Citrix SD-WAN™ と Zscaler の Citrix SD-WAN Center を使用した統合
Citrix SD-WAN と Zscaler は、インターネット上でホストされているアプリケーションやリソースへの安全なローカルブレイクアウトを提供することで、企業がクラウド移行のために WAN を変革するのを支援します。SD-WAN のような新しい WAN インフラストラクチャ技術は、ネットワークの俊敏性と拡張性を向上させ、コストと複雑さを削減し、分散型組織におけるユーザーエクスペリエンスを向上させます。
SD-WAN ソリューションは、クラウド宛てのトラフィックをローカルでインターネットにブレイクアウトさせることで、ルーティングを簡素化します。SD-WAN は、アプリケーションステアリング機能を使用することで、インターネットへのトラフィックルーティングに柔軟性を提供します(中央の DC 環境を排除)。しかし、ネットワークをインターネットに公開することは、重大なセキュリティリスクをもたらします。クラウドサービスを介してローカルブレイクアウトを保護する集中型アプローチは、ブランチにおけるセキュリティインフラストラクチャの維持管理のオーバーヘッドを排除します。ブランチネットワーク内の Citrix SD-WAN を使用して、すべてのトラフィックは Zscaler(クラウドベースのセキュリティプラットフォーム)に確実かつ安全にルーティングされます。高価なインフラストラクチャを排除し、脅威や脆弱性からネットワークを保護できます。
Citrix SD-WAN
Citrix SD-WAN は、ブランチから直接インターネットアクセスを許可または拒否できるポリシーを作成するための組み込みステートフルファイアウォールを備え、安全なローカルブランチからインターネットへのブレイクアウトを可能にすることで、企業がクラウドに移行するのを支援します。Citrix SD-WAN は、個々の SaaS アプリケーションを含む 4,000 以上のアプリケーションの統合データベースと、リアルタイムでのアプリケーションの検出および分類のためのディープパケットインスペクション技術の組み合わせにより、アプリケーションを識別します。このアプリケーション知識を使用して、ブランチからインターネット、クラウド、または SaaS へのトラフィックをステアリングします。
Zscaler
Zscaler は、オンプレミスのハードウェア、アプライアンス、またはソフトウェアを必要とせずに、優れたセキュリティを提供する主要なクラウドベースのセキュリティプラットフォームです。Zscaler はインターネットの周囲に境界を設けるため、企業はすべてのオフィスにセキュリティ境界を設ける必要がありません。Zscaler Cloud Security Platform は、世界中の 100 以上のデータセンターで一連のセキュリティチェックポストとして機能します。インターネットトラフィックを Zscaler にリダイレクトすることで、企業は店舗、ブランチ、およびリモートロケーションを即座に保護できます。Zscaler はユーザーとインターネットを接続し、暗号化または圧縮されている場合でも、すべてのトラフィックのバイトを検査します。これにより、ユーザーは安全になり、すべての隠れた脅威が企業ネットワークに侵入する前に特定されます。
Citrix SD-WAN は、ブランチからの直接インターネットブレイクアウトを可能にするポリシーの作成を許可し、Zscaler の Cloud Security Platform は、ユーザーが接続する場所に近いクラウドサービスですべてのインターネット宛てトラフィックを検査することで、IT のセキュリティを確保します。
Zscaler Enforcement Nodes (ZENs)
Citrix SD-WAN は、Zscaler のクラウドネットワークにおける Citrix SD-WAN と Zscaler Enforcement Nodes (ZENs) 間の IPsec トンネルの作成を自動化するための Zscaler API をサポートしています。ZENs は、マルウェアに対してすべてのインターネットトラフィックを双方向に検査し、セキュリティおよびコンプライアンスポリシーを適用する、フル機能のインラインインターネットセキュリティゲートウェイです。
Zscaler API は、各ブランチに最も近い 2 つのデータセンターロケーションを提供し、SD-WAN がトラフィックを効果的にステアリングできるようにします。組織は、Citrix SD-WAN で構成された WAN リンクの IP アドレスを ZEN が参照することで、Zscaler がブランチに最も近い ZEN を自動的に選択できるようにすることも、ZENs を手動で選択することもできます。
注
トンネルが UP の場合、両方のルートは常にアクティブモードになります。いずれかのトンネルがダウンした場合、対応するルートは到達不能になり、その場合、もう一方のルートは UP のままになります。
利点
Citrix SD-WAN と Zscaler を統合する利点は次のとおりです。
- 分散型企業における SaaS およびクラウドの迅速な導入
- セキュリティをクラウドサービスとして一元化することで、各ブランチにセキュリティを配置する必要がなくなります
- インターネット宛てトラフィックをバックホールする必要がなくなり、ブランチでのローカルインターネットブレイクアウトが可能になります
- セキュア Web ゲートウェイへの自動接続による IT 管理の簡素化
- API サポートにより、Zscaler へのセキュアトンネルの構成が自動化されます
- SaaS トラフィックのバックホールによる遅延を削減し、ユーザーエクスペリエンスを向上
- セキュリティ目的のハブアンドスポークモデルへの依存を排除します
- ブランチにおける高価なセキュリティスタックの排除
- ブランチでファイアウォールを展開および管理するオーバーヘッドを削減します
- インターネット宛てトラフィックが常に安全であることの保証
- セキュリティポリシーはユーザーを物理的な場所に縛り付けません
- サンドボックス、SSL を含むすべてのポートとプロトコルの検査、URL フィルタリング、高度な脅威保護などを提供し、ゼロデイ攻撃から保護します
サポートされる機能
SD-WAN アプライアンスを使用した Zscaler 展開は、次の機能をサポートしています。
- ユーザー定義のインターネットトラフィックを Zscaler に転送し、直接インターネットブレイクアウトを可能にします
- 顧客サイトごとの Zscaler を使用した直接インターネットアクセス (DIA)
- 一部のサイトでは、オンプレミスのセキュリティ機器を使用して DIA を提供し、Zscaler を使用しない場合があります
- 一部のサイトでは、インターネットアクセス用にトラフィックを別の顧客サイトにバックホールすることを選択する場合があります
- 仮想ルーティングおよび転送の展開
- インターネットサービスの一部としての 1 つの WAN リンク
Zscaler はクラウドサービスです。サービスとして設定し、基盤となる WAN リンクを定義する必要があります。
- データセンターおよびブランチサイトで信頼できるパブリックインターネット WAN リンクを構成します
- イントラネットサービス用の IPsec トンネルを自動構成します
Citrix SD-WAN Center ワークフローでの Zscaler の展開
以下は、SD-WAN Center で Zscaler を展開するためのワークフローを定義する大まかな手順です。
-
SD-WAN Center への Zscaler サブスクリプションを構成します(1 回限り)。サブスクリプション情報を取得するには、Zscaler サイトにログインします。
-
Citrix SD-WAN Center GUI で [展開] を選択します。
- インターネット WAN リンクと事前構成されたアプリケーションオブジェクトを使用してサイトの構成を展開します。
- 接続を確立します。
- IPsec ステータスを取得/更新します。
Zscaler サブスクリプション
SD-WAN Center で Zscaler の構成に進む前に、Zscaler ポータルにログインする必要があります。
-
サブスクリプション情報を取得するには、Zscaler サイトにログインします。ダッシュボードページが開きます。
-
[Administration] > [Partner Integrations] をクリックします。
-
[Partner Integrations] ページで [SD-WAN] を選択します。[Add Partner Key] をクリックします。
-
パートナーキーとして Citrix® SDWAN を選択し、[Generate] をクリックします。キーを保存します。
Citrix SD-WAN Center での Zscaler の構成
-
Citrix SD-WAN Center GUI で、[Configuration] > [Security] ページに移動します。[Zscaler Configured Sites] ページが開きます。
-
[Subscription] をクリックします。前の手順で作成した Zscaler API(パートナーキー)を入力します。Zscaler の [Username] と [Password] を入力します。[Zscaler Cloud Name]、[Zscaler Log Level] を選択し、[Apply] をクリックします。
-
ZENs は、この Zscaler クラウドサブスクリプションで利用可能な VPN エンドポイントのリストを提供します。
-
Zscaler サブスクリプションと ZEN の詳細を入力したら、Zscaler にサイトを追加できます。[Add] をクリックします。
-
[Configure Sites to Zscaler] ダイアログボックスで、[Site]、[WAN Link]、および [Application Objects] を追加します。デフォルトでは、[Auto assign ZEN] オプションが選択されています。
[Manually Select ZEN] を選択できます。ただし、保存されていない変更が失われることを通知する次のメッセージが表示されます。
-
必要なサイトを選択し、[Deploy] をクリックします。[Add Multiple] を選択して複数のサイトを追加することもできます。選択したサイトが展開され、構成ページが表示されます。
プライマリおよびセカンダリ ZEN IP アドレスが入力され、展開ステータスが [Connection Active] になっていることを確認します。
-
構成済みサイトの VPN エンドポイントまたはアプリケーションオブジェクトに変更を加えた場合は、[Re-Deploy] をクリックします。SD-WAN Center で構成済みサイトに変更を加えると、ブランチサイトおよび DC サイトで構成されたアプライアンスで [Change Management] プロセスがトリガーされます。
サイトを削除すると、変更管理プロセスもトリガーされます。
監視とトラブルシューティング
構成済みサイトを選択して、アプリケーションオブジェクトとプライマリ/セカンダリ IP アドレスに関する詳細情報を表示します。[Details] アイコンをクリックすると、構成済みサイトに関する完全な情報を表示できます。
Citrix SD-WAN Center の問題をトラブルシューティングするために使用できる Zscaler ログを表示およびダウンロードできます。
Zscaler ログファイルを表示するには:
-
Citrix SD-WAN Center Web インターフェイスで、[Monitoring] タブ > [Diagnostics] をクリックします。
-
[Log File] ドロップダウンリストから、表示したい Zscaler ログファイルを選択します。[View] をクリックします。
-
ログファイルをコンピューターにダウンロードする場合は、[Download] をクリックします。
IPsec トンネルの構成
SD-WAN Center GUI の [詳細] ページには、プライマリおよびセカンダリエンドポイントへの IPsec トンネル構成に関する情報が表示されます。ピア IP は Zscaler から取得されます。SD-WAN アプライアンス GUI 構成エディターで IPsec トンネル構成を確認します。
IKE 設定
SD-WAN アプライアンスでの IPsec トンネル構成には、次の IKE/IPSec 設定が選択されています。IPsec トンネルの IKE 設定の構成の詳細については、「SD-WAN とサードパーティデバイス間の IPsec トンネルを構成する方法」トピックを参照してください。
- IKE バージョン - IKEv2
- IKE ID – ユーザー FQDN
- ハッシュアルゴリズム - SHA-256
- 整合性アルゴリズム – SHA-256
- 暗号化モード – AES 256 ビット
- IPsec – トンネルモード
- IPsec 暗号化 – Null
IPsec 設定
IPsec トンネル設定の構成の詳細については、「SD-WAN とサードパーティデバイス間の IPsec トンネルを構成する方法」トピックを参照してください。
アプリケーションオブジェクト
アプリケーションオブジェクトが構成されていることを確認します。アプリケーションルートの構成の詳細については、「アプリケーション分類」トピックを参照してください。
注
GRE トンネル構成は、自動化されたワークフローの一部としてはサポートされていません。ただし、手動構成は引き続き許可されます。詳細については、「GRE トンネルと IPsec トンネルを使用した Zscaler 統合」を参照してください。