Citrix SD-WAN Center を使用してCitrix SD-WANとZscalerを統合する
Citrix SD-WANとZscalerは、インターネットでホストされているアプリケーションとリソースに安全なローカルブレイクアウトを提供することにより、企業がクラウド移行のためにWANを変革するのを支援します。SD-WANなどの新しいWANインフラストラクチャテクノロジーは、ネットワークの俊敏性と拡張性を高め、コストと複雑さを軽減して、分散組織でのユーザーエクスペリエンスを向上させます。
SD-WANソリューションは、クラウド宛てのトラフィックがローカルでインターネットに発信できるようにすることで、ルーティングを簡素化します。SD-WANは、アプリケーションステアリング機能を使用して、トラフィックをインターネットにルーティングする(中央DC環境を削除する)柔軟性を提供します。ただし、ネットワークをインターネットに公開すると、重大なセキュリティリスクが発生します。クラウドサービスを通じてローカルのブレイクアウトを保護するための集中型のアプローチにより、ブランチのセキュリティインフラストラクチャを維持するためのオーバーヘッドが排除されます。すべてのトラフィックは、ブランチネットワークのCitrix SD-WANを使用して、Zscaler(クラウドベースのセキュリティプラットフォーム)に確実かつ安全にルーティングされます。コストのかかるインフラストラクチャを排除し、脅威や脆弱性からネットワークを保護できます。
Citrix SD-WAN
Citrix SD-WANは、ブランチからのインターネットアクセスを直接許可または拒否できるポリシーを作成するための組み込みのステートフルファイアウォールを使用して、ローカルのブランチからインターネットへのブレイクアウトを安全に有効にすることで、企業がクラウドに移行するのに役立ちます。Citrix SD-WANは、個々のSaaSアプリケーションを含め、4,000を超えるアプリケーションの統合データベースを組み合わせてアプリケーションを識別し、ディープパケット検査技術を使用してアプリケーションのリアルタイム検出と分類を行います。このアプリケーションの知識を使用して、ブランチからインターネット、クラウド、またはSaaSにトラフィックを誘導します。
Zscaler
Zscalerは、オンプレミスのハードウェア、アプライアンス、ソフトウェアを必要とせずに優れたセキュリティを提供する、最先端のクラウドベースのセキュリティプラットフォームです。Zscalerはインターネットの周囲に境界を配置しているため、企業はすべてのオフィスの周囲にセキュリティの境界を配置する必要はありません。Zscaler Cloud Security Platformは、世界中の100以上のデータセンターで一連のセキュリティチェックの投稿として機能します。インターネットトラフィックをZscalerにリダイレクトすることで、企業は店舗、支店、および遠隔地を即座に保護できます。Zscalerはユーザーとインターネットを接続し、トラフィックが暗号化されていても圧縮されていてもすべてのバイトを検査するので、ユーザーは安全であり、企業ネットワークに侵入する前にすべての隠れた脅威が識別されます。
Citrix SD-WANを使用すると、ブランチから直接インターネットにブレイクアウトできるポリシーを作成できます。ZscalerのCloud Security Platformは、ユーザーが接続する場所の近くのクラウドサービスでインターネットに向かうトラフィックをすべて検査することで、ITのセキュリティを確保します。
Zscaler実施ノード(ZEN)
Citrix SD-WANは、Zscaler APIをサポートし、ZscalerのクラウドネットワークでCitrix SD-WANとZscaler Enforcement Node(ZEN)間のIPsecトンネルの作成を自動化します。ZENは、すべての機能を備えたインラインインターネットセキュリティゲートウェイであり、すべてのインターネットトラフィックをマルウェアについて双方向に検査し、セキュリティおよびコンプライアンスポリシーを適用します。
Zscaler APIは、各ブランチに最も近い2つのデータセンターの場所を提供し、SD-WANがトラフィックを効果的に誘導できるようにします。組織はZscalerが自動的にWANのIPアドレスでZENの外観は、Citrix SD-WAN上で設定されたリンクまたは手動で ZENsを選択することができたことにより、ブランチに最も近いZENを選択できるようにすることができます。
メモ
トンネルが稼働している場合、両方のルートは常にアクティブモードになります。いずれかのトンネルがダウンすると、対応するルートに到達できなくなり、他のルートはアップのままになります。
長所
Citrix SD-WANとZscalerを統合するメリットは次のとおりです。
- 分散型エンタープライズでのSaaSとクラウドのより迅速な採用。
- セキュリティをクラウドサービスとして一元化すると、各ブランチにセキュリティを配置する必要がなくなります。
- インターネット宛てのトラフィックをバックホールする必要がなくなり、ブランチでローカルインターネットのブレイクアウトが可能になります。
- Secure Web Gatewayへの自動接続によるIT管理の簡素化。
- APIサポートにより、Zscalerへの安全なトンネルの構成が自動化されます
- SaaSトラフィックのバックホールによるレイテンシを削減することにより、ユーザーエクスペリエンスが向上しました。
- セキュリティの目的でハブアンドスポークモデルの依存関係を排除
- 支店でのコストのかかるセキュリティスタックの排除
- ブランチでファイアウォールを展開して管理する必要があるオーバーヘッドを削減します。
- インターネットに向かうトラフィックが常に安全であることの保証。
- セキュリティポリシーは、ユーザーを物理的な場所に関連付けません。
- サンドボックス化、SSL、URLフィルタリング、高度な脅威保護などを含むすべてのポートとプロトコルの検査を提供し、ゼロデイ攻撃から保護します。
サポートされている機能
SD-WANアプライアンスを使用したZscalerの展開では、次の機能がサポートされています。
- ユーザー定義のインターネットトラフィックをZscalerに転送することにより、直接インターネットのブレイクアウトを可能にします。
- 顧客サイトごとにZscalerを使用した直接インターネットアクセス(DIA)。
- 一部のサイトでは、DIAにオンプレミスのセキュリティ機器を提供し、Zscalerを使用しない場合があります。
- 一部のサイトでは、インターネットアクセス用に別の顧客サイトへのトラフィックのバックホールを選択する場合があります。
- 仮想ルーティングと転送の展開。
- インターネットサービスの一部としての1つのWANリンク。
Zscalerはクラウドサービスです。サービスとして設定し、基になるWANリンクを定義する必要があります。
- データセンターとブランチサイトで信頼できるパブリックインターネットwanリンクを構成します。
- イントラネットサービスのIPsecトンネルを自動構成します。
Citrix SD-WAN Center のワークフローでのZscalerの導入
以下は、SD-WAN Center にZscalerを展開するワークフローを定義する高レベルの手順です。
-
SD-WAN Center へのZscalerサブスクリプションを構成します(1回限り)。 Zscaler サイトにログインして、サブスクリプション情報を取得します。
-
Citrix SD-WAN Center GUIで デプロイ を選択します。
- インターネットwan-linkと事前構成されたアプリケーションオブジェクトを使用して、サイトの構成を展開します。
- 接続を確立します。
- Get/Update IPsecステータスの。
Zscalerサブスクリプション
SD-WAN Center でZscalerを構成する前に、Zscalerポータルにログインする必要があります。
-
Zscaler サイトにログインして、サブスクリプション情報を取得します。[ダッシュボード]ページが開きます。
-
[ 管理]> パートナー統合をクリックします 。
-
[ パートナー統合]ページで[ SD-WAN] を選択します。[ パートナーキーを追加]をクリックします。
-
パートナーキーに Citrix SDWAN を選択し、[ Generate] をクリックします。キーを保管します。
Citrix SD-WAN Center でZscalerを構成する
-
Citrix SD-WAN Center GUIで、 設定> セキュリティページに移動します 。Zscaler Configured Sites ページが開きます。
-
サブスクリプションをクリックします。前の手順で作成したZscaler API(パートナーキー)を入力します。Zscalerの ユーザー名 と パスワードを入力します。Zscaler Cloud Name、 Zscaler Log Levelを選択し、 Applyをクリックします。
-
Zensは、このZscalerクラウドサブスクリプションで使用可能なVPNエンドポイントのリストを提供します。
-
ZscalerサブスクリプションとZENの詳細を入力したら、Zscalerへのサイトの追加を開始できます。[追加] をクリックします。
-
[ Zscalerへのサイト の構成 ]ダイアログボックスで、 サイト、WANリンク、 および アプリケーションオブジェクトを追加します 。デフォルトでは、[ ZEN の自動割り当て ]オプションが選択されています。
ZENを手動で選択できます。ただし、保存されていない変更が失われたことを通知する次のメッセージが表示されます。
-
必要なサイトを選択して、[ 展開]をクリックします。あなたは 追加の複数を選択することにより、複数のサイトを追加することを選択することができます。選択したサイトが展開され、構成ページが表示されます。
プライマリとセカンダリのZEN IPアドレスが入力され、展開ステータスが Connection Activeであることを確認します。
-
構成済みサイトのVPNエンドポイントまたはアプリケーションオブジェクトを変更する場合は、[ 再展開]をクリックします。SD-WAN Center で構成されたサイトに変更を加えると、ブランチサイトとDCサイトで構成されたアプライアンスで変更管理 プロセスがトリガーされます。
サイトを削除すると、変更管理プロセスもトリガーされます。
監視とトラブルシューティング
構成済みサイトを選択して、アプリケーションオブジェクトおよび Primary/Secondary IPアドレス。「 詳細」 アイコンをクリックして、構成済みサイトに関する完全な情報を表示できます。
Citrix SD-WAN Center での問題のトラブルシューティングに使用できるZscalerログを表示およびダウンロードできます。
Zscalerログファイルを表示するには:
-
Citrix SD-WAN Center Webインターフェイスで、[ 監視 ] > 診断タブをクリックします。
-
[ログファイル] ドロップダウンリストから、表示するZscalerログファイルを選択します。[ 表示] をクリックします。
-
コンピュータにログファイルをダウンロードする場合は、[ ダウンロード]をクリックします。
IPsecトンネル構成
SD-WAN Center GUIの詳細ページには、プライマリおよびセカンダリエンドポイントへのIPsecトンネル構成に関する情報が表示されます。ピアIPはZscalerから取得されます。SD-WANアプライアンスGUI構成エディターでIPsecトンネル構成を確認します。
IKE 設定
以下 IKE/IPSec 設定は、SD-WANアプライアンスのIPsecトンネル構成用に選択されます。IPsec トンネル — IKE 設定の構成の詳細については、「 SD-WAN とサードパーティデバイス間の IPsec トンネルを構成する方法 」トピックを参照してください。
- IKEバージョン-IKEv2
- IKE ID –ユーザーFQDN
- ハッシュアルゴリズム-SHA-256
- 整合性アルゴリズム– SHA-256
- 暗号化モード– AES 256ビット
- IPsec –トンネルモード
- IPsec暗号化–Null
IPSec の設定
IPsec トンネル設定の構成の詳細については、「 SD-WAN とサードパーティデバイス間の IPsec トンネルを構成する方法 」トピックを参照してください。
アプリケーションオブジェクト
アプリケーションオブジェクトが構成されていることを確認します。アプリケーションルートの構成について詳しくは、「 アプリケーション分類 」を参照してください。
注
GREトンネル構成は、自動ワークフローの一部としてサポートされていません。ただし、手動構成は引き続き許可されます。詳細については、「 GRE トンネルと IPsec トンネルを使用した Zscaler 統合」を参照してください。