Edge에서 CSS(클라우드 보안 서비스) 사이트로의 보안 터널을 설정하려면 클라우드 보안을 사용하도록 설정합니다. 이를 통해 보안 트래픽이 타사 클라우드 보안 사이트로 리디렉션될 수 있습니다. 프로필 수준에서 VMware SD-WAN 및 Zscaler 통합은 IPsec 및 GRE 터널의 자동화를 지원합니다.

참고: GRE가 있는 CSS는 프로필당 하나만 허용됩니다.
시작하기 전에 수행할 작업:
  • 네트워크 서비스를 구성할 수 있는 액세스 권한이 있는지 확인합니다.
  • SASE Orchestrator에 버전 3.3.x 이상이 있는지 확인합니다.
  • 타사 클라우드 보안 서비스에 클라우드 보안 서비스 게이트웨이 끝점 IP 및 FQDN 자격 증명이 구성되어 있어야 합니다.
  1. 엔터프라이즈 포털의 SD-WAN 서비스에서 구성(Configure) > 프로필(Profiles)을 클릭합니다. 프로필(Profiles) 페이지에 기존 프로필이 표시됩니다.
  2. 프로필에 대한 링크를 클릭하거나 프로필의 디바이스(Device) 열에서 보기(View) 링크를 클릭합니다. 선택한 프로필에 대한 구성 옵션이 디바이스(Device) 탭에 표시됩니다.
  3. VPN 서비스(VPN Services) 범주에서 클라우드 보안 서비스(Cloud Security Service)를 클릭하고 전환 버튼을 켜짐(On)으로 전환하여 클라우드 보안 서비스(Cloud Security Service)를 활성화합니다.
  4. 다음 설정을 구성합니다.

    옵션 설명
    클라우드 보안 서비스(Cloud Security Service) 드롭다운 메뉴에서 프로필에 연결할 클라우드 보안 서비스를 선택합니다. 드롭다운에서 새 클라우드 보안 서비스(New Cloud Security Service)를 클릭하여 새 서비스 유형을 생성할 수도 있습니다. 새 CSS를 생성하는 방법에 대한 자세한 내용은 클라우드 보안 서비스 구성를 참조하십시오.
    참고: Zscaler 로그인 URL이 구성된 클라우드 보안 서비스의 경우 Zscaler에 로그인(Login to Zscaler) 버튼이 클라우드 보안 서비스(Cloud Security Service) 영역에 표시됩니다. Zscaler에 로그인(Login to Zscaler) 버튼을 클릭하면 선택된 Zscaler 클라우드의 Zscaler Admin 포털로 리디렉션됩니다.
    터널링 프로토콜(Tunneling Protocol) 이 옵션은 Zscaler 클라우드 보안 서비스 제공자에만 사용할 수 있습니다. 수동 Zscaler 서비스 제공자를 선택하는 경우 터널링 프로토콜로 IPsec 또는 GRE를 선택합니다. 기본적으로 IPsec이 선택됩니다.
    참고: 자동화된 Zscaler 서비스 제공자를 선택하면 터널링 프로토콜(Tunneling Protocol) 필드를 구성할 수 없으며 서비스 제공자가 사용하는 프로토콜 이름이 표시됩니다.
    해시(Hash) 드롭다운에서 해시 함수를 SHA 1 또는 SHA 256으로 선택합니다. 기본적으로 SHA 1이 선택됩니다.
    암호화(Encryption) 드롭다운에서 암호화 알고리즘을 AES 128 또는 AES 256으로 선택합니다. 기본적으로 없음(None)이 선택됩니다.
    키 교환 프로토콜(Key Exchange Protocol)

    IKEv1 또는 IKEv2 중에서 키 교환 방법을 선택합니다. 기본적으로 IKEv2가 선택됩니다.

    Symantec 클라우드 보안 서비스에는 이 옵션을 사용할 수 없습니다.
    Zscaler에 로그인(Login to Zscaler) Zscaler에 로그인(Login to Zscaler)을 클릭하여 선택된 Zscaler 클라우드의 Zscaler Admin 포털로 로그인합니다.
  5. 변경 내용 저장(Save Changes)을 클릭합니다.

클라우드 보안 서비스를 사용하도록 설정하고 프로필에서 설정에 구성하면 해당 설정이 프로필과 연결된 Edge에 자동으로 적용됩니다. 필요한 경우 특정 Edge에 대한 구성을 재정의할 수 있습니다. Edge에 대한 클라우드 보안 서비스 구성를 참조하십시오.

3.3.1 릴리스 전에 클라우드 보안 서비스를 사용하도록 설정하고 구성한 프로필의 경우 다음과 같이 트래픽을 리디렉션하도록 선택할 수 있습니다.

  • 웹 트래픽만 클라우드 보안 서비스로 리디렉션(Redirect only web traffic to Cloud Security Service)
  • 모든 인터넷 바인딩 트래픽을 클라우드 보안 서비스로 리디렉션(Redirect all internet bound traffic to Cloud Security Service)
  • 비즈니스 정책 설정을 기준으로 트래픽 리디렉션(Redirect traffic based on Business Policy Settings) – 이 옵션은 릴리스 3.3.1에서만 사용할 수 있습니다. 이 옵션을 선택하면 다른 두 옵션을 더 이상 사용할 수 없습니다.
참고: 릴리스 3.3.1 이상을 위해 생성하는 새 프로필의 경우 기본적으로 트래픽이 비즈니스 정책 설정에 따라 리디렉션됩니다. 클라우드 보안 서비스를 사용하여 비즈니스 정책 구성를 참조하십시오.