A partir da versão 5.3.0, o VMware SD-WAN suporta a funcionalidade Edge do serviço de segurança (SSE). Esta funcionalidade permite que o VMware SD-WAN se integre facilmente a um fornecedor de SSE de terceiros com uma automatização simples através do Orchestrator. Pode configurar várias integrações SSE com o mesmo fornecedor.

Agora, os utilizadores empresariais podem configurar os Destinos Não-SD-WAN via Edge (Non SD-WAN Destinations via Edge) e a Subscrição de cloud (Cloud Subscription) através da funcionalidade Edge do serviço de segurança (Security Service Edge) (SSE). Para a configuração manual dos serviços de rede, veja Configurar os serviços de rede.
Nota: Atualmente, apenas o serviço de rede Destino Não-SD-WAN via Edge (Non SD-WAN Destination via Edge) é suportado.

Atualmente, a funcionalidade Edge do serviço de segurança (Security Service Edge) (SSE) suporta subscrições PAN Prisma e Symantec. Para um utilizador empresarial, a funcionalidade SSE está ativada por predefinição.

Pré-requisitos:
  • Para a integração SSE da subscrição PAN Prisma, o utilizador empresarial tem primeiro de criar perfis IKE e IPsec no portal Palo Alto Networks Strata Cloud Manager. Estes perfis podem ser utilizados para a integração do SSE. Para obter informações sobre como configurar perfis IKE e IPsec no portal Palo Alto Networks Strata Cloud Manager, consulte Configuração do Palo Alto Networks Strata Cloud Manager.
  • Para a integração Symantec, o utilizador empresarial tem primeiro de criar um nome de utilizador e uma palavra-passe para uma credencial de API configurada no portal Symantec Cloud.
Nota: Como o estabelecimento de túneis é uma operação assíncrona, a conclusão da configuração automatizada de Edge do serviço de segurança (SSE) pode demorar entre 5 a 30 minutos por túnel de ligação WAN. Este atraso deve-se ao PAN Prisma.

Antes de criar uma Integração de SSE (SSE Integration), tem primeiro de criar uma Subscrição de SSE (SSE Subscription).

Subscrições de SSE

Para ver ou criar uma subscrição de SSE, siga os passos abaixo:
  1. No serviço SD-WAN do portal da empresa, clique em Configurar (Configure) > Edge do serviço de segurança (SSE).
  2. Clique no separador Subscrições de SSE (SSE Subscriptions) na página de destino do Edge do serviço de segurança (Security Service Edge) (SSE). É apresentado o ecrã seguinte:
  3. Em cada mosaico, clique em Ver (View) para apresentar os detalhes da subscrição existente. Clique nas reticências verticais e, em seguida, em Eliminar (Delete) para eliminar uma subscrição.
  4. Para criar uma nova subscrição, clique em + Nova subscrição de SSE (+ New SSE Subscription).
  5. A janela Configurar subscrição de SSE (Configure SSE Subscription) é apresentada. Tem de introduzir um Nome (Name) para a subscrição e selecionar um Tipo de subscrição (Subscription Type) no menu pendente. Os campos apresentados no ecrã variam consoante o Tipo de subscrição (Subscription Type) selecionado.
    A imagem e a tabela abaixo são para o tipo de subscrição Prisma Access.
    Opção Descrição
    ID Tsg (Tsg Id) Introduza o ID. Este valor tem de ser um número inteiro positivo.
    Nome do utilizador (User Name) Introduza um nome de utilizador.
    Palavra-passe (Password) Introduza uma palavra-passe.
    Nota: A partir da versão 4.5, a utilização do caráter especial “<” na palavra-passe já não é suportada. Nos casos em que os utilizadores já tenham utilizado “<” nas palavras-passe em versões anteriores, têm de o remover para guardar quaisquer alterações na página.
    Domínio (Domain) Introduza o domínio da sua empresa. Exemplo: vmware.com
    Nota: Este campo é necessário para a criação do FQDN IPSec.
    Nota: Os campos ID Tsg (Tsg Id), Nome do utilizador (User Name) e Palavra-passe (Password) têm de corresponder aos valores configurados no portal Palo Alto Networks Strata Cloud Manager.
    A imagem e a tabela abaixo são para o tipo de subscrição Symantec.
    Opção Descrição
    Nome do utilizador (User Name) Introduza um nome de utilizador.
    Palavra-passe (Password) Introduza uma palavra-passe.
    Nota: A partir da versão 4.5, a utilização do caráter especial “<” na palavra-passe já não é suportada. Nos casos em que os utilizadores já tenham utilizado “<” nas palavras-passe em versões anteriores, têm de o remover para guardar quaisquer alterações na página.
    Tipo de cloud Atualmente, este campo apresenta Produção (Prod), que é o valor predefinido.
  6. Clique em Validar subscrição (Validate Subscription) para se certificar de que as credenciais introduzidas estão corretas e, em seguida, clique em Guardar (Save) para guardar a subscrição configurada.

Integração de SSE

Para ver ou criar uma integração de SSE, siga os passos abaixo:
  1. No serviço SD-WAN do portal da empresa, clique em Configurar (Configure) > Edge do serviço de segurança (SSE). Por predefinição, é apresentado o separador Integrações SSE (SSE Integrations).
  2. Para criar uma nova integração de SSE, clique em + Nova integração de SSE (+ New SSE Integration) É apresentado o ecrã seguinte:
  3. Na secção Escolher subscrição de cloud (Choose Cloud Subscription), configure as seguintes opções:
    Opção Descrição
    Tipo de subscrição (Subscription Type) Selecione um tipo de subscrição para o qual deseja configurar uma integração SSE. As opções disponíveis são:
    • Prisma Access
    • Symantec (pré-visualização técnica)
    Subscrição de cloud (Cloud Subscription) Selecione uma subscrição de cloud no menu pendente.

    Apenas as subscrições de cloud configuradas no fornecedor SSE selecionado em Tipo de subscrição (Subscription Type) aparecem no menu pendente.

    Estas subscrições de cloud são preenchidas com base nas configurações em Configurar (Configure) > Edge do serviço de segurança (SSE) > Subscrições SSE (SSE Subscriptions).
  4. Clique em Passo seguinte (Next Step) para ativar a secção seguinte.
  5. Os campos apresentados na secção Criar serviço de rede (Create Network Service) variam consoante o Tipo de subscrição (Subscription Type) selecionado.
    A imagem e a tabela abaixo são para o tipo de subscrição Prisma Access:
    Opção Descrição
    Nome do serviço (Service Name) Introduza um nome de serviço exclusivo.
    Largura de banda mínima por túnel (Mbps) [Minimum Bandwidth per Tunnel (Mbps)] Introduza a largura de banda necessária. O valor predefinido é 2.
    Protocolo de túnel (Tunneling Protocol) Por predefinição, está selecionado o protocolo de túnel IPsec. Deve selecionar o Perfil cripto IPsec (IPsec Crypto Profile) e o Perfil cripto IKE (IKE Crypto Profile) nos respetivos menus pendentes. Estes menus pendentes são preenchidos com base nos perfis criados no portal Palo Alto Networks Strata Cloud Manager.
    A imagem e a tabela abaixo são para o tipo de subscrição Symantec:
    Opção Descrição
    Nome do serviço (Service Name) Introduza um nome de serviço exclusivo.
    Protocolo de túnel (Tunneling Protocol) Este campo está definido para IPsec, que é o único protocolo suportado.
  6. Clique em Criar e continuar (Create and Continue) para ativar a secção seguinte.
  7. Na secção Selecionar perfil/Edges (Select Profile/Edges), configure as seguintes opções:
    Opção Descrição
    Selecionar perfil (Select Profile) Selecione um perfil Edge SD-WAN no menu pendente.
    Selecionar segmento (Select Segment) Selecione um segmento no menu pendente. Por predefinição, está selecionado Segmento global (Global Segment).
    Nota: Pode selecionar apenas um segmento para a subscrição Prisma, mas vários segmentos para a subscrição Symantec.
  8. Depois de selecionar Perfil (Profile) e Segmento (Segment), é preenchida automaticamente uma lista de Edges associados ao Perfil (Profile) selecionado. Selecione um ou mais Edges para os quais deseja aplicar a integração SSE.
  9. Se um Edge tiver mais de duas ligações WAN, as duas primeiras ligações WAN são preenchidas automaticamente na tabela. Pode selecionar as ligações WAN que pretende utilizar para a automatização.
  10. Clique em Validar configuração do túnel (Validate Tunnel Configuration). É apresentado um aviso se algum dos centros de dados estiver com excesso de subscrições.
    Nota: O botão Validar configuração do túnel (Validate Tunnel Configuration) está disponível apenas para o tipo de subscrição Prisma Access. Na implementação do Prisma, é necessário comprar uma licença para adicionar capacidade de largura de banda a um centro de dados. Esta licença restringe o débito máximo, apresentando assim um aviso.
  11. Depois de a configuração do túnel ter sido validada, clique em Guardar e concluir (Save and Finish). A integração SSE recém-criada aparece na lista na página inicial do Edge do serviço de segurança (SSE).
  12. Se desejar editar a integração SSE existente, selecione a integração SSE na lista e clique em Editar (Edit). Também pode clicar na ligação Nome da integração SSE (SSE integration name) para a editar.
  13. Para eliminar a integração SSE, selecione a integração SSE na lista e clique em Eliminar (Delete).
    Nota: Não é possível eliminar integrações de SSE que estejam a ser utilizadas por Edges.
  14. Para monitorizar o estado da automatização, clique na ligação Ver (View) na coluna Estado da implementação do túnel (Tunnel Deployment Status). É apresentado o ecrã seguinte:

    As ações createOrUpdateEdgeConfiguration e deleteEdgeConfiguration indicam à automatização de SSE para atualizar as definições do dispositivo Edge do Orchestrator. As outras ações destinam-se a automatizações de terceiros.

    Nota: Também pode monitorizar o estado da implementação do SSE nos ecrãs Monitorizar (Monitor) > Eventos (Events) e Monitorizar (Monitor) > Serviços de rede (Network Services) > Destinos Não-SD-WAN via Edge (Non SD-WAN Destinations via Edge). Para obter mais informações, consulte Monitorizar os eventos e Monitorizar os serviços de rede.
  15. Para verificar se os túneis estão ativos, aceda a Monitorizar (Monitor) > Edges e passe o cursor do rato sobre a coluna Túneis Edge (Edge Tunnels). Pode ver os detalhes conforme indicado abaixo:

O que fazer a seguir:

Associe a subscrição do Edge do serviço de segurança a um Edge. Para obter mais informações, consulte Configurar parâmetros de VPN de cloud e de túnel para os Edges.

Para direcionar o tráfego de rede para uma cloud empresarial específica, navegue até Configurar (Configure) > Edges > Política empresarial (Business Policy). Clique em + Adicionar (+ Add) para adicionar uma nova regra. Para obter mais informações, consulte Criar uma regra de política empresarial.