5.3.0 リリース以降、VMware SD-WAN はセキュリティ サービス エッジ (SSE) 機能をサポートします。この機能により、Orchestrator を介したシームレスな自動化を使用して、VMware SD-WAN をサードパーティの SSE ベンダーと簡単に統合できます。同じベンダーと複数の SSE 統合を設定できます。
エンタープライズ ユーザーは、
[セキュリティ サービス エッジ (SSE) (Security Service Edge (SSE))] 機能を使用して
[Edge 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] および
[クラウド サブスクリプション (Cloud Subscription)] を設定できるようになりました。ネットワーク サービスの手動設定については、「
ネットワーク サービスの設定」を参照してください。
注: 現在は、
[Edge 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] ネットワーク サービスのみがサポートされます。
[セキュリティ サービス エッジ (SSE)] 機能は、現在 [PAN Prisma] および [Symantec] サブスクリプションをサポートしています。エンタープライズ ユーザーの場合、SSE 機能はデフォルトで有効になっています。
[前提条件:]
- [PAN Prisma] SSE 統合の場合、エンタープライズ ユーザーは、まず [Palo Alto Networks Strata Cloud Manager] ポータルで [IKE] および [IPsec] プロファイルを作成する必要があります。これらのプロファイルは、SSE 統合に使用できます。[Palo Alto Networks Strata Cloud Manager] ポータルで [IKE] および [IPsec] プロファイルを設定する方法については、「Palo Alto Networks Strata Cloud Manager の設定」を参照してください。
- [Symantec] 統合の場合、エンタープライズ ユーザーは、まず [Symantec Cloud] ポータルで設定された API 認証情報のユーザー名とパスワードを作成する必要があります。
注: トンネルの確立は非同期操作であるため、セキュリティ サービス エッジ (SSE) の自動設定が完了するまで、WAN リンク トンネルあたり 5 ~ 30 分かかる場合があります。この遅延は、
[PAN Prisma] が原因で発生します。
[SSE 統合 (SSE Integration)] を作成する前に、まず [SSE サブスクリプション (SSE Subscription)] を作成する必要があります。
SSE サブスクリプション
SSE サブスクリプションを表示または作成するには、次の手順を実行します。
- エンタープライズ ポータルの [SD-WAN] サービスで、 の順にクリックします。
- [セキュリティ サービス エッジ (SSE) (Security Service Edge (SSE))] ランディング ページの [SSE サブスクリプション (SSE Subscriptions)] タブをクリックします。次の画面が表示されます。
- 各タイルで [表示 (View)] をクリックして、既存のサブスクリプションの詳細を表示します。縦の省略記号をクリックし、[削除 (Delete)] をクリックしてサブスクリプションを削除します。
- 新しいサブスクリプションを作成するには、[+ 新規 SSE サブスクリプション (+ New SSE Subscription)] をクリックします。
- [SSE サブスクリプションの設定 (Configure SSE Subscription)] ウィンドウが表示されます。サブスクリプションの [名前 (Name)] を入力し、ドロップダウン メニューから [サブスクリプション タイプ (Subscription Type)] を選択する必要があります。画面に表示されるフィールドは、選択した [サブスクリプション タイプ (Subscription Type)] によって異なります。
次の図と表は、 [Prisma Access] のサブスクリプション タイプを示しています。
オプション 説明 Tsg Id ID を入力します。この値は正の整数にする必要があります。 ユーザー名 (User Name) ユーザー名を入力します。 パスワード (Password) パスワードを入力します。 注: 4.5 リリース以降では、パスワードに特殊文字「<」を使用することはサポートされなくなりました。ユーザーが以前のリリースでパスワードに「<」を使用している場合、ページでの変更を保存するにはこの文字を削除する必要があります。ドメイン (Domain) 会社のドメインを入力します。例:vmware.com 注: このフィールドは、IPsec FQDN の作成に必要です。注: [Tsg Id]、 [ユーザー名 (User Name)]、 [パスワード (Password)] フィールドは、 [Palo Alto Networks Strata Cloud Manager] ポータルで設定されている値と一致する必要があります。次の図と表は、 [Symantec] のサブスクリプション タイプを示しています。
オプション 説明 ユーザー名 (User Name) ユーザー名を入力します。 パスワード (Password) パスワードを入力します。 注: 4.5 リリース以降では、パスワードに特殊文字「<」を使用することはサポートされなくなりました。ユーザーが以前のリリースでパスワードに「<」を使用している場合、ページでの変更を保存するにはこの文字を削除する必要があります。クラウド タイプ 現在、このフィールドにはデフォルト値である [本番用 (Prod)] が表示されます。 - [サブスクリプションの検証 (Validate Subscription)] をクリックして入力した認証情報が正しいことを確認し、[保存 (Save)] をクリックして設定済みのサブスクリプションを保存します。
SSE 統合
SSE 統合を表示または作成するには、次の手順を実行します。
- エンタープライズ ポータルの [SD-WAN] サービスで、 の順にクリックします。デフォルトでは、[SSE 統合 (SSE Integrations)] タブが表示されます。
- 新しい SSE 統合を作成するには、[+ 新規 SSE 統合 (+ New SSE Integration)] をクリックします。次の画面が表示されます。
- [クラウド サブスクリプションの選択 (Choose Cloud Subscription)] セクションで、次のオプションを設定します。
オプション 説明 サブスクリプション タイプ (Subscription Type) SSE 統合を設定するサブスクリプション タイプを選択します。次のオプションを使用できます。 - Prisma Access
- Symantec(技術プレビュー)
クラウドのサブスクリプション (Cloud Subscription) ドロップダウン メニューからクラウド サブスクリプションを選択します。 ドロップダウン メニューには、[サブスクリプション タイプ (Subscription Type)] で選択された SSE ベンダーの下で設定されたクラウド サブスクリプションのみが表示されます。
これらのクラウド サブスクリプションは、 の設定に基づいて入力されます。
- [次の手順 (Next Step)] をクリックし、次のセクションを有効にします。
- [ネットワーク サービスの作成 (Create Network Service)] セクションに表示されるフィールドは、選択した [サブスクリプション タイプ (Subscription Type)] によって異なります。
次の図と表は、 [Prisma Access] のサブスクリプション タイプを示しています。
オプション 説明 サービス名 (Service Name) 一意のサービス名を入力します。 トンネルあたりの最小帯域幅 (Mbps) (Minimum Bandwidth per Tunnel (Mbps)) 必要な帯域幅を入力します。デフォルト値は [2] です。 トンネリング プロトコル (Tunneling Protocol) デフォルトでは、IPsec トンネリング プロトコルが選択されています。それぞれのドロップダウン メニューから [IPsec 暗号化プロファイル (IPsec Crypto Profile)] と [IKE 暗号化プロファイル (IKE Crypto Profile)] を選択する必要があります。これらのドロップダウン メニューは、[Palo Alto Networks Strata Cloud Manager] ポータルで作成されたプロファイルに基づいて入力されます。 次の図と表は、 [Symantec] のサブスクリプション タイプを示しています。
オプション 説明 サービス名 (Service Name) 一意のサービス名を入力します。 トンネリング プロトコル (Tunneling Protocol) このフィールドは、サポートされている唯一のプロトコルである [IPsec] に設定されます。 - [作成して続行 (Create and Continue)] をクリックし、次のセクションを有効にします。
- [プロファイル/Edge の選択 (Select Profile/Edges)] セクションで、次のオプションを設定します。
オプション 説明 プロファイルの選択 (Select Profile) ドロップダウン メニューから [SD-WAN] Edge プロファイルを選択します。 セグメントの選択 (Select Segment) ドロップダウン メニューからセグメントを選択します。デフォルトでは、[グローバル セグメント (Global Segment)] が選択されています。 注: [Prisma] サブスクリプションには 1 つのセグメントのみを選択できますが、 [Symantec] サブスクリプションには複数のセグメントを選択できます。 - プロファイルとセグメントを選択すると、選択したプロファイルに関連付けられている Edge のリストが自動的に入力されます。SSE 統合を適用する Edge を 1 つ以上選択します。
- Edge に 3 つ以上の WAN リンクがある場合、最初の 2 つの WAN リンクがテーブルに自動的に入力されます。自動化に使用する WAN リンクを選択できます。
- [トンネル設定の検証 (Validate Tunnel Configuration)] をクリックします。いずれかのデータセンターが過剰にサブスクライブされている場合は、警告が表示されます。
注: [トンネル設定の検証 (Validate Tunnel Configuration)] ボタンは、 [Prisma Access] サブスクリプション タイプでのみ使用できます。Prisma 展開では、データセンターで帯域幅キャパシティを追加するためのライセンスを購入する必要があります。このライセンスは最大スループットを制限するため、警告が表示されます。
- トンネル設定が検証されたら、[保存して終了 (Save and Finish)] をクリックします。新しく作成された SSE 統合が、[セキュリティ サービス エッジ (SSE) (Security Service Edge (SSE))] ランディング ページのリストに表示されます。
- 既存の SSE 統合を編集する場合は、リストから SSE 統合を選択し、[編集 (Edit)] をクリックします。SSE 統合名リンクをクリックして編集することもできます。
- SSE 統合を削除するには、リストから SSE 統合を選択し、[削除 (Delete)] をクリックします。
注: 現在 Edge で使用されている SSE 統合は削除できません。
- 自動化状態を監視するには、[トンネル展開状態 (Tunnel Deployment Status)] 列の [表示 (View)] リンクをクリックします。次の画面が表示されます。
アクション
createOrUpdateEdgeConfigurationおよびdeleteEdgeConfigurationは、Orchestrator Edge デバイス設定を更新するための SSE 自動化を示します。その他のアクションは、サードパーティの自動化用です。 - トンネルが稼動しているかどうかを確認するには、 に移動し、マウスを [Edge トンネル (Edge Tunnels)] 列の下に置きます。次に示すように、詳細を表示できます。
[次の手順:]
セキュリティ サービス エッジ サブスクリプションを Edge に関連付けます。詳細については、Edge のクラウド VPN およびトンネル パラメータの設定を参照してください。
ネットワーク トラフィックを特定のエンタープライズ クラウドに転送するには、 に移動します。[+ 追加 (+ Add)] をクリックして、新しいルールを追加します。詳細については、ビジネス ポリシー ルールの作成を参照してください。
