Citrix SD-WAN™ と Zscaler の Citrix SD-WAN Center を使用した統合
Citrix SD-WAN と Zscaler は、インターネット上でホストされているアプリケーションやリソースへのセキュアなローカルブレイクアウトを提供することで、企業がクラウド移行のために WAN を変革するのを支援します。SD-WAN のような新しい WAN インフラストラクチャ技術は、ネットワークのアジリティとスケーラビリティを向上させ、コストと複雑さを低減し、分散型組織におけるユーザーエクスペリエンスを改善します。
SD-WAN ソリューションは、クラウド宛てのトラフィックをローカルでインターネットにブレイクアウトさせることで、ルーティングを簡素化します。SD-WAN は、アプリケーションステアリング機能を使用することで、インターネットへのトラフィックルーティング(中央 DC 環境の削除)に柔軟性を提供します。しかし、ネットワークをインターネットに公開することは、重大なセキュリティリスクをもたらします。クラウドサービスを介してローカルブレイクアウトを保護する集中型アプローチは、ブランチでのセキュリティインフラストラクチャの維持にかかるオーバーヘッドを排除します。すべてのトラフィックは、ブランチネットワーク内の Citrix SD-WAN とともに、Zscaler(クラウドベースのセキュリティプラットフォーム)に確実かつ安全にルーティングされます。これにより、高価なインフラストラクチャを排除し、ネットワークを脅威や脆弱性から保護できます。
Citrix SD-WAN
Citrix SD-WAN は、ブランチから直接インターネットアクセスを許可または拒否できるポリシーを作成するための組み込みステートフルファイアウォールにより、ローカルのブランチからインターネットへのセキュアなブレイクアウトを可能にすることで、企業がクラウドに移行するのを支援します。Citrix SD-WAN は、個々の SaaS アプリケーションを含む 4,000 を超えるアプリケーションの統合データベースと、リアルタイムでのアプリケーションの検出と分類のためのディープパケットインスペクション技術を組み合わせて、アプリケーションを識別します。このアプリケーション知識を使用して、ブランチからインターネット、クラウド、または SaaS へのトラフィックをステアリングします。
Zscaler
Zscaler は、オンプレミスのハードウェア、アプライアンス、またはソフトウェアを必要とせずに優れたセキュリティを提供する、主要なクラウドベースのセキュリティプラットフォームです。Zscaler はインターネットの周囲に境界を設けるため、企業はすべてのオフィスにセキュリティ境界を設ける必要がありません。Zscaler Cloud Security Platform は、世界中の 100 以上のデータセンターで一連のセキュリティチェックポストとして機能します。インターネットトラフィックを Zscaler にリダイレクトすることで、企業は店舗、ブランチ、およびリモートロケーションを即座に保護できます。Zscaler はユーザーとインターネットを接続し、暗号化または圧縮されている場合でも、トラフィックのすべてのバイトを検査することで、ユーザーを保護し、すべての隠れた脅威が企業ネットワークに侵入する前に識別します。
Citrix SD-WAN は、ブランチからの直接インターネットブレイクアウトを可能にするポリシーの作成を許可し、Zscaler の Cloud Security Platform は、ユーザーが接続する場所に近いクラウドサービスですべてのインターネットバウンドトラフィックを検査することで、IT のセキュリティを確保します。
Zscaler Enforcement Node (ZEN)
Citrix SD-WAN は、Zscaler のクラウドネットワーク内の Citrix SD-WAN と Zscaler Enforcement Node (ZEN) 間で IPsec トンネルの作成を自動化するための Zscaler API をサポートしています。ZEN は、マルウェアに対してすべてのインターネットトラフィックを双方向に検査し、セキュリティおよびコンプライアンスポリシーを適用する、フル機能のインラインインターネットセキュリティゲートウェイです。
Zscaler API は、各ブランチに最も近い 2 つのデータセンターロケーションを提供し、SD-WAN がトラフィックを効果的にステアリングできるようにします。組織は、Zscaler が Citrix SD-WAN で設定された WAN リンクの IP アドレスを ZEN に確認させることで、ブランチに最も近い ZEN を自動的に選択させることも、ZEN を手動で選択することもできます。
注記
トンネルが UP の場合、両方のルートは常にアクティブモードになります。いずれかのトンネルがダウンした場合、対応するルートは到達不能になり、その場合、もう一方のルートは UP のままになります。
利点
Citrix SD-WAN と Zscaler を統合する利点は次のとおりです。
- 分散型企業における SaaS とクラウドの導入の迅速化
- セキュリティをクラウドサービスとして一元化することで、各ブランチにセキュリティを配置する必要がなくなります
- インターネット宛てのトラフィックをバックホールする必要がなくなり、ブランチでのローカルインターネットブレイクアウトが可能になります
- セキュア Web ゲートウェイへの自動接続による IT 管理の簡素化
- API サポートにより、Zscaler へのセキュアなトンネルの設定が自動化されます
- SaaS トラフィックのバックホールによるレイテンシーの削減によるユーザーエクスペリエンスの向上
- セキュリティ目的のハブアンドスポークモデルへの依存を排除します
- ブランチにおける高価なセキュリティスタックの排除
- ブランチでのファイアウォールの展開と管理にかかるオーバーヘッドを削減します
- インターネットバウンドトラフィックが常にセキュアであることの保証
- セキュリティポリシーはユーザーを物理的な場所に縛り付けません
- サンドボックス、SSL を含むすべてのポートとプロトコルの検査、URL フィルタリング、高度な脅威保護などを提供し、ゼロデイ攻撃から保護します
サポートされる機能
SD-WAN アプライアンスを使用した Zscaler の展開は、次の機能をサポートしています。
- ユーザー定義のインターネットトラフィックを Zscaler に転送し、それによって直接インターネットブレイクアウトを有効にする
- 顧客サイトごとに Zscaler を使用したダイレクトインターネットアクセス (DIA)
- 一部のサイトでは、オンプレミスのセキュリティ機器を使用して DIA を提供し、Zscaler を使用しない場合があります
- 一部のサイトでは、インターネットアクセス用にトラフィックを別の顧客サイトにバックホールすることを選択する場合があります
- 仮想ルーティングおよび転送の展開
- インターネットサービスの一部としての 1 つの WAN リンク
Zscaler はクラウドサービスです。サービスとして設定し、基盤となる WAN リンクを定義する必要があります。
- データセンターおよびブランチサイトで信頼できるパブリックインターネット WAN リンクを設定します
- イントラネットサービス用に IPsec トンネルを自動設定します
Citrix SD-WAN Center ワークフローでの Zscaler の展開
以下は、SD-WAN Center に Zscaler を展開するためのワークフローを定義するハイレベルな手順です。
-
Zscaler サブスクリプションを SD-WAN Center に設定します(1 回限り)。サブスクリプション情報を取得するには、Zscaler サイトにログインします。
-
Citrix SD-WAN Center GUI で [Deploy] を選択します。
- インターネット WAN リンクと事前設定されたアプリケーションオブジェクトを使用してサイトの構成を展開します
- 接続を確立します
- IPsec ステータスの取得/更新
Zscaler サブスクリプション
SD-WAN Center で Zscaler の設定に進む前に、Zscaler ポータルにログインする必要があります。
-
サブスクリプション情報を取得するには、Zscaler サイトにログインします。ダッシュボードページが開きます。
-
[Administration] > [Partner Integrations] をクリックします。
-
[Partner Integrations] ページで [SD-WAN] を選択します。[Add Partner Key] をクリックします。
-
パートナーキーとして Citrix® SDWAN を選択し、[Generate] をクリックします。キーを保存します。
Citrix SD-WAN Center での Zscaler の設定
-
Citrix SD-WAN Center GUI で、[Configuration] > [Security] ページに移動します。[Zscaler Configured Sites] ページが開きます。
-
[Subscription] をクリックします。前の手順で作成した Zscaler API(パートナーキー)を入力します。Zscaler の [Username] と [Password] を入力します。[Zscaler Cloud Name]、[Zscaler Log Level] を選択し、[Apply] をクリックします。
-
ZEN は、この Zscaler クラウドサブスクリプションで利用可能な VPN エンドポイントのリストを提供します。
-
Zscaler サブスクリプションと ZEN の詳細を入力した後、Zscaler にサイトを追加できます。[Add] をクリックします。
-
[Configure Sites to Zscaler] ダイアログボックスで、[Site]、[WAN Link]、および [Application Objects] を追加します。デフォルトでは、[Auto assign ZEN] オプションが選択されています。
[Manually Select ZEN] を選択することもできます。ただし、未保存の変更が失われることを通知する次のメッセージが表示されます。
-
必要なサイトを選択し、[Deploy] をクリックします。[Add Multiple] を選択して複数のサイトを追加することもできます。選択したサイトが展開され、構成ページが表示されます。
プライマリおよびセカンダリの ZEN IP アドレスが入力され、展開ステータスが [Connection Active] になっていることを確認します。
-
設定済みのサイトの VPN エンドポイントまたはアプリケーションオブジェクトに変更を加えた場合は、[Re-Deploy] をクリックします。SD-WAN Center で設定済みのサイトに変更を加えると、ブランチサイトと DC サイトで設定されているアプライアンスで 変更管理 プロセスがトリガーされます。
サイトを削除すると、変更管理プロセスもトリガーされます。
監視とトラブルシューティング
設定済みのサイトを選択して、アプリケーションオブジェクトとプライマリ/セカンダリ IP アドレスに関する詳細情報を表示します。[Details] アイコンをクリックすると、設定済みのサイトに関する完全な情報を表示できます。
IPsec トンネル構成
SD-WAN Center GUI の [詳細] ページには、プライマリおよびセカンダリエンドポイントへの IPsec トンネル構成に関する情報が表示されます。ピア IP は Zscaler から取得されます。SD-WAN アプライアンス GUI 構成エディターで IPsec トンネル構成を確認します。
Citrix SD-WAN Center での問題のトラブルシューティングに使用できる Zscaler ログを表示およびダウンロードできます。
Zscaler ログファイルを表示するには:
-
Citrix SD-WAN Center の Web インターフェースで、[Monitoring] タブ > [Diagnostics] をクリックします。
-
[Log File] ドロップダウンリストから、表示したい Zscaler ログファイルを選択します。[View] をクリックします。
-
ログファイルをコンピューターにダウンロードする場合は、[Download] をクリックします。
IKE 設定
SD-WAN アプライアンスでの IPsec トンネル構成には、次の IKE/IPSec 設定が選択されています。IPsec トンネル - IKE 設定の構成の詳細については、「SD-WAN とサードパーティデバイス間の IPsec トンネルを構成する方法」トピックを参照してください。
- IKE バージョン - IKEv2
- IKE ID – ユーザー FQDN
- ハッシュアルゴリズム - SHA-256
- 整合性アルゴリズム – SHA-256
- 暗号化モード – AES 256 ビット
- IPsec – トンネルモード
- IPsec 暗号化 – Null
IPsec 設定
IPsec トンネル設定の構成の詳細については、「SD-WAN とサードパーティデバイス間の IPsec トンネルを構成する方法」トピックを参照してください。
アプリケーションオブジェクト
アプリケーションオブジェクトが構成されていることを確認してください。アプリケーションルートの構成の詳細については、「アプリケーション分類」トピックを参照してください。
注記
GRE トンネル構成は、自動化されたワークフローの一部としてはサポートされていません。ただし、手動構成は引き続き許可されています。詳細については、「GRE トンネルと IPsec トンネルを使用した Zscaler 統合」を参照してください。