Intégrer Citrix SD-WAN™ et Zscaler à l’aide de Citrix SD-WAN Center

Citrix SD-WAN et Zscaler aident les entreprises à transformer leur WAN pour la migration vers le cloud en fournissant des accès locaux sécurisés aux applications et aux ressources hébergées sur Internet. Les nouvelles technologies d’infrastructure WAN, telles que le SD-WAN, augmentent l’agilité et l’évolutivité du réseau tout en réduisant les coûts et la complexité pour une meilleure expérience utilisateur dans les organisations distribuées.

Les solutions SD-WAN simplifient le routage en permettant au trafic destiné au cloud d’accéder localement à Internet. Le SD-WAN offre une flexibilité pour le routage du trafic vers Internet (supprimer l’environnement DC central) en utilisant des fonctionnalités de pilotage d’applications. Cependant, exposer le réseau à Internet présente des risques de sécurité importants. Une approche centralisée pour sécuriser l’accès local via un service cloud élimine la charge de maintenance de l’infrastructure de sécurité dans les succursales. Tout le trafic est acheminé de manière fiable et sécurisée vers Zscaler (plateforme de sécurité basée sur le cloud) avec Citrix SD-WAN dans le réseau de la succursale. Vous pouvez éliminer les infrastructures coûteuses et protéger votre réseau contre les menaces et les vulnérabilités.

Citrix SD-WAN

Citrix SD-WAN aide les entreprises à migrer vers le cloud en permettant des accès locaux sécurisés de la succursale à Internet grâce à un pare-feu avec état intégré pour créer des stratégies qui peuvent autoriser ou refuser l’accès à Internet directement depuis la succursale. Citrix SD-WAN identifie les applications grâce à une combinaison d’une base de données intégrée de plus de 4 000 applications, y compris des applications SaaS individuelles, et utilise la technologie d’inspection approfondie des paquets pour la découverte et la classification des applications en temps réel. Il utilise ces connaissances d’application pour diriger le trafic de la succursale vers Internet, le cloud ou le SaaS.

Zscaler

Zscaler est la principale plateforme de sécurité basée sur le cloud, qui offre une sécurité supérieure sans nécessiter de matériel, d’appliances ou de logiciels sur site. Zscaler établit un périmètre autour d’Internet, de sorte que les entreprises n’ont pas besoin de mettre en place un périmètre de sécurité autour de chaque bureau. La plateforme Zscaler Cloud Security agit comme une série de points de contrôle de sécurité dans plus de 100 centres de données à travers le monde. En redirigeant le trafic Internet vers Zscaler, les entreprises peuvent sécuriser instantanément les magasins, les succursales et les sites distants. Zscaler connecte les utilisateurs et Internet, inspectant chaque octet de trafic — même s’il est chiffré ou compressé — afin que les utilisateurs soient sécurisés et que toutes les menaces cachées soient identifiées avant qu’elles ne puissent infiltrer le réseau de l’entreprise.

Citrix SD-WAN permet de créer des stratégies qui autorisent l’accès direct à Internet depuis la succursale, et la plateforme Zscaler Cloud Security assure la sécurité informatique en inspectant tout le trafic destiné à Internet dans un service cloud proche des points de connexion des utilisateurs.

Nœuds d’application Zscaler (ZEN)

Citrix SD-WAN prend en charge les API Zscaler pour automatiser la création de tunnels IPsec entre Citrix SD-WAN et les nœuds d’application Zscaler (ZEN) dans le réseau cloud de Zscaler. Les ZEN sont des passerelles de sécurité Internet en ligne complètes qui inspectent tout le trafic Internet bidirectionnellement à la recherche de logiciels malveillants et appliquent des stratégies de sécurité et de conformité.

L’API Zscaler fournit les deux emplacements de centres de données les plus proches de chaque succursale, ce qui permet au SD-WAN de diriger le trafic efficacement. Les organisations peuvent autoriser Zscaler à choisir automatiquement le ZEN le plus proche de la succursale en demandant au ZEN d’examiner les adresses IP des liens WAN configurés sur Citrix SD-WAN ou peuvent sélectionner manuellement les ZEN.

REMARQUE

Les deux routes sont toujours en mode actif si le tunnel est ACTIF. Si un tunnel tombe en panne, la route correspondante devient inaccessible et l’autre route reste ACTIVE dans ce cas.

Avantages

Les avantages de l’intégration de Citrix SD-WAN et Zscaler incluent :

• Adoption plus rapide du SaaS et du cloud dans une entreprise distribuée.
  • La centralisation de la sécurité en tant que service cloud élimine la nécessité de l’avoir dans chaque succursale.
  • Élimination du besoin de rapatrier le trafic destiné à Internet, permettant un accès Internet local direct depuis la succursale.
• Gestion informatique simplifiée avec une connectivité automatisée à une passerelle Web sécurisée.
  • Le support API automatise la configuration des tunnels sécurisés vers Zscaler.
• Expérience utilisateur améliorée en réduisant la latence due au rapatriement du trafic SaaS.
  • Élimine la dépendance au modèle hub-and-spoke à des fins de sécurité.
• Élimination des piles de sécurité coûteuses dans les succursales.
  • Réduit la charge de travail liée au déploiement et à la gestion des pare-feu dans les succursales.
• Assurance que le trafic Internet est toujours sécurisé.
  • Les stratégies de sécurité ne lient pas les utilisateurs à un emplacement physique.
  • Fournit le sandboxing, l’inspection de tous les ports et protocoles, y compris SSL, le filtrage d’URL, la protection avancée contre les menaces, et plus encore pour se protéger contre les attaques zero-day.

Fonctionnalités prises en charge

Un déploiement Zscaler utilisant des appliances SD-WAN prend en charge les fonctionnalités suivantes :

• Le transfert du trafic Internet défini par l’utilisateur vers Zscaler, permettant ainsi un accès Internet direct.
• Accès Internet direct (DIA) via Zscaler par site client.
  • Sur certains sites, vous pouvez souhaiter fournir un accès Internet direct avec un équipement de sécurité sur site et ne pas utiliser Zscaler.
  • Sur certains sites, vous pouvez choisir de rapatrier le trafic vers un autre site client pour l’accès à Internet.
• Déploiements de routage et de transfert virtuels.
• Un lien WAN dans le cadre des services Internet.

Zscaler est un service cloud. Vous devez le configurer en tant que service et définir les liens WAN sous-jacents :

• Configurez un lien WAN Internet public fiable au niveau du centre de données et des sites de succursale.
• Configurez automatiquement les tunnels IPsec pour les services intranet.

Déploiement de Zscaler dans le flux de travail de Citrix SD-WAN Center

Voici les étapes générales qui définissent le flux de travail pour déployer Zscaler dans SD-WAN Center.

1. Configurez l’abonnement Zscaler à SD-WAN Center (une seule fois). Connectez-vous au site Zscaler pour obtenir les informations d’abonnement.

2. Sélectionnez Déployer dans l’interface graphique de Citrix SD-WAN Center.

   • Déployez la configuration du site à l’aide du lien WAN Internet et de l’objet d’application préconfiguré.
   • Établissez la connectivité.
   • Obtenez/Mettez à jour l’état IPsec.

Abonnement Zscaler

Avant de procéder à la configuration de Zscaler dans SD-WAN Center, vous devez vous connecter au portail Zscaler.

1. Connectez-vous au site Zscaler pour obtenir les informations d’abonnement. La page Tableau de bord s’ouvre.

   

2. Cliquez sur Administration > Intégrations partenaires.

   

3. Sélectionnez SD-WAN sur la page Intégrations partenaires. Cliquez sur Ajouter une clé partenaire.

   

   

4. Choisissez Citrix® SDWAN pour la clé partenaire et cliquez sur Générer. Stockez la clé.

Configurer Zscaler dans Citrix SD-WAN Center

1. Dans l’interface graphique de Citrix SD-WAN Center, accédez à la page Configuration > Sécurité. La page Sites configurés Zscaler s’ouvre.

2. Cliquez sur Abonnement. Saisissez l’API Zscaler (clé partenaire) créée lors des étapes précédentes. Indiquez votre Nom d’utilisateur et votre Mot de passe Zscaler. Sélectionnez le Nom du cloud Zscaler, le Niveau de journalisation Zscaler, puis cliquez sur Appliquer.

   

3. Les ZEN fournissent la liste des points de terminaison VPN disponibles pour cet abonnement cloud Zscaler.

   

   

4. Après avoir saisi les détails de l’abonnement Zscaler et des ZEN, vous pouvez commencer à ajouter des sites à Zscaler. Cliquez sur Ajouter.

   

5. Dans la boîte de dialogue Configurer les sites vers Zscaler, ajoutez Site, Lien WAN et Objets d’application. Par défaut, l’option Attribuer automatiquement le ZEN est sélectionnée.

   

   Vous pouvez Sélectionner manuellement le ZEN. Cependant, le message suivant apparaît, vous informant que les modifications non enregistrées seront perdues.

   

6. Sélectionnez les sites requis et cliquez sur Déployer. Vous pouvez choisir d’ajouter plusieurs sites en sélectionnant Ajouter plusieurs. Les sites sélectionnés sont déployés et la page de configuration s’affiche.

   

   

   Observez que les adresses IP ZEN primaire et secondaire sont renseignées et que l’état du déploiement est Connexion active.

7. Cliquez sur Redéployer si vous modifiez les points de terminaison VPN ou les objets d’application du site configuré. Toute modification apportée aux sites configurés dans SD-WAN Center déclenche un processus de Gestion des modifications sur les appliances configurées sur les sites de succursale et les sites DC.

   

   La suppression de sites déclenche également le processus de gestion des modifications.

   

Surveillance et dépannage

Sélectionnez les sites configurés pour afficher plus d’informations sur les objets d’application et les adresses IP primaire/secondaire. Vous pouvez cliquer sur l’icône Détails pour afficher des informations complètes sur les sites configurés.

Vous pouvez afficher et télécharger les journaux Zscaler qui peuvent être utilisés pour dépanner les problèmes dans Citrix SD-WAN Center.

Pour afficher les fichiers journaux Zscaler :

1. Dans l’interface Web de Citrix SD-WAN Center, cliquez sur l’onglet Surveillance > Diagnostics.

   

2. Dans la liste déroulante Fichier journal, sélectionnez le fichier journal Zscaler que vous souhaitez afficher. Cliquez sur Afficher.

3. Si vous souhaitez télécharger les fichiers journaux sur votre ordinateur, cliquez sur Télécharger.

Configuration du tunnel IPsec

La page Détails de l’interface graphique de SD-WAN Center fournit des informations sur la configuration du tunnel IPsec vers les points de terminaison primaire et secondaire. L’adresse IP du pair est obtenue de Zscaler. Vérifiez la configuration du tunnel IPsec dans l’éditeur de configuration de l’interface graphique de l’appliance SD-WAN.

Paramètres IKE

Les paramètres IKE/IPsec suivants sont choisis pour la configuration du tunnel IPsec dans l’appliance SD-WAN. Pour plus d’informations sur la configuration du tunnel IPsec – paramètres IKE, consultez la rubrique Comment configurer un tunnel IPsec entre SD-WAN et des périphériques tiers.

• Version IKE - IKEv2
• Identité IKE – FQDN utilisateur
• Algorithme de hachage - SHA-256
• Algorithme d’intégrité – SHA-256
• Mode de chiffrement – AES 256 bits
• IPsec – Mode tunnel
• Chiffrement IPsec – Nul

Paramètres IPsec

Pour plus d’informations sur la configuration des paramètres du tunnel IPsec, consultez la rubrique Comment configurer un tunnel IPsec entre SD-WAN et des périphériques tiers.

Objets d’application

Assurez-vous que les objets d’application sont configurés. Pour plus d’informations sur la configuration des routes d’application, consultez la rubrique Classification des applications.

Remarque

La configuration du tunnel GRE n’est pas prise en charge dans le cadre du flux de travail automatisé. Cependant, la configuration manuelle est toujours autorisée. Pour plus d’informations, consultez la rubrique Intégration de Zscaler à l’aide de tunnels GRE et de tunnels IPsec.