Integrar Citrix SD-WAN™ y Zscaler con Citrix SD-WAN Center

Citrix SD-WAN y Zscaler ayudan a las empresas a transformar su WAN para la migración a la nube al proporcionar salidas locales seguras a Internet para las aplicaciones y los recursos alojados. Las nuevas tecnologías de infraestructura WAN, como SD-WAN, aumentan la agilidad y la escalabilidad de la red a la vez que reducen los costes y la complejidad para mejorar la experiencia del usuario en organizaciones distribuidas.

Las soluciones SD-WAN simplifican el enrutamiento al permitir que el tráfico destinado a la nube salga a Internet localmente. SD-WAN ofrece flexibilidad para enrutar el tráfico a Internet (eliminar el entorno central del centro de datos) mediante el uso de funciones de dirección de aplicaciones. Sin embargo, exponer la red a Internet plantea importantes riesgos de seguridad. Un enfoque centralizado para asegurar la salida local a través de un servicio en la nube elimina la sobrecarga de mantener la infraestructura de seguridad en las sucursales. Todo el tráfico se enruta de forma fiable y segura a Zscaler (plataforma de seguridad basada en la nube) con Citrix SD-WAN en la red de la sucursal. Puedes eliminar infraestructuras costosas y proteger tu red de amenazas y vulnerabilidades.

Citrix SD-WAN

Citrix SD-WAN ayuda a las empresas a migrar a la nube al habilitar de forma segura salidas locales de la sucursal a Internet con un firewall con estado integrado para crear políticas que pueden permitir o denegar el acceso a Internet directamente desde la sucursal. Citrix SD-WAN identifica las aplicaciones a través de una combinación de una base de datos integrada de más de 4000 aplicaciones, incluidas las aplicaciones SaaS individuales, y utiliza tecnología de inspección profunda de paquetes para el descubrimiento y la clasificación de aplicaciones en tiempo real. Utiliza este conocimiento de las aplicaciones para dirigir el tráfico desde la sucursal a Internet, la nube o SaaS.

Zscaler

Zscaler es la plataforma de seguridad basada en la nube líder, que ofrece una seguridad superior sin necesidad de hardware, dispositivos o software locales. Zscaler establece un perímetro alrededor de Internet, de modo que las empresas no necesitan establecer un perímetro de seguridad alrededor de cada oficina. La plataforma de seguridad en la nube de Zscaler actúa como una serie de puestos de control de seguridad en más de 100 centros de datos de todo el mundo. Al redirigir el tráfico de Internet a Zscaler, las empresas pueden proteger instantáneamente tiendas, sucursales y ubicaciones remotas. Zscaler conecta a los usuarios e Internet, inspeccionando cada byte de tráfico —incluso si está cifrado o comprimido— para que los usuarios estén seguros y todas las amenazas ocultas se identifiquen antes de que puedan infiltrarse en la red empresarial.

Citrix SD-WAN permite crear políticas que habilitan la salida directa a Internet desde la sucursal y la plataforma de seguridad en la nube de Zscaler garantiza la seguridad para TI al inspeccionar todo el tráfico con destino a Internet en un servicio en la nube cerca de donde se conectan los usuarios.

Nodos de aplicación de Zscaler (ZEN)

Citrix SD-WAN es compatible con las API de Zscaler para automatizar la creación de túneles IPsec entre Citrix SD-WAN y los nodos de aplicación de Zscaler (ZEN) en la red en la nube de Zscaler. Los ZEN son puertas de enlace de seguridad de Internet en línea con todas las funciones que inspeccionan todo el tráfico de Internet bidireccionalmente en busca de malware y aplican políticas de seguridad y cumplimiento.

La API de Zscaler proporciona las dos ubicaciones de centros de datos más cercanas a cada sucursal, lo que permite a SD-WAN dirigir el tráfico de forma eficaz. Las organizaciones pueden permitir que Zscaler elija automáticamente el ZEN más cercano a la sucursal haciendo que ZEN examine las direcciones IP de los enlaces WAN configurados en Citrix SD-WAN o pueden seleccionar manualmente los ZEN.

NOTA:

Ambas rutas siempre estarán en modo activo si el túnel está ACTIVO. Si algún túnel se cae, la ruta correspondiente deja de ser accesible y la otra ruta permanece ACTIVA en ese caso.

Ventajas

Las ventajas de integrar Citrix SD-WAN y Zscaler incluyen:

• Adopción más rápida de SaaS y la nube en una empresa distribuida.
  • Centralizar la seguridad como un servicio en la nube elimina la necesidad de tenerla en cada sucursal.
  • Eliminar la necesidad de reenviar el tráfico destinado a Internet, lo que permite la salida local a Internet en la sucursal.
• Gestión de TI simplificada con conectividad automatizada a una puerta de enlace web segura.
  • El soporte de API automatiza la configuración de túneles seguros a Zscaler.
• Experiencia de usuario mejorada al reducir la latencia del reenvío del tráfico SaaS.
  • Elimina la dependencia del modelo hub-and-spoke para fines de seguridad.
• Eliminación de costosas pilas de seguridad en las sucursales.
  • Reduce la sobrecarga de tener que implementar y administrar firewalls en las sucursales.
• Garantía de que el tráfico con destino a Internet siempre es seguro.
  • Las políticas de seguridad no vinculan a los usuarios a una ubicación física.
  • Proporciona sandboxing, inspección de todos los puertos y protocolos, incluidos SSL, filtrado de URL, protección avanzada contra amenazas y más para proteger contra ataques de día cero.

Funcionalidad compatible

Una implementación de Zscaler que utiliza dispositivos SD-WAN es compatible con la siguiente funcionalidad:

• Reenvío de tráfico de Internet definido por el usuario a Zscaler, lo que permite la salida directa a Internet.
• Acceso directo a Internet (DIA) mediante Zscaler por cada sitio de cliente.
  • En algunos sitios, es posible que quieras proporcionar DIA con equipos de seguridad locales y no usar Zscaler.
  • En algunos sitios, es posible que elijas reenviar el tráfico a otro sitio de cliente para el acceso a Internet.
• Implementaciones de enrutamiento y reenvío virtual.
• Un enlace WAN como parte de los servicios de Internet.

Zscaler es un servicio en la nube. Debes configurarlo como un servicio y definir los enlaces WAN subyacentes:

• Configura un enlace WAN de Internet público de confianza en el centro de datos y en los sitios de las sucursales.
• Configura automáticamente túneles IPsec para servicios de intranet.

Flujo de trabajo para implementar Zscaler en Citrix SD-WAN Center

Los siguientes son los pasos de alto nivel que definen el flujo de trabajo para implementar Zscaler en SD-WAN Center.

1. Configura la suscripción a Zscaler en SD-WAN Center (una sola vez). Inicia sesión en el sitio de Zscaler para obtener la información de la suscripción.

2. Selecciona Implementar en la GUI de Citrix SD-WAN Center.

   • Implementa la configuración para el sitio usando el enlace WAN de Internet y el objeto de aplicación preconfigurado.
   • Establece la conectividad.
   • Obtén/actualiza el estado de IPsec.

Suscripción a Zscaler

Antes de continuar con la configuración de Zscaler en SD-WAN Center, debes iniciar sesión en el portal de Zscaler.

1. Inicia sesión en el sitio de Zscaler para obtener la información de la suscripción. Se abre la página del panel de control.

   

2. Haz clic en Administración > Integraciones de socios.

   

3. Selecciona SD-WAN en la página Integraciones de socios. Haz clic en Agregar clave de socio.

   

   

4. Elige Citrix® SDWAN para la clave de socio y haz clic en Generar. Guarda la clave.

Configurar Zscaler en Citrix SD-WAN Center

1. En la GUI de Citrix SD-WAN Center, navega a la página Configuración > Seguridad. Se abre la página Sitios configurados de Zscaler.

2. Haz clic en Suscripción. Introduce la API de Zscaler (clave de socio) que creaste en los pasos anteriores. Proporciona tu Nombre de usuario y Contraseña de Zscaler. Selecciona el Nombre de la nube de Zscaler, el Nivel de registro de Zscaler y haz clic en Aplicar.

   

3. Los ZEN proporcionan la lista de puntos finales VPN disponibles para esta suscripción a la nube de Zscaler.

   

   

4. Después de introducir los detalles de la suscripción a Zscaler y los ZEN, puedes empezar a agregar sitios a Zscaler. Haz clic en Agregar.

   

5. En el cuadro de diálogo Configurar sitios en Zscaler, agrega Sitio, Enlace WAN y Objetos de aplicación. De forma predeterminada, la opción Asignar ZEN automáticamente está seleccionada.

   

   Puedes Seleccionar ZEN manualmente. Sin embargo, aparece el siguiente mensaje que notifica que los cambios no guardados se perderán.

   

6. Selecciona los sitios requeridos y haz clic en Implementar. Puedes elegir agregar varios sitios seleccionando Agregar varios. Los sitios seleccionados se implementan y se muestra la página de configuración.

   

   

   Observa que las direcciones IP de ZEN primarias y secundarias se rellenan y el estado de implementación es Conexión activa.

7. Haz clic en Volver a implementar si realizas cambios en los puntos finales VPN o en los objetos de aplicación del sitio configurado. Cualquier cambio en los sitios configurados en SD-WAN Center activa un proceso de Gestión de cambios en los dispositivos configurados en los sitios de las sucursales y los sitios de CC.

   

   Eliminar sitios también activa el proceso de gestión de cambios.

   

Supervisión y solución de problemas

Selecciona los sitios configurados para ver más información sobre los objetos de aplicación y las direcciones IP primarias/secundarias. Puedes hacer clic en el icono Detalles para ver la información completa sobre los sitios configurados.

Puedes ver y descargar los registros de Zscaler que se pueden usar para solucionar problemas en Citrix SD-WAN Center.

Para ver los archivos de registro de Zscaler:

1. En la interfaz web de Citrix SD-WAN Center, haz clic en la ficha Supervisión > Diagnóstico.

   

2. En la lista desplegable Archivo de registro, selecciona el archivo de registro de Zscaler que quieras ver. Haz clic en Ver.

3. Si quieres descargar los archivos de registro en tu equipo, haz clic en Descargar.

Configuración del túnel IPsec

La página Detalles de la GUI de SD-WAN Center proporciona información sobre la configuración del túnel IPsec a los puntos finales primarios y secundarios. La IP del par se obtiene de Zscaler. Verifica la configuración del túnel IPsec en el editor de configuración de la GUI del dispositivo SD-WAN.

Configuración de IKE

La siguiente configuración de IKE/IPsec se elige para la configuración del túnel IPsec en el dispositivo SD-WAN. Para obtener más información sobre cómo configurar el túnel IPsec —configuración de IKE—, consulta el tema Cómo configurar el túnel IPsec entre SD-WAN y dispositivos de terceros.

• Versión de IKE - IKEv2
• Identidad de IKE – FQDN de usuario
• Algoritmo hash - SHA-256
• Algoritmo de integridad – SHA-256
• Modo de cifrado – AES de 256 bits
• IPsec – Modo de túnel
• Cifrado IPsec – Nulo

Configuración de IPsec

Para obtener más información sobre cómo configurar los ajustes del túnel IPsec, consulta el tema Cómo configurar el túnel IPsec entre SD-WAN y dispositivos de terceros.

Objetos de aplicación

Asegúrate de que los objetos de aplicación estén configurados. Para obtener más información sobre cómo configurar rutas de aplicación, consulta el tema Clasificación de aplicaciones.

Nota:

La configuración del túnel GRE no es compatible como parte del flujo de trabajo automatizado. Sin embargo, la configuración manual sigue estando permitida. Para obtener más información, consulta Integración de Zscaler mediante túneles GRE y túneles IPsec.