Integration von Citrix SD-WAN™ und Zscaler mithilfe von Citrix SD-WAN Center

Citrix SD-WAN und Zscaler unterstützen Unternehmen dabei, ihr WAN für die Cloud-Migration zu transformieren, indem sie sichere lokale Breakouts für Anwendungen und Ressourcen bereitstellen, die im Internet gehostet werden. Neue WAN-Infrastrukturtechnologien wie SD-WAN erhöhen die Netzwerkagilität und Skalierbarkeit, während sie gleichzeitig Kosten und Komplexität reduzieren und so eine verbesserte Benutzererfahrung in verteilten Organisationen ermöglichen.

SD-WAN-Lösungen vereinfachen das Routing, indem sie es ermöglichen, dass für die Cloud bestimmter Datenverkehr lokal ins Internet ausgeleitet wird. SD-WAN bietet Flexibilität für das Routing von Datenverkehr ins Internet (zentrale DC-Umgebung entfällt) durch die Nutzung von Application-Steering-Funktionen. Das Aussetzen des Netzwerks dem Internet birgt jedoch erhebliche Sicherheitsrisiken. Ein zentralisierter Ansatz zur Absicherung lokaler Breakouts über einen Cloud-Dienst eliminiert den Aufwand für die Wartung der Sicherheitsinfrastruktur in den Zweigstellen. Der gesamte Datenverkehr wird zuverlässig und sicher an Zscaler (Cloud-basierte Sicherheitsplattform) mit Citrix SD-WAN im Zweigstellennetzwerk weitergeleitet. Sie können kostspielige Infrastruktur eliminieren und Ihr Netzwerk vor Bedrohungen und Schwachstellen schützen.

Citrix SD-WAN

Citrix SD-WAN unterstützt Unternehmen bei der Migration in die Cloud, indem es sichere lokale Branch-to-Internet-Breakouts mit einer integrierten Stateful-Firewall ermöglicht, um Richtlinien zu erstellen, die den Internetzugang direkt von der Zweigstelle aus zulassen oder verweigern können. Citrix SD-WAN identifiziert Anwendungen durch eine Kombination aus einer integrierten Datenbank von über 4.000 Anwendungen, einschließlich einzelner SaaS-Anwendungen, und verwendet Deep-Packet-Inspection-Technologie zur Echtzeit-Erkennung und Klassifizierung von Anwendungen. Es nutzt dieses Anwendungswissen, um den Datenverkehr von der Zweigstelle ins Internet, in die Cloud oder zu SaaS zu lenken.

Zscaler

Zscaler ist die führende Cloud-basierte Sicherheitsplattform, die überlegene Sicherheit bietet, ohne dass lokale Hardware, Appliances oder Software erforderlich sind. Zscaler legt einen Perimeter um das Internet, sodass Unternehmen keinen Sicherheitsperimeter um jedes Büro legen müssen. Die Zscaler Cloud Security Platform fungiert als eine Reihe von Sicherheitskontrollpunkten in mehr als 100 Rechenzentren weltweit. Durch die Umleitung des Internetverkehrs zu Zscaler können Unternehmen Geschäfte, Zweigstellen und entfernte Standorte sofort absichern. Zscaler verbindet Benutzer und das Internet und inspiziert jedes Byte des Datenverkehrs – selbst wenn es verschlüsselt oder komprimiert ist – damit Benutzer sicher sind und alle versteckten Bedrohungen identifiziert werden, bevor sie das Unternehmensnetzwerk infiltrieren können.

Citrix SD-WAN ermöglicht das Erstellen von Richtlinien, die einen direkten Internet-Breakout von der Zweigstelle aus ermöglichen, und die Cloud Security Platform von Zscaler gewährleistet die Sicherheit für die IT, indem sie den gesamten Internet-gebundenen Datenverkehr in einem Cloud-Dienst in der Nähe des Benutzerverbindungsorts inspiziert.

Zscaler Enforcement Nodes (ZENs)

Citrix SD-WAN unterstützt Zscaler-APIs zur Automatisierung der Erstellung von IPsec-Tunneln zwischen Citrix SD-WAN und Zscaler Enforcement Nodes (ZENs) im Zscaler-Cloud-Netzwerk. ZENs sind voll ausgestattete, Inline-Internetsicherheits-Gateways, die den gesamten Internetverkehr bidirektional auf Malware überprüfen und Sicherheits- und Compliance-Richtlinien durchsetzen.

Die Zscaler-API stellt die zwei nächstgelegenen Rechenzentrumsstandorte für jede Zweigstelle bereit, wodurch SD-WAN den Datenverkehr effektiv lenken kann. Organisationen können Zscaler erlauben, den nächstgelegenen ZEN zur Zweigstelle automatisch auszuwählen, indem der ZEN die IP-Adressen der auf Citrix SD-WAN konfigurierten WAN-Links berücksichtigt, oder die ZENs manuell auswählen.

HINWEIS

Beide Routen sind immer im aktiven Modus, wenn der Tunnel aktiv ist. Wenn ein Tunnel ausfällt, wird die entsprechende Route unerreichbar, und die andere Route bleibt in diesem Fall aktiv.

Vorteile

Die Vorteile der Integration von Citrix SD-WAN und Zscaler umfassen:

• Schnellere Einführung von SaaS und Cloud in einem verteilten Unternehmen.
  • Die Zentralisierung der Sicherheit als Cloud-Dienst eliminiert die Notwendigkeit, diese in jeder Zweigstelle vorzuhalten.
  • Eliminierung der Notwendigkeit, Internet-gebundenen Datenverkehr zurückzuführen, was einen lokalen Internet-Breakout in der Zweigstelle ermöglicht.
• Vereinfachtes IT-Management mit automatisierter Konnektivität zu einem Secure Web Gateway.
  • API-Unterstützung automatisiert die Konfiguration sicherer Tunnel zu Zscaler.
• Verbesserte Benutzererfahrung durch Reduzierung der Latenz beim Backhauling von SaaS-Datenverkehr.
  • Eliminiert die Abhängigkeit vom Hub-and-Spoke-Modell für Sicherheitszwecke.
• Eliminierung kostspieliger Sicherheits-Stacks in Zweigstellen.
  • Reduziert den Aufwand für die Bereitstellung und Verwaltung von Firewalls in den Zweigstellen.
• Gewährleistung, dass Internet-gebundener Datenverkehr immer sicher ist.
  • Sicherheitsrichtlinien binden Benutzer nicht an einen physischen Standort.
  • Bietet Sandboxing, Inspektion aller Ports und Protokolle, einschließlich SSL, URL-Filterung, erweiterten Bedrohungsschutz und mehr zum Schutz vor Zero-Day-Angriffen.

Unterstützte Funktionalität

Eine Zscaler-Bereitstellung mit SD-WAN-Appliances unterstützt die folgende Funktionalität:

• Weiterleitung von benutzerdefiniertem Internetverkehr an Zscaler, wodurch ein direkter Internet-Breakout ermöglicht wird.
• Direkter Internetzugang (DIA) über Zscaler pro Kundenstandort.
  • An einigen Standorten möchten Sie möglicherweise DIA mit lokaler Sicherheitsausrüstung bereitstellen und Zscaler nicht verwenden.
  • An einigen Standorten können Sie den Datenverkehr zu einem anderen Kundenstandort für den Internetzugang zurückführen.
• Bereitstellungen von Virtual Routing and Forwarding.
• Ein WAN-Link als Teil der Internetdienste.

Zscaler ist ein Cloud-Dienst. Sie müssen ihn als Dienst einrichten und die zugrunde liegenden WAN-Links definieren:

• Konfigurieren Sie einen vertrauenswürdigen öffentlichen Internet-WAN-Link im Rechenzentrum und an den Zweigstellen.
• IPsec-Tunnel für Intranetdienste automatisch konfigurieren.

Workflow zur Bereitstellung von Zscaler im Citrix SD-WAN Center

Im Folgenden sind die übergeordneten Schritte aufgeführt, die den Workflow zur Bereitstellung von Zscaler im SD-WAN Center definieren.

1. Zscaler-Abonnement im SD-WAN Center konfigurieren (einmalig). Melden Sie sich auf der Zscaler-Website an, um Abonnementinformationen zu erhalten.

2. Wählen Sie Bereitstellen in der Citrix SD-WAN Center GUI aus.

   • Konfiguration für den Standort bereitstellen, der einen Internet-WAN-Link und ein vorkonfiguriertes Anwendungsobjekt verwendet.
   • Konnektivität herstellen.
   • IPsec-Status abrufen/aktualisieren.

Zscaler-Abonnement

Bevor Sie mit der Konfiguration von Zscaler im SD-WAN Center fortfahren, müssen Sie sich im Zscaler-Portal anmelden.

1. Melden Sie sich auf der Zscaler-Website an, um Abonnementinformationen zu erhalten. Die Dashboard-Seite wird geöffnet.

   

2. Klicken Sie auf Administration > Partner-Integrationen.

   

3. Wählen Sie SD-WAN auf der Seite Partner-Integrationen aus. Klicken Sie auf Partner Key hinzufügen.

   

   

4. Wählen Sie Citrix® SDWAN für den Partner Key aus und klicken Sie auf Generieren. Speichern Sie den Schlüssel.

Zscaler im Citrix SD-WAN Center konfigurieren

1. Navigieren Sie in der Citrix SD-WAN Center GUI zur Seite Konfiguration > Sicherheit. Die Seite Zscaler konfigurierte Standorte wird geöffnet.

2. Klicken Sie auf Abonnement. Geben Sie den Zscaler API (Partner Key) ein, der in den vorhergehenden Schritten erstellt wurde. Geben Sie Ihren Zscaler Benutzernamen und Ihr Passwort ein. Wählen Sie den Zscaler Cloud-Namen, die Zscaler-Protokollstufe aus und klicken Sie auf Anwenden.

   

3. ZENs stellt die Liste der verfügbaren VPN-Endpunkte für dieses Zscaler-Cloud-Abonnement bereit.

   

   

4. Nachdem Sie das Zscaler-Abonnement und die ZEN-Details eingegeben haben, können Sie mit dem Hinzufügen von Standorten zu Zscaler beginnen. Klicken Sie auf Hinzufügen.

   

5. Fügen Sie im Dialogfeld Standorte zu Zscaler konfigurieren die Optionen Standort, WAN-Link und Anwendungsobjekte hinzu. Standardmäßig ist die Option ZEN automatisch zuweisen ausgewählt.

   

   Sie können ZEN manuell auswählen. Es wird jedoch die folgende Meldung angezeigt, die darauf hinweist, dass nicht gespeicherte Änderungen verloren gehen.

   

6. Wählen Sie die erforderlichen Standorte aus und klicken Sie auf Bereitstellen. Sie können mehrere Standorte hinzufügen, indem Sie Mehrere hinzufügen auswählen. Die ausgewählten Standorte werden bereitgestellt und die Konfigurationsseite wird angezeigt.

   

   

   Beachten Sie, dass die primären und sekundären ZEN-IP-Adressen ausgefüllt sind und der Bereitstellungsstatus Verbindung aktiv lautet.

7. Klicken Sie auf Erneut bereitstellen, wenn Sie Änderungen an den VPN-Endpunkten oder Anwendungsobjekten des konfigurierten Standorts vornehmen. Alle Änderungen an den konfigurierten Standorten im SD-WAN Center lösen einen Änderungsmanagement-Prozess auf den an den Zweigstellen- und DC-Standorten konfigurierten Appliances aus.

   

   Das Löschen von Standorten löst ebenfalls den Änderungsmanagement-Prozess aus.

   

Überwachung und Fehlerbehebung

Wählen Sie konfigurierte Standorte aus, um weitere Informationen zu Anwendungsobjekten und primären/sekundären IP-Adressen anzuzeigen. Sie können auf das Symbol Details klicken, um vollständige Informationen zu den konfigurierten Standorten anzuzeigen.

Sie können die Zscaler-Protokolle anzeigen und herunterladen, die zur Fehlerbehebung im Citrix SD-WAN Center verwendet werden können.

So zeigen Sie Zscaler-Protokolldateien an:

1. Klicken Sie in der Weboberfläche des Citrix SD-WAN Center auf die Registerkarte Überwachung > Diagnose.

   

2. Wählen Sie aus der Dropdown-Liste Protokolldatei die Zscaler-Protokolldatei aus, die Sie anzeigen möchten. Klicken Sie auf Anzeigen.

3. Wenn Sie die Protokolldateien auf Ihren Computer herunterladen möchten, klicken Sie auf Herunterladen.

IPsec-Tunnelkonfiguration

Die Detailseite in der SD-WAN Center GUI bietet Informationen zur IPsec-Tunnelkonfiguration für primäre und sekundäre Endpunkte. Die Peer-IP wird von Zscaler bezogen. Überprüfen Sie die IPsec-Tunnelkonfiguration im Konfigurationseditor der SD-WAN-Appliance-GUI.

IKE-Einstellungen

Die folgenden IKE/IPsec-Einstellungen werden für die IPsec-Tunnelkonfiguration in der SD-WAN-Appliance ausgewählt. Weitere Informationen zur Konfiguration von IPsec-Tunneln – IKE-Einstellungen finden Sie im Thema Konfigurieren eines IPsec-Tunnels zwischen SD-WAN und Drittanbietergeräten.

• IKE-Version - IKEv2
• IKE-Identität – Benutzer-FQDN
• Hash-Algorithmus - SHA-256
• Integritätsalgorithmus – SHA-256
• Verschlüsselungsmodus – AES 256 Bits
• IPsec – Tunnelmodus
• IPsec-Verschlüsselung – Null

IPsec-Einstellungen

Weitere Informationen zur Konfiguration der IPsec-Tunneleinstellungen finden Sie im Thema Konfigurieren eines IPsec-Tunnels zwischen SD-WAN und Drittanbietergeräten.

Anwendungsobjekte

Stellen Sie sicher, dass Anwendungsobjekte konfiguriert sind. Weitere Informationen zur Konfiguration von Anwendungsrouten finden Sie im Thema Anwendungsklassifizierung.

Hinweis

Die GRE-Tunnelkonfiguration wird im Rahmen des automatisierten Workflows nicht unterstützt. Die manuelle Konfiguration ist jedoch weiterhin zulässig. Weitere Informationen finden Sie unter Zscaler-Integration mithilfe von GRE-Tunneln und IPsec-Tunneln.