Citrix SD-WAN Center

Integre Citrix SD-WAN y Zscaler mediante Citrix SD-WAN Center

Citrix SD-WAN y Zscaler ayudan a las empresas a transformar su WAN para la migración a la nube al proporcionar interrupciones locales seguras a aplicaciones y recursos alojados en Internet. Las nuevas tecnologías de infraestructura WAN, como SD-WAN, aumentan la agilidad y la escalabilidad de la red, al tiempo que reducen los costes y la complejidad para mejorar la experiencia del usuario en las organizaciones distribuidas.

Las soluciones SD-WAN simplifican el enrutamiento al permitir que el tráfico destinado a la nube se desconecte a Internet localmente. SD-WAN proporciona flexibilidad para enrutar el tráfico a Internet (eliminar el entorno de CC central) mediante el uso de funciones de dirección de aplicaciones. Sin embargo, exponer la red a Internet plantea riesgos significativos para la seguridad. Un enfoque centralizado para proteger la ruptura local a través de un servicio en la nube elimina la sobrecarga de mantenimiento de la infraestructura de seguridad en las ramas. Todo el tráfico se enruta de forma fiable y segura a Zscaler (plataforma de seguridad basada en la nube) con Citrix SD-WAN en la red de ramas. Puede eliminar la costosa infraestructura y proteger su red de amenazas y vulnerabilidades.

Citrix SD-WAN

Citrix SD-WAN ayuda a las empresas a trasladarse a la nube al habilitar de forma segura las rupturas locales de ramificación a Internet con un firewall con estado integrado para crear directivas que permitan o denieguen el acceso a Internet directamente desde la rama. Citrix SD-WAN identifica aplicaciones mediante una combinación de una base de datos integrada de más de 4,000 aplicaciones, incluidas aplicaciones SaaS individuales, y utiliza tecnología de inspección profunda de paquetes para el descubrimiento y clasificación de aplicaciones en tiempo real. Utiliza este conocimiento de aplicación para dirigir el tráfico de la rama a Internet, nube o SaaS.

Zscaler

Zscaler es la plataforma de seguridad basada en la nube líder, que ofrece una seguridad superior sin necesidad de hardware, dispositivos o software locales. Zscaler pone un perímetro alrededor de Internet, de modo que las empresas no necesitan poner un perímetro de seguridad alrededor de cada oficina. Zscaler Cloud Security Platform actúa como una serie de puestos de comprobación de seguridad en más de 100 centros de datos en todo el mundo. Al redirigir el tráfico de Internet a Zscaler, las empresas pueden proteger instantáneamente almacenes, ramas y ubicaciones remotos. Zscaler conecta usuarios e Internet, inspeccionando cada byte de tráfico, incluso si está cifrado o comprimido, para que los usuarios estén seguros y todas las amenazas ocultas se identifiquen antes de que puedan infiltrarse en la red empresarial.

Citrix SD-WAN permite crear directivas que permiten la separación directa de Internet desde la rama y la plataforma de seguridad en la nube de Zscaler garantiza la seguridad de TI mediante la inspección de todo el tráfico enlazado a Internet en un servicio en la nube cercano a donde se conectan los usuarios.

Nodos de aplicación de Zscaler (ZENs)

Citrix SD-WAN admite las API de Zscaler para automatizar la creación de túneles IPSec entre Citrix SD-WAN y Zscaler Enforcement Nodes (ZENs) en la red en la nube de Zscaler. Las ZENs son puertas de enlace de seguridad de Internet en línea con todas las funciones que inspeccionan todo el tráfico de Internet de forma bidireccional en busca de malware y aplican directivas de seguridad y cumplimiento.

La API de Zscaler proporciona las dos ubicaciones de centro de datos más cercanas a cada rama, lo que permite a SD-WAN dirigir el tráfico con eficacia. Las organizaciones pueden permitir que Zscaler elija automáticamente el ZEN más cercano a la rama haciendo que ZEN observe las direcciones IP de los enlaces WAN configurados en Citrix SD-WAN o puede seleccionar manualmente las ZENs.

NOTA

Ambas rutas siempre estarán en modo activo si el túnel es UP. Si algún túnel desciende, la ruta correspondiente se vuelve inalcanzable y la otra ruta se mantenga ACTIVO en ese caso.

Flujo de trabajo de Zscaler

Ventajas

Las ventajas de integrar Citrix SD-WAN y Zscaler incluyen:

  • Adopción más rápida de SaaS y nube en una empresa distribuida.
    • Centralizar la seguridad como servicio en la nube elimina la necesidad de tenerla en cada rama.
    • Eliminar la necesidad de devolver el tráfico destinado a Internet, lo que permite la ruptura local de Internet en la rama.
  • Administración de TI simplificada con conectividad automatizada a un Secure Web Gateway.
    • La compatibilidad con API automatiza la configuración de túneles seguros a Zscaler
  • Experiencia mejorada del usuario al reducir la latencia del tráfico SaaS de backhauling.
    • Elimina la dependencia del modelo de hub-and-radial por motivos de seguridad
  • Eliminación de costosas pilas de seguridad en ramas
    • Reduzca la sobrecarga de tener que implementar y administrar firewalls en las ramas.
  • Garantía de que el tráfico vinculado a Internet siempre es seguro.
    • Las directivas de seguridad no vinculan a los usuarios a una ubicación física.
    • Proporciona espacio aislado, inspección de todos los puertos y protocolos, incluido SSL, filtrado de URL, protección avanzada contra amenazas y mucho más para protegerse contra ataques de día cero.

Funcionalidad compatible

Una implementación de Zscaler mediante dispositivos SD-WAN admite la siguiente funcionalidad:

  • Reenviar tráfico de Internet definido por el usuario a Zscaler, permitiendo así la interrupción directa de Internet.
  • Acceso directo a Internet (DIA) mediante Zscaler en base a un sitio por cliente.
    • En algunos sitios, es posible que desee proporcionar a DIA equipo de seguridad local y no utilizar Zscaler.
    • En algunos sitios, puede optar por hacer backhaul el tráfico del sitio de otro cliente para obtener acceso a Internet.
  • Implementaciones de redirección y reenvío virtuales.
  • Un enlace WAN como parte de los servicios de Internet.

Zscaler es un servicio en la nube. Debe configurarlo como servicio y definir los vínculos WAN subyacentes:

  • Configure un vínculo WAN de Internet público de confianza en el centro de datos y en los sitios de rama.
  • Configuración automática de túneles IPSec para servicios de intranet.

Implementación de Zscaler en el flujo de trabajo de Citrix SD-WAN Center

Los siguientes son los pasos de alto nivel que definen el flujo de trabajo para implementar Zscaler en SD-WAN Center.

  1. Configure la suscripción de Zscaler a SD-WAN Center (una sola vez). Inicie sesión en el sitio de Zscaler para obtener información sobre la suscripción.

  2. Seleccione Implementar en la GUI de Citrix SD-WAN Center.

    • Implementar la configuración para el sitio mediante Internet wan-link y objeto de aplicación preconfigurado.
    • Establecer conectividad.
    • Obtener/Actualizar el estado IPSec.

Suscripción a Zscaler

Antes de continuar con la configuración de Zscaler en SD-WAN Center, debe iniciar sesión en el portal de Zscaler.

  1. Inicie sesión en el sitio de Zscaler para obtener información sobre la suscripción. Se abrirá la página Panel de control.

    Panel de control de Zscaler

  2. Haga clic en Administración > Integraciones de socios.

    Administración del panel de Zscaler

  3. Seleccione SD-WAN en la página Integraciones de partners. Haga clic en Agregar clave de socio.

    Integraciones de socios

    Agregar clave de socio

  4. Elija Citrix SDWAN para la clave de socio y haga clic en Generar. Guarde la llave.

Configurar Zscaler en Citrix SD-WAN Center

  1. En la GUI de Citrix SD-WAN Center, vaya a la página Configuración > Seguridad. Se abrirá la página Sitios configurados de Zscaler.

  2. Haga clic en Suscripción. Introduzca la API de Zscaler (clave de socio) creada en los pasos anteriores. Proporcione su nombre de usuario y contraseñade Zscaler. Seleccione Zscaler Cloud Name, Zscaler Log Levely haga clic en Aplicar.

    Suscripción a Zscaler

  3. Zens proporciona la lista de endpoints VPN disponibles para esta suscripción a la nube de Zscaler.

    ZEN

    VIP ZEN

  4. Después de introducir la suscripción a Zscaler y los detalles del ZEN, puede comenzar a agregar sitios a Zscaler. Haga clic en Agregar.

    Agregar sitios a Zscaler

  5. En el cuadro de diálogo Configurar sitios en Zscaler, agregue Sitio, Enlace WAN y Objetos de aplicación. De forma predeterminada, se selecciona la opción Asignar ZEN automáticamente.

    Asignación automática ZEN

    Puede seleccionar manualmente el ZEN. Sin embargo, aparece el siguiente mensaje notificando que se pierden los cambios no guardados.

    Seleccionar manualmente ZEN

  6. Seleccione los sitios necesarios y haga clic en Implementar. Puede optar por agregar varios sitios seleccionando Agregar varios. Los sitios seleccionados se implementan y se muestra la página de configuración.

    Implementación

    Agregar varios sitios

    Observe que las direcciones IP ZEN primarias y secundarias están rellenadas y que el estado de implementación es Conexión activa.

  7. Haga clic en Reimplementar si realiza cambios en los extremos de VPN u objetos de aplicación del sitio configurado. Cualquier cambio en los sitios configurados en el Centro de SD-WAN desencadena un proceso de administración de cambios en los dispositivos configurados en los sitios de rama y los sitios de DC.

    Redespliegue de sitios

    La eliminación de sitios también desencadena el proceso de administración de cambios.

    Eliminar sitios

Supervisión y solución de problemas

Seleccione sitios configurados para ver más información sobre Objetos de aplicación y direcciones IP primario/secundarias. Puede hacer clic en el icono Detalles para ver información completa sobre los sitios configurados.

Detalles del objeto Application

Puede ver y descargar los registros de Zscaler que se pueden utilizar para solucionar problemas en Citrix SD-WAN Center.

Para ver los archivos de registro de Zscaler:

  1. En la interfaz web de Citrix SD-WAN Center, haga clic en la ficha Supervisión > Diagnósticos.

    ZScaler-Logs

  2. En la lista desplegable Archivo de registro, seleccione el archivo de registro de Zscaler que desea ver. Haga clic en Ver.

  3. Si quiere descargar los archivos de registro en el equipo, haga clic en Descargar.

Configuración del túnel IPSec

La página Detalles de la GUI de SD-WAN Center proporciona información sobre la configuración del túnel IPSec para los extremos primario y secundario. La IP del mismo par se obtiene de Zscaler. Compruebe la configuración del túnel IPSec en el editor de configuración de GUI del dispositivo SD-WAN.

Configuración del túnel IPSec

Configuración IKE

Se eligen las siguientes opciones de IKE/IPsec para la configuración del túnel IPSec en el dispositivo SD-WAN. Para obtener más información sobre la configuración del túnel IPSec: valores de IKE, consulte el tema Cómo configurar el túnel IPSec entre SD-WAN y dispositivos de terceros.

  • Versión IKE: IKEv2
  • Identidad IKE: FQDN del usuario
  • Algoritmo hash: SHA-256
  • Algoritmo de integridad — SHA-256
  • Modo de cifrado: AES 256 Bits
  • IPSec — Modo de túnel
  • Cifrado IPSec: Null

Configuración IKE

Configuración de IPSec

Para obtener más información sobre la configuración del túnel IPSec, consulte el tema Cómo configurar el túnel IPSec entre SD-WAN y dispositivos de terceros.

Configuración de IPsec

Objetos de aplicación

Asegúrese de que los objetos de aplicación estén configurados. Para obtener más información sobre la configuración de rutas de aplicaciones, consulte el tema Clasificación de aplicaciones.

Objetos de aplicación

Nota

La configuración del túnel GRE no se admite como parte del flujo de trabajo automatizado. Sin embargo, la configuración manual todavía está permitida. Para obtener más información, consulte Integración de Zscaler mediante túneles GRE y túneles IPSec.

Integre Citrix SD-WAN y Zscaler mediante Citrix SD-WAN Center