Edge からクラウド セキュリティ サービス サイトへのセキュアなトンネルを確立するには、クラウド セキュリティ サービス (CSS) を有効にします。そのようにすることで、セキュアなトラフィックがサードパーティのクラウド セキュリティ サイトにリダイレクトされるようになります。プロファイル レベルでは、VMware SD-WAN と Zscaler の統合により、IPsec トンネルと GRE トンネルの自動化がサポートされます。
注: GRE を備えた CSS はプロファイルごとに 1 つのみ許可されます。
開始する前に:
- ネットワーク サービスを設定するためのアクセス権限があることを確認します。
- SASE Orchestrator のバージョンが 3.3.x 以降であることを確認します。
- サードパーティのクラウド セキュリティ サービスで、クラウド セキュリティ サービスのゲートウェイ エンドポイントの IP アドレスと FQDN 認証情報が設定されている必要があります。
- エンタープライズ ポータルの [SD-WAN] サービスで、 の順にクリックします。[プロファイル (Profiles)] ページに既存のプロファイルが表示されます。
- プロファイルへのリンクをクリックするか、プロファイルの [デバイス (Device)] 列にある [表示 (View)] リンクをクリックします。選択したプロファイルの設定オプションが [デバイス (Device)] タブに表示されます。
- [VPN サービス (VPN Services)] カテゴリで、[クラウド セキュリティ サービス (Cloud Security Service)] をクリックし、トグル ボタンを [オン (On)] に切り替えて [クラウド セキュリティ サービス (Cloud Security Service)] を有効にします。
- 次の設定を行います。
オプション 説明 クラウド セキュリティ サービス (Cloud Security Service) プロファイルに関連付けるクラウド セキュリティ サービスをドロップダウン メニューから選択します。ドロップダウン メニューの [新規クラウド セキュリティ サービス (New Cloud Security Service)] をクリックして、新しいサービス タイプを作成することもできます。新しい CSS を作成する方法の詳細については、クラウド セキュリティ サービスの設定を参照してください。 注: Zscaler ログイン URL が設定されたクラウド セキュリティ サービスの場合、 [Zscaler にログイン (Login to Zscaler)] ボタンが [クラウド セキュリティ サービス (Cloud Security Service)] 領域に表示されます。 [Zscaler にログイン (Login to Zscaler)] ボタンをクリックすると、選択した Zscaler クラウドの Zscaler 管理ポータルにリダイレクトされます。トンネリング プロトコル (Tunneling Protocol) このオプションは、Zscaler クラウド セキュリティ サービス プロバイダでのみ使用できます。手動 Zscaler サービス プロバイダを選択した場合は、トンネリング プロトコルとして IPsec または GRE のいずれかを選択します。デフォルトでは、IPSec が選択されています。 注: 自動 Zscaler サービス プロバイダを選択した場合は、 [トンネリング プロトコル (Tunneling Protocol)] フィールドは設定できませんが、サービス プロバイダが使用するプロトコル名が表示されます。ハッシュ (Hash) ドロップダウンから、ハッシュ関数として SHA 1 または SHA 256 を選択します。デフォルトでは、SHA 1 が選択されています。 暗号化 (Encryption) ドロップダウンから、暗号化アルゴリズムとして AES 128 または AES 256 を選択します。デフォルトでは、[なし (None)] が選択されています。 キー交換プロトコル (Key Exchange Protocol) キー交換方法として IKEv1 または IKEv2 を選択します。デフォルトでは、IKEv2 が選択されています。
このオプションは、Symantec クラウド セキュリティ サービスでは使用できません。
Zscaler にログイン (Login to Zscaler) [Zscaler にログイン (Login to Zscaler)] をクリックして、選択した Zscaler クラウドの Zscaler 管理ポータルにログインします。 - [変更の保存 (Save Changes)] をクリックします。
クラウド セキュリティ サービスを有効にしてプロファイルの設定を行うと、設定はプロファイルに関連付けられている Edge に自動的に適用されます。必要に応じて、特定の Edge の設定を上書きできます。Edge 用のクラウド セキュリティ サービスの設定を参照してください。
クラウド セキュリティ サービスが有効化された状態で作成され、3.3.1 リリース以前に設定されたプロファイルの場合は、次のとおりトラフィックをリダイレクトするように選択できます。
- Web トラフィックのみをクラウド セキュリティ サービスにリダイレクト
- すべてのインターネットへのトラフィックをクラウド セキュリティ サービスにリダイレクト
- ビジネス ポリシー設定に基づいてトラフィックをリダイレクト - このオプションはリリース 3.3.1 以降でのみ使用できます。このオプションを選択すると、他の 2 つのオプションは使用できなくなります。
注: リリース 3.3.1 以降用に作成した新しいプロファイルの場合は、トラフィックはデフォルトでビジネス ポリシー設定に従ってリダイレクトされます。
クラウド セキュリティ サービスを使用したビジネス ポリシーの設定を参照してください。