Palo Alto Network 統合
Palo Alto Networksは、リモートネットワークを保護するためのクラウドベースのセキュリティインフラストラクチャを提供します。組織が地域ごとのクラウドベースのファイアウォールを設定し、SD-WANファブリックを保護することで、セキュリティを提供します。
リモートネットワーク向けPrisma Accessサービスを使用すると、リモートネットワークロケーションをオンボーディングし、ユーザーにセキュリティを提供できます。これにより、各リモートロケーションでのデバイスの設定と管理の複雑さが解消されます。このサービスは、新しいリモートネットワークロケーションを簡単に追加し、これらのロケーションのユーザーが常に接続され安全であることを保証する運用上の課題を最小限に抑える効率的な方法を提供します。また、Panoramaからポリシーを一元的に管理することで、リモートネットワークロケーションに対して一貫性のある合理化されたセキュリティを実現できます。
リモートネットワークロケーションをPrisma Accessサービスに接続するには、Palo Alto Networksの次世代ファイアウォール、またはサービスへのIPsecトンネルを確立できるSD-WANを含むサードパーティのIPsec準拠デバイスを使用できます。
-
リモートネットワーク向けPrisma Accessサービスの計画
-
リモートネットワーク向けPrisma Accessサービスの設定
-
構成インポートによるリモートネットワークのオンボーディング
Citrix SD-WAN™ソリューションは、すでにブランチからのインターネットトラフィックをブレイクアウトする機能を提供していました。これは、各ブランチに高価なセキュリティスタックを導入することを避けつつ、より信頼性が高く、低遅延のユーザーエクスペリエンスを提供するために不可欠です。Citrix SD-WANとPalo Alto Networksは、分散型企業に対し、ブランチのユーザーをクラウド内のアプリケーションに接続するための、より信頼性が高く安全な方法を提供します。
Citrix SD-WANアプライアンスは、最小限の設定でSD-WANアプライアンスのロケーションからIPsecトンネルを介してPalo Altoクラウドサービス(Prisma Accessサービス)ネットワークに接続できます。Citrix SD-WAN CenterでPalo Altoネットワークを設定できます。
リモートネットワーク向けPrisma Accessサービスの設定を開始する前に、サービスを正常に有効にし、リモートネットワークロケーションのユーザーにポリシーを適用できるように、以下の設定が準備されていることを確認してください。
- サービス接続— リモートネットワークロケーションが、ユーザー認証のため、または重要なネットワーク資産へのアクセスを有効にするために、企業本社内のインフラストラクチャへのアクセスを必要とする場合、本社とリモートネットワークロケーションが接続されるように、企業ネットワークへのアクセスを設定する必要があります。
リモートネットワークロケーションが自律的であり、他のロケーションのインフラストラクチャへのアクセスを必要としない場合、サービス接続を設定する必要はありません(モバイルユーザーがアクセスを必要とする場合を除く)。
-
テンプレート— Prisma Accessサービスは、リモートネットワーク向けPrisma Accessサービス用に、テンプレートスタック(Remote_Network_Template_Stack)とトップレベルテンプレート(Remote_Network_Template)を自動的に作成します。リモートネットワーク向けPrisma Accessサービスを設定するには、トップレベルテンプレートをゼロから設定するか、すでにオンプレミスでPalo Alto Networksファイアウォールを実行している場合は、既存の構成を活用します。
このテンプレートには、リモートネットワークロケーションとリモートネットワーク向けPrisma Accessサービス間のプロトコルネゴシエーションのためのIPsecトンネルおよびインターネット鍵交換(IKE)構成を確立する設定、セキュリティポリシーで参照できるゾーン、およびリモートネットワーク向けPrisma Accessサービスからロギングサービスにログを転送するためのログ転送プロファイルが必要です。
-
親デバイスグループ— リモートネットワーク向けPrisma Accessサービスでは、セキュリティポリシー、セキュリティプロファイル、その他のポリシーオブジェクト(アプリケーショングループとオブジェクト、アドレスグループなど)、および認証ポリシーを含む親デバイスグループを指定する必要があります。これにより、リモートネットワーク向けPrisma Accessサービスは、IPsecトンネルを介してリモートネットワーク向けPrisma Accessサービスにルーティングされるトラフィックに対して一貫してポリシーを適用できます。Panoramaでポリシールールとオブジェクトを定義するか、既存のデバイスグループを使用してリモートネットワークロケーションのユーザーを保護する必要があります。
注記:
ゾーンを参照する既存のデバイスグループを使用する場合は、ゾーンを定義する対応するテンプレートをRemote_Network_Template_Stackに追加してください。
これにより、リモートネットワーク向けPrisma Accessサービスを設定する際に、ゾーンマッピングを完了できます。
-
IPサブネット— Prisma Accessサービスがリモートネットワークにトラフィックをルーティングするためには、Prisma Accessサービスを使用して保護したいサブネットワークのルーティング情報を提供する必要があります。リモートネットワークロケーションの各サブネットワークへの静的ルートを定義するか、サービス接続ロケーションとPrisma Accessサービス間でBGPを設定するか、または両方の方法を組み合わせて使用できます。
静的ルートとBGPの両方を設定した場合、静的ルートが優先されます。リモートネットワークロケーションに少数のサブネットワークしかない場合は静的ルートを使用するのが便利かもしれませんが、重複するサブネットを持つ多数のリモートネットワークがある大規模な展開では、BGPを使用することでより簡単に拡張できます。
SD-WAN CenterでのPalo Altoネットワーク
以下の前提条件が満たされていることを確認してください。
-
PRISMA ACCESSサービスからPanorama IPアドレスを取得します。
-
PRISMA ACCESSサービスで使用するユーザー名とパスワードを取得します。
-
SD-WANアプライアンスGUIでIPsecトンネルを設定します。
-
サイトが、Citrix-IKE-Crypto-Default/Citrix-IPSec-Crypto-Default以外のike/ipsecプロファイルで別のサイトがすでに構成されているリージョンにオンボーディングされていないことを確認してください。
-
SD-WAN Centerによって構成が更新される際に、Prisma Accessの構成が手動で変更されていないことを確認してください。
Citrix SD-WAN Center GUIで、Palo Altoのサブスクリプション情報を提供します。
-
Panorama IPアドレスを設定します。このIPアドレスはPalo Alto(PRISMA ACCESSサービス)から取得できます。
-
PRISMA ACCESSサービスで使用するユーザー名とパスワードを設定します。
サイトの追加と展開
-
サイトを展開するには、PRISMA ACCESSネットワークリージョンとPrisma Accessリージョン用に設定するSD-WANサイトを選択し、次にトラフィック選択のためのサイトWANリンク、帯域幅、およびアプリケーションオブジェクトを選択します。
注記:
選択した帯域幅が利用可能な帯域幅範囲を超えると、トラフィックフローに影響が出ます。
アプリケーションオブジェクト選択の下にある [すべてのトラフィック] オプションを選択することで、すべてのインターネットバウンドトラフィックをPRISMA ACCESSサービスにリダイレクトすることを選択できます。
- 必要に応じて、さらにSD-WANブランチサイトを追加できます。
- [展開] をクリックします。変更管理プロセスが開始されます。続行するには [はい] をクリックします。
展開後、トンネルを確立するために使用されるIPsecトンネル構成は次のとおりです。
ランディングページには、異なるSD-WANリージョンで構成されグループ化されたすべてのサイトのリストが表示されます。
エンドツーエンドのトラフィック接続の確認:
-
ブランチのLANサブネットからインターネットリソースにアクセスします。
-
トラフィックがCitrix SD-WAN IPsecトンネルを介してPalo Alto Prisma Accessに流れることを確認します。
-
監視タブで、Palo Altoセキュリティポリシーがトラフィックに適用されていることを確認します。
-
インターネットからブランチ内のホストへの応答が届くことを確認します。