Integration von Citrix SD-WAN™ und Zscaler mithilfe des Citrix SD-WAN Center

Citrix SD-WAN und Zscaler unterstützen Unternehmen bei der Transformation ihres WAN für die Cloud-Migration, indem sie sichere lokale Breakouts zu Anwendungen und Ressourcen bereitstellen, die im Internet gehostet werden. Neue WAN-Infrastrukturtechnologien wie SD-WAN erhöhen die Netzwerkagilität und Skalierbarkeit, während sie gleichzeitig Kosten und Komplexität reduzieren, um eine verbesserte Benutzererfahrung in verteilten Organisationen zu ermöglichen.

SD-WAN-Lösungen vereinfachen das Routing, indem sie es ermöglichen, dass für die Cloud bestimmter Datenverkehr lokal ins Internet ausgeleitet wird. SD-WAN bietet Flexibilität beim Routing von Datenverkehr ins Internet (Entfernung der zentralen DC-Umgebung) durch die Nutzung von Application Steering-Funktionen. Die Exposition des Netzwerks zum Internet birgt jedoch erhebliche Sicherheitsrisiken. Ein zentralisierter Ansatz zur Sicherung des lokalen Breakouts über einen Cloud-Dienst eliminiert den Overhead für die Wartung der Sicherheitsinfrastruktur in den Zweigstellen. Der gesamte Datenverkehr wird mit Citrix SD-WAN im Zweigstellennetzwerk zuverlässig und sicher an Zscaler (Cloud-basierte Sicherheitsplattform) weitergeleitet. Sie können kostspielige Infrastruktur eliminieren und Ihr Netzwerk vor Bedrohungen und Schwachstellen schützen.

Citrix SD-WAN

Citrix SD-WAN unterstützt Unternehmen bei der Migration in die Cloud, indem es sichere lokale Branch-to-Internet-Breakouts mit einer integrierten Stateful-Firewall ermöglicht, um Richtlinien zu erstellen, die den Internetzugang direkt von der Zweigstelle aus zulassen oder verweigern können. Citrix SD-WAN identifiziert Anwendungen durch eine Kombination aus einer integrierten Datenbank von über 4.000 Anwendungen, einschließlich einzelner SaaS-Anwendungen, und verwendet Deep Packet Inspection-Technologie zur Echtzeit-Erkennung und Klassifizierung von Anwendungen. Es nutzt dieses Anwendungswissen, um den Datenverkehr von der Zweigstelle ins Internet, in die Cloud oder zu SaaS zu lenken.

Zscaler

Zscaler ist die führende Cloud-basierte Sicherheitsplattform, die überragende Sicherheit bietet, ohne dass Hardware, Appliances oder Software vor Ort erforderlich sind. Zscaler legt einen Perimeter um das Internet, sodass Unternehmen keinen Sicherheitsperimeter um jedes Büro legen müssen. Die Zscaler Cloud Security Platform fungiert als eine Reihe von Sicherheitskontrollpunkten in mehr als 100 Rechenzentren weltweit. Durch die Umleitung des Internetverkehrs zu Zscaler können Unternehmen Geschäfte, Zweigstellen und Remote-Standorte sofort sichern. Zscaler verbindet Benutzer und das Internet und inspiziert jedes Byte des Datenverkehrs – selbst wenn es verschlüsselt oder komprimiert ist – sodass Benutzer sicher sind und alle versteckten Bedrohungen identifiziert werden, bevor sie das Unternehmensnetzwerk infiltrieren können.

Citrix SD-WAN ermöglicht die Erstellung von Richtlinien, die einen direkten Internet-Breakout von der Zweigstelle aus ermöglichen, und die Zscaler Cloud Security Platform gewährleistet die Sicherheit für die IT, indem sie den gesamten Internet-gebundenen Datenverkehr in einem Cloud-Dienst in der Nähe der Benutzerverbindung inspiziert.

Zscaler Enforcement Nodes (ZENs)

Citrix SD-WAN unterstützt Zscaler-APIs zur Automatisierung der Erstellung von IPsec-Tunneln zwischen Citrix SD-WAN und Zscaler Enforcement Nodes (ZENs) im Zscaler-Cloud-Netzwerk. ZENs sind voll ausgestattete, Inline-Internet-Sicherheits-Gateways, die den gesamten Internetverkehr bidirektional auf Malware überprüfen und Sicherheits- und Compliance-Richtlinien durchsetzen.

Die Zscaler-API stellt die beiden nächstgelegenen Rechenzentrumsstandorte für jede Zweigstelle bereit, wodurch SD-WAN den Datenverkehr effektiv lenken kann. Organisationen können Zscaler erlauben, den nächstgelegenen ZEN zur Zweigstelle automatisch auszuwählen, indem der ZEN die IP-Adressen der auf Citrix SD-WAN konfigurierten WAN-Links berücksichtigt, oder die ZENs manuell auswählen.

HINWEIS

Beide Routen sind immer im aktiven Modus, wenn der Tunnel aktiv ist. Wenn ein Tunnel ausfällt, wird die entsprechende Route unerreichbar, und die andere Route bleibt in diesem Fall aktiv.

Vorteile

Die Vorteile der Integration von Citrix SD-WAN und Zscaler umfassen:

• Schnellere Einführung von SaaS und Cloud in einem verteilten Unternehmen.
  • Die Zentralisierung der Sicherheit als Cloud-Dienst eliminiert die Notwendigkeit, diese in jeder Zweigstelle vorzuhalten.
  • Die Eliminierung der Notwendigkeit, Internet-gebundenen Datenverkehr zurückzuführen, ermöglicht einen lokalen Internet-Breakout in der Zweigstelle.
• Vereinfachtes IT-Management mit automatisierter Konnektivität zu einem Secure Web Gateway.
  • API-Unterstützung automatisiert die Konfiguration sicherer Tunnel zu Zscaler.
• Verbesserte Benutzererfahrung durch Reduzierung der Latenz beim Backhauling von SaaS-Datenverkehr.
  • Eliminiert die Abhängigkeit vom Hub-and-Spoke-Modell für Sicherheitszwecke.
• Eliminierung kostspieliger Sicherheits-Stacks in Zweigstellen.
  • Reduziert den Aufwand für die Bereitstellung und Verwaltung von Firewalls in den Zweigstellen.
• Gewährleistung, dass Internet-gebundener Datenverkehr immer sicher ist.
  • Sicherheitsrichtlinien binden Benutzer nicht an einen physischen Standort.
  • Bietet Sandboxing, Inspektion aller Ports und Protokolle, einschließlich SSL, URL-Filterung, erweiterten Bedrohungsschutz und mehr zum Schutz vor Zero-Day-Angriffen.

Unterstützte Funktionalität

Eine Zscaler-Bereitstellung mit SD-WAN-Appliances unterstützt die folgende Funktionalität:

• Weiterleitung von benutzerdefiniertem Internetverkehr an Zscaler, wodurch ein direkter Internet-Breakout ermöglicht wird.
• Direkter Internetzugang (DIA) über Zscaler pro Kundenstandort.
  • An einigen Standorten möchten Sie möglicherweise DIA mit lokaler Sicherheitsausrüstung bereitstellen und Zscaler nicht verwenden.
  • An einigen Standorten möchten Sie möglicherweise den Datenverkehr zu einem anderen Kundenstandort für den Internetzugang zurückführen.
• Bereitstellungen von Virtual Routing and Forwarding.
• Ein WAN-Link als Teil der Internetdienste.

Zscaler ist ein Cloud-Dienst. Sie müssen ihn als Dienst einrichten und die zugrunde liegenden WAN-Links definieren:

• Konfigurieren Sie einen vertrauenswürdigen öffentlichen Internet-WAN-Link im Rechenzentrum und an den Zweigstellen.
• Automatische Konfiguration von IPsec-Tunneln für Intranetdienste.

Bereitstellung von Zscaler im Citrix SD-WAN Center Workflow

Im Folgenden sind die übergeordneten Schritte aufgeführt, die den Workflow zur Bereitstellung von Zscaler im SD-WAN Center definieren.

1. Konfigurieren Sie das Zscaler-Abonnement im SD-WAN Center (einmalig). Melden Sie sich auf der Zscaler-Website an, um Abonnementinformationen zu erhalten.

2. Wählen Sie Deploy in der Citrix SD-WAN Center GUI.

   • Konfiguration für den Standort bereitstellen, der Internet-WAN-Link und vorkonfiguriertes Anwendungsobjekt verwendet.
   • Konnektivität herstellen.
   • IPsec-Status abrufen/aktualisieren.

Zscaler-Abonnement

Bevor Sie mit der Konfiguration von Zscaler im SD-WAN Center fortfahren, müssen Sie sich im Zscaler-Portal anmelden.

1. Melden Sie sich auf der Zscaler-Website an, um Abonnementinformationen zu erhalten. Die Dashboard-Seite wird geöffnet.

   

2. Klicken Sie auf Administration > Partner Integrations.

   

3. Wählen Sie SD-WAN auf der Seite Partner Integrations aus. Klicken Sie auf Add Partner Key.

   

   

4. Wählen Sie Citrix® SDWAN für den Partnerschlüssel und klicken Sie auf Generate. Speichern Sie den Schlüssel.

Zscaler im Citrix SD-WAN Center konfigurieren

1. Navigieren Sie in der Citrix SD-WAN Center GUI zur Seite Configuration > Security. Die Seite Zscaler Configured Sites wird geöffnet.

2. Klicken Sie auf Subscription. Geben Sie den Zscaler API (Partnerschlüssel) ein, der in den vorhergehenden Schritten erstellt wurde. Geben Sie Ihren Zscaler Username und Ihr Password ein. Wählen Sie den Zscaler Cloud Name, Zscaler Log Level aus und klicken Sie auf Apply.

   

3. ZENs stellt die Liste der verfügbaren VPN-Endpunkte für dieses Zscaler-Cloud-Abonnement bereit.

   

   

4. Nachdem Sie die Zscaler-Abonnement- und ZEN-Details eingegeben haben, können Sie damit beginnen, Standorte zu Zscaler hinzuzufügen. Klicken Sie auf Add.

   

5. Fügen Sie im Dialogfeld Configure Sites to Zscaler die Optionen Site, WAN Link und Application Objects hinzu. Standardmäßig ist die Option Auto assign ZEN ausgewählt.

   

   Sie können Manually Select ZEN auswählen. Es erscheint jedoch die folgende Meldung, die darauf hinweist, dass nicht gespeicherte Änderungen verloren gehen.

   

6. Wählen Sie die erforderlichen Standorte aus und klicken Sie auf Deploy. Sie können mehrere Standorte hinzufügen, indem Sie Add Multiple auswählen. Die ausgewählten Standorte werden bereitgestellt und die Konfigurationsseite wird angezeigt.

   

   

   Beachten Sie, dass die primären und sekundären ZEN-IP-Adressen ausgefüllt sind und der Bereitstellungsstatus Connection Active lautet.

7. Klicken Sie auf Re-Deploy, wenn Sie Änderungen an den VPN-Endpunkten oder Anwendungsobjekten des konfigurierten Standorts vornehmen. Alle Änderungen an den konfigurierten Standorten im SD-WAN Center lösen einen Change Management-Prozess auf den in den Zweigstellen und DC-Standorten konfigurierten Appliances aus.

   

   Das Löschen von Standorten löst ebenfalls den Change Management-Prozess aus.

   

Überwachung und Fehlerbehebung

Wählen Sie konfigurierte Standorte aus, um weitere Informationen zu Anwendungsobjekten und primären/sekundären IP-Adressen anzuzeigen. Sie können auf das Details-Symbol klicken, um vollständige Informationen zu den konfigurierten Standorten anzuzeigen.

Sie können die Zscaler-Protokolle anzeigen und herunterladen, die zur Fehlerbehebung im Citrix SD-WAN Center verwendet werden können.

So zeigen Sie Zscaler-Protokolldateien an:

1. Klicken Sie in der Citrix SD-WAN Center Weboberfläche auf die Registerkarte Monitoring > Diagnostics.

   

2. Wählen Sie aus der Dropdown-Liste Log File die Zscaler-Protokolldatei aus, die Sie anzeigen möchten. Klicken Sie auf View.

3. Wenn Sie die Protokolldateien auf Ihren Computer herunterladen möchten, klicken Sie auf Download.

IPsec-Tunnelkonfiguration

Die Detailseite in der SD-WAN Center GUI bietet Informationen zur IPsec-Tunnelkonfiguration zu primären und sekundären Endpunkten. Die Peer-IP wird von Zscaler bezogen. Überprüfen Sie die IPsec-Tunnelkonfiguration im Konfigurationseditor der SD-WAN-Appliance-GUI.

IKE-Einstellungen

Die folgenden IKE/IPSec-Einstellungen werden für die IPsec-Tunnelkonfiguration in der SD-WAN-Appliance ausgewählt. Weitere Informationen zur Konfiguration von IPsec-Tunnel – IKE-Einstellungen finden Sie im Thema: Konfigurieren eines IPsec-Tunnels zwischen SD-WAN und Drittanbietergeräten.

• IKE-Version – IKEv2
• IKE-Identität – Benutzer-FQDN
• Hash-Algorithmus – SHA-256
• Integritätsalgorithmus – SHA-256
• Verschlüsselungsmodus – AES 256 Bit
• IPsec – Tunnelmodus
• IPsec-Verschlüsselung – Null

IPsec-Einstellungen

Weitere Informationen zur Konfiguration von IPsec-Tunnel-Einstellungen finden Sie im Thema: Konfigurieren eines IPsec-Tunnels zwischen SD-WAN und Drittanbietergeräten.

Anwendungsobjekte

Stellen Sie sicher, dass Anwendungsobjekte konfiguriert sind. Weitere Informationen zur Konfiguration von Anwendungsrouten finden Sie im Thema: Anwendungsklassifizierung.

Hinweis

Die GRE-Tunnelkonfiguration wird im Rahmen des automatisierten Workflows nicht unterstützt. Die manuelle Konfiguration ist jedoch weiterhin zulässig. Weitere Informationen finden Sie unter: Zscaler-Integration mithilfe von GRE-Tunneln und IPsec-Tunneln.