Intégrez Citrix SD-WAN et Zscaler à l’aide de Citrix SD-WAN Center
Citrix SD-WAN et Zscaler aident les entreprises à transformer leur WAN pour la migration vers le cloud en fournissant des solutions locales sécurisées aux applications et aux ressources hébergées sur Internet. Les nouvelles technologies d’infrastructure WAN telles que le SD-WAN augmentent l’agilité et l’évolutivité du réseau tout en réduisant les coûts et la complexité pour améliorer l’expérience utilisateur dans les organisations distribuées.
Les solutions SD-WAN simplifient le routage en permettant au trafic destiné au cloud de se rendre sur Internet localement. Le SD-WAN offre une flexibilité pour le routage du trafic vers Internet (suppression de l’environnement DC central) en utilisant les fonctions de pilotage des applications. Cependant, l’exposition du réseau à Internet pose des risques importants pour la sécurité. Une approche centralisée pour sécuriser le déploiement local via un service cloud élimine les frais de maintenance de l’infrastructure de sécurité dans les succursales. Tout le trafic est acheminé de manière fiable et sécurisée vers Zscaler (plate-forme de sécurité basée sur le cloud) avec Citrix SD-WAN dans le réseau de succursales. Vous pouvez éliminer l’infrastructure coûteuse et protéger votre réseau contre les menaces et les vulnérabilités.
Citrix SD-WAN
Citrix SD-WAN aide les entreprises à migrer vers le cloud en activant en toute sécurité le routage de l’Internet des succursales locales avec un pare-feu avec état intégré pour créer des stratégies qui peuvent autoriser ou refuser l’accès à Internet directement à partir de la succursale. Citrix SD-WAN identifie les applications grâce à une combinaison d’une base de données intégrée de plus de 4 000 applications, y compris des applications SaaS individuelles, et utilise une technologie d’inspection approfondie des paquets pour la découverte et la classification en temps réel des applications. Il utilise cette connaissance de l’application pour diriger le trafic de la succursale vers Internet, cloud ou SaaS.
Zscaler
Zscaler est la principale plate-forme de sécurité basée sur le cloud, qui offre une sécurité supérieure sans avoir besoin de matériel, d’appliances ou de logiciels sur site. Zscaler met un périmètre autour d’Internet, de sorte que les entreprises n’ont pas besoin de mettre un périmètre de sécurité autour de chaque bureau. Zscaler Cloud Security Platform agit comme une série de postes de contrôle de sécurité dans plus de 100 centres de données à travers le monde. En redirigeant le trafic Internet vers Zscaler, les entreprises peuvent sécuriser instantanément les magasins, les succursales et les emplacements distants. Zscaler connecte les utilisateurs et Internet, en inspectant chaque octet de trafic, même s’il est chiffré ou compressé, afin que les utilisateurs soient sécurisés et que toutes les menaces cachées soient identifiées avant de pouvoir s’infiltrer dans le réseau d’entreprise.
Citrix SD-WAN permet de créer des stratégies qui permettent une sortie directe d’Internet à partir de la succursale et la plateforme de sécurité cloud de Zscaler assure la sécurité de l’informatique en inspectant tout le trafic relié à Internet dans un service cloud proche de l’endroit où les utilisateurs se connectent.
Nœuds d’application Zscaler (ZEN)
Citrix SD-WAN prend en charge les API Zscaler pour automatiser la création de tunnels IPSec entre Citrix SD-WAN et Zscaler Enforcement Nodes (ZENs) dans le réseau cloud de Zscaler. Les ZEN sont des passerelles de sécurité Internet intégrées complètes qui inspectent tout le trafic Internet bidirectionnellement pour détecter les logiciels malveillants et appliquent des stratégies de sécurité et de conformité.
L’API Zscaler fournit les deux emplacements de centre de données les plus proches de chaque succursale, ce qui permet au SD-WAN de diriger efficacement le trafic. Les organisations peuvent autoriser Zscaler à choisir automatiquement le ZEN le plus proche de la branche en demandant à ZEN d’examiner les adresses IP des liens WAN configurés sur Citrix SD-WAN ou de sélectionner manuellement les ZEN.
REMARQUE
Les deux routes sont toujours en mode actif si le tunnel est UP. Si un tunnel descend l’itinéraire correspondant devient inaccessible et l’autre itinéraire reste en hausse dans ce cas.
Avantages
Les avantages de l’intégration de Citrix SD-WAN et Zscaler incluent :
- Adoption plus rapide du SaaS et du cloud dans une entreprise distribuée.
- La centralisation de la sécurité en tant que service cloud élimine le besoin de l’avoir dans chaque succursale.
- Élimination de la nécessité de réacheminer le trafic destiné à Internet, ce qui permet une sortie Internet locale à la succursale.
- Gestion informatique simplifiée grâce à une connectivité automatisée à Secure Web Gateway.
- La prise en charge de l’API automatise la configuration des tunnels sécurisés vers Zscaler
- Amélioration de l’expérience utilisateur grâce à la réduction de la latence du trafic SaaS.
- Élimine la dépendance du modèle hub-and-spoke à des fins de sécurité
- Élimination des piles de sécurité coûteuses dans les succursales
- Réduisez les frais supplémentaires liés au déploiement et à la gestion des pare-feu dans les succursales.
- Assurance que le trafic relié à Internet est toujours sécurisé.
- Les stratégies de sécurité ne lient pas les utilisateurs à un emplacement physique.
- Fournit un sandboxing, une inspection de tous les ports et protocoles, y compris SSL, filtrage d’URL, protection avancée contre les menaces et bien plus encore pour protéger contre les attaques « jour zéro ».
Fonction prise en charge
Un déploiement Zscaler utilisant des appliances SD-WAN prend en charge les fonctionnalités suivantes :
- Transférer le trafic Internet défini par l’utilisateur vers Zscaler, ce qui permet l’évasion directe sur Internet.
- Accès direct à Internet (DIA) utilisant Zscaler sur une base par site client.
- Sur certains sites, vous pouvez fournir à DIA un équipement de sécurité local et ne pas utiliser Zscaler.
- Sur certains sites, vous pouvez choisir de réacheminer le trafic d’un autre site client pour l’accès à Internet.
- Déploiements de routage et de transfert virtuels.
- Une liaison WAN dans le cadre des services Internet.
Zscaler est un service cloud. Vous devez le configurer en tant que service et définir les liens WAN sous-jacents :
- Configurez un lien WAN Internet public approuvé au niveau du centre de données et des sites de succursales.
- Configurer automatiquement les tunnels IPSec pour les services intranet.
Déploiement de Zscaler dans le flux de travail Citrix SD-WAN Center
Voici les étapes de haut niveau qui définissent le flux de travail pour déployer Zscaler dans SD-WAN Center.
-
Configurez l’abonnement Zscaler au SD-WAN Center (une seule fois). Connectez-vous au site Zscaler pour obtenir des informations d’abonnement.
-
Sélectionnez Déployer dans l’interface graphique du centre Citrix SD-WAN.
- Déployer la configuration du site à l’aide d’Internet wan-link et d’un objet d’application préconfiguré.
- Établir la connectivité
- Obtenir ou mettre à jour l’état IPSec.
Abonnement Zscaler
Avant de procéder à la configuration de Zscaler dans SD-WAN Center, vous devez vous connecter au portail Zscaler.
-
Connectez-vous au site Zscaler pour obtenir des informations d’abonnement. La page Tableau de bord s’ouvre.
-
Cliquez sur Administration > Intégrations partenaires.
-
Sélectionnez SD-WAN sur la page Intégrations de partenaires. Cliquez sur Ajouter une clé de partenaire.
-
Choisissez Citrix SDWAN pour la clé de partenaire, puis cliquez sur Générer. Stockez la clé.
Configurer Zscaler dans le Centre Citrix SD-WAN
-
Dans l’interface graphique de Citrix SD-WAN Center, accédez à la page Configuration > Sécurité. La page Sites configurés Zscaler s’ouvre.
-
Cliquez sur Abonnement. Entrez l’API Zscaler (clé de partenaire) créée dans les étapes précédentes. Fournissez votre nom d’ utilisateur et votre mot de passeZscaler. Sélectionnez Zscaler Cloud Name, Zscaler Log Level, puis cliquez sur Appliquer.
-
Zens fournit la liste des terminaux VPN disponibles pour cet abonnement au cloud Zscaler.
-
Après avoir entré l’abonnement Zscaler et les détails ZEN, vous pouvez commencer à ajouter des sites à Zscaler. Cliquez sur Ajouter.
-
Dans la boîte de dialogue Configurer les sites sur Zscaler, ajoutez des objets Site, WAN Link et Application . Par défaut, l’option Attribuer automatiquement ZEN est sélectionnée.
Vous pouvez sélectionner manuellement ZEN. Toutefois, le message suivant s’affiche pour avertir que les modifications non enregistrées sont perdues.
-
Sélectionnez les sites requis et cliquez sur Déployer. Vous pouvez choisir d’ajouter plusieurs sites en sélectionnant Ajouter plusieurs. Les sites sélectionnés sont déployés et la page de configuration s’affiche.
Notez que les adresses IP ZEN principales et secondaires sont renseignées et que l’état du déploiement est Connection Active.
-
Cliquez sur Re-déployersi vous apportez des modifications aux points de terminaison VPN ou aux objets d’application du site configuré. Toute modification apportée aux sites configurés dans le SD-WAN Center déclenche un processus de gestion des modifications sur les appliances configurées sur les sites de succursales et les sites DC.
La suppression de sites déclenche également le processus de gestion des modifications.
Surveillance et dépannage
Sélectionnez les sites configurés pour afficher plus d’informations sur les objets d’application et les adresses IP principales/secondaires. Vous pouvez cliquer sur l’icône Détails pour afficher des informations complètes sur les sites configurés.
Vous pouvez afficher et télécharger les journaux Zscaler qui peuvent être utilisés pour résoudre les problèmes dans le Centre Citrix SD-WAN.
Pour afficher les fichiers journaux Zscaler :
-
Dans l’interface Web Citrix SD-WAN Center, cliquez sur l’onglet Surveillance > Diagnostics.
-
Dans la liste déroulante Fichier journal, sélectionnez le fichier journal Zscaler que vous souhaitez afficher. Cliquez sur Afficher.
-
Si vous souhaitez télécharger les fichiers journaux sur votre ordinateur, cliquez sur Télécharger.
Configuration du tunnel IPSec
La page Détails de l’interface graphique du SD-WAN Center fournit des informations sur la configuration du tunnel IPSec vers les points de terminaison principaux et secondaires. L’IP homologue est obtenue à partir de Zscaler. Vérifiez la configuration du tunnel IPSec dans l’éditeur de configuration de l’interface graphique de l’appliance SD-WAN.
Paramètres IKE
Les paramètres IKE/IPSec suivants sont choisis pour la configuration du tunnel IPSec dans l’appliance SD-WAN. Pour plus d’informations sur la configuration des paramètres IKE du tunnel IPSec, reportez-vous à la rubrique Comment configurer le tunnel IPSec entre SD-WAN et des périphériques tiers.
- Version IKE - IKEv2
- Identité IKE — Nom de domaine complet de l’utilisateur
- Algorithme de hachage - SHA-256
- Algorithme d’intégrité — SHA-256
- Mode de chiffrement — AES 256 bits
- IPSec — Mode tunnel
- Cryptage IPsec — Null
Paramètres IPsec
Pour plus d’informations sur la configuration des paramètres de tunnel IPsec, consultez la Comment configurer le tunnel IPSec entre SD-WAN et des périphériques tiers rubrique.
Objets d’application
Assurez-vous que les objets d’application sont configurés. Pour plus d’informations sur la configuration des itinéraires d’applications, consultez la Classification des demandes rubrique.
Remarque
La configuration du tunnel GRE n’est pas prise en charge dans le cadre du workflow automatisé. Cependant, la configuration manuelle est toujours autorisée. Pour de plus amples informations, consultez la section Intégration de Zscaler à l’aide des tunnels GRE et IPsec.