Palo Alto Networks連携
Palo Alto Networksは、リモートネットワークを保護するためのクラウドベースのセキュリティインフラストラクチャを提供します。組織が地域ごとのクラウドベースのファイアウォールを設定し、SD-WANファブリックを保護することで、セキュリティを提供します。
リモートネットワーク向けPrisma Accessサービスを使用すると、リモートネットワークロケーションをオンボーディングし、ユーザーにセキュリティを提供できます。これにより、各リモートロケーションでのデバイスの構成と管理の複雑さが解消されます。このサービスは、新しいリモートネットワークロケーションを簡単に追加し、これらのロケーションのユーザーが常に接続され、安全であることを保証する運用上の課題を最小限に抑える効率的な方法を提供します。また、Panoramaからポリシーを一元的に管理することで、リモートネットワークロケーションに対して一貫性のある合理化されたセキュリティを実現できます。
リモートネットワークロケーションをPrisma Accessサービスに接続するには、Palo Alto Networks次世代ファイアウォール、またはSD-WANを含むサードパーティのIPsec準拠デバイスを使用して、サービスへのIPsecトンネルを確立できます。
-
リモートネットワーク向けPrisma Accessサービスの計画
-
リモートネットワーク向けPrisma Accessサービスの構成
-
構成インポートによるリモートネットワークのオンボーディング
Citrix SD-WAN™ソリューションは、すでにブランチからのインターネットトラフィックをブレイクアウトする機能を提供していました。これは、より信頼性の高い低遅延のユーザーエクスペリエンスを提供し、各ブランチでの高価なセキュリティスタック導入を回避するために不可欠です。Citrix SD-WANとPalo Alto Networksは、分散型企業に対し、ブランチのユーザーをクラウドのアプリケーションに接続する、より信頼性が高く安全な方法を提供します。
Citrix SD-WANアプライアンスは、最小限の構成でSD-WANアプライアンスロケーションからIPsecトンネルを介してPalo Altoクラウドサービス(Prisma Accessサービス)ネットワークに接続できます。Citrix SD-WAN CenterでPalo Altoネットワークを構成できます。
リモートネットワーク向けPrisma Accessサービスの構成を開始する前に、サービスを正常に有効にし、リモートネットワークロケーションのユーザーにポリシーを適用できるように、以下の構成が準備されていることを確認してください。
-
サービス接続— リモートネットワークロケーションがユーザーを認証するため、または重要なネットワーク資産へのアクセスを有効にするために、企業本社内のインフラストラクチャへのアクセスを必要とする場合、本社とリモートネットワークロケーションが接続されるように、企業ネットワークへのアクセスを設定する必要があります。
リモートネットワークロケーションが自律的で、他のロケーションのインフラストラクチャへのアクセスを必要としない場合、サービス接続を設定する必要はありません(モバイルユーザーのアクセスが必要な場合を除く)。
-
テンプレート— Prisma Accessサービスは、リモートネットワーク向けPrisma Accessサービス用にテンプレートスタック(Remote_Network_Template_Stack)とトップレベルテンプレート(Remote_Network_Template)を自動的に作成します。リモートネットワーク向けPrisma Accessサービスを構成するには、トップレベルテンプレートをゼロから構成するか、すでにオンプレミスでPalo Alto Networksファイアウォールを実行している場合は、既存の構成を活用します。
このテンプレートには、リモートネットワークロケーションとリモートネットワーク向けPrisma Accessサービス間のプロトコルネゴシエーションのためのIPsecトンネルとInternet Key Exchange (IKE)構成を確立するための設定、セキュリティポリシーで参照できるゾーン、およびリモートネットワーク向けPrisma Accessサービスからロギングサービスにログを転送するためのログ転送プロファイルが必要です。
-
親デバイスグループ— リモートネットワーク向けPrisma Accessサービスでは、セキュリティポリシー、セキュリティプロファイル、およびその他のポリシーオブジェクト(アプリケーショングループとオブジェクト、アドレスグループなど)、ならびに認証ポリシーを含む親デバイスグループを指定する必要があります。これにより、リモートネットワーク向けPrisma Accessサービスは、IPsecトンネルを介してリモートネットワーク向けPrisma Accessサービスにルーティングされるトラフィックに対してポリシーを一貫して適用できます。リモートネットワークロケーションのユーザーを保護するには、Panoramaでポリシー規則とオブジェクトを定義するか、既存のデバイスグループを使用する必要があります。
注:
ゾーンを参照する既存のデバイスグループを使用する場合は、ゾーンを定義する対応するテンプレートをRemote_Network_Template_Stackに追加してください。
これにより、リモートネットワーク向けPrisma Accessサービスを構成する際にゾーンマッピングを完了できます。
-
IPサブネット— Prisma Accessサービスがリモートネットワークにトラフィックをルーティングできるようにするには、Prisma Accessサービスを使用して保護するサブネットワークのルーティング情報を提供する必要があります。リモートネットワークロケーションの各サブネットワークへのスタティックルートを定義するか、サービス接続ロケーションとPrisma Accessサービス間でBGPを構成するか、または両方の方法を組み合わせて使用できます。
スタティックルートを構成し、BGPを有効にした場合、スタティックルートが優先されます。リモートネットワークロケーションにサブネットワークが少ない場合はスタティックルートの使用が便利かもしれませんが、重複するサブネットを持つ多数のリモートネットワークがある大規模な展開では、BGPにより容易なスケーリングが可能になります。
SD-WAN CenterでのPalo Alto Networks
以下の前提条件が満たされていることを確認してください。
-
PRISMA ACCESSサービスからPanorama IPアドレスを取得します。
-
PRISMA ACCESSサービスで使用するユーザー名とパスワードを取得します。
-
SD-WANアプライアンスGUIでIPsecトンネルを構成します。
-
サイトが、Citrix-IKE-Crypto-Default/Citrix-IPSec-Crypto-Default以外のIKE/IPsecプロファイルで別のサイトがすでに構成されているリージョンにオンボードされていないことを確認します。
-
SD-WAN Centerによって構成が更新されるときに、Prisma Access構成が手動で変更されていないことを確認します。
Citrix SD-WAN Center GUIで、Palo Altoサブスクリプション情報を提供します。
-
Panorama IPアドレスを構成します。このIPアドレスはPalo Alto(PRISMA ACCESSサービス)から取得できます。
-
PRISMA ACCESSサービスで使用するユーザー名とパスワードを構成します。
サイトの追加と展開
-
サイトを展開するには、PRISMA ACCESSネットワークリージョンと、Prisma Accessリージョン用に構成するSD-WANサイトを選択し、サイトのWANリンク、帯域幅、およびトラフィック選択用のアプリケーションオブジェクトを選択します。
注:
選択された帯域幅が利用可能な帯域幅範囲を超過すると、トラフィックフローに影響が出ます。
アプリケーションオブジェクト選択下のすべてのトラフィックオプションを選択することで、すべてのインターネット向けトラフィックをPRISMA ACCESSサービスにリダイレクトできます。
-
必要に応じて、さらにSD-WANブランチサイトを追加できます。
-
展開をクリックします。変更管理プロセスが開始されます。続行するにははいをクリックします。
展開後、トンネル確立に使用されるIPsecトンネル構成は以下の通りです。
ランディングページには、異なるSD-WANリージョンで構成されグループ化されたすべてのサイトのリストが表示されます。
エンドツーエンドのトラフィック接続の検証:
-
ブランチのLANサブネットからインターネットリソースにアクセスします。
-
トラフィックがCitrix SD-WAN IPsecトンネルを介してPalo Alto Prisma Accessに流れることを確認します。
-
監視タブでPalo Altoセキュリティポリシーがトラフィックに適用されていることを確認します。
-
インターネットからブランチ内のホストへの応答が届くことを確認します。