Citrix SD-WAN Center を使用した Citrix SD-WAN™ と Zscaler の統合
Citrix SD-WAN と Zscaler は、インターネット上でホストされているアプリケーションやリソースへのセキュアなローカルブレイクアウトを提供することで、企業がクラウド移行のために WAN を変革するのを支援します。SD-WAN のような新しい WAN インフラストラクチャ技術は、ネットワークの俊敏性と拡張性を高め、コストと複雑さを削減し、分散型組織におけるユーザーエクスペリエンスを向上させます。
SD-WAN ソリューションは、クラウド宛てのトラフィックをローカルでインターネットにブレイクアウトさせることで、ルーティングを簡素化します。SD-WAN は、アプリケーションステアリング機能を使用することで、インターネットへのトラフィックルーティングに柔軟性を提供します(中央の DC 環境を排除します)。しかし、ネットワークをインターネットに公開することは、重大なセキュリティリスクをもたらします。クラウドサービスを介してローカルブレイクアウトを保護する集中型アプローチは、ブランチでのセキュリティインフラストラクチャの維持にかかるオーバーヘッドを排除します。すべてのトラフィックは、ブランチネットワーク内の Citrix SD-WAN とともに、Zscaler(クラウドベースのセキュリティプラットフォーム)に確実かつ安全にルーティングされます。これにより、高価なインフラストラクチャを排除し、脅威や脆弱性からネットワークを保護できます。
Citrix SD-WAN
Citrix SD-WAN は、ブランチから直接インターネットアクセスを許可または拒否できるポリシーを作成するためのステートフルファイアウォールを内蔵し、ローカルのブランチからインターネットへのセキュアなブレイクアウトを可能にすることで、企業がクラウドに移行するのを支援します。Citrix SD-WAN は、個々の SaaS アプリケーションを含む 4,000 以上のアプリケーションの統合データベースと、リアルタイムでのアプリケーションの検出と分類のためのディープパケットインスペクション技術の組み合わせにより、アプリケーションを識別します。このアプリケーションの知識を使用して、ブランチからインターネット、クラウド、または SaaS へのトラフィックを誘導します。
Zscaler
Zscaler は、オンプレミスのハードウェア、アプライアンス、またはソフトウェアを必要とせずに優れたセキュリティを提供する、主要なクラウドベースのセキュリティプラットフォームです。Zscaler はインターネットの周囲に境界を設けるため、企業はすべてのオフィスにセキュリティ境界を設ける必要がありません。Zscaler Cloud Security Platform は、世界中の 100 以上のデータセンターで一連のセキュリティチェックポストとして機能します。インターネットトラフィックを Zscaler にリダイレクトすることで、企業は店舗、ブランチ、およびリモートロケーションを即座に保護できます。Zscaler はユーザーとインターネットを接続し、暗号化または圧縮されている場合でも、すべてのトラフィックバイトを検査することで、ユーザーを保護し、すべての隠れた脅威が企業ネットワークに侵入する前に特定します。
Citrix SD-WAN は、ブランチからの直接インターネットブレイクアウトを可能にするポリシーの作成を許可し、Zscaler の Cloud Security Platform は、ユーザーが接続する場所に近いクラウドサービスですべてのインターネット宛てトラフィックを検査することで、IT のセキュリティを確保します。
Zscaler Enforcement Node (ZEN)
Citrix SD-WAN は、Zscaler のクラウドネットワークにおける Citrix SD-WAN と Zscaler Enforcement Node (ZEN) 間の IPsec トンネルの作成を自動化するための Zscaler API をサポートしています。ZEN は、マルウェアに対してすべてのインターネットトラフィックを双方向に検査し、セキュリティおよびコンプライアンスポリシーを適用する、フル機能のインラインインターネットセキュリティゲートウェイです。
Zscaler API は、各ブランチに最も近い 2 つのデータセンターロケーションを提供し、SD-WAN がトラフィックを効果的に誘導できるようにします。組織は、Citrix SD-WAN で構成された WAN リンクの IP アドレスを ZEN に確認させることで、Zscaler がブランチに最も近い ZEN を自動的に選択することを許可するか、ZEN を手動で選択することができます。
注
トンネルが UP の場合、両方のルートは常にアクティブモードになります。いずれかのトンネルがダウンした場合、対応するルートは到達不能になり、その場合、もう一方のルートは UP のままになります。
利点
Citrix SD-WAN と Zscaler を統合する利点は次のとおりです。
- 分散型企業における SaaS およびクラウドの迅速な導入
- セキュリティをクラウドサービスとして一元化することで、各ブランチにセキュリティを配置する必要がなくなります
- インターネット宛てのトラフィックをバックホールする必要がなくなり、ブランチでのローカルインターネットブレイクアウトが可能になります
- セキュア Web ゲートウェイへの自動接続による IT 管理の簡素化
- API サポートにより、Zscaler へのセキュアなトンネルの構成が自動化されます
- SaaS トラフィックのバックホールによる遅延を削減し、ユーザーエクスペリエンスを向上
- セキュリティ目的のハブアンドスポークモデルへの依存を排除します
- ブランチにおける高価なセキュリティスタックの排除
- ブランチでファイアウォールを展開および管理するオーバーヘッドを削減します
- インターネット宛てのトラフィックが常にセキュアであることの保証
- セキュリティポリシーはユーザーを物理的な場所に縛り付けません
- サンドボックス、SSL を含むすべてのポートとプロトコルの検査、URL フィルタリング、高度な脅威保護などを提供し、ゼロデイ攻撃から保護します
サポートされる機能
SD-WAN アプライアンスを使用した Zscaler の展開は、以下の機能をサポートします。
- ユーザー定義のインターネットトラフィックを Zscaler に転送し、直接インターネットブレイクアウトを可能にします
- 顧客サイトごとの Zscaler を使用した直接インターネットアクセス (DIA)
- 一部のサイトでは、オンプレミスのセキュリティ機器を使用して DIA を提供し、Zscaler を使用しない場合があります
- 一部のサイトでは、インターネットアクセス用にトラフィックを別の顧客サイトにバックホールすることを選択する場合があります
- 仮想ルーティングおよび転送の展開
- インターネットサービスの一部としての 1 つの WAN リンク
Zscaler はクラウドサービスです。サービスとして設定し、基盤となる WAN リンクを定義する必要があります。
- データセンターおよびブランチサイトで信頼できるパブリックインターネット WAN リンクを構成します
- イントラネットサービス用の IPsec トンネルを自動構成します
Citrix SD-WAN Center での Zscaler 展開ワークフロー
以下は、SD-WAN Center で Zscaler を展開するためのワークフローを定義する大まかな手順です。
- Zscaler サブスクリプションを SD-WAN Center に構成します(1 回限り)。Zscaler サイトにログインしてサブスクリプション情報を取得します
- Citrix SD-WAN Center GUI で [展開] を選択します
- インターネット WAN リンクと事前構成されたアプリケーションオブジェクトを使用してサイトの構成を展開します
- 接続を確立します
- IPsec ステータスの取得/更新
Zscaler サブスクリプション
SD-WAN Center で Zscaler の構成に進む前に、Zscaler ポータルにログインする必要があります。
-
Zscaler サイトにログインしてサブスクリプション情報を取得します。ダッシュボードページが開きます
-
[Administration] > [Partner Integrations] をクリックします
-
[Partner Integrations] ページで [SD-WAN] を選択します。[Add Partner Key] をクリックします
- パートナーキーとして Citrix® SDWAN を選択し、[Generate] をクリックします。キーを保存します
Citrix SD-WAN Center での Zscaler の構成
- Citrix SD-WAN Center GUI で、[構成] > [セキュリティ] ページに移動します。[Zscaler Configured Sites] ページが開きます
-
[サブスクリプション] をクリックします。前の手順で作成した Zscaler API (パートナーキー) を入力します。Zscaler の [ユーザー名] と [パスワード] を入力します。[Zscaler Cloud Name]、[Zscaler Log Level] を選択し、[適用] をクリックします
- Zens は、この Zscaler クラウドサブスクリプションで利用可能な VPN エンドポイントのリストを提供します
- Zscaler サブスクリプションと ZEN の詳細を入力したら、Zscaler にサイトを追加できます。[追加] をクリックします
-
[Configure Sites to Zscaler] ダイアログボックスで、[サイト]、[WAN リンク]、および [アプリケーションオブジェクト] を追加します。デフォルトでは、[ZEN の自動割り当て] オプションが選択されています
[ZEN を手動で選択] することもできます。ただし、未保存の変更が失われることを通知する次のメッセージが表示されます
- 必要なサイトを選択し、[展開] をクリックします。[複数追加] を選択して複数のサイトを追加することもできます。選択したサイトが展開され、構成ページが表示されます
プライマリおよびセカンダリ ZEN IP アドレスが入力され、展開ステータスが [接続アクティブ] になっていることを確認します - 構成済みサイトの VPN エンドポイントまたはアプリケーションオブジェクトに変更を加えた場合は、[再展開] をクリックします。SD-WAN Center で構成済みサイトに変更を加えると、ブランチサイトおよび DC サイトで構成されたアプライアンスで [変更管理] プロセスがトリガーされます
サイトを削除すると、変更管理プロセスもトリガーされます
監視とトラブルシューティング
Citrix SD-WAN Center での問題のトラブルシューティングに使用できる Zscaler ログを表示およびダウンロードできます。構成済みサイトを選択して、アプリケーションオブジェクトとプライマリ/セカンダリ IP アドレスに関する詳細情報を表示します。[詳細] アイコンをクリックすると、構成済みサイトに関する完全な情報を表示できます。
Zscaler ログファイルを表示するには:
- Citrix SD-WAN Center Web インターフェイスで、[監視] タブ > [診断] をクリックします
- [ログファイル] ドロップダウンリストから、表示したい Zscaler ログファイルを選択します。[表示] をクリックします
- ログファイルをコンピューターにダウンロードする場合は、[ダウンロード] をクリックします
IPsec トンネルの構成
SD-WAN Center GUI の [詳細] ページには、プライマリおよびセカンダリエンドポイントへの IPsec トンネル構成に関する情報が表示されます。ピア IP は Zscaler から取得されます。SD-WAN アプライアンス GUI 構成エディターで IPsec トンネル構成を確認します。
IKE 設定
SD-WAN アプライアンスでの IPsec トンネル構成には、以下の IKE/IPSec 設定が選択されています。IPsec トンネルの IKE 設定の構成に関する詳細については、「SD-WAN とサードパーティデバイス間の IPsec トンネルを構成する方法」トピックを参照してください。
- IKE バージョン - IKEv2
- IKE ID – ユーザー FQDN
- ハッシュアルゴリズム - SHA-256
- 整合性アルゴリズム – SHA-256
- 暗号化モード – AES 256 ビット
- IPsec – トンネルモード
- IPsec 暗号化 – Null
IPsec 設定
IPsec トンネル設定の構成に関する詳細については、「SD-WAN とサードパーティデバイス間の IPsec トンネルを構成する方法」トピックを参照してください。
アプリケーションオブジェクト
アプリケーションオブジェクトが構成されていることを確認します。アプリケーションルートの構成に関する詳細については、「アプリケーション分類」トピックを参照してください。
注
GRE トンネル構成は、自動化されたワークフローの一部としてはサポートされていません。ただし、手動構成は引き続き許可されています。詳細については、「GRE トンネルと IPsec トンネルを使用した Zscaler 統合」を参照してください。