti.
- Nel servizio SD-WAN del portale dell'azienda, fare clic su . Nella pagina Profili (Profiles) vengono visualizzati i profili esistenti.
- Fare clic sul link di un profilo o sul link Visualizza (View) nella colonna Dispositivo (Device) del profilo. Le opzioni di configurazione per il profilo selezionato vengono visualizzate nella scheda Dispositivo (Device).
- Nella categoria Servizi VPN (VPN Services) fare clic su Servizio sicurezza cloud (Cloud Security Service) e attivare Servizio di sicurezza cloud (Cloud Security Service) spostando il pulsante di attivazione su On.
- Configurare le impostazioni seguenti:
Opzione Descrizione Servizio di sicurezza cloud (Cloud Security Service) Dal menu a discesa selezionare un servizio di sicurezza cloud da associare al profilo. È inoltre possibile fare clic su Nuovo servizio di sicurezza cloud (New Cloud Security Service) dal menu a discesa per creare un nuovo tipo di servizio. Per ulteriori informazioni su come creare un nuovo CSS, vedere Configurazione di un servizio di sicurezza cloud. Nota: Per i servizi di sicurezza cloud con l'URL di accesso a Zscaler configurato, nell'area Servizio di sicurezza cloud (Cloud Security Service) viene visualizzato il pulsante Accedi a Zscaler (Login to Zscaler). Se si fa clic sul pulsante Accedi a Zscaler (Login to Zscaler), si viene reindirizzati al portale di amministrazione di Zscaler del cloud Zscaler selezionato.Protocollo di tunneling (Tunneling Protocol) Questa opzione è disponibile solo per il provider del servizio di sicurezza cloud Zscaler. Se si seleziona un provider di servizi Zscaler manuale, scegliere IPSec o GRE come protocollo di tunneling. Per impostazione predefinita, è selezionata l'opzione IPSec. Nota: Se si seleziona un provider di servizi Zscaler automatizzato, il campo Protocollo di tunneling (Tunneling Protocol) non è configurabile ma include il nome del protocollo utilizzato dal provider di servizi.Hash Nell'elenco a discesa, selezionare una funzione hash, ad esempio SHA 1 o SHA 256. Per impostazione predefinita, è selezionata l'opzione SHA 1. Crittografia (Encryption) Nell'elenco a discesa, selezionare l'algoritmo di crittografia, ad esempio AES 128 o AES 256. Per impostazione predefinita, è selezionata l'opzione Nessuna (None). Protocollo di scambio chiavi (Key Exchange Protocol) Selezionare il metodo di scambio chiavi IKEv1 o IKEv2. Per impostazione predefinita, è selezionata l'opzione IKEv2.
Questa opzione non è disponibile per il servizio di sicurezza cloud Symantec.
Accedi a Zscaler (Login to Zscaler) Fare clic su Accedi a Zscaler (Login to Zscaler) per accedere al portale di amministrazione di Zscaler del cloud Zscaler selezionato. - Fare clic su Salva modifiche (Save Changes).
Quando si abilita il servizio di sicurezza cloud e si configurano le impostazioni in un profilo, le impostazioni vengono applicate automaticamente agli Edge associati al profilo. Se necessario, è possibile sostituire la configurazione per un Edge specifico. Vedere Configurazione dei servizi di sicurezza cloud per gli Edge.
Per i profili creati con il servizio di sicurezza cloud abilitato e configurati prima della versione 3.3.1, è possibile scegliere di reindirizzare il traffico nel modo seguente:
- Reindirizza solo il traffico Web al servizio di sicurezza cloud
- Reindirizza tutto il traffico correlato a Internet al servizio di sicurezza cloud (Redirect all Internet bound traffic to Cloud Security Service)
- Reindirizza il traffico in base alle impostazioni del criterio di business: questa opzione è disponibile solo dalla versione 3.3.1. Se si sceglie questa opzione, le altre due opzioni non saranno più disponibili.