CSS(클라우드 보안 서비스)는 Edge에서 클라우드 보안 서비스 사이트로의 보안 터널을 설정합니다. 이렇게 하면 클라우드 보안 서비스에 대한 보안 트래픽 흐름이 보장됩니다.

클라우드 보안 서비스를 구성하려면 다음 단계를 수행합니다.

프로시저

  1. 엔터프라이즈 포털에서 구성(Configure) > 네트워크 서비스(Network Services)를 클릭합니다.
  2. 클라우드 보안 서비스(Cloud Security Service) 섹션에서 새로 만들기(New)를 클릭합니다.
  3. 새 클라우드 보안 제공자(New Cloud Security Provider) 창에서 드롭다운 메뉴에서 서비스 유형을 선택합니다. VMware SD-WAN은 다음 CSS 유형을 지원합니다.
    • 일반 클라우드 보안 서비스(Generic Cloud Security Service)
    • Symantec / Palo Alto 클라우드 보안 서비스
      참고: 5.0.0 릴리스부터 Palo Alto CSS는 새 서비스 유형 템플릿 "Symantec / Palo Alto 클라우드 보안 서비스" 아래에 구성됩니다. "일반 클라우드 보안 서비스(Generic Cloud Security Service)" 아래에 구성된 기존 Palo Alto CSS가 있는 모든 고객은 새 템플릿 "Symantec/Palo Alto 클라우드 보안 서비스(Symantec / Palo Alto Cloud Security Service)"로 이동해야 합니다.
    • Zscaler 클라우드 보안 서비스(Zscaler Cloud Security Service)
    1. 서비스 유형으로 "일반(Generic)" 또는 "Symantec / Palo Alto" 클라우드 보안 서비스를 선택한 경우 다음 필수 세부 정보를 구성하고 추가(Add)를 클릭합니다.
      옵션 설명
      서비스 이름(Service Name) 클라우드 보안 서비스의 설명 이름을 입력합니다.
      기본 POP/서버(Primary Point-of-Presence/Server) 기본 서버의 IP 주소 또는 호스트 이름을 입력합니다.
      보조 POP/서버(Secondary Point-of-Presence/Server) 보조 서버의 IP 주소 또는 호스트 이름을 입력합니다. 이것은 선택 사항입니다.
    2. 서비스 유형으로 Zscaler 클라우드 보안 서비스를 선택한 경우 클라우드 서비스 배포 자동화(Automate Cloud Service Deployment) 확인란을 선택하여 수동 배포 및 자동화 배포 중에서 선택할 수 있습니다. 또한 Zscaler Cloud 및 L7(계층 7) 상태 점검 세부 정보와 같은 추가 설정을 구성하여 Zscaler Server의 상태를 확인하고 모니터링할 수 있습니다.
    SD-WAN Edge에서 Zscaler로의 자동 터널 구성
    이 섹션에서는 SD-WAN Edge에서 Zscaler 서비스 제공자로의 GRE 또는 IPsec 터널을 자동으로 생성하는 방법을 설명합니다.
    1. 새 클라우드 보안 제공자(New Cloud Security Provider) 창에서 서비스 이름을 입력합니다.
    2. 클라우드 서비스 배포 자동화(Automate Cloud Service Deployment) 확인란을 선택합니다.
    3. 터널 설정을 위한 GRE 또는 IPsec 프로토콜을 선택합니다.
      참고: 고객별로 구성할 수 있는 CSS Zscaler GRE 터널의 총수는 Zscaler의 고객 구독에 따라 다릅니다. 기본값은 100입니다.
    4. 다음 표에 설명된 대로 국내 기본 설정, Zscaler 클라우드, 파트너 관리자 사용자 이름, 암호, 파트너 키 및 도메인과 같은 추가 세부 정보를 구성합니다.
      옵션 설명
      국내 기본 설정(Domestic Preference) 다른 Zscaler 데이터 센터에서 더 멀리 떨어져 있더라도 IP 주소 원본 국가에서의 Zscaler 데이터 센터 우선순위를 지정하려면 이 옵션을 사용하도록 설정합니다.
      참고: 이 옵션은 터널을 설정하기 위해 GRE가 선택된 경우에만 구성할 수 있습니다.
      Zscaler 클라우드(Zscaler Cloud) 드롭다운 메뉴에서 Zscaler 클라우드 서비스를 선택하거나 텍스트 상자에 Zscaler 클라우드 서비스 이름을 입력합니다..
      파트너 관리자 사용자 이름(Partner Admin Username) 파트너 관리자의 프로비저닝된 사용자 이름을 입력합니다.
      파트너 관리자 암호(Partner Admin Password) 파트너 관리자의 프로비저닝된 암호를 입력합니다.
      참고: 4.5 릴리스부터 암호에 특수 문자 "<"를 사용하는 것이 더 이상 지원되지 않습니다. 사용자가 이전 릴리스에서 암호에 "<"를 이미 사용한 경우 페이지에 변경 내용을 저장하려면 제거해야 합니다.
      파트너 키(Partner Key) 프로비저닝된 파트너 키를 입력합니다.
      도메인(Domain) 클라우드 서비스를 배포할 도메인 이름을 입력합니다.
      서브 클라우드 ZIA(Zscaler Internet Access) 고객이 지리적 위치 용도로 사용자 지정 데이터 센터 풀을 보유하는 데 사용하는 선택적 매개 변수입니다.
      참고: 터널을 설정하기 위해 IPsec가 선택된 경우 CSS Zscaler 자동 배포 모드에서 이 옵션을 사용할 수 있습니다.
    5. 자격 증명 검증(Validate Credentials)을 클릭합니다. 검증이 성공하면 추가(Add) 버튼이 사용하도록 설정됩니다.
      참고: 새 CSS 제공자를 추가하려면 자격 증명을 검증해야 합니다.
    6. Zscaler Server의 상태를 모니터링하려면 다음 L7 상태 점검(L7 Health Check) 세부 정보를 구성합니다.
      참고: L7 상태 점검(L7 Health Check) 기능은 Zscaler 백엔드 서버에 대한 HTTP 연결을 테스트합니다. L7 상태 점검을 사용하도록 설정하면 Edge는 HTTP 상태 점검을 위해 Zscaler의 백엔드 서버인 Zscaler 대상(예: http://<zscaler cloud>/vpntest)으로 HTTP L7 프로브를 전송합니다. 이 방법은 Zscaler 서버의 프런트 엔드에 대한 네트워크 연결만 테스트하기 때문에 네트워크 수준 킵얼라이브(GRE 또는 IPsec)를 사용하는 방식보다 개선되었습니다.

      3번의 연속 재시도 후 L7 응답이 수신되지 않거나 HTTP 오류가 있는 경우 기본 터널은 '종료(Down)'로 표시되고 Edge는 대기 터널(사용 가능한 경우)로 Zscaler 트래픽을 페일오버하려고 시도합니다. Edge가 Zscaler 트래픽을 통해 대기 터널로 페일오버되면 대기 Edge가 새 기본 터널이 됩니다.

      드문 경우더라도 L7 상태 점검이 기본 및 대기 터널을 모두 '종료(Down)'로 표시하면 Edge는 조건부 백홀 정책을 사용하여 Zscaler 트래픽을 라우팅합니다(이러한 정책이 구성된 경우).

      Edge는 기본 터널을 통해 기본 서버로만 L7 프로브를 전송하고 대기 터널을 통해서는 전송하지 않습니다.

      옵션 설명
      L7 상태 점검(L7 Health Check) 기본 검색 세부 정보(HTTP 프로브 간격 = 5초, 재시도 횟수 = 3, RTT 임계값 = 3000밀리초)를 사용하여 Zscaler 클라우드 보안 서비스 제공자에 대해 L7 상태 점검을 사용하도록 설정하려면 이 확인란을 선택합니다. 기본적으로 L7 상태 점검(L7 Health Check)은 사용하지 않도록 설정되어 있습니다.
      참고: 상태 점검 검색의 세부 정보는 구성할 수 없습니다.
      참고: 지정된 Edge/프로필에 대해 사용자는 네트워크 서비스에 구성된 L7 상태 점검 매개 변수를 재정의할 수 없습니다.
      HTTP 프로브 간격(HTTP Probe Interval) 개별 HTTP 검색 사이의 간격 기간입니다. 기본 검색 간격은 5초입니다.
      재시도 횟수(Number of Retries) 클라우드 서비스를 [종료(DOWN)]로 표시하기 전에 허용되는 검색 재시도 횟수를 지정합니다. 기본값은 3입니다.
      RTT 임계값(RTT Threshold) 클라우드 서비스 상태를 계산하는 데 사용되는 RTT(왕복 시간) 임계값(밀리초)입니다. 측정된 RTT가 구성된 임계값을 초과하면 클라우드 서비스가 종료(DOWN)로 표시됩니다. 기본값은 3000밀리초입니다.
      Zscaler 로그인 URL 로그인 URL을 입력한 다음, Zscaler에 로그인(Login to Zscaler)을 클릭합니다. 선택된 Zscaler 클라우드의 Zscaler Admin 포털로 리디렉션됩니다.
      참고: Zscaler 로그인 URL을 입력한 경우 Zscaler에 로그인(Login to Zscaler) 버튼이 사용하도록 설정됩니다.
    7. Orchestrator에서 Zscaler 관리 포털에 로그인하려면 Zscaler 로그인 URL을 입력한 다음 Zscaler에 로그인(Login to Zscaler)을 클릭합니다. 선택된 Zscaler 클라우드의 Zscaler Admin 포털로 리디렉션됩니다.
      참고: Zscaler 로그인 URL을 입력한 경우 Zscaler에 로그인(Login to Zscaler) 버튼이 사용하도록 설정됩니다.
    참고: Zscaler CSS 자동화 배포에 대한 자세한 내용은 Zscaler 및 VMware SD-WAN 배포 가이드를 참조하십시오.
    참고: Zscaler가 IPsec VPN 터널을 설정하는 데 사용할 최상의 데이터 센터 VIP(가상 IP 주소)를 결정하는 방법에 대한 세부 정보는 IPSec VPN 터널 프로비저닝을 위한 SD-WAN API 통합을 참조하십시오.
    SD-WAN Edge에서 Zscaler로의 수동 터널 구성
    이 섹션에서는 SD-WAN Edge에서 Zscaler 서비스 제공자로의 GRE 또는 IPsec 터널을 수동으로 생성하는 방법을 설명합니다. 자동 터널과 달리 수동 터널을 구성하려면 터널을 가져올 터널 대상을 지정해야 합니다.
    1. 새 클라우드 보안 제공자(New Cloud Security Provider) 창에서 서비스 이름을 입력합니다.
    2. 기본 서버의 IP 주소 또는 호스트 이름을 입력합니다.
    3. 필요에 따라 보조 서버의 IP 주소 또는 호스트 이름을 입력할 수 있습니다.
    4. 드롭다운 메뉴에서 Zscaler 클라우드 서비스를 선택하거나 텍스트 상자에 Zscaler 클라우드 서비스 이름을 입력합니다..
    5. 다른 매개 변수를 원하는 대로 구성한 다음, 추가(Add)를 클릭합니다.
    참고: 서비스 유형으로 Zscaler 클라우드 보안 서비스(Zscaler Cloud Security Service)를 선택하고 GRE 터널을 할당할 계획인 경우 GRE가 호스트 이름을 지원하지 않기 때문에 호스트 이름이 아닌 기본 및 보조 서버의 IP 주소만 입력하는 것이 좋습니다.

결과

구성된 클라우드 보안 서비스는 네트워크 서비스(Network Services) 창의 클라우드 보안 서비스(Cloud Security Service) 아래에 표시됩니다.

다음에 수행할 작업

프로필 또는 Edge에 클라우드 보안 서비스를 연결합니다.