Palo Alto Network との統合
Palo Alto Networks は、リモートネットワークを保護するためのクラウドベースのセキュリティインフラストラクチャを提供します。組織が地域ごとのクラウドベースのファイアウォールを設定し、SD-WAN ファブリックを保護することで、セキュリティを実現します。
リモートネットワーク向け Prisma Access サービスを使用すると、リモートネットワークロケーションをオンボーディングし、ユーザーにセキュリティを提供できます。これにより、すべてのリモートロケーションでデバイスを設定および管理する複雑さが解消されます。このサービスは、新しいリモートネットワークロケーションを簡単に追加し、これらのロケーションのユーザーが常に接続され、安全であることを保証する運用上の課題を最小限に抑える効率的な方法を提供します。また、Panorama からポリシーを一元的に管理できるため、リモートネットワークロケーションに対して一貫性のある合理化されたセキュリティを実現できます。
リモートネットワークロケーションを Prisma Access サービスに接続するには、Palo Alto Networks の次世代ファイアウォール、またはサービスへの IPsec トンネルを確立できる SD-WAN を含むサードパーティの IPsec 準拠デバイスを使用できます。
- リモートネットワーク向け Prisma Access サービスの計画
- リモートネットワーク向け Prisma Access サービスの設定
- 構成インポートによるリモートネットワークのオンボーディング
Citrix SD-WAN™ ソリューションは、すでにブランチからインターネットトラフィックをブレークアウトする機能を提供していました。これは、各ブランチに高価なセキュリティスタックを導入することを避けつつ、より信頼性が高く、低遅延のユーザーエクスペリエンスを提供するために不可欠です。Citrix SD-WAN と Palo Alto Networks は、分散型企業に対し、ブランチのユーザーをクラウド内のアプリケーションに接続するための、より信頼性が高く安全な方法を提供します。
Citrix SD-WAN アプライアンスは、最小限の構成で SD-WAN アプライアンスのロケーションから IPsec トンネルを介して Palo Alto クラウドサービス (Prisma Access サービス) ネットワークに接続できます。Citrix SD-WAN Center で Palo Alto Network を構成できます。
リモートネットワーク向け Prisma Access サービスの設定を開始する前に、サービスを正常に有効にし、リモートネットワークロケーションのユーザーにポリシーを適用できるように、以下の構成が準備されていることを確認してください。
- サービス接続 — リモートネットワークロケーションが、ユーザーを認証したり、重要なネットワーク資産へのアクセスを有効にしたりするために、本社内のインフラストラクチャへのアクセスを必要とする場合、本社とリモートネットワークロケーションが接続されるように、企業ネットワークへのアクセスを設定する必要があります。
リモートネットワークロケーションが自律的であり、他のロケーションのインフラストラクチャにアクセスする必要がない場合、サービス接続を設定する必要はありません (モバイルユーザーがアクセスを必要とする場合を除く)。
- テンプレート — Prisma Access サービスは、リモートネットワーク向け Prisma Access サービス用に、テンプレートスタック (Remote_Network_Template_Stack) とトップレベルテンプレート (Remote_Network_Template) を自動的に作成します。リモートネットワーク向け Prisma Access サービスを設定するには、トップレベルテンプレートをゼロから構成するか、すでにオンプレミスで Palo Alto Networks ファイアウォールを実行している場合は、既存の構成を活用します。
このテンプレートには、リモートネットワークロケーションとリモートネットワーク向け Prisma Access サービス間のプロトコルネゴシエーションのための IPsec トンネルおよびインターネット鍵交換 (IKE) 構成を確立するための設定、セキュリティポリシーで参照できるゾーン、およびリモートネットワーク向け Prisma Access サービスからロギングサービスにログを転送できるようにするログ転送プロファイルが必要です。
-
親デバイスグループ — リモートネットワーク向け Prisma Access サービスでは、セキュリティポリシー、セキュリティプロファイル、その他のポリシーオブジェクト (アプリケーショングループとオブジェクト、アドレスグループなど)、および認証ポリシーを含む親デバイスグループを指定する必要があります。これにより、リモートネットワーク向け Prisma Access サービスは、IPsec トンネルを介してリモートネットワーク向け Prisma Access サービスにルーティングされるトラフィックに対して、一貫してポリシーを適用できます。Panorama でポリシー規則とオブジェクトを定義するか、既存のデバイスグループを使用してリモートネットワークロケーションのユーザーを保護する必要があります。
注:
ゾーンを参照する既存のデバイスグループを使用する場合は、ゾーンを定義する対応するテンプレートを Remote_Network_Template_Stack に追加してください。
これにより、リモートネットワーク向け Prisma Access サービスを設定する際に、ゾーンマッピングを完了できます。
- IP サブネット — Prisma Access サービスがリモートネットワークにトラフィックをルーティングできるようにするには、Prisma Access サービスを使用して保護するサブネットワークのルーティング情報を提供する必要があります。リモートネットワークロケーションの各サブネットワークへの静的ルートを定義するか、サービス接続ロケーションと Prisma Access サービス間で BGP を構成するか、または両方の方法を組み合わせて使用できます。
静的ルートと BGP の両方を構成した場合、静的ルートが優先されます。リモートネットワークロケーションにサブネットワークが少数しかない場合は静的ルートを使用すると便利ですが、重複するサブネットを持つ多数のリモートネットワークがある大規模な展開では、BGP を使用するとより簡単に拡張できます。
SD-WAN Center での Palo Alto Network
以下の前提条件が満たされていることを確認してください。
- PRISMA ACCESS サービスから Panorama IP アドレスを取得します。
- PRISMA ACCESS サービスで使用するユーザー名とパスワードを取得します。
- SD-WAN アプライアンス GUI で IPsec トンネルを構成します。
- サイトが、Citrix-IKE-Crypto-Default/Citrix-IPSec-Crypto-Default 以外の ike/ipsec プロファイルで構成された別のサイトがすでに存在するリージョンにオンボーディングされていないことを確認します。
- SD-WAN Center によって構成が更新されたときに、Prisma Access 構成が手動で変更されていないことを確認します。
Citrix SD-WAN Center GUI で、Palo Alto のサブスクリプション情報を提供します。
- Panorama IP アドレスを構成します。この IP アドレスは Palo Alto (PRISMA ACCESS サービス) から取得できます。
- PRISMA ACCESS サービスで使用するユーザー名とパスワードを構成します。
サイトの追加と展開
-
サイトを展開するには、PRISMA ACCESS ネットワークリージョンと、Prisma Access リージョン用に構成する SD-WAN サイトを選択し、次にトラフィック選択用のサイト WAN リンク、帯域幅、およびアプリケーションオブジェクトを選択します。
注:
選択した帯域幅が利用可能な帯域幅範囲を超えると、トラフィックフローに影響が出ます。
アプリケーションオブジェクト選択の下にある [すべてのトラフィック] オプションを選択することで、すべてのインターネットバウンドトラフィックを PRISMA ACCESS サービスにリダイレクトするように選択できます。
-
必要に応じて、さらに SD-WAN ブランチサイトを追加し続けることができます。
-
[展開] をクリックします。変更管理プロセスが開始されます。続行するには [はい] をクリックします。
展開後、トンネルを確立するために使用される IPsec トンネル構成は次のとおりです。
ランディングページには、異なる SD-WAN リージョンで構成され、グループ化されたすべてのサイトのリストが表示されます。
エンドツーエンドのトラフィック接続の確認:
- ブランチの LAN サブネットからインターネットリソースにアクセスします。
- トラフィックが Citrix SD-WAN IPsec トンネルを介して Palo Alto Prisma Access に流れることを確認します。
- 監視タブで、Palo Alto セキュリティポリシーがトラフィックに適用されていることを確認します。
- インターネットからブランチ内のホストへの応答が届くことを確認します。