Integración de Palo Alto Networks
Palo Alto Networks ofrece una infraestructura de seguridad basada en la nube para proteger las redes remotas. Proporciona seguridad al permitir que las organizaciones configuren firewalls regionales basados en la nube que protegen el tejido SD-WAN.
El servicio Prisma Access para redes remotas te permite incorporar ubicaciones de red remotas y proporcionar seguridad a los usuarios. Elimina la complejidad de configurar y administrar dispositivos en cada ubicación remota. El servicio ofrece una forma eficiente de agregar fácilmente nuevas ubicaciones de red remotas y minimizar los desafíos operativos al garantizar que los usuarios en estas ubicaciones estén siempre conectados y seguros, y te permite administrar la política de forma centralizada desde Panorama para una seguridad coherente y optimizada para tus ubicaciones de red remotas.
Para conectar tus ubicaciones de red remotas al servicio Prisma Access, puedes usar el firewall de próxima generación de Palo Alto Networks o un dispositivo de terceros compatible con IPSec, incluido SD-WAN, que puede establecer un túnel IPsec con el servicio.
- Planifica el servicio Prisma Access para redes remotas
- Configura el servicio Prisma Access para redes remotas
- Incorpora redes remotas con la importación de configuración
La solución Citrix SD-WAN™ ya proporcionaba la capacidad de desviar el tráfico de Internet desde la sucursal. Esto es fundamental para ofrecer una experiencia de usuario más fiable y de baja latencia, al tiempo que se evita la introducción de una pila de seguridad costosa en cada sucursal. Citrix SD-WAN y Palo Alto Networks ahora ofrecen a las empresas distribuidas una forma más fiable y segura de conectar a los usuarios de las sucursales con las aplicaciones en la nube.
Los dispositivos Citrix SD-WAN pueden conectarse a la red del servicio en la nube de Palo Alto (servicio Prisma Access) a través de túneles IPsec desde las ubicaciones de los dispositivos SD-WAN con una configuración mínima. Puedes configurar la red de Palo Alto en Citrix SD-WAN Center.
Antes de que empieces a configurar el servicio Prisma Access para redes remotas, asegúrate de tener la siguiente configuración lista para garantizar que puedas habilitar el servicio con éxito y aplicar la política a los usuarios en tus ubicaciones de red remotas:
-
Conexión de servicio: si tus ubicaciones de red remotas requieren acceso a la infraestructura de tu sede corporativa para autenticar a los usuarios o para habilitar el acceso a activos de red críticos, debes configurar el acceso a tu red corporativa para que la sede y las ubicaciones de red remotas estén conectadas.
Si la ubicación de red remota es autónoma y no necesita acceder a la infraestructura en otras ubicaciones, no necesitas configurar la conexión de servicio (a menos que tus usuarios móviles necesiten acceso).
-
Plantilla: el servicio Prisma Access crea automáticamente una pila de plantillas (Remote_Network_Template_Stack) y una plantilla de nivel superior (Remote_Network_Template) para el servicio Prisma Access para redes remotas. Para configurar el servicio Prisma Access para redes remotas, configura la plantilla de nivel superior desde cero o aprovecha tu configuración existente, si ya estás ejecutando un firewall de Palo Alto Networks en las instalaciones.
La plantilla requiere la configuración para establecer el túnel IPsec y la configuración de Intercambio de Claves de Internet (IKE) para la negociación de protocolo entre tu ubicación de red remota y el servicio Prisma Access para redes remotas, zonas a las que puedes hacer referencia en la política de seguridad y un perfil de reenvío de registros para que puedas reenviar registros del servicio Prisma Access para redes remotas al servicio de registro.
-
Grupo de dispositivos principal: el servicio Prisma Access para redes remotas requiere que especifiques un grupo de dispositivos principal que incluya tu política de seguridad, perfiles de seguridad y otros objetos de política (como grupos y objetos de aplicación, y grupos de direcciones), así como la política de autenticación para que el servicio Prisma Access para redes remotas pueda aplicar la política de forma coherente para el tráfico que se enruta a través del túnel IPsec al servicio Prisma Access para redes remotas. Debes definir reglas y objetos de política en Panorama o usar un grupo de dispositivos existente para proteger a los usuarios en la ubicación de red remota.
Nota:
Si usas un grupo de dispositivos existente que hace referencia a zonas, asegúrate de agregar la plantilla correspondiente que define las zonas a Remote_Network_Template_Stack.
Esto te permite completar la asignación de zonas cuando configuras el servicio Prisma Access para redes remotas.
-
Subredes IP: para que el servicio Prisma Access enrute el tráfico a tus redes remotas, debes proporcionar información de enrutamiento para las subredes que deseas proteger usando el servicio Prisma Access. Puedes definir una ruta estática a cada subred en la ubicación de red remota, o configurar BGP entre tus ubicaciones de conexión de servicio y el servicio Prisma Access, o usar una combinación de ambos métodos.
Si configuras rutas estáticas y habilitas BGP, las rutas estáticas tienen prioridad. Si bien puede ser conveniente usar rutas estáticas si tienes solo unas pocas subredes en tus ubicaciones de red remotas, en una implementación grande con muchas redes remotas con subredes superpuestas, BGP te permitirá escalar más fácilmente.
Red de Palo Alto en SD-WAN Center
Asegúrate de que se cumplan los siguientes requisitos previos:
- Obtén la dirección IP de Panorama del servicio PRISMA ACCESS.
- Obtén el nombre de usuario y la contraseña utilizados en el servicio PRISMA ACCESS.
- Configura los túneles IPsec en la GUI del dispositivo SD-WAN.
- Asegúrate de que el sitio no esté incorporado a una región que ya tenga un sitio diferente configurado con perfiles ike/ipsec distintos de Citrix-IKE-Crypto-Default/Citrix-IPSec-Crypto-Default.
- Asegúrate de que la configuración de Prisma Access no se modifique manualmente cuando SD-WAN Center la actualice.
En la GUI de Citrix SD-WAN Center, proporciona la información de suscripción de Palo Alto.
- Configura la dirección IP de Panorama. Puedes obtener esta dirección IP de Palo Alto (servicio PRISMA ACCESS).
- Configura el nombre de usuario y la contraseña utilizados en el servicio PRISMA ACCESS.
Agrega y despliega sitios
-
Para desplegar los sitios, elige la región de red de PRISMA ACCESS y el sitio SD-WAN que se configurará para la región de Prisma Access, y luego selecciona el enlace WAN del sitio, el ancho de banda y el objeto de aplicación para la selección de tráfico.
Nota:
El flujo de tráfico se ve afectado si el ancho de banda seleccionado excede el rango de ancho de banda disponible.
Puedes elegir redirigir todo el tráfico con destino a Internet al servicio PRISMA ACCESS seleccionando la opción Todo el tráfico en la selección de objetos de aplicación.
-
Puedes seguir agregando más sitios de sucursal SD-WAN según sea necesario.
-
Haz clic en Desplegar. Se inicia el proceso de gestión de cambios. Haz clic en Sí para continuar.
Después del despliegue, la configuración del túnel IPsec utilizada para establecer los túneles es la siguiente.
La página de inicio muestra la lista de todos los sitios configurados y agrupados en diferentes regiones SD-WAN.
Verifica la conexión de tráfico de extremo a extremo:
- Desde la subred LAN de la sucursal, accede a los recursos de Internet.
- Verifica que el tráfico pase a través del túnel IPsec de Citrix SD-WAN a Palo Alto Prisma Access.
- Verifica que la política de seguridad de Palo Alto se aplique al tráfico en la ficha Supervisión.
- Verifica que la respuesta de Internet al host en una sucursal llegue correctamente.