클라우드 보안 서비스는 Edge에서 클라우드 보안 서비스 사이트로의 보안 터널을 설정합니다. 이렇게 하면 클라우드 보안 서비스에 대한 보안 트래픽 흐름이 보장됩니다.
프로시저
- 엔터프라이즈 포털에서 구성(Configure) > 네트워크 서비스(Network Services)를 클릭합니다.
- 클라우드 보안 서비스(Cloud Security Service) 섹션에서 새로 만들기(New)를 클릭합니다.
- 새 클라우드 보안 제공자(New Cloud Security Provider) 창에서 새 클라우드 보안 제공자를 구성하는 데 필요한 세부 정보를 제공합니다.
옵션 설명 서비스 이름(Service Name) 클라우드 보안 서비스의 설명 이름을 입력합니다. 서비스 유형(Service Type) 다음 중 하나를 선택합니다. - 일반 클라우드 보안 서비스(Generic Cloud Security Service)
- Symantec Web Security Service(Symantec Web Security Service)
- Zscaler 클라우드 보안 서비스(Zscaler Cloud Security Service)
기본 POP/서버(Primary Point-of-Presence/Server) 기본 서버의 IP 주소 또는 호스트 이름을 입력합니다. 보조 POP/서버(Secondary Point-of-Presence/Server) 보조 서버의 IP 주소 또는 호스트 이름을 입력합니다. 이것은 선택 사항입니다. Zscaler 클라우드 보안 서비스(Zscaler Cloud Security Service)를 서비스 유형(Service Type)으로 선택한 경우 Zscaler Cloud 및 L7(계층 7) 상태 점검 세부 정보와 같은 추가 설정을 구성하여 Zscaler Server의 상태를 확인하고 모니터링할 수 있습니다. 클라우드 서비스 배포 자동화(Automate Cloud Service Deployment) 확인란을 선택하여 수동 배포 및 자동화 배포 중에서 선택할 수도 있습니다.참고: Edge에서 Zscaler로의 IPsec 자동화만 지원되며 Edge에서 Zscaler로의 GRE 자동화는 현재 4.3 릴리스에서 지원되지 않지만 향후에 출시될 예정입니다.참고: 수동 배포에서 서비스 유형으로 Zscaler 클라우드 보안 서비스(Zscaler Cloud Security Service)를 선택하고 GRE 터널을 할당할 계획인 경우 GRE가 호스트 이름을 지원하지 않기 때문에 호스트 이름이 아닌 기본 및 보조 서버의 IP 주소만 입력하는 것이 좋습니다. - 클라우드 서비스 배포를 자동화하도록 선택하는 경우 다음 추가 세부 정보를 구성합니다.
참고: L7 상태 점검(L7 Health Check) 기능은 Zscaler 백엔드 서버에 대한 HTTP 연결을 테스트합니다. L7 상태 점검을 사용하도록 설정하면 HTTP L7 프로브가 HTTP 상태 점검을 위해 Zscaler의 백엔드 서버인 Zscaler 대상(예: http://<zscaler cloud>/vpntest)으로 전송됩니다. 이 방법은 Zscaler 서버의 프런트 엔드에 대한 네트워크 연결만 테스트하기 때문에 네트워크 수준 킵얼라이브(GRE 또는 IPsec)를 사용하는 방식보다 개선되었습니다.
3번의 연속 재시도 후 L7 응답이 수신되지 않거나 HTTP 오류가 있는 경우 기본 터널은 '종료(Down)'로 표시되고 Edge는 대기 터널(사용 가능한 경우)로 Zscaler 트래픽을 페일오버하려고 시도합니다. Edge가 Zscaler 트래픽을 통해 대기 터널로 페일오버되면 대기 Edge가 새 기본 터널이 됩니다.
드문 경우더라도 L7 상태 점검이 기본 및 대기 터널을 모두 '종료(Down)'로 표시하면 Edge는 조건부 백홀 정책을 사용하여 Zscaler 트래픽을 라우팅합니다(이러한 정책이 구성된 경우).
Edge는 기본 터널을 통해 기본 서버로만 L7 프로브를 전송하고 대기 터널을 통해서는 전송하지 않습니다.
옵션 설명 Zscaler 클라우드(Zscaler Cloud) 드롭다운 메뉴에서 Zscaler 클라우드 서비스를 선택하거나 텍스트 상자에 Zscaler 클라우드 서비스 이름을 입력합니다.. 파트너 관리자 사용자 이름(Partner Admin Username) 파트너 관리자의 프로비저닝된 사용자 이름을 입력합니다. 파트너 관리자 암호(Partner Admin Password) 파트너 관리자의 프로비저닝된 암호를 입력합니다. 파트너 키(Partner Key) 프로비저닝된 파트너 키를 입력합니다. 도메인(Domain) 클라우드 서비스를 배포할 도메인 이름을 입력합니다. L7 상태 점검(L7 Health Check) 기본 검색 세부 정보(HTTP 프로브 간격 = 5초, 재시도 횟수 = 3, RTT 임계값 = 3000밀리초)를 사용하여 Zscaler 클라우드 보안 서비스 제공자에 대해 L7 상태 점검을 사용하도록 설정하려면 이 확인란을 선택합니다. 기본적으로 L7 상태 점검(L7 Health Check)은 사용하지 않도록 설정되어 있습니다. 참고: 상태 점검 검색의 세부 정보는 구성할 수 없습니다.HTTP 프로브 간격(HTTP Probe Interval) 개별 HTTP 검색 사이의 간격 기간입니다. 기본 검색 간격은 5초입니다. 재시도 횟수(Number of Retries) 클라우드 서비스를 [종료(DOWN)]로 표시하기 전에 허용되는 검색 재시도 횟수를 지정합니다. 기본값은 3입니다. RTT 임계값(RTT Threshold) 클라우드 서비스 상태를 계산하는 데 사용되는 RTT(왕복 시간) 임계값(밀리초)입니다. 측정된 RTT가 구성된 임계값을 초과하면 클라우드 서비스가 종료(DOWN)로 표시됩니다. 기본값은 3000밀리초입니다. Zscaler 로그인 URL 로그인 URL을 입력한 다음, Zscaler에 로그인(Login to Zscaler)을 클릭합니다. 선택된 Zscaler 클라우드의 Zscaler Admin 포털로 리디렉션됩니다. 참고: Zscaler 로그인 URL을 입력한 경우 Zscaler에 로그인(Login to Zscaler) 버튼이 사용하도록 설정됩니다.참고: 지정된 Edge/프로필에 대해 사용자는 네트워크 서비스에 구성된 L7 상태 점검 매개 변수를 재정의할 수 없습니다. - 추가(Add)를 클릭합니다.
- 위 단계를 반복하여 더 많은 클라우드 보안 서비스를 구성합니다.
참고: Zscaler CSS 자동화에 대한 자세한 내용은 Zscaler 및 VMware SD-WAN 배포 가이드를 참조하십시오.참고: Zscaler가 IPsec VPN 터널을 설정하는 데 사용할 최상의 데이터 센터 VIP(가상 IP 주소)를 결정하는 방법에 대한 세부 정보는 IPSec VPN 터널 프로비저닝을 위한 SD-WAN API 통합을 참조하십시오.
결과
서비스 상태는
모니터링(Monitor) > 네트워크 서비스(Network Services) > 클라우드 보안 서비스 사이트(Cloud Security Service Sites) > 서비스 상태(Service Status)에서 확인할 수 있습니다.
클라우드 보안 서비스에 대한 L7(계층 7) 상태 점검 통계를 확인하려면
모니터링(Monitor) > Edge(Edges)로 이동합니다.
다음에 수행할 작업
- 클라우드 보안 서비스를 프로필에 연결합니다. 프로필에 대한 클라우드 보안 서비스 구성를 참조하십시오.