Citrix SD-WAN™ und Zscaler mit Citrix SD-WAN Center integrieren

Citrix SD-WAN und Zscaler unterstützen Unternehmen bei der Transformation ihres WAN für die Cloud-Migration, indem sie sichere lokale Ausbrüche zu Anwendungen und Ressourcen bereitstellen, die im Internet gehostet werden. Neue WAN-Infrastrukturtechnologien wie SD-WAN erhöhen die Netzwerkagilität und Skalierbarkeit, während sie gleichzeitig Kosten und Komplexität reduzieren, um eine verbesserte Benutzererfahrung in verteilten Organisationen zu ermöglichen.

SD-WAN-Lösungen vereinfachen das Routing, indem sie es dem für die Cloud bestimmten Datenverkehr ermöglichen, lokal ins Internet auszubrechen. SD-WAN bietet Flexibilität für das Routing von Datenverkehr ins Internet (Entfernung der zentralen DC-Umgebung) durch die Verwendung von Anwendungssteuerungsfunktionen. Die Exposition des Netzwerks gegenüber dem Internet birgt jedoch erhebliche Sicherheitsrisiken. Ein zentralisierter Ansatz zur Sicherung lokaler Ausbrüche über einen Cloud-Dienst eliminiert den Overhead der Wartung der Sicherheitsinfrastruktur in den Zweigstellen. Der gesamte Datenverkehr wird zuverlässig und sicher mit Citrix SD-WAN im Zweigstellennetzwerk an Zscaler (Cloud-basierte Sicherheitsplattform) weitergeleitet. Sie können kostspielige Infrastruktur eliminieren und Ihr Netzwerk vor Bedrohungen und Schwachstellen schützen.

Citrix SD-WAN

Citrix SD-WAN unterstützt Unternehmen beim Übergang in die Cloud, indem es sichere lokale Zweigstellen-zu-Internet-Ausbrüche mit einer integrierten Stateful-Firewall ermöglicht, um Richtlinien zu erstellen, die den Internetzugang direkt von der Zweigstelle aus zulassen oder verweigern können. Citrix SD-WAN identifiziert Anwendungen durch eine Kombination aus einer integrierten Datenbank von über 4.000 Anwendungen, einschließlich einzelner SaaS-Anwendungen, und verwendet Deep-Packet-Inspection-Technologie zur Echtzeit-Erkennung und -Klassifizierung von Anwendungen. Es nutzt dieses Anwendungswissen, um den Datenverkehr von der Zweigstelle ins Internet, in die Cloud oder zu SaaS zu steuern.

Zscaler

Zscaler ist die führende Cloud-basierte Sicherheitsplattform, die überragende Sicherheit bietet, ohne dass lokale Hardware, Appliances oder Software erforderlich sind. Zscaler legt einen Perimeter um das Internet, sodass Unternehmen keinen Sicherheitsperimeter um jedes Büro legen müssen. Die Zscaler Cloud Security Platform fungiert als eine Reihe von Sicherheitsposten in mehr als 100 Rechenzentren weltweit. Durch die Umleitung des Internetverkehrs zu Zscaler können Unternehmen Filialen, Zweigstellen und Remote-Standorte sofort sichern. Zscaler verbindet Benutzer und das Internet, indem es jedes Byte des Datenverkehrs prüft – selbst wenn es verschlüsselt oder komprimiert ist –, sodass Benutzer sicher sind und alle versteckten Bedrohungen identifiziert werden, bevor sie das Unternehmensnetzwerk infiltrieren können.

Citrix SD-WAN ermöglicht die Erstellung von Richtlinien, die einen direkten Internet-Breakout von der Zweigstelle aus ermöglichen, und die Cloud Security Platform von Zscaler gewährleistet die Sicherheit für die IT, indem sie den gesamten Internet-gebundenen Datenverkehr in einem Cloud-Dienst in der Nähe der Benutzerverbindung prüft.

Zscaler Enforcement Nodes (ZENs)

Citrix SD-WAN unterstützt Zscaler-APIs zur Automatisierung der Erstellung von IPsec-Tunneln zwischen Citrix SD-WAN und Zscaler Enforcement Nodes (ZENs) im Zscaler-Cloud-Netzwerk. ZENs sind voll ausgestattete, Inline-Internet-Sicherheits-Gateways, die den gesamten Internetverkehr bidirektional auf Malware prüfen und Sicherheits- und Compliance-Richtlinien durchsetzen.

Die Zscaler-API stellt die beiden nächstgelegenen Rechenzentrumsstandorte für jede Zweigstelle bereit, sodass SD-WAN den Datenverkehr effektiv steuern kann. Organisationen können Zscaler erlauben, den nächstgelegenen ZEN zur Zweigstelle automatisch auszuwählen, indem der ZEN die IP-Adressen der auf Citrix SD-WAN konfigurierten WAN-Verbindungen überprüft, oder sie können die ZENs manuell auswählen.

HINWEIS

Beide Routen sind immer im aktiven Modus, wenn der Tunnel aktiv ist. Fällt ein Tunnel aus, wird die entsprechende Route unerreichbar, und die andere Route bleibt in diesem Fall aktiv.

Vorteile

Die Vorteile der Integration von Citrix SD-WAN und Zscaler umfassen:

• Schnellere Einführung von SaaS und Cloud in einem verteilten Unternehmen.
  • Die Zentralisierung der Sicherheit als Cloud-Dienst eliminiert die Notwendigkeit, diese in jeder Zweigstelle zu haben.
  • Die Eliminierung der Notwendigkeit, für das Internet bestimmten Datenverkehr zurückzuführen, ermöglicht einen lokalen Internet-Breakout in der Zweigstelle.
• Vereinfachtes IT-Management mit automatisierter Konnektivität zu einem Secure Web Gateway.
  • API-Unterstützung automatisiert die Konfiguration sicherer Tunnel zu Zscaler.
• Verbesserte Benutzererfahrung durch Reduzierung der Latenz beim Zurückführen von SaaS-Datenverkehr.
  • Eliminiert die Abhängigkeit vom Hub-and-Spoke-Modell für Sicherheitszwecke.
• Eliminierung kostspieliger Sicherheits-Stacks in Zweigstellen.
  • Reduziert den Overhead, Firewalls in den Zweigstellen bereitstellen und verwalten zu müssen.
• Gewährleistung, dass der Internet-gebundene Datenverkehr immer sicher ist.
  • Sicherheitsrichtlinien binden Benutzer nicht an einen physischen Standort.
  • Bietet Sandboxing, Überprüfung aller Ports und Protokolle, einschließlich SSL, URL-Filterung, erweiterten Bedrohungsschutz und mehr zum Schutz vor Zero-Day-Angriffen.

Unterstützte Funktionalität

Eine Zscaler-Bereitstellung mit SD-WAN-Appliances unterstützt die folgende Funktionalität:

• Weiterleitung von benutzerdefiniertem Internetverkehr an Zscaler, wodurch ein direkter Internet-Breakout ermöglicht wird.
• Direkter Internetzugang (DIA) über Zscaler pro Kundenstandort.
  • An einigen Standorten möchten Sie möglicherweise DIA mit lokaler Sicherheitsausrüstung bereitstellen und Zscaler nicht verwenden.
  • An einigen Standorten können Sie den Datenverkehr für den Internetzugang zu einem anderen Kundenstandort zurückführen.
• Bereitstellungen von virtuellem Routing und Forwarding.
• Eine WAN-Verbindung als Teil der Internetdienste.

Zscaler ist ein Cloud-Dienst. Sie müssen ihn als Dienst einrichten und die zugrunde liegenden WAN-Verbindungen definieren:

• Konfigurieren Sie eine vertrauenswürdige öffentliche Internet-WAN-Verbindung im Rechenzentrum und an den Zweigstellenstandorten.
• Automatische Konfiguration von IPsec-Tunneln für Intranetdienste.

Bereitstellen von Zscaler im Citrix SD-WAN Center-Workflow

Im Folgenden sind die übergeordneten Schritte aufgeführt, die den Workflow zur Bereitstellung von Zscaler im SD-WAN Center definieren.

1. Konfigurieren Sie das Zscaler-Abonnement für das SD-WAN Center (einmalig). Melden Sie sich auf der Zscaler-Website an, um Abonnementinformationen abzurufen.

2. Wählen Sie Bereitstellen in der Citrix SD-WAN Center-GUI.

   • Konfiguration für den Standort mithilfe einer Internet-WAN-Verbindung und eines vorkonfigurierten Anwendungsobjekts bereitstellen.
   • Konnektivität herstellen.
   • IPsec-Status abrufen/aktualisieren.

Zscaler-Abonnement

Bevor Sie mit der Konfiguration von Zscaler im SD-WAN Center fortfahren, müssen Sie sich im Zscaler-Portal anmelden.

1. Melden Sie sich auf der Zscaler-Website an, um Abonnementinformationen abzurufen. Die Dashboard-Seite wird geöffnet.

   

2. Klicken Sie auf Administration > Partnerintegrationen.

   

3. Wählen Sie SD-WAN auf der Seite Partnerintegrationen. Klicken Sie auf Partnerschlüssel hinzufügen.

   

   

4. Wählen Sie Citrix® SDWAN für den Partnerschlüssel und klicken Sie auf Generieren. Speichern Sie den Schlüssel.

Zscaler im Citrix SD-WAN Center konfigurieren

1. Navigieren Sie in der Citrix SD-WAN Center-GUI zur Seite Konfiguration > Sicherheit. Die Seite Konfigurierte Zscaler-Standorte wird geöffnet.

2. Klicken Sie auf Abonnement. Geben Sie den Zscaler-API-Schlüssel (Partnerschlüssel) ein, der in den vorhergehenden Schritten erstellt wurde. Geben Sie Ihren Zscaler-Benutzernamen und Ihr Kennwort an. Wählen Sie den Zscaler-Cloud-Namen und die Zscaler-Protokollierungsstufe aus und klicken Sie auf Anwenden.

   

3. ZENs stellen die Liste der verfügbaren VPN-Endpunkte für dieses Zscaler-Cloud-Abonnement bereit.

   

   

4. Nachdem Sie das Zscaler-Abonnement und die ZEN-Details eingegeben haben, können Sie mit dem Hinzufügen von Standorten zu Zscaler beginnen. Klicken Sie auf Hinzufügen.

   

5. Fügen Sie im Dialogfeld Standorte für Zscaler konfigurieren Standort, WAN-Verbindung und Anwendungsobjekte hinzu. Standardmäßig ist die Option ZEN automatisch zuweisen ausgewählt.

   

   Sie können ZEN manuell auswählen. Es wird jedoch die folgende Meldung angezeigt, die darauf hinweist, dass nicht gespeicherte Änderungen verloren gehen.

   

6. Wählen Sie die erforderlichen Standorte aus und klicken Sie auf Bereitstellen. Sie können mehrere Standorte hinzufügen, indem Sie Mehrere hinzufügen auswählen. Die ausgewählten Standorte werden bereitgestellt und die Konfigurationsseite wird angezeigt.

   

   

   Beachten Sie, dass die primären und sekundären ZEN-IP-Adressen ausgefüllt sind und der Bereitstellungsstatus Verbindung aktiv lautet.

7. Klicken Sie auf Neu bereitstellen, wenn Sie Änderungen an den VPN-Endpunkten oder Anwendungsobjekten des konfigurierten Standorts vornehmen. Alle Änderungen an den konfigurierten Standorten im SD-WAN Center lösen einen Änderungsmanagementprozess auf den an den Zweigstellen- und DC-Standorten konfigurierten Appliances aus.

   

   Das Löschen von Standorten löst ebenfalls den Änderungsmanagementprozess aus.

   

Überwachung und Fehlerbehebung

Wählen Sie konfigurierte Standorte aus, um weitere Informationen zu Anwendungsobjekten und primären/sekundären IP-Adressen anzuzeigen. Sie können auf das Symbol Details klicken, um vollständige Informationen zu den konfigurierten Standorten anzuzeigen.

IPsec-Tunnelkonfiguration

Die Detailseite in der SD-WAN Center-GUI bietet Informationen zur IPsec-Tunnelkonfiguration für primäre und sekundäre Endpunkte. Die Peer-IP wird von Zscaler bezogen. Überprüfen Sie die IPsec-Tunnelkonfiguration im Konfigurationseditor der SD-WAN-Appliance-GUI.

Sie können die Zscaler-Protokolle anzeigen und herunterladen, die zur Fehlerbehebung im Citrix SD-WAN Center verwendet werden können.

So zeigen Sie Zscaler-Protokolldateien an:

1. Klicken Sie in der Weboberfläche des Citrix SD-WAN Center auf die Registerkarte Überwachung > Diagnose.

   

2. Wählen Sie in der Dropdown-Liste Protokolldatei die Zscaler-Protokolldatei aus, die Sie anzeigen möchten. Klicken Sie auf Anzeigen.

3. Wenn Sie die Protokolldateien auf Ihren Computer herunterladen möchten, klicken Sie auf Herunterladen.

IKE-Einstellungen

Die folgenden IKE/IPsec-Einstellungen werden für die IPsec-Tunnelkonfiguration in der SD-WAN-Appliance ausgewählt. Weitere Informationen zum Konfigurieren von IPsec-Tunnel-IKE-Einstellungen finden Sie im Thema Konfigurieren eines IPsec-Tunnels zwischen SD-WAN und Drittanbietergeräten.

• IKE-Version – IKEv2
• IKE-Identität – Benutzer-FQDN
• Hash-Algorithmus – SHA-256
• Integritätsalgorithmus – SHA-256
• Verschlüsselungsmodus – AES 256 Bit
• IPsec – Tunnelmodus
• IPsec-Verschlüsselung – Null

IPsec-Einstellungen

Weitere Informationen zum Konfigurieren von IPsec-Tunnel-Einstellungen finden Sie im Thema Konfigurieren eines IPsec-Tunnels zwischen SD-WAN und Drittanbietergeräten.

Anwendungsobjekte

Stellen Sie sicher, dass Anwendungsobjekte konfiguriert sind. Weitere Informationen zum Konfigurieren von Anwendungsrouten finden Sie im Thema Anwendungsklassifizierung.

Hinweis

Die GRE-Tunnelkonfiguration wird nicht als Teil des automatisierten Workflows unterstützt. Die manuelle Konfiguration ist jedoch weiterhin zulässig. Weitere Informationen finden Sie unter Zscaler-Integration mithilfe von GRE-Tunneln und IPsec-Tunneln.