Citrix SD-WAN™ Center を使用した Citrix SD-WAN™ と Zscaler の統合
Citrix SD-WAN と Zscaler は、インターネット上でホストされているアプリケーションやリソースへのセキュアなローカルブレイクアウトを提供することで、企業がクラウド移行のために WAN を変革するのを支援します。SD-WAN のような新しい WAN インフラストラクチャ技術は、ネットワークの俊敏性と拡張性を高めるとともに、分散型組織におけるユーザーエクスペリエンスを向上させるためのコストと複雑さを低減します。
SD-WAN ソリューションは、クラウド向けのトラフィックをローカルでインターネットにブレイクアウトさせることで、ルーティングを簡素化します。SD-WAN は、アプリケーションステアリング機能を使用することで、インターネットへのトラフィックルーティングに柔軟性を提供します(中央の DC 環境を削除)。しかし、ネットワークをインターネットに公開することは、重大なセキュリティリスクをもたらします。クラウドサービスを介したローカルブレイクアウトを保護するための一元的なアプローチは、ブランチでのセキュリティインフラストラクチャを維持するオーバーヘッドを排除します。すべてのトラフィックは、ブランチネットワークの Citrix SD-WAN とともに、Zscaler(クラウドベースのセキュリティプラットフォーム)に確実かつ安全にルーティングされます。これにより、高価なインフラストラクチャを排除し、脅威や脆弱性からネットワークを保護できます。
Citrix SD-WAN
Citrix SD-WAN は、ブランチから直接インターネットアクセスを許可または拒否するポリシーを作成するための組み込みステートフルファイアウォールにより、セキュアなローカルブランチからインターネットへのブレイクアウトを可能にすることで、企業がクラウドに移行するのを支援します。Citrix SD-WAN は、個々の SaaS アプリケーションを含む 4,000 以上のアプリケーションの統合データベースと、リアルタイムでのアプリケーションの検出と分類のためのディープパケットインスペクション技術の組み合わせを通じてアプリケーションを識別します。このアプリケーション知識を使用して、ブランチからインターネット、クラウド、または SaaS へのトラフィックをステアリングします。
Zscaler
Zscaler は、オンプレミスのハードウェア、アプライアンス、またはソフトウェアを必要とせずに優れたセキュリティを提供する、主要なクラウドベースのセキュリティプラットフォームです。Zscaler はインターネットの周囲に境界を設けるため、企業はすべてのオフィスにセキュリティ境界を設ける必要がありません。Zscaler Cloud Security Platform は、世界中の 100 以上のデータセンターで一連のセキュリティチェックポストとして機能します。インターネットトラフィックを Zscaler にリダイレクトすることで、企業は店舗、ブランチ、およびリモートロケーションを即座に保護できます。Zscaler はユーザーとインターネットを接続し、暗号化または圧縮されている場合でも、すべてのバイトのトラフィックを検査します。これにより、ユーザーは安全になり、すべての隠れた脅威が企業ネットワークに侵入する前に特定されます。
Citrix SD-WAN は、ブランチからの直接インターネットブレイクアウトを可能にするポリシーの作成を許可し、Zscaler の Cloud Security Platform は、ユーザーが接続する場所に近いクラウドサービスですべてのインターネット向けトラフィックを検査することで、IT のセキュリティを確保します。
Zscaler Enforcement Nodes (ZENs)
Citrix SD-WAN は、Citrix SD-WAN と Zscaler のクラウドネットワーク内の Zscaler Enforcement Nodes (ZENs) との間の IPsec トンネルの作成を自動化するための Zscaler API をサポートしています。ZEN は、マルウェアに対してすべてのインターネットトラフィックを双方向に検査し、セキュリティおよびコンプライアンスポリシーを適用する、フル機能のインラインインターネットセキュリティゲートウェイです。
Zscaler API は、各ブランチに最も近い 2 つのデータセンターロケーションを提供し、SD-WAN がトラフィックを効果的にステアリングできるようにします。組織は、Zscaler が Citrix SD-WAN で構成された WAN リンクの IP アドレスを ZEN に確認させることで、ブランチに最も近い ZEN を自動的に選択させるか、または ZENs を手動で選択できます。
注記
トンネルが UP の場合、両方のルートは常にアクティブモードになります。いずれかのトンネルがダウンした場合、対応するルートは到達不能になり、その場合、もう一方のルートは UP のままになります。
利点
Citrix SD-WAN と Zscaler を統合する利点は次のとおりです。
- 分散型企業における SaaS およびクラウドの導入の迅速化。
- セキュリティをクラウドサービスとして一元化することで、各ブランチにセキュリティを配置する必要がなくなります。
- インターネット向けのトラフィックをバックホールする必要がなくなり、ブランチでのローカルインターネットブレイクアウトが可能になります。
- セキュア Web ゲートウェイへの自動接続による IT 管理の簡素化。
- API サポートにより、Zscaler へのセキュアなトンネルの構成が自動化されます。
- SaaS トラフィックのバックホールによる遅延の削減によるユーザーエクスペリエンスの向上。
- セキュリティ目的のハブアンドスポークモデルへの依存を排除します。
- ブランチでの高価なセキュリティスタックの排除。
- ブランチでのファイアウォールの展開と管理のオーバーヘッドを削減します。
- インターネット向けトラフィックが常にセキュアであることの保証。
- セキュリティポリシーはユーザーを物理的な場所に縛り付けません。
- サンドボックス、SSL を含むすべてのポートとプロトコルの検査、URL フィルタリング、高度な脅威保護などを提供し、ゼロデイ攻撃から保護します。
サポートされる機能
SD-WAN アプライアンスを使用した Zscaler 展開は、次の機能をサポートします。
- ユーザー定義のインターネットトラフィックを Zscaler に転送し、直接インターネットブレイクアウトを可能にします。
- 顧客サイトごとの Zscaler を使用した直接インターネットアクセス (DIA)。
- 一部のサイトでは、オンプレミスセキュリティ機器を使用して DIA を提供し、Zscaler を使用しない場合があります。
- 一部のサイトでは、インターネットアクセス用にトラフィックを別の顧客サイトにバックホールすることを選択する場合があります。
- 仮想ルーティングおよび転送の展開。
- インターネットサービスの一部としての 1 つの WAN リンク。
Zscaler はクラウドサービスです。サービスとして設定し、基盤となる WAN リンクを定義する必要があります。
- データセンターおよびブランチサイトで信頼できるパブリックインターネット WAN リンクを構成します。
- イントラネットサービス用の IPsec トンネルを自動構成します。
Citrix SD-WAN Center ワークフローでの Zscaler の展開
Citrix SD-WAN Center で Zscaler を展開するためのワークフローを定義する大まかな手順は次のとおりです。
-
Zscaler サブスクリプションを SD-WAN Center に構成します(1 回限り)。サブスクリプション情報を取得するには、Zscaler サイトにログインします。
-
Citrix SD-WAN Center GUI で [展開] を選択します。
- インターネット WAN リンクと事前構成されたアプリケーションオブジェクトを使用したサイトの構成を展開します。
- 接続を確立します。
- IPsec ステータスの取得/更新。
Zscaler サブスクリプション
SD-WAN Center で Zscaler を構成する前に、Zscaler ポータルにログインする必要があります。
-
サブスクリプション情報を取得するには、Zscaler サイトにログインします。ダッシュボードページが開きます。
-
[管理] > [パートナー統合] をクリックします。
-
[パートナー統合] ページで [SD-WAN] を選択します。[パートナーキーの追加] をクリックします。
-
パートナーキーとして Citrix® SDWAN を選択し、[生成] をクリックします。キーを保存します。
Citrix SD-WAN Center での Zscaler の構成
-
Citrix SD-WAN Center GUI で、[構成] > [セキュリティ] ページに移動します。[Zscaler 構成済みサイト] ページが開きます。
-
[サブスクリプション] をクリックします。前の手順で作成した Zscaler API(パートナーキー)を入力します。Zscaler の [ユーザー名] と [パスワード] を入力します。[Zscaler クラウド名]、[Zscaler ログレベル] を選択し、[適用] をクリックします。
-
ZEN は、この Zscaler クラウドサブスクリプションで利用可能な VPN エンドポイントのリストを提供します。
-
Zscaler サブスクリプションと ZEN の詳細を入力した後、Zscaler にサイトを追加できます。[追加] をクリックします。
-
[Zscaler にサイトを構成] ダイアログボックスで、[サイト]、[WAN リンク]、および [アプリケーションオブジェクト] を追加します。デフォルトでは、[ZEN の自動割り当て] オプションが選択されています。
[ZEN を手動で選択] できます。ただし、未保存の変更が失われることを通知する次のメッセージが表示されます。
-
必要なサイトを選択し、[展開] をクリックします。[複数追加] を選択して複数のサイトを追加することもできます。選択したサイトが展開され、構成ページが表示されます。
プライマリおよびセカンダリの ZEN IP アドレスが入力され、展開ステータスが [接続アクティブ] になっていることを確認してください。
-
構成済みのサイトの VPN エンドポイントまたはアプリケーションオブジェクトに変更を加えた場合は、[再展開] をクリックします。SD-WAN Center で構成済みのサイトに変更を加えると、ブランチサイトおよび DC サイトで構成されているアプライアンスで [変更管理] プロセスがトリガーされます。
サイトを削除すると、変更管理プロセスもトリガーされます。
監視とトラブルシューティング
構成済みのサイトを選択して、アプリケーションオブジェクトとプライマリ/セカンダリ IP アドレスに関する詳細情報を表示します。[詳細] アイコンをクリックすると、構成済みのサイトに関する完全な情報を表示できます。
Citrix SD-WAN Center で問題をトラブルシューティングするために使用できる Zscaler ログを表示およびダウンロードできます。
Zscaler ログファイルを表示するには:
-
Citrix SD-WAN Center Web インターフェイスで、[監視] タブ > [診断] をクリックします。
-
[ログファイル] ドロップダウンリストから、表示したい Zscaler ログファイルを選択します。[表示] をクリックします。
-
ログファイルをコンピューターにダウンロードする場合は、[ダウンロード] をクリックします。
IPsec トンネル構成
SD-WAN Center GUI の [詳細] ページには、プライマリおよびセカンダリエンドポイントへの IPsec トンネル構成に関する情報が表示されます。ピア IP は Zscaler から取得されます。SD-WAN アプライアンス GUI 構成エディターで IPsec トンネル構成を確認します。
IKE 設定
SD-WAN アプライアンスでの IPsec トンネル構成には、次の IKE/IPSec 設定が選択されています。IPsec トンネル - IKE 設定の構成の詳細については、「SD-WAN とサードパーティデバイス間の IPsec トンネルの構成方法」トピックを参照してください。
- IKE バージョン - IKEv2
- IKE ID – ユーザー FQDN
- ハッシュアルゴリズム - SHA-256
- 整合性アルゴリズム – SHA-256
- 暗号化モード – AES 256 ビット
- IPsec – トンネルモード
- IPsec 暗号化 – Null
IPsec 設定
IPsec トンネル設定の構成の詳細については、「SD-WAN とサードパーティデバイス間の IPsec トンネルの構成方法」トピックを参照してください。
アプリケーションオブジェクト
アプリケーションオブジェクトが構成されていることを確認してください。アプリケーションルートの構成の詳細については、「アプリケーション分類」トピックを参照してください。
注記
GRE トンネル構成は、自動化されたワークフローの一部としてはサポートされていません。ただし、手動構成は引き続き許可されます。詳細については、「GRE トンネルと IPsec トンネルを使用した Zscaler 統合」を参照してください。