Integrieren von Citrix SD-WAN und Zscaler mit Citrix SD-WAN Center
Citrix SD-WAN und Zscaler helfen Unternehmen, ihr WAN für die Cloud-Migration zu transformieren, indem sie sichere lokale Unterbrechungen für Anwendungen und Ressourcen bereitstellen, die im Internet gehostet werden. Neue WAN-Infrastrukturtechnologien wie SD-WAN erhöhen die Agilität und Skalierung des Netzwerks und senken gleichzeitig Kosten und Komplexität für eine verbesserte Benutzererfahrung in verteilten Unternehmen.
SD-WAN-Lösungen vereinfachen das Routing, da Datenverkehr, der für die Cloud bestimmt ist, lokal ins Internet gebracht werden kann. SD-WAN bietet Flexibilität beim Routing des Datenverkehrs an das Internet (Entfernen der zentralen DC-Umgebung) mithilfe von Anwendungssteuerungsfunktionen. Die Aussetzung des Netzwerks im Internet birgt jedoch erhebliche Sicherheitsrisiken. Ein zentralisierter Ansatz zur Sicherung lokaler Ausbrüche durch einen Cloud-Service eliminiert den Aufwand für die Wartung der Sicherheitsinfrastruktur in den Filialen. Der gesamte Datenverkehr wird zuverlässig und sicher an Zscaler (cloudbasierte Sicherheitsplattform) mit Citrix SD-WAN im Zweignetz weitergeleitet. Sie können kostspielige Infrastruktur eliminieren und Ihr Netzwerk vor Bedrohungen und Schwachstellen schützen.
Citrix SD-WAN
Citrix SD-WAN unterstützt Unternehmen beim Wechsel in die Cloud, indem lokale Branch-zu-Internet-Breakouts mit einer integrierten Stateful-Firewall sicher aktiviert werden, um Richtlinien zu erstellen, die den Internetzugriff direkt aus der Zweigstelle ermöglichen oder verweigern können. Citrix SD-WAN identifiziert Anwendungen durch eine Kombination aus einer integrierten Datenbank mit mehr als 4.000 Anwendungen, einschließlich einzelner SaaS-Anwendungen, und verwendet Deep Packet Inspection Technologie für die Echtzeiterkennung und Klassifizierung von Anwendungen. Es nutzt dieses Anwendungswissen, um den Datenverkehr von der Zweigstelle in das Internet, die Cloud oder SaaS zu steuern.
Zscaler
Zscaler ist die führende cloudbasierte Sicherheitsplattform, die überragende Sicherheit bietet, ohne dass lokale Hardware, Appliances oder Software benötigt werden. Zscaler legt einen Umfang um das Internet herum, so dass Unternehmen nicht in jedem Büro einen Sicherheitsbereich setzen müssen. Die Zscaler Cloud Security Platform fungiert als eine Reihe von Sicherheitskontrollen in mehr als 100 Rechenzentren auf der ganzen Welt. Durch die Umleitung des Internetverkehrs an Zscaler können Unternehmen Geschäfte, Filialen und Remote-Standorte sofort sichern. Zscaler verbindet Benutzer mit dem Internet und überprüft jedes Byte des Datenverkehrs — selbst wenn es verschlüsselt oder komprimiert ist — so dass Benutzer sicher sind und alle versteckten Bedrohungen identifiziert werden, bevor sie das Unternehmensnetzwerk infiltrieren können.
Citrix SD-WAN ermöglicht das Erstellen von Richtlinien, die einen direkten Internetausbruch aus der Zweigstelle ermöglichen, und die Cloud Security Platform von Zscaler sorgt für Sicherheit für die IT, indem der gesamte internetgebundene Datenverkehr in einem Cloud-Dienst in der Nähe des Verbindungsnetzes überprüft wird.
Zscaler Erzwingungsknoten (ZENs)
Citrix SD-WAN unterstützt Zscaler-APIs zur Automatisierung der Erstellung von IPSec-Tunneln zwischen Citrix SD-WAN und Zscaler Enforcement Nodes (ZENs) im Cloud-Netzwerk von Zscaler. ZENs sind voll funktionsfähige Inline-Internet-Sicherheits-Gateways, die den gesamten Internetverkehr bidirektional auf Malware untersuchen und Sicherheits- und Compliance-Richtlinien durchsetzen.
Die Zscaler-API stellt die beiden nächstgelegenen Rechenzentrumsstandorte jeder Filiale zur Verfügung, sodass SD-WAN den Datenverkehr effektiv steuern kann. Organisationen können zulassen, dass Zscaler automatisch das dem Zweigstellen nächstgelegene ZEN auswählt, indem es die IP-Adressen von WAN-Links sucht, die auf Citrix SD-WAN konfiguriert sind, oder manuell die ZENsauswählen.
Hinweis
Beide Routen befinden sich immer im aktiven Modus, wenn der Tunnel UP ist. Wenn ein Tunnel hinuntergeht, wird die entsprechende Route nicht erreichbar und die andere Route bleibt in diesem Fall UP.
Vorteile
Die Vorteile der Integration von Citrix SD-WAN und Zscaler umfassen:
- Schnellere Einführung von SaaS und Cloud in einem verteilten Unternehmen.
- Die Zentralisierung der Sicherheit als Cloud-Dienst macht die Notwendigkeit, sie in jedem Zweig zu haben.
- Es ist überflüssig, internetgesteuerten Datenverkehr zu hinterlegen, sodass lokale Internetausbrüche in der Zweigstelle möglich sind.
- Vereinfachte IT-Verwaltung mit automatischer Verbindung mit einer Secure Web Gateway.
- API-Unterstützung automatisiert die Konfiguration von sicheren Tunneln zu Zscaler
- Verbesserte Benutzerfreundlichkeit durch Reduzierung der Latenz durch Backhauling SaaS-Datenverkehr.
- Eliminiert Hub-and-Spoke-Modellabhängigkeit aus Sicherheitsgründen
- Eliminierung kostspieliger Sicherheitsstapel in Zweigstellen
- Reduzieren Sie den Aufwand für die Bereitstellung und Verwaltung von Firewalls in den Filialen.
- Gewissheit, dass internetgebundener Datenverkehr immer sicher ist.
- Sicherheitsrichtlinien binden Benutzer nicht an einen physischen Standort.
- Bietet Sandboxing, Überprüfung aller Ports und Protokolle, einschließlich SSL, URL-Filterung, erweiterter Bedrohungsschutz und mehr zum Schutz vor Zero-Day-Angriffen.
Unterstützte Funktionen
Eine Zscaler-Bereitstellung mit SD-WAN-Appliances unterstützt die folgenden Funktionen:
- Weiterleitung des benutzerdefinierten Internetverkehrs an Zscaler, wodurch ein direkter Internetausbruch möglich ist.
- Direkter Internetzugang (DIA) mit Zscaler pro Kundenstandort.
- Auf einigen Sites sollten Sie DIA mit lokalen Sicherheitsgeräten bereitstellen und Zscaler nicht verwenden.
- Auf einigen Sites können Sie den Datenverkehr einer anderen Kundenseite für den Internetzugang zurückholen.
- Virtuelle Routing- und Weiterleitungsbereitstellungen.
- Ein WAN-Link als Teil von Internetdiensten.
Zscaler ist ein Cloud-Dienst. Sie müssen es als Service einrichten und die zugrunde liegenden WAN-Links definieren:
- Konfigurieren Sie einen vertrauenswürdigen öffentlichen Internet-WAN-Link im Rechenzentrum und an den Zweigstellen.
- Automatische Konfiguration von IPSec-Tunneln für Intranetdienste.
Bereitstellen von Zscaler im Citrix SD-WAN Center-Workflow
Im Folgenden werden die High-Level-Schritte beschrieben, die den Workflow für die Bereitstellung von Zscaler in SD-WAN Center definieren.
-
Konfigurieren Sie das Zscaler-Abonnement für SD-WAN Center (einmalig). Melden Sie sich bei derZscalerSite an, um Abonnementinformationen zu erhalten.
-
Wählen Sie In Citrix SD-WAN Center GUI bereitstellen aus.
- Stellen Sie die Konfiguration für die Site mithilfe von Internet-WAN-Link und vorkonfiguriertem Anwendungsobjekt bereit.
- Konnektivität herstellen.
- Abrufen/Aktualisieren des IPSec-Status.
Zscaler-Abonnement
Bevor Sie mit der Konfiguration von Zscaler im SD-WAN Center fortfahren, müssen Sie sich im Zscaler-Portal anmelden.
-
Melden Sie sich bei derZscalerSite an, um Abonnementinformationen zu erhalten. Die Seite Dashboard wird geöffnet.
-
Klicken Sie auf Administration > Partnerintegrationen.
-
Wählen Sie auf der Seite Partnerintegrationen die Option SD-WAN aus. Klicken Sie auf Partnerschlüssel hinzufügen.
-
Wählen Sie Citrix SDWAN als Partnerschlüssel aus, und klicken Sie auf Generieren. Speichern Sie den Schlüssel.
Konfigurieren von Zscaler in Citrix SD-WAN Center
-
Navigieren Sie in der Citrix SD-WAN Center GUI zur Seite Konfiguration > Sicherheit. Die Seite Zscaler Konfigurierte Sites wird geöffnet.
-
Klicken Sie auf Abonnement. Geben Sie die Zscaler API (Partnerschlüssel) ein, die in den vorangegangenen Schritten erstellt wurde. Geben Sie für Zscaler Benutzernamen und Kennwort ein. Wählen Sie Zscaler Cloud Name, Zscaler Log Level, und klicken Sie auf Übernehmen.
-
Zens stellt die Liste der verfügbaren VPN-Endpunkte für dieses Zscaler Cloud-Abonnement bereit.
-
Nachdem Sie das Zscaler-Abonnement und die ZEN-Details eingegeben haben, können Sie mit dem Hinzufügen von Sites zu Zscaler beginnen. Klicken Sie auf Hinzufügen.
-
Fügen Sie im Dialogfeld Sites für Zscaler konfigurieren die Site, den WAN-Link und Application Objects hinzu. Standardmäßig ist die Option ZEN automatisch zuweisen ausgewählt.
Sie können ZEN manuell auswählen. Die folgende Meldung wird jedoch angezeigt, dass nicht gespeicherte Änderungen verloren gehen.
-
Wählen Sie die gewünschten Sites aus, und klicken Sie auf Bereitstellen. Sie können mehrere Sites hinzufügen, indem Sie Mehrere hinzufügenauswählen. Die ausgewählten Sites werden bereitgestellt und die Konfigurationsseite wird angezeigt.
Beachten Sie, dass die primären und sekundären ZEN-IP-Adressen ausgefüllt sind und der Bereitstellungsstatus Verbindung aktivist.
-
Klicken Sie auf Erneut bereitstellen, wenn Sie Änderungen an den VPN-Endpunkten oder Anwendungsobjekten der konfigurierten Site vornehmen. Alle Änderungen an den konfigurierten Standorten im SD-WAN-Center lösen einen Änderungsverwaltungsprozess für die Appliances aus, die an den Zweigstandorten und DC-Sites konfiguriert sind.
Durch das Löschen von Sites wird auch der Änderungsverwaltungsprozess ausgelöst.
Überwachung und Fehlersuche
Wählen Sie konfigurierte Sites aus, um weitere Informationen zu Anwendungsobjekten und primären/sekundären IP-Adressen anzuzeigen. Durch Klicken auf das Symbol Details können Sie vollständige Informationen über die konfigurierten Sites anzeigen.
Sie können die Zscaler-Protokolle anzeigen und herunterladen, mit denen Probleme im Citrix SD-WAN Center behandelt werden.
Anzeigen von Zscaler-Protokolldateien:
-
Klicken Sie Citrix SD-WAN Center-Webinterface auf die Registerkarte Überwachung > Diagnose.
-
Wählen Sie in der Dropdownliste Protokolldatei die Zscaler-Protokolldatei aus, die Sie anzeigen möchten. Klicken Sie auf Ansicht.
-
Wenn Sie die Protokolldateien auf Ihren Computer herunterladen möchten, klicken Sie auf Herunterladen.
IPSec-Tunnelkonfiguration
Die Seite Details in der SD-WAN Center GUI enthält Informationen zur IPSec-Tunnelkonfiguration für primäre und sekundäre Endpunkte. Die Peer-IP wird von Zscaler abgerufen. Überprüfen Sie die IPSec-Tunnelkonfiguration im GUI-Konfigurationseditor der SD-WAN-Appliance.
IKE-Einstellungen
Die folgenden IKE/IPsec -Einstellungen werden für die IPSec-Tunnelkonfiguration in der SD-WAN-Appliance ausgewählt. Weitere Informationen zum Konfigurieren von IPSec-Tunnel — IKE-Einstellungen finden Sie unter;Konfigurieren des IPSec-Tunnels zwischen SD-WAN und Drittanbieter-GerätenThema.
- IKE-Version - IKEv2
- IKE-Identität — Benutzer-FQDN
- Hashalgorithmus - SHA-256
- Integritätsalgorithmus — SHA-256
- Verschlüsselungsmodus — AES 256 Bits
- IPsec — Tunnelmodus
- IPSec-Verschlüsselung — Null
IPsec-Einstellungen
Weitere Informationen zum Konfigurieren der IPSec-Tunneleinstellungen finden Sie unter Konfigurieren des IPSec-Tunnels zwischen SD-WAN und Drittanbieter-Geräten.
Anwendungsobjekte
Stellen Sie sicher, dass Anwendungsobjekte konfiguriert sind. Weitere Informationen zum Konfigurieren von Anwendungsrouten finden Sie unter Anwendungsklassifizierung.
Hinweis
Die GRE-Tunnelkonfiguration wird nicht als Teil des automatisierten Workflows unterstützt. Die manuelle Konfiguration ist jedoch weiterhin zulässig. Weitere Informationen finden Sie unter Zscaler Integration mit GRE-Tunneln und IPsec-Tunneln.