O Serviço de segurança na cloud (CSS) estabelece um túnel seguro de um Edge para os sites de serviços de segurança na cloud. Isto garante um fluxo de tráfego seguro para os serviços de segurança na cloud.

Para configurar um serviço de segurança na cloud, execute os seguintes passos.

Procedimento

  1. No serviço SD-WAN do portal da empresa, clique em Configurar (Configure) > Serviços de rede (Network Services).
  2. Na página Serviços de rede (Network Services), navegue para Destinos Não-SD-WAN via Edge (Non SD-WAN Destinations via Edge) > Serviço de Segurança na Cloud, clique em Novo (New).
  3. Na janela Novo Fornecedor de Segurança na Cloud (New Cloud Security Provider), selecione um tipo de serviço no menu pendente. O VMware SD-WAN suporta os seguintes tipos de CSS:
    • Serviço de segurança na cloud genérico (Generic Cloud Security Service)
    • Serviço de Segurança na Cloud da Symantec/Palo Alto
      Nota: A partir da versão 5.0.0, os CSS da Palo Alto são configurados de acordo com o novo modelo de tipo de serviço “Serviço de Segurança na Cloud da Symantec/Palo Alto” (Symantec/Palo Alto Cloud Security Service). Todos os clientes que tenham um CSS da Palo Alto configurado de acordo com o “Serviço de segurança na cloud genérico” (Generic Cloud Security Service) devem passar para o novo modelo “Serviço de Segurança na Cloud da Symantec/Palo Alto” (Symantec/Palo Alto Cloud Security Service).
    • Serviço de segurança na cloud Zscaler (Zscaler Cloud Security Service)
    1. Se tiver selecionado o Serviço de segurança na cloud “Genérico” ou “Symantec/Palo Alto” como tipo de serviço, configure os seguintes detalhes necessários e clique em Adicionar (Add).
      Opção Descrição
      Nome do serviço (Service Name) Introduza um nome descritivo para o serviço de segurança na cloud.
      Ponto de presença principal/servidor (Primary Point-of-Presence/Server) Introduza o endereço IP ou o nome de anfitrião para o servidor principal.
      Ponto de presença secundário/servidor (Secondary Point-of-Presence/Server) Introduza o endereço IP ou o nome de anfitrião para o servidor secundário. Isto é opcional.
    2. Se tiver selecionado o serviço de segurança na cloud Zscaler como tipo de serviço, poderá optar pela implementação manual ou automatizada selecionando a caixa de verificação Automatizar implementação de serviço na cloud (Automate Cloud Service Deployment). Também é possível configurar definições adicionais, como os detalhes da Cloud Zscaler (Zscaler Cloud) e da Verificação de estado de funcionamento de L7 (L7 Health Check), para determinar e monitorizar o estado de funcionamento do servidor Zscaler.
    Configurar túneis automáticos do SD-WAN Edge para o Zscaler
    Esta secção descreve como criar automaticamente um túnel GRE ou IPsec do SD-WAN Edge para o fornecedor de serviços Zscaler.
    1. Introduza um nome para o serviço na janela Novo Fornecedor de Segurança na Cloud (New Cloud Security Provider).
    2. Selecione a caixa de verificação Automatizar implementação de serviço na cloud (Automate Cloud Service Deployment).
    3. Selecione o protocolo GRE ou IPsec para o estabelecimento do túnel.
      Nota: O número total de túneis GRE no CSS do Zscaler que podem ser configurados por cliente depende da subscrição do cliente no Zscaler. O valor predefinido é 100.
    4. Configure detalhes adicionais, tais como Preferência doméstica, Cloud Zscaler, Nome de utilizador do Administrador de Parceiro, Palavra-Passe, Chave do parceiro e Domínio, conforme descrito na tabela seguinte.
      Opção Descrição
      Preferência doméstica (Domestic Preference) Ative esta opção para dar prioridade aos centros de dados do Zscaler no país/região de origem do endereço IP, mesmo quando estes estão mais afastados de outros centros de dados do Zscaler.
      Nota: Para configurar esta opção, o GRE tem de estar selecionado para o estabelecimento de túneis.
      Cloud Zscaler (Zscaler Cloud) Pode optar por utilizar as clouds do Zscaler existentes ou utilizar uma nova cloud Zscaler. Se optar por utilizar a cloud existente, selecione um serviço na cloud Zscaler no menu pendente. Para a nova cloud Zscaler, tem de introduzir o nome do serviço de cloud Zscaler na caixa de texto.
      Nome de utilizador do Administrador de Parceiro (Partner Admin Username) Introduza o nome de utilizador fornecido do administrador do parceiro.
      Palavra-passe do Administrador de Parceiro (Partner Admin Password) Introduza a palavra-passe fornecida do administrador do parceiro.
      Nota: A partir da versão 4.5, a utilização do caráter especial “<” na palavra-passe já não é suportada. Nos casos em que os utilizadores já tenham utilizado “<” nas palavras-passe em versões anteriores, têm de o remover para guardar quaisquer alterações na página.
      Chave do parceiro (Partner Key) Introduza a chave do parceiro fornecida.
      Domínio (Domain) Introduza o nome de domínio no qual o serviço na cloud será implementado.
      Subcloud Este é um parâmetro opcional que os clientes do Zscaler Internet Access (ZIA) utilizam para ter um conjunto personalizado de centros de dados para fins de geolocalização.
      Nota: Esta opção está disponível no modo de implementação automatizada do CSS do Zscaler, se o IPsec for selecionado para estabelecer túneis.
    5. Clique em Validar credenciais (Validate Credentials). Se a validação for bem sucedida, o botão Guardar alterações (Save Changes) será ativado.
      Nota: É obrigatório validar as credenciais para adicionar um novo Fornecedor de CSS.
    6. Opcional: configure os seguintes detalhes de Verificação de estado de funcionamento de L7 (L7 Health Check) para monitorizar o estado de funcionamento do servidor Zscaler.
      Nota: A funcionalidade Verificação de estado de funcionamento de L7 (L7 Health Check) testa a acessibilidade HTTP ao servidor de back-end Zscaler. Ao ativar a Verificação de estado de funcionamento, o Edge envia pesquisas L7 HTTP para um destino Zscaler (exemplo: http://<cloud zscaler>/vpntest), que é o servidor back-end Zscaler para a verificação de estado de funcionamento de HTTP. Este método é uma melhoria quando comparado com a utilização do keep-alive ao nível da rede (GRE ou IPsec), uma vez que esse método apenas testa a acessibilidade da rede ao front-end de um servidor Zscaler.

      Se não for recebida uma resposta L7 após 3 tentativas sucessivas, ou se houver um erro de HTTP, o túnel principal será marcado como “Inativo” (Down) e o Edge tentará a recuperação automática do tráfego Zscaler para o túnel em standby (se estiver disponível). Se o Edge efetuar a recuperação automática do tráfego Zscaler para o túnel em standby com sucesso, este torna-se o novo túnel principal.

      No caso improvável de a Verificação de estado de funcionamento de L7 marcar os túneis principal e em standby como “Inativos” (Down), o Edge irá encaminhar o tráfego Zscaler com uma política de backhaul condicional (se tal política tiver sido configurada).

      O Edge envia pesquisas L7 apenas através do túnel principal em direção ao servidor principal. Nunca o faz através do túnel em standby.

      Opção Descrição
      Verificação de estado de funcionamento de L7 (L7 Health Check) Selecione a caixa de verificação para ativar a Verificação de estado de funcionamento de L7 para o fornecedor de Serviço de Segurança na Cloud Zscaler, com detalhes de pesquisa predefinidos (Intervalo da pesquisa HTTP = 5 segundos, Número de novas tentativas = 3, Limiar RTT = 3000 milissegundos). Por predefinição, a verificação do estado de funcionamento de L7 não está ativada.
      Nota: A configuração dos detalhes da verificação de estado de funcionamento não é suportada.
      Nota: Para um dado Edge/Perfil, o utilizador não pode sobrepor os parâmetros de verificação de estado de funcionamento de L7 configurados no serviço de rede.
      Intervalo da pesquisa HTTP (HTTP Probe Interval) A duração do intervalo entre pesquisas HTTP individuais. O intervalo de pesquisa é 5 segundos.
      Número de novas tentativas (Number of Retries) Especifica o número de novas tentativas de pesquisa permitido antes de marcar o serviço na cloud como INATIVO. O valor predefinido é 3.
      Limiar RTT (RTT Threshold) O limiar do tempo de ida e volta (RTT), expresso em milissegundos, utilizado para calcular o estado do serviço na cloud. O serviço na cloud será marcado como INATIVO se o RTT medido estiver acima do limiar configurado. O valor predefinido é 3000 milissegundos.
      URL de início de sessão do Zscaler (Zscaler Login URL) Introduza o URL de início de sessão e, em seguida, clique em Iniciar sessão no Zscaler (Login to Zscaler). Será, assim, redirecionado para o portal de administração do Zscaler da cloud Zscaler selecionada.
      Nota: O botão Iniciar sessão no Zscaler (Login to Zscaler) vai ser ativado se tiver introduzido o URL de início de sessão do Zscaler.
    7. Se pretender iniciar sessão no portal de administração do Zscaler a partir do Orchestrator, introduza o URL de início de sessão do Zscaler e, em seguida, clique em Iniciar sessão no Zscaler (Login to Zscaler). Será, assim, redirecionado para o portal de administração do Zscaler da cloud Zscaler selecionada.
      Nota: O botão Iniciar sessão no Zscaler (Login to Zscaler) vai ser ativado se tiver introduzido o URL de início de sessão do Zscaler.
    Nota: Para obter mais informações sobre a implementação automatizada do CSS do Zscaler, consulte o Guia de implementação do Zscaler e VMware SD-WAN.
    Nota: Para obter detalhes específicos sobre como o Zscaler determina os melhores endereços IP virtuais (VIPs) do centro de dados a utilizar para estabelecer túneis VPN IPsec, consulte Integração da API SD-WAN para o aprovisionamento do túnel VPN IPsec.
    Configuração manual de túneis do SD-WAN Edge para o Zscaler
    Esta secção descreve como criar manualmente um túnel GRE ou IPsec de um SD-WAN Edge para um fornecedor de serviços Zscaler. Ao contrário dos túneis automáticos, ca configuração manual de túneis exige que especifique um destino de túnel para os túneis.
    1. Introduza um nome para o serviço na janela Novo Fornecedor de Segurança na Cloud (New Cloud Security Provider).
    2. Introduza o endereço IP ou o nome de anfitrião para o servidor principal.
    3. Opcionalmente, introduza o endereço IP ou o nome de anfitrião para o servidor secundário.
    4. Selecione um serviço na cloud Zscaler no menu pendente ou introduza o nome do serviço na cloud Zscaler na caixa de texto.
    5. Configure outros parâmetros conforme pretendido e, em seguida, clique em Guardar alterações (Save Changes).
    Nota: Se tiver selecionado o Serviço de segurança na cloud Zscaler (Zscaler Cloud Security Service) como o Tipo de serviço (Service type) e planear atribuir um túnel GRE, recomenda-se que introduza apenas o endereço IP no servidor principal e secundário e não o nome de anfitrião, uma vez que o GRE não suporta nomes de anfitrião.

Resultados

Os serviços de segurança na cloud configurados são apresentados sob a área Serviço de Segurança na Cloud (Cloud Security Service) na janela Serviços de Rede (Network Services).

Como proceder a seguir

Associar o serviço de segurança na cloud a um perfil ou a um Edge: