Edge からクラウド セキュリティ サービス サイトへのセキュアなトンネルを確立するには、クラウド セキュリティ サービス (CSS) を有効にします。そのようにすることで、セキュアなトラフィックがサードパーティのクラウド セキュリティ サイトにリダイレクトされるようになります。プロファイル レベルでは、VMware SD-WAN と Zscaler の統合により、IPsec トンネルと GRE トンネルの自動化がサポートされます。

注: GRE を備えた CSS はプロファイルごとに 1 つのみ許可されます。
開始する前に:
  • ネットワーク サービスを設定するためのアクセス権限があることを確認します。
  • SD-WAN Orchestrator のバージョンが 3.3.x 以降であることを確認します。
  • サードパーティのクラウド セキュリティ サービスで、クラウド セキュリティ サービスのゲートウェイ エンドポイントの IP アドレスと FQDN 認証情報が設定されている必要があります。
  1. エンタープライズ ポータルで、[設定 (Configure)] > [プロファイル (Profiles)] をクリックします。
  2. プロファイルの横の [デバイス (Device)] アイコンをクリックするか、またはプロファイルへのリンクをクリックしてから [デバイス (Device)] タブをクリックします。
  3. [クラウド セキュリティ (Cloud Security)] 領域で、ダイヤルの位置を [オフ (Off)] から [オン (On)] に切り替えます。
  4. 次の設定を行います。

    オプション 説明
    クラウド セキュリティ サービス (Cloud Security Service) プロファイルに関連付けるクラウド セキュリティ サービスをドロップダウン メニューから選択します。ドロップダウン メニューの [新規クラウド セキュリティ サービス (New Cloud Security Service)] をクリックして、新しいサービス タイプを作成することもできます。新しい CSS を作成する方法の詳細については、クラウド セキュリティ サービスの設定を参照してください。
    注: Zscaler ログイン URL が設定されたクラウド セキュリティ サービスの場合、 [Zscaler にログイン (Login to Zscaler)] ボタンが [クラウド セキュリティ サービス (Cloud Security Service)] 領域に表示されます。 [Zscaler にログイン (Login to Zscaler)] ボタンをクリックすると、選択した Zscaler クラウドの Zscaler 管理ポータルにリダイレクトされます。
    トンネリング プロトコル (Tunneling Protocol) このオプションは、Zscaler クラウド セキュリティ サービス プロバイダでのみ使用できます。手動 Zscaler サービス プロバイダを選択した場合は、トンネリング プロトコルとして IPsec または GRE のいずれかを選択します。デフォルトでは、IPSec が選択されています。
    注: 自動 Zscaler サービス プロバイダを選択した場合は、 [トンネリング プロトコル (Tunneling Protocol)] フィールドは設定できませんが、サービス プロバイダが使用するプロトコル名が表示されます。
    ハッシュ (Hash) ドロップダウンから、ハッシュ関数として SHA 1 または SHA 256 を選択します。デフォルトでは、SHA 1 が選択されています。
    暗号化 (Encryption) ドロップダウンから、暗号化アルゴリズムとして AES 128 または AES 256 を選択します。デフォルトでは、[なし (None)] が選択されています。
    キー交換プロトコル (Key Exchange Protocol)

    キー交換方法として IKEv1 または IKEv2 を選択します。デフォルトでは、IKEv2 が選択されています。

    このオプションは、Symantec クラウド セキュリティ サービスでは使用できません。
    Zscaler にログイン (Login to Zscaler) [Zscaler にログイン (Login to Zscaler)] をクリックして、選択した Zscaler クラウドの Zscaler 管理ポータルにログインします。
  5. [変更の保存 (Save Changes)] をクリックします。

クラウド セキュリティ サービスを有効にしてプロファイルの設定を行うと、設定はプロファイルに関連付けられている Edge に自動的に適用されます。必要に応じて、特定の Edge の設定をオーバーライドできます。Edge 用のクラウド セキュリティ サービスの設定を参照してください。

クラウド セキュリティ サービスが有効化された状態で作成され、3.3.1 リリース以前に設定されたプロファイルの場合は、次のとおりトラフィックをリダイレクトするように選択できます。

  • Web トラフィックのみをクラウド セキュリティ サービスにリダイレクト
  • すべてのインターネットへのトラフィックをクラウド セキュリティ サービスにリダイレクト
  • ビジネス ポリシー設定に基づいてトラフィックをリダイレクト - このオプションはリリース 3.3.1 以降でのみ使用できます。このオプションを選択すると、他の 2 つのオプションは使用できなくなります。
注: リリース 3.3.1 以降用に作成した新しいプロファイルの場合は、トラフィックはデフォルトでビジネス ポリシー設定に従ってリダイレクトされます。 クラウド セキュリティ サービスを使用したビジネス ポリシーの設定を参照してください。