パロアルトネットワーク統合
パロアルトネットワークは、リモートネットワークを保護するためのクラウドベースのセキュリティインフラストラクチャを提供します。組織がSD-WANファブリックを保護する地域的なクラウドベースのファイアウォールをセットアップできるようにすることで、セキュリティを提供します。
リモートネットワーク用のPrisma Accessサービスを使用すると、リモートネットワークロケーションをオンボードし、ユーザーにセキュリティを提供できます。すべてのリモートロケーションでのデバイスの設定と管理の複雑さを取り除きます。このサービスは、新しいリモートネットワークの場所を簡単に追加して運用上の課題を最小限に抑える効率的な方法を提供し、これらの場所のユーザーが常に接続されて安全であることを保証します。また、Panoramaからポリシーを一元管理して、リモートネットワークの一貫した合理的なセキュリティを実現できます。場所。
リモートネットワークロケーションをPrisma Accessサービスに接続するには、Palo Alto Networks次世代ファイアウォール、またはサービスへのIPsecトンネルを確立できる SD-WANを含むサードパーティのIPSec準拠デバイスを使用できます。
-
リモートネットワーク用のPrismaアクセスサービスを計画する
-
リモートネットワーク用のPrisma Accessサービスの構成
-
設定インポートを備えたオンボードリモートネットワーク
Citrix SD-WANソリューションは、ブランチからのインターネットトラフィックを分割する機能をすでに提供しています。これは、各ブランチでの高価なセキュリティスタックの導入を回避しながら、より信頼性が高く、待機時間の短いユーザーエクスペリエンスを提供するために重要です。Citrix SD-WANとPalo Alto Networksは、分散企業に、ブランチ内のユーザーをクラウド内のアプリケーションに接続するためのより信頼性が高く安全な方法を提供します。
Citrix SD-WANアプライアンスは、最小限の構成でSD-WANアプライアンスの場所からIPsecトンネルを介してPalo Altoクラウドサービス(Prisma Access Service)ネットワークに接続できます。あなたは、Citrix SD-WAN Centerでパロアルトネットワークを構成することができます.
リモートネットワーク用のPrisma Access Serviceの構成を開始する前に、サービスを正常に有効にしてリモートネットワークの場所のユーザーにポリシーを適用できるように、次の構成の準備ができていることを確認してください。
- サービス接続—ユーザーを認証するため、または重要なネットワーク資産へのアクセスを可能にするために、リモートネットワークロケーションが本社のインフラストラクチャにアクセスする必要がある場合は、本社とリモートネットワークロケーションが接続されるように企業ネットワークへのアクセスを設定する必要があります。
リモートネットワークの場所が自律的で、他の場所にあるインフラストラクチャにアクセスする必要がない場合は、サービス接続を設定する必要はありません(モバイルユーザーがアクセスを必要とする場合を除く)。
-
テンプレート— Prisma Accessサービスは自動的にテンプレートスタックを作成します (Remote_Network_Template_Stack) そしてトップレベルのテンプレート (Remote_Network_Template) リモートネットワーク用のPrisma Accessサービス用。リモートネットワーク用のPrismaアクセスサービスを構成するには、最上位のテンプレートを最初から構成するか、既存のPalo Alto Networksファイアウォールを既にオンプレミスで実行している場合は既存の構成を利用します。
テンプレートには、リモートネットワークの場所とリモートネットワーク用のPrisma Accessサービス、セキュリティポリシーで参照できるゾーン、およびログ転送プロファイル間のプロトコルネゴシエーションのためのIPsecトンネルとインターネットキーエクスチェンジ(IKE)構成を確立するための設定が必要です。リモートネットワークのPrisma Accessサービスからログサービスにログを転送できること。
-
親デバイスグループ—リモートネットワークのPrisma Accessサービスでは、セキュリティポリシー、セキュリティプロファイル、およびその他のポリシーオブジェクト(アプリケーショングループとオブジェクト、アドレスグループなど)、および認証ポリシーを含む親デバイスグループを指定する必要がありますそのため、リモートネットワークのPrisma Accessサービスは、IPsecトンネルを介してリモートネットワークのPrisma Accessサービスにルーティングされるトラフィックのポリシーを一貫して適用できます。パノラマでポリシールールとオブジェクトを定義するか、既存のデバイスグループを使用してリモートネットワークの場所でユーザーを保護する必要があります。
注:
ゾーンを参照する既存のデバイスグループを使用する場合は、ゾーンを定義する対応するテンプレートを Remote_Network_Template_Stack に追加してください。
これにより、Prisma Access Service for Remote Networksを構成するときにゾーンマッピングを完了することができます。
-
IPサブネット— Prisma Accessサービスがトラフィックをリモートネットワークにルーティングするためには、Prisma Accessサービスを使用して保護するサブネットワークのルーティング情報を提供する必要があります。リモートネットワークの場所で各サブネットワークへの静的ルートを定義するか、サービス接続場所とPrisma Accessサービスの間にBGPを構成するか、両方の方法を組み合わせて使用できます。
スタティックルートを設定し、BGP を有効にすると、スタティックルートが優先されます。リモートネットワークの場所にいくつかのサブネットワークしかない場合は静的ルートを使用すると便利な場合がありますが、サブネットが重複している多くのリモートネットワークがある大規模な展開では、BGPを使用するとより簡単にスケーリングできます。
SD-WAN CenterのPalo Alto Networks
以下の前提条件が満たされていることを確認してください。
-
PRISMA ACCESSサービスからパノラマIPアドレスを取得します。
-
PRISMA ACCESSサービスでユーザー名とパスワードを取得します。
-
SD-WANアプライアンスGUIでIPsecトンネルを構成します。
-
サイトがCitrix-IKE-Crypto-Default/Citrix-IPSec-Crypto-Default以外のike/ipsecプロファイルで構成された異なるサイトのあるリージョンにオンボーディングされていないことを確認してください。
-
SD-WAN Centerによって設定が更新されるときに、Prisma Accessの設定を手動で変更しないようにしてください。
Citrix SD-WAN CenterのGUIで、Palo Alto のサブスクリプション情報を入力します。
-
パノラマIPアドレスを設定します。このIPアドレスはPalo Alto(PRISMA ACCESSサービス)から取得できます。
-
PRISMA ACCESSサービスで使用するユーザー名とパスワードを設定します。
サイトを追加して展開する
-
サイトをデプロイするには、PRISMA ACCESSネットワークリージョンとPrisma Accessリージョン用に構成するSD-WANサイトを選択し、サイトWANリンク、帯域幅、およびトラフィック選択用のアプリケーションオブジェクトを選択します。
注:
選択した帯域幅が使用可能な帯域幅の範囲を超えると、トラフィックフローが影響を受けます。
アプリケーションオブジェクトの選択で[ すべてのトラフィック ]オプションを選択することにより、インターネットにバインドされたすべてのトラフィックをPRISMA ACCESSサービスにリダイレクトすることを選択できます。
-
必要に応じて、引き続きSD-WANブランチサイトを追加できます。
-
[展開] をクリックします。変更管理プロセスが開始されます。[Yes]をクリックして続行します。
展開後、トンネルの確立に使用されるIPsecトンネル構成は次のとおりです。
ランディングページには、さまざまなSD-WANリージョンで構成およびグループ化されたすべてのサイトのリストが表示されます。
エンドツーエンドのトラフィック接続を確認します。
-
ブランチのLANサブネットから、インターネットリソースにアクセスします。
-
トラフィックがCitrix SD-WAN IPsecトンネルを通過してPalo Alto Prisma Accessに到達することを確認します。
-
Palo Altoセキュリティポリシーが[監視]タブのトラフィックに適用されていることを確認します。
-
ブランチのホストへのインターネットからの応答が到達することを確認します。