Citrix SD-WAN Center を使用した Citrix SD-WAN™ と Zscaler の統合
Citrix SD-WANとZscalerは、インターネット上でホストされているアプリケーションやリソースへの安全なローカルブレイクアウトを提供することで、企業がクラウド移行のためにWANを変換するのに役立ちます。SD-WANなどの新しいWANインフラストラクチャテクノロジーは、ネットワークの俊敏性と拡張性を高めるとともに、分散型組織におけるユーザーエクスペリエンスを向上させるためのコストと複雑さを低減します。
SD-WANソリューションは、クラウド向けのトラフィックをローカルでインターネットにブレイクアウトさせることで、ルーティングを簡素化します。SD-WANは、アプリケーションステアリング機能を使用することで、インターネットへのトラフィックルーティング(中央DC環境の削除)に柔軟性を提供します。ただし、ネットワークをインターネットに公開することは、重大なセキュリティリスクをもたらします。クラウドサービスを介してローカルブレイクアウトを保護する一元的なアプローチは、ブランチでのセキュリティインフラストラクチャの維持管理のオーバーヘッドを排除します。すべてのトラフィックは、ブランチネットワークのCitrix SD-WANを使用して、Zscaler(クラウドベースのセキュリティプラットフォーム)に信頼性高く安全にルーティングされます。これにより、高価なインフラストラクチャを排除し、脅威や脆弱性からネットワークを保護できます。
Citrix SD-WAN
Citrix SD-WANは、ブランチから直接インターネットアクセスを許可または拒否するポリシーを作成するための組み込みのステートフルファイアウォールを使用して、ブランチからインターネットへの安全なローカルブレイクアウトを可能にすることで、企業がクラウドに移行するのを支援します。Citrix SD-WANは、個々のSaaSアプリケーションを含む4,000を超えるアプリケーションの統合データベースと、アプリケーションのリアルタイムでの検出と分類のためのディープパケットインスペクション技術を組み合わせて、アプリケーションを識別します。このアプリケーションの知識を使用して、ブランチからインターネット、クラウド、またはSaaSにトラフィックを誘導します。
Zscaler
Zscalerは、オンプレミスのハードウェア、アプライアンス、またはソフトウェアを必要とせずに優れたセキュリティを提供する、主要なクラウドベースのセキュリティプラットフォームです。Zscalerはインターネットの周囲に境界を設けるため、企業はすべてのオフィスにセキュリティ境界を設ける必要がありません。Zscaler Cloud Security Platformは、世界中の100を超えるデータセンターで一連のセキュリティチェックポイントとして機能します。インターネットトラフィックをZscalerにリダイレクトすることで、企業は店舗、ブランチ、リモートロケーションを即座に保護できます。Zscalerはユーザーとインターネットを接続し、暗号化または圧縮されている場合でもトラフィックのすべてのバイトを検査することで、ユーザーを安全に保ち、すべての隠れた脅威が企業ネットワークに侵入する前に識別されます。
Citrix SD-WANは、ブランチからの直接インターネットブレイクアウトを可能にするポリシーの作成を許可し、ZscalerのCloud Security Platformは、ユーザーが接続する場所に近いクラウドサービスですべてのインターネット向けトラフィックを検査することで、ITのセキュリティを確保します。
Zscaler Enforcement Node (ZEN)
Citrix SD-WANは、Zscalerのクラウドネットワーク内のCitrix SD-WANとZscaler Enforcement Node (ZEN) 間でIPsecトンネルの作成を自動化するためのZscaler APIをサポートしています。ZENは、マルウェアについてすべてのインターネットトラフィックを双方向で検査し、セキュリティおよびコンプライアンスポリシーを適用する、フル機能のインラインインターネットセキュリティゲートウェイです。
Zscaler APIは、各ブランチに最も近い2つのデータセンターロケーションを提供し、SD-WANがトラフィックを効果的に誘導できるようにします。組織は、Citrix SD-WANで構成されたWANリンクのIPアドレスをZENが参照することで、Zscalerがブランチに最も近いZENを自動的に選択することを許可するか、ZENを手動で選択することができます。
注
トンネルが稼働中の場合、両方のルートは常にアクティブモードになります。いずれかのトンネルがダウンした場合、対応するルートは到達不能になり、その場合、もう一方のルートは稼働し続けます。
利点
Citrix SD-WANとZscalerを統合する利点は次のとおりです。
- 分散型企業におけるSaaSとクラウドの導入加速
- セキュリティをクラウドサービスとして一元化することで、各ブランチにセキュリティを配置する必要がなくなります。
- インターネット向けトラフィックをバックホールする必要がなくなり、ブランチでのローカルインターネットブレイクアウトを可能にします。
- セキュアWebゲートウェイへの自動化された接続によるIT管理の簡素化
- APIサポートにより、Zscalerへのセキュアトンネルの設定を自動化します。
- SaaSトラフィックのバックホールによる遅延の削減によるユーザーエクスペリエンスの向上
- セキュリティ目的でのハブアンドスポークモデルへの依存を排除します。
- ブランチでの高価なセキュリティスタックの排除
- ブランチでのファイアウォールの展開と管理のオーバーヘッドを削減します。
- インターネット向けトラフィックが常に安全であることの保証
- セキュリティポリシーはユーザーを物理的な場所に縛りません。
- サンドボックス、SSLを含むすべてのポートとプロトコルの検査、URLフィルタリング、高度な脅威保護などを提供し、ゼロデイ攻撃から保護します。
サポートされる機能
SD-WANアプライアンスを使用したZscaler展開は、以下の機能をサポートします。
- ユーザー定義のインターネットトラフィックをZscalerに転送し、直接インターネットブレイクアウトを可能にします。
- 顧客サイトごとのZscalerを使用した直接インターネットアクセス (DIA)。
- 一部のサイトでは、オンプレミスセキュリティ機器を使用してDIAを提供し、Zscalerを使用しない場合があります。
- 一部のサイトでは、インターネットアクセス用にトラフィックを別の顧客サイトにバックホールすることを選択する場合があります。
- 仮想ルーティングおよび転送の展開。
- インターネットサービスの一部としての1つのWANリンク。
Zscalerはクラウドサービスです。サービスとして設定し、基盤となるWANリンクを定義する必要があります。
- データセンターとブランチサイトで信頼できるパブリックインターネットWANリンクを構成します。
- イントラネットサービス用にIPsecトンネルを自動構成します。
Citrix SD-WAN Center での Zscaler 展開ワークフロー
以下は、SD-WAN CenterでZscalerを展開するためのワークフローを定義する大まかな手順です。
-
ZscalerサブスクリプションをSD-WAN Centerに構成します(1回限り)。Zscalerサイトにログインして、サブスクリプション情報を取得します。
-
Citrix SD-WAN Center GUIで [展開] を選択します。
- インターネットWANリンクと事前構成されたアプリケーションオブジェクトを使用してサイトの構成を展開します。
- 接続を確立します。
- IPsecステータスを取得/更新します。
Zscaler サブスクリプション
SD-WAN CenterでZscalerの構成を進める前に、Zscalerポータルにログインする必要があります。
-
Zscalerサイトにログインして、サブスクリプション情報を取得します。ダッシュボードページが開きます。
-
[Administration] > [Partner Integrations] をクリックします。
-
[Partner Integrations] ページで [SD-WAN] を選択します。[Add Partner Key] をクリックします。
-
パートナーキーに [Citrix® SDWAN] を選択し、[Generate] をクリックします。キーを保存します。
Citrix SD-WAN Center での Zscaler の構成
-
Citrix SD-WAN Center GUIで、[Configuration] > [Security] ページに移動します。[Zscaler Configured Sites] ページが開きます。
-
[Subscription] をクリックします。前の手順で作成されたZscaler API(パートナーキー)を入力します。Zscalerのユーザー名とパスワードを入力します。[Zscaler Cloud Name]、[Zscaler Log Level] を選択し、[Apply] をクリックします。
-
ZENは、このZscalerクラウドサブスクリプションで利用可能なVPNエンドポイントのリストを提供します。
-
ZscalerサブスクリプションとZENの詳細を入力した後、Zscalerにサイトを追加し始めることができます。[追加] をクリックします。
-
[Configure Sites to Zscaler] ダイアログボックスで、[サイト]、[WANリンク]、[アプリケーションオブジェクト] を追加します。デフォルトでは、[ZENの自動割り当て] オプションが選択されています。
[ZENを手動で選択] できます。ただし、未保存の変更が失われることを通知する次のメッセージが表示されます。
-
必要なサイトを選択し、[展開] をクリックします。[複数追加] を選択して複数のサイトを追加できます。選択したサイトが展開され、構成ページが表示されます。
プライマリおよびセカンダリZEN IPアドレスが入力され、展開ステータスが [接続アクティブ] になっていることを確認します。
-
構成済みサイトのVPNエンドポイントまたはアプリケーションオブジェクトに変更を加えた場合は、[再展開] をクリックします。SD-WAN Centerで構成されたサイトへの変更は、ブランチサイトおよびDCサイトで構成されたアプライアンスで変更管理プロセスをトリガーします。
サイトの削除も変更管理プロセスをトリガーします。
監視とトラブルシューティング
構成済みサイトを選択して、アプリケーションオブジェクトとプライマリ/セカンダリIPアドレスに関する詳細情報を表示します。[詳細] アイコンをクリックすると、構成済みサイトに関する完全な情報を表示できます。
Citrix SD-WAN Centerで問題のトラブルシューティングに使用できるZscalerログを表示およびダウンロードできます。
Zscalerログファイルを表示するには:
-
Citrix SD-WAN Center Webインターフェイスで、[監視] タブ > [診断] をクリックします。
-
[ログファイル] ドロップダウンリストから、表示したいZscalerログファイルを選択します。[表示] をクリックします。
-
ログファイルをコンピューターにダウンロードしたい場合は、[ダウンロード] をクリックします。
IPsecトンネル構成
SD-WAN Center GUIの[詳細]ページには、プライマリおよびセカンダリエンドポイントへのIPsecトンネル構成に関する情報が提供されます。ピアIPはZscalerから取得されます。SD-WANアプライアンスGUI構成エディターでIPsecトンネル構成を確認します。
IKE設定
SD-WANアプライアンスでのIPsecトンネル構成には、以下のIKE/IPSec設定が選択されています。IPsecトンネルのIKE設定の構成に関する詳細については、SD-WANとサードパーティデバイス間のIPsecトンネルを構成する方法トピックを参照してください。
- IKEバージョン - IKEv2
- IKE ID – ユーザーFQDN
- ハッシュアルゴリズム - SHA-256
- 整合性アルゴリズム – SHA-256
- 暗号化モード – AES 256ビット
- IPsec – トンネルモード
- IPsec暗号化 – Null
IPsec設定
IPsecトンネル設定の構成に関する詳細については、SD-WANとサードパーティデバイス間のIPsecトンネルを構成する方法トピックを参照してください。
アプリケーションオブジェクト
アプリケーションオブジェクトが構成されていることを確認してください。アプリケーションルートの構成に関する詳細については、アプリケーション分類トピックを参照してください。
注
GREトンネル構成は、自動化されたワークフローの一部としてはサポートされていません。ただし、手動構成は引き続き許可されています。詳細については、GREトンネルとIPsecトンネルを使用したZscaler統合を参照してください。