パロアルトネットワーク統合
パロアルトネットワークは、リモートネットワークを保護するためのクラウドベースのセキュリティインフラストラクチャを提供します。組織が地域的なクラウドベースのファイアウォールを設定し、SD-WANファブリックを保護することで、セキュリティを提供します。
リモートネットワーク向けPrisma Accessサービスを使用すると、リモートネットワークロケーションをオンボードし、ユーザーにセキュリティを提供できます。これにより、すべてのリモートロケーションでデバイスを構成および管理する複雑さが解消されます。このサービスは、新しいリモートネットワークロケーションを簡単に追加し、これらのロケーションのユーザーが常に接続され、安全であることを保証する運用上の課題を最小限に抑える効率的な方法を提供します。また、Panoramaからポリシーを一元的に管理することで、リモートネットワークロケーションに一貫性のある合理化されたセキュリティを提供できます。
リモートネットワークロケーションをPrisma Accessサービスに接続するには、パロアルトネットワークの次世代ファイアウォール、またはSD-WANを含むサードパーティのIPsec準拠デバイスを使用できます。これらのデバイスは、サービスへのIPsecトンネルを確立できます。
-
リモートネットワーク向けPrisma Accessサービスの計画
-
リモートネットワーク向けPrisma Accessサービスの構成
-
構成のインポートによるリモートネットワークのオンボード
Citrix SD-WAN™ソリューションは、すでにブランチからのインターネットトラフィックをブレイクアウトする機能を提供していました。これは、各ブランチに高価なセキュリティスタックを導入することなく、より信頼性が高く、低遅延のユーザーエクスペリエンスを提供するために不可欠です。Citrix SD-WANとパロアルトネットワークは、分散型エンタープライズに対し、ブランチのユーザーをクラウドのアプリケーションに接続するための、より信頼性が高く安全な方法を提供します。
Citrix SD-WANアプライアンスは、最小限の構成でSD-WANアプライアンスロケーションからIPsecトンネルを介してパロアルトクラウドサービス (Prisma Accessサービス) ネットワークに接続できます。Citrix SD-WAN Centerでパロアルトネットワークを構成できます。
リモートネットワーク向けPrisma Accessサービスを構成する前に、サービスを正常に有効にし、リモートネットワークロケーションのユーザーにポリシーを適用できるように、以下の構成が準備されていることを確認してください。
-
サービス接続— リモートネットワークロケーションが、ユーザーを認証したり、重要なネットワーク資産へのアクセスを有効にしたりするために、本社内のインフラストラクチャへのアクセスを必要とする場合、本社とリモートネットワークロケーションが接続されるように、企業ネットワークへのアクセスを設定する必要があります。
リモートネットワークロケーションが自律的で、他のロケーションのインフラストラクチャへのアクセスを必要としない場合、サービス接続を設定する必要はありません (モバイルユーザーがアクセスを必要とする場合を除く)。
-
テンプレート— Prisma Accessサービスは、リモートネットワーク向けPrisma Accessサービス用に、テンプレートスタック (Remote_Network_Template_Stack) とトップレベルテンプレート (Remote_Network_Template) を自動的に作成します。リモートネットワーク向けPrisma Accessサービスを構成するには、トップレベルテンプレートをゼロから構成するか、すでにオンプレミスでパロアルトネットワークファイアウォールを実行している場合は、既存の構成を活用します。
テンプレートには、リモートネットワークロケーションとリモートネットワーク向けPrisma Accessサービス間のプロトコルネゴシエーションのためのIPsecトンネルとインターネット鍵交換 (IKE) 構成を確立するための設定、セキュリティポリシーで参照できるゾーン、およびリモートネットワーク向けPrisma Accessサービスからロギングサービスにログを転送するためのログ転送プロファイルが必要です。
-
親デバイスグループ— リモートネットワーク向けPrisma Accessサービスでは、セキュリティポリシー、セキュリティプロファイル、その他のポリシーオブジェクト (アプリケーショングループとオブジェクト、アドレスグループなど)、および認証ポリシーを含む親デバイスグループを指定する必要があります。これにより、リモートネットワーク向けPrisma Accessサービスは、IPsecトンネルを介してリモートネットワーク向けPrisma Accessサービスにルーティングされるトラフィックにポリシーを一貫して適用できます。Panoramaでポリシー規則とオブジェクトを定義するか、既存のデバイスグループを使用してリモートネットワークロケーションのユーザーを保護する必要があります。
注:
ゾーンを参照する既存のデバイスグループを使用する場合は、ゾーンを定義する対応するテンプレートをRemote_Network_Template_Stackに追加してください。
これにより、リモートネットワーク向けPrisma Accessサービスを構成する際にゾーンマッピングを完了できます。
-
IPサブネット— Prisma Accessサービスがリモートネットワークにトラフィックをルーティングできるようにするには、Prisma Accessサービスを使用して保護するサブネットワークのルーティング情報を提供する必要があります。リモートネットワークロケーションの各サブネットワークに静的ルートを定義するか、サービス接続ロケーションとPrisma Accessサービス間でBGPを構成するか、または両方の方法を組み合わせて使用できます。
静的ルートとBGPの両方を構成した場合、静的ルートが優先されます。リモートネットワークロケーションにサブネットワークが少ない場合は静的ルートを使用すると便利ですが、重複するサブネットを持つ多くのリモートネットワークがある大規模な展開では、BGPにより容易にスケーリングできます。
SD-WAN Centerでのパロアルトネットワーク
以下の前提条件が満たされていることを確認してください。
-
PRISMA ACCESSサービスからPanorama IPアドレスを取得
-
PRISMA ACCESSサービスで使用するユーザー名とパスワードを取得
-
SD-WANアプライアンスGUIでIPsecトンネルを構成
-
サイトが、Citrix-IKE-Crypto-Default/Citrix-IPSec-Crypto-Default以外のike/ipsecプロファイルで構成された別のサイトがすでに存在するリージョンにオンボードされていないことを確認
-
SD-WAN Centerによって構成が更新されたときに、Prisma Access構成が手動で変更されないことを確認
Citrix SD-WAN Center GUIで、パロアルトサブスクリプション情報を提供します。
-
Panorama IPアドレスを構成。このIPアドレスはパロアルト (PRISMA ACCESSサービス) から取得できます。
-
PRISMA ACCESSサービスで使用するユーザー名とパスワードを構成。
サイトの追加と展開
-
サイトを展開するには、PRISMA ACCESSネットワークリージョンと、Prisma Accessリージョン用に構成するSD-WANサイトを選択し、サイトWANリンク、帯域幅、およびトラフィック選択用のアプリケーションオブジェクトを選択します。
注:
選択した帯域幅が利用可能な帯域幅範囲を超えると、トラフィックフローに影響があります。
アプリケーションオブジェクト選択の下にある すべてのトラフィック オプションを選択することで、すべてのインターネットバウンドトラフィックをPRISMA ACCESSサービスにリダイレクトできます。
-
必要に応じて、さらにSD-WANブランチサイトを追加できます。
-
展開をクリックします。変更管理プロセスが開始されます。続行するには はい をクリックします。
展開後、トンネルを確立するために使用されるIPsecトンネル構成は次のとおりです。
ランディングページには、構成され、異なるSD-WANリージョンにグループ化されたすべてのサイトのリストが表示されます。
エンドツーエンドのトラフィック接続の確認:
-
ブランチのLANサブネットからインターネットリソースにアクセス
-
トラフィックがCitrix SD-WAN IPsecトンネルを介してパロアルトPrisma Accessに到達することを確認
-
[監視]タブで、パロアルトセキュリティポリシーがトラフィックに適用されていることを確認
-
インターネットからブランチ内のホストへの応答が通過することを確認