Intégrer Citrix SD-WAN™ et Zscaler à l’aide de Citrix SD-WAN Center

Citrix SD-WAN et Zscaler aident les entreprises à transformer leur WAN pour la migration vers le cloud en fournissant des accès Internet locaux sécurisés aux applications et ressources hébergées sur Internet. Les nouvelles technologies d’infrastructure WAN, telles que le SD-WAN, augmentent l’agilité et l’évolutivité du réseau tout en réduisant les coûts et la complexité pour une meilleure expérience utilisateur dans les organisations distribuées.

Les solutions SD-WAN simplifient le routage en permettant au trafic destiné au cloud d’accéder localement à Internet. Le SD-WAN offre une flexibilité pour le routage du trafic vers Internet (supprimer l’environnement de centre de données central) en utilisant des fonctionnalités de pilotage d’applications. Cependant, exposer le réseau à Internet présente des risques de sécurité importants. Une approche centralisée pour sécuriser l’accès Internet local via un service cloud élimine la charge de maintenance de l’infrastructure de sécurité dans les succursales. Tout le trafic est acheminé de manière fiable et sécurisée vers Zscaler (plateforme de sécurité basée sur le cloud) avec Citrix SD-WAN dans le réseau de la succursale. Vous pouvez éliminer les infrastructures coûteuses et protéger votre réseau contre les menaces et les vulnérabilités.

Citrix SD-WAN

Citrix SD-WAN aide les entreprises à migrer vers le cloud en permettant un accès Internet local sécurisé depuis les succursales avec un pare-feu avec état intégré pour créer des politiques qui peuvent autoriser ou refuser l’accès Internet directement depuis la succursale. Citrix SD-WAN identifie les applications grâce à une combinaison d’une base de données intégrée de plus de 4 000 applications, y compris les applications SaaS individuelles, et utilise la technologie d’inspection approfondie des paquets (DPI) pour la découverte et la classification en temps réel des applications. Il utilise cette connaissance des applications pour diriger le trafic de la succursale vers Internet, le cloud ou le SaaS.

Zscaler

Zscaler est la plateforme de sécurité cloud leader, qui offre une sécurité supérieure sans nécessiter de matériel, d’appliances ou de logiciels sur site. Zscaler établit un périmètre autour d’Internet, afin que les entreprises n’aient pas besoin d’établir un périmètre de sécurité autour de chaque bureau. La plateforme de sécurité cloud Zscaler agit comme une série de points de contrôle de sécurité dans plus de 100 centres de données à travers le monde. En redirigeant le trafic Internet vers Zscaler, les entreprises peuvent sécuriser instantanément les magasins, les succursales et les sites distants. Zscaler connecte les utilisateurs et Internet, inspectant chaque octet de trafic—même s’il est chiffré ou compressé—afin que les utilisateurs soient sécurisés et que toutes les menaces cachées soient identifiées avant qu’elles ne puissent infiltrer le réseau de l’entreprise.

Citrix SD-WAN permet de créer des politiques qui autorisent un accès Internet direct depuis la succursale et la plateforme de sécurité cloud de Zscaler assure la sécurité informatique en inspectant tout le trafic destiné à Internet dans un service cloud proche des points de connexion des utilisateurs.

Nœuds d’application Zscaler (ZEN)

Citrix SD-WAN prend en charge les API Zscaler pour automatiser la création de tunnels IPsec entre Citrix SD-WAN et les nœuds d’application Zscaler (ZEN) dans le réseau cloud de Zscaler. Les ZEN sont des passerelles de sécurité Internet en ligne complètes qui inspectent tout le trafic Internet bidirectionnellement à la recherche de logiciels malveillants et appliquent les politiques de sécurité et de conformité.

L’API Zscaler fournit les deux emplacements de centres de données les plus proches de chaque succursale, permettant à SD-WAN de diriger le trafic efficacement. Les organisations peuvent autoriser Zscaler à choisir automatiquement le ZEN le plus proche de la succursale en demandant au ZEN d’examiner les adresses IP des liens WAN configurés sur Citrix SD-WAN ou peuvent sélectionner manuellement les ZENs.

REMARQUE

Les deux routes sont toujours en mode actif si le tunnel est ACTIF. Si un tunnel tombe en panne, la route correspondante devient inaccessible et l’autre route reste ACTIVE dans ce cas.

Avantages

Les avantages de l’intégration de Citrix SD-WAN et Zscaler incluent :

• Adoption plus rapide du SaaS et du cloud dans une entreprise distribuée.
  • La centralisation de la sécurité en tant que service cloud élimine la nécessité de l’avoir dans chaque succursale.
  • Élimination de la nécessité de rapatrier le trafic destiné à Internet, permettant un accès Internet local direct depuis la succursale.
• Gestion informatique simplifiée avec une connectivité automatisée à une passerelle Web sécurisée.
  • Le support API automatise la configuration des tunnels sécurisés vers Zscaler.
• Expérience utilisateur améliorée en réduisant la latence due au rapatriement du trafic SaaS.
  • Élimine la dépendance au modèle hub-and-spoke à des fins de sécurité.
• Élimination des piles de sécurité coûteuses dans les succursales.
  • Réduit la charge de déploiement et de gestion des pare-feu dans les succursales.
• Garantie que le trafic destiné à Internet est toujours sécurisé.
  • Les politiques de sécurité ne lient pas les utilisateurs à un emplacement physique.
  • Fournit le sandboxing, l’inspection de tous les ports et protocoles, y compris SSL, le filtrage d’URL, la protection avancée contre les menaces, et plus encore pour protéger contre les attaques zero-day.

Fonctionnalités prises en charge

Un déploiement Zscaler utilisant des appliances SD-WAN prend en charge les fonctionnalités suivantes :

• Le transfert du trafic Internet défini par l’utilisateur vers Zscaler, permettant ainsi un accès Internet direct.
• Accès Internet direct (DIA) utilisant Zscaler par site client.
  • Sur certains sites, vous pourriez vouloir fournir un accès Internet direct avec un équipement de sécurité sur site et ne pas utiliser Zscaler.
  • Sur certains sites, vous pourriez choisir de rapatrier le trafic vers un autre site client pour l’accès Internet.
• Déploiements de routage et de transfert virtuels.
• Un lien WAN dans le cadre des services Internet.

Zscaler est un service cloud. Vous devez le configurer en tant que service et définir les liens WAN sous-jacents :

• Configurez un lien WAN Internet public fiable au niveau du centre de données et des sites de succursale.
• Configurez automatiquement les tunnels IPsec pour les services intranet.

Déploiement de Zscaler dans le flux de travail de Citrix SD-WAN Center

Voici les étapes générales qui définissent le flux de travail pour déployer Zscaler dans SD-WAN Center.

1. Configurez l’abonnement Zscaler à SD-WAN Center (une seule fois). Connectez-vous au site Zscaler pour obtenir les informations d’abonnement.

2. Sélectionnez Déployer dans l’interface graphique de Citrix SD-WAN Center.

   • Déployez la configuration pour le site en utilisant le lien WAN Internet et l’objet d’application préconfiguré.
   • Établissez la connectivité.
   • Obtenez/Mettez à jour le statut IPsec.

Abonnement Zscaler

Avant de procéder à la configuration de Zscaler dans SD-WAN Center, vous devez vous connecter au portail Zscaler.

1. Connectez-vous au site Zscaler pour obtenir les informations d’abonnement. La page Tableau de bord s’ouvre.

   

2. Cliquez sur Administration > Intégrations partenaires.

   

3. Sélectionnez SD-WAN sur la page Intégrations partenaires. Cliquez sur Ajouter une clé partenaire.

   

   

4. Choisissez Citrix® SDWAN pour la clé partenaire et cliquez sur Générer. Enregistrez la clé.

Configurer Zscaler dans Citrix SD-WAN Center

1. Dans l’interface graphique de Citrix SD-WAN Center, accédez à la page Configuration > Sécurité. La page Sites configurés Zscaler s’ouvre.

2. Cliquez sur Abonnement. Saisissez l’API Zscaler (clé partenaire) créée lors des étapes précédentes. Indiquez votre Nom d’utilisateur et votre Mot de passe Zscaler. Sélectionnez le Nom du cloud Zscaler, le Niveau de journalisation Zscaler, puis cliquez sur Appliquer.

   

3. Les ZENs fournissent la liste des points d’extrémité VPN disponibles pour cet abonnement cloud Zscaler.

   

   

4. Après avoir saisi les détails de l’abonnement Zscaler et des ZEN, vous pouvez commencer à ajouter des sites à Zscaler. Cliquez sur Ajouter.

   

5. Dans la boîte de dialogue Configurer les sites vers Zscaler, ajoutez Site, Lien WAN et Objets d’application. Par défaut, l’option Attribuer automatiquement le ZEN est sélectionnée.

   

   Vous pouvez Sélectionner manuellement le ZEN. Cependant, le message suivant apparaît, vous informant que les modifications non enregistrées seront perdues.

   

6. Sélectionnez les sites requis et cliquez sur Déployer. Vous pouvez choisir d’ajouter plusieurs sites en sélectionnant Ajouter plusieurs. Les sites sélectionnés sont déployés et la page de configuration s’affiche.

   

   

   Observez que les adresses IP ZEN primaire et secondaire sont renseignées et que le statut de déploiement est Connexion active.

7. Cliquez sur Redéployer si vous apportez des modifications aux points d’extrémité VPN ou aux objets d’application du site configuré. Toute modification apportée aux sites configurés dans le SD-WAN Center déclenche un processus de Gestion des changements sur les appliances configurées sur les sites de succursale et les sites de centre de données.

   

   La suppression de sites déclenche également le processus de gestion des changements.

   

Surveillance et dépannage

Sélectionnez les sites configurés pour afficher plus d’informations sur les objets d’application et les adresses IP primaires/secondaires. Vous pouvez cliquer sur l’icône Détails pour afficher des informations complètes sur les sites configurés.

Vous pouvez afficher et télécharger les journaux Zscaler qui peuvent être utilisés pour résoudre les problèmes dans Citrix SD-WAN Center.

Pour afficher les fichiers journaux Zscaler :

1. Dans l’interface Web de Citrix SD-WAN Center, cliquez sur l’onglet Surveillance > Diagnostics.

   

2. Dans la liste déroulante Fichier journal, sélectionnez le fichier journal Zscaler que vous souhaitez afficher. Cliquez sur Afficher.

3. Si vous souhaitez télécharger les fichiers journaux sur votre ordinateur, cliquez sur Télécharger.

Configuration du tunnel IPsec

La page Détails de l’interface graphique de SD-WAN Center fournit des informations sur la configuration du tunnel IPsec vers les points d’extrémité primaire et secondaire. L’adresse IP du pair est obtenue de Zscaler. Vérifiez la configuration du tunnel IPsec dans l’éditeur de configuration de l’interface graphique de l’appliance SD-WAN.

Paramètres IKE

Les paramètres IKE/IPsec suivants sont choisis pour la configuration du tunnel IPsec dans l’appliance SD-WAN. Pour plus d’informations sur la configuration du tunnel IPsec – paramètres IKE, consultez la rubrique Comment configurer un tunnel IPsec entre SD-WAN et des périphériques tiers.

• Version IKE - IKEv2
• Identité IKE – FQDN utilisateur
• Algorithme de hachage - SHA-256
• Algorithme d’intégrité – SHA-256
• Mode de chiffrement – AES 256 bits
• IPsec – Mode tunnel
• Chiffrement IPsec – Nul

Paramètres IPsec

Pour plus d’informations sur la configuration des paramètres du tunnel IPsec, consultez la rubrique Comment configurer un tunnel IPsec entre SD-WAN et des périphériques tiers.

Objets d’application

Assurez-vous que les objets d’application sont configurés. Pour plus d’informations sur la configuration des routes d’application, consultez la rubrique Classification des applications.

Remarque

La configuration du tunnel GRE n’est pas prise en charge dans le cadre du flux de travail automatisé. Cependant, la configuration manuelle est toujours autorisée. Pour plus d’informations, consultez la rubrique Intégration de Zscaler à l’aide de tunnels GRE et de tunnels IPsec.