Citrix SD-WAN™ und Zscaler mit Citrix SD-WAN Center integrieren

Citrix SD-WAN und Zscaler unterstützen Unternehmen bei der Transformation ihres WAN für die Cloud-Migration, indem sie sichere lokale Breakouts zu Anwendungen und Ressourcen bereitstellen, die im Internet gehostet werden. Neue WAN-Infrastrukturtechnologien wie SD-WAN erhöhen die Netzwerkagilität und -skalierbarkeit, senken gleichzeitig Kosten und Komplexität und verbessern so die Benutzererfahrung in verteilten Organisationen.

SD-WAN-Lösungen vereinfachen das Routing, indem sie den für die Cloud bestimmten Datenverkehr lokal ins Internet leiten können. SD-WAN bietet Flexibilität beim Routing des Datenverkehrs ins Internet (Entfernung der zentralen DC-Umgebung) durch die Nutzung von Anwendungssteuerungsfunktionen. Die Exposition des Netzwerks gegenüber dem Internet birgt jedoch erhebliche Sicherheitsrisiken. Ein zentralisierter Ansatz zur Sicherung des lokalen Breakouts über einen Cloud-Dienst eliminiert den Overhead für die Wartung der Sicherheitsinfrastruktur in den Zweigstellen. Der gesamte Datenverkehr wird mit Citrix SD-WAN im Zweigstellennetzwerk zuverlässig und sicher an Zscaler (Cloud-basierte Sicherheitsplattform) weitergeleitet. Sie können kostspielige Infrastruktur eliminieren und Ihr Netzwerk vor Bedrohungen und Schwachstellen schützen.

Citrix SD-WAN

Citrix SD-WAN unterstützt Unternehmen beim Übergang in die Cloud, indem es sichere lokale Branch-to-Internet-Breakouts mit einer integrierten Stateful-Firewall ermöglicht, um Richtlinien zu erstellen, die den Internetzugang direkt von der Zweigstelle aus zulassen oder verweigern können. Citrix SD-WAN identifiziert Anwendungen durch eine Kombination aus einer integrierten Datenbank von über 4.000 Anwendungen, einschließlich einzelner SaaS-Anwendungen, und verwendet Deep Packet Inspection-Technologie zur Echtzeit-Erkennung und -Klassifizierung von Anwendungen. Dieses Anwendungswissen wird genutzt, um den Datenverkehr von der Zweigstelle ins Internet, in die Cloud oder zu SaaS zu leiten.

Zscaler

Zscaler ist die führende Cloud-basierte Sicherheitsplattform, die überragende Sicherheit bietet, ohne dass lokale Hardware, Appliances oder Software erforderlich sind. Zscaler legt einen Perimeter um das Internet, sodass Unternehmen nicht um jedes Büro einen Sicherheitsperimeter legen müssen. Die Zscaler Cloud Security Platform fungiert als eine Reihe von Sicherheitskontrollpunkten in mehr als 100 Rechenzentren weltweit. Durch die Umleitung des Internetverkehrs zu Zscaler können Unternehmen Geschäfte, Zweigstellen und entfernte Standorte sofort sichern. Zscaler verbindet Benutzer und das Internet, indem es jedes Byte des Datenverkehrs – selbst wenn es verschlüsselt oder komprimiert ist – inspiziert, sodass Benutzer sicher sind und alle versteckten Bedrohungen identifiziert werden, bevor sie das Unternehmensnetzwerk infiltrieren können.

Citrix SD-WAN ermöglicht die Erstellung von Richtlinien, die einen direkten Internet-Breakout von der Zweigstelle aus ermöglichen, und die Zscaler Cloud Security Platform gewährleistet die Sicherheit für die IT, indem sie den gesamten Internet-gebundenen Datenverkehr in einem Cloud-Dienst in der Nähe der Benutzerverbindung inspiziert.

Zscaler Enforcement Nodes (ZENs)

Citrix SD-WAN unterstützt Zscaler-APIs zur Automatisierung der Erstellung von IPsec-Tunneln zwischen Citrix SD-WAN und Zscaler Enforcement Nodes (ZENs) im Zscaler-Cloud-Netzwerk. ZENs sind voll ausgestattete, Inline-Internet-Sicherheits-Gateways, die den gesamten Internetverkehr bidirektional auf Malware überprüfen und Sicherheits- und Compliance-Richtlinien durchsetzen.

Die Zscaler-API stellt die beiden nächstgelegenen Rechenzentrumsstandorte für jede Zweigstelle bereit, wodurch SD-WAN den Datenverkehr effektiv steuern kann. Organisationen können Zscaler erlauben, den nächstgelegenen ZEN zur Zweigstelle automatisch auszuwählen, indem der ZEN die IP-Adressen der auf Citrix SD-WAN konfigurierten WAN-Links überprüft, oder die ZENs manuell auswählen.

HINWEIS

Beide Routen sind immer im aktiven Modus, wenn der Tunnel UP ist. Wenn ein Tunnel ausfällt, wird die entsprechende Route unerreichbar, und die andere Route bleibt in diesem Fall UP.

Vorteile

Die Vorteile der Integration von Citrix SD-WAN und Zscaler umfassen:

• Schnellere Einführung von SaaS und Cloud in einem verteilten Unternehmen.
  • Die Zentralisierung der Sicherheit als Cloud-Dienst eliminiert die Notwendigkeit, diese in jeder Zweigstelle vorzuhalten.
  • Die Eliminierung der Notwendigkeit, Internet-gebundenen Datenverkehr zurückzuführen, ermöglicht einen lokalen Internet-Breakout in der Zweigstelle.
• Vereinfachtes IT-Management mit automatisierter Konnektivität zu einem Secure Web Gateway.
  • API-Unterstützung automatisiert die Konfiguration sicherer Tunnel zu Zscaler.
• Verbesserte Benutzererfahrung durch Reduzierung der Latenz beim Backhauling von SaaS-Datenverkehr.
  • Eliminiert die Abhängigkeit vom Hub-and-Spoke-Modell für Sicherheitszwecke.
• Eliminierung kostspieliger Sicherheits-Stacks in Zweigstellen.
  • Reduziert den Overhead für die Bereitstellung und Verwaltung von Firewalls in den Zweigstellen.
• Gewährleistung, dass Internet-gebundener Datenverkehr immer sicher ist.
  • Sicherheitsrichtlinien binden Benutzer nicht an einen physischen Standort.
  • Bietet Sandboxing, Inspektion aller Ports und Protokolle, einschließlich SSL, URL-Filterung, erweiterten Bedrohungsschutz und mehr zum Schutz vor Zero-Day-Angriffen.

Unterstützte Funktionalität

Eine Zscaler-Bereitstellung mit SD-WAN-Appliances unterstützt die folgende Funktionalität:

• Weiterleitung von benutzerdefiniertem Internetverkehr an Zscaler, wodurch ein direkter Internet-Breakout ermöglicht wird.
• Direkter Internetzugang (DIA) über Zscaler pro Kundenstandort.
  • An einigen Standorten möchten Sie möglicherweise DIA mit lokaler Sicherheitsausrüstung bereitstellen und Zscaler nicht verwenden.
  • An einigen Standorten können Sie den Datenverkehr für den Internetzugang zu einem anderen Kundenstandort zurückführen.
• Bereitstellungen für virtuelles Routing und Forwarding.
• Ein WAN-Link als Teil der Internetdienste.

Zscaler ist ein Cloud-Dienst. Sie müssen ihn als Dienst einrichten und die zugrunde liegenden WAN-Links definieren:

• Konfigurieren Sie einen vertrauenswürdigen öffentlichen Internet-WAN-Link im Rechenzentrum und an den Zweigstellen.
• Automatische Konfiguration von IPsec-Tunneln für Intranetdienste.

Bereitstellen von Zscaler im Citrix SD-WAN Center-Workflow

Im Folgenden sind die übergeordneten Schritte aufgeführt, die den Workflow zur Bereitstellung von Zscaler im SD-WAN Center definieren.

1. Konfigurieren Sie das Zscaler-Abonnement für das SD-WAN Center (einmalig). Melden Sie sich auf der Zscaler-Website an, um Abonnementinformationen zu erhalten.

2. Wählen Sie Deploy in der Citrix SD-WAN Center GUI.

   • Bereitstellen der Konfiguration für den Standort unter Verwendung des Internet-WAN-Links und des vorkonfigurierten Anwendungsobjekts.
   • Konnektivität herstellen.
   • Abrufen/Aktualisieren des IPsec-Status.

Zscaler-Abonnement

Bevor Sie mit der Konfiguration von Zscaler im SD-WAN Center fortfahren, müssen Sie sich im Zscaler-Portal anmelden.

1. Melden Sie sich auf der Zscaler-Website an, um Abonnementinformationen zu erhalten. Die Dashboard-Seite wird geöffnet.

   

2. Klicken Sie auf Administration > Partner Integrations.

   

3. Wählen Sie SD-WAN auf der Seite Partner Integrations aus. Klicken Sie auf Add Partner Key.

   

   

4. Wählen Sie Citrix® SDWAN für den Partnerschlüssel und klicken Sie auf Generate. Speichern Sie den Schlüssel.

Zscaler im Citrix SD-WAN Center konfigurieren

1. Navigieren Sie in der Citrix SD-WAN Center GUI zur Seite Configuration > Security. Die Seite Zscaler Configured Sites wird geöffnet.

2. Klicken Sie auf Subscription. Geben Sie den Zscaler-API-Schlüssel (Partnerschlüssel) ein, der in den vorhergehenden Schritten erstellt wurde. Geben Sie Ihren Zscaler-Benutzernamen und Ihr Passwort ein. Wählen Sie den Zscaler Cloud Name und das Zscaler Log Level aus und klicken Sie auf Apply.

   

3. ZENs stellt die Liste der verfügbaren VPN-Endpunkte für dieses Zscaler-Cloud-Abonnement bereit.

   

   

4. Nachdem Sie das Zscaler-Abonnement und die ZEN-Details eingegeben haben, können Sie damit beginnen, Standorte zu Zscaler hinzuzufügen. Klicken Sie auf Add.

   

5. Fügen Sie im Dialogfeld Configure Sites to Zscaler Site, WAN Link und Application Objects hinzu. Standardmäßig ist die Option Auto assign ZEN ausgewählt.

   

   Sie können Manually Select ZEN auswählen. Es erscheint jedoch die folgende Meldung, die darauf hinweist, dass ungespeicherte Änderungen verloren gehen.

   

6. Wählen Sie die erforderlichen Standorte aus und klicken Sie auf Deploy. Sie können mehrere Standorte hinzufügen, indem Sie Add Multiple auswählen. Die ausgewählten Standorte werden bereitgestellt und die Konfigurationsseite wird angezeigt.

   

   

   Beachten Sie, dass die primären und sekundären ZEN-IP-Adressen ausgefüllt sind und der Bereitstellungsstatus Connection Active lautet.

7. Klicken Sie auf Re-Deploy, wenn Sie Änderungen an den VPN-Endpunkten oder Anwendungsobjekten des konfigurierten Standorts vornehmen. Alle Änderungen an den konfigurierten Standorten im SD-WAN Center lösen einen Change Management-Prozess auf den an den Zweigstellen- und DC-Standorten konfigurierten Appliances aus.

   

   Das Löschen von Standorten löst ebenfalls den Change Management-Prozess aus.

   

Überwachung und Fehlerbehebung

Wählen Sie konfigurierte Standorte aus, um weitere Informationen zu Anwendungsobjekten und primären/sekundären IP-Adressen anzuzeigen. Sie können auf das Symbol Details klicken, um vollständige Informationen zu den konfigurierten Standorten anzuzeigen.

Sie können die Zscaler-Protokolle anzeigen und herunterladen, die zur Fehlerbehebung im Citrix SD-WAN Center verwendet werden können.

So zeigen Sie Zscaler-Protokolldateien an:

1. Klicken Sie in der Citrix SD-WAN Center-Weboberfläche auf die Registerkarte Monitoring > Diagnostics.

   

2. Wählen Sie aus der Dropdown-Liste Log File die Zscaler-Protokolldatei aus, die Sie anzeigen möchten. Klicken Sie auf View.

3. Wenn Sie die Protokolldateien auf Ihren Computer herunterladen möchten, klicken Sie auf Download.

IPsec-Tunnelkonfiguration

Die Seite „Details“ in der SD-WAN Center GUI bietet Informationen zur IPsec-Tunnelkonfiguration für primäre und sekundäre Endpunkte. Die Peer-IP wird von Zscaler bezogen. Überprüfen Sie die IPsec-Tunnelkonfiguration im Konfigurationseditor der SD-WAN-Appliance-GUI.

IKE-Einstellungen

Die folgenden IKE/IPSec-Einstellungen werden für die IPsec-Tunnelkonfiguration in der SD-WAN-Appliance ausgewählt. Weitere Informationen zur Konfiguration von IPsec-Tunnel-IKE-Einstellungen finden Sie im Thema Konfigurieren eines IPsec-Tunnels zwischen SD-WAN und Drittanbietergeräten.

• IKE-Version – IKEv2
• IKE-Identität – Benutzer-FQDN
• Hash-Algorithmus – SHA-256
• Integritätsalgorithmus – SHA-256
• Verschlüsselungsmodus – AES 256 Bits
• IPsec – Tunnelmodus
• IPsec-Verschlüsselung – Null

IPsec-Einstellungen

Weitere Informationen zur Konfiguration der IPsec-Tunneleinstellungen finden Sie im Thema Konfigurieren eines IPsec-Tunnels zwischen SD-WAN und Drittanbietergeräten.

Anwendungsobjekte

Stellen Sie sicher, dass Anwendungsobjekte konfiguriert sind. Weitere Informationen zur Konfiguration von Anwendungsrouten finden Sie im Thema Anwendungsklassifizierung.

Hinweis

Die GRE-Tunnelkonfiguration wird im Rahmen des automatisierten Workflows nicht unterstützt. Die manuelle Konfiguration ist jedoch weiterhin zulässig. Weitere Informationen finden Sie unter Zscaler-Integration mithilfe von GRE-Tunneln und IPsec-Tunneln.