Citrix SD-WAN

IPsec トンネルを使用したPalo Alto 統合

Palo Alto Networksは、リモートネットワークを保護するためのクラウドベースのセキュリティインフラストラクチャを提供します。組織がSD-WANファブリックを保護する地域的なクラウドベースのファイアウォールをセットアップできるようにすることで、セキュリティを提供します。

リモートネットワーク用のPrisma Accessサービスを使用すると、リモートネットワークロケーションをオンボードし、ユーザーにセキュリティを提供できます。すべてのリモートロケーションでのデバイスの設定と管理の複雑さを取り除きます。

このサービスは、新しいリモートネットワークロケーションを簡単に追加し、これらのロケーションのユーザーが常に接続してセキュリティを確保することで、運用上の問題を最小限に抑えるための効率的な方法を提供します。

Prisma Accessサービスでは、パノラマからポリシーを一元管理して、リモートネットワークの場所に対して一貫性と合理化されたセキュリティを確保することもできます。

リモートネットワークロケーションをPrisma Accessサービスに接続するには、Palo Alto Networks次世代ファイアウォール、またはサービスへのIPsecトンネルを確立できる SD-WANを含むサードパーティのIPSec準拠デバイスを使用できます。

  • リモートネットワーク用の Prisma アクセスサービスの計画

  • リモートネットワーク用のPrisma Accessサービスの構成

  • 設定インポートを備えたオンボードリモートネットワーク

Citrix SD-WANソリューションは、ブランチからのインターネットトラフィックを分割する機能をすでに提供しています。これは、各ブランチで高価なセキュリティスタックの導入を回避しながら、信頼性が高く、低レイテンシのユーザーエクスペリエンスを提供するために重要です。Citrix SD-WANとPalo Alto Networksは、分散企業に、ブランチ内のユーザーをクラウド内のアプリケーションに接続するためのより信頼性が高く安全な方法を提供します。

Citrix SD-WANアプライアンスは、最小限の構成でSD-WANアプライアンスの場所からIPsecトンネルを介してPalo Altoクラウドサービス(Prisma Access Service)ネットワークに接続できます。Palo Alto Networksは、Citrix SD-WANセンターで構成できます。

リモートネットワーク用の Prisma Access Service の設定を開始する前に、次の構成を準備しておき、サービスを正常に有効にし、リモートネットワークロケーションのユーザにポリシーを適用できることを確認します。

  1. サービス接続— ユーザーの認証や重要なネットワーク資産へのアクセスを可能にするために、リモートネットワークのロケーションが企業本社のインフラストラクチャにアクセスする必要がある場合、本社とリモートネットワークのロケーションが接続されています。

リモートネットワークの場所が自律的で、他の場所にあるインフラストラクチャにアクセスする必要がない場合は、サービス接続を設定する必要はありません(モバイルユーザーがアクセスを必要とする場合を除く)。

  1. テンプレート— プリズマアクセスサービスは、リモートネットワーク用のプリズマアクセスサービスのテンプレートスタック (Remote_Network_Template_Stack) と最上位テンプレート (Remote_Network_Template) を自動的に作成します。

    リモートネットワーク用の Prisma Access Service を構成するには、トップレベルのテンプレートを最初から構成するか、Palo Alto Networks ファイアウォールをオンプレミスで既に実行している場合は、既存の構成を活用します。

    テンプレートには、リモートネットワークの場所とリモートネットワーク用のPrisma Accessサービス、セキュリティポリシーで参照できるゾーン、およびログ転送プロファイル間のプロトコルネゴシエーションのためのIPsecトンネルとインターネットキーエクスチェンジ(IKE)構成を確立するための設定が必要です。リモートネットワークのPrisma Accessサービスからログサービスにログを転送できること。

  2. 親デバイスグループ— リモートネットワーク用の Prisma Access サービスでは、セキュリティポリシー、セキュリティプロファイル、およびその他のポリシーオブジェクト (アプリケーショングループ、オブジェクト、アドレスグループなど)、および認証ポリシーを含む親デバイスグループを指定する必要があります。リモートネットワーク用の Prisma Access サービスは、IPSec トンネルを介してリモートネットワークの Prisma Access サービスにルーティングされるトラフィックに対して、ポリシーを一貫して適用できます。Panorama でポリシールールとオブジェクトを定義するか、既存のデバイスグループを使用して、リモートネットワークロケーションのユーザを保護する必要があります。

    注:

    ゾーンを参照する既存のデバイスグループを使用する場合は、ゾーンを定義する対応するテンプレートを Remote_Network_Template_Stack に追加してください。

    これにより、Prisma Access Service for Remote Networksを構成するときにゾーンマッピングを完了することができます。

  3. IP サブネット— Prisma Access サービスがトラフィックをリモートネットワークにルーティングするには、Prisma Access サービスを使用してセキュリティ保護するサブネットワークのルーティング情報を指定する必要があります。リモートネットワークの場所で各サブネットワークへの静的ルートを定義するか、サービス接続場所とPrisma Accessサービスの間にBGPを構成するか、両方の方法を組み合わせて使用できます。

    スタティックルートを設定し、BGP を有効にすると、スタティックルートが優先されます。リモートネットワークロケーションにサブネットワークが少数しかない場合は、スタティックルートを使用すると便利ですが、サブネットが重複する多数のリモートネットワークがある大規模な展開では、BGP を使用すると簡単に拡張できます。

SD-WAN CenterのPalo Alto Networks

以下の前提条件が満たされていることを確認してください。

  • PRISMA ACCessサービスからパノラマIPアドレスを取得します。

  • PRISMA ACCESSサービスでユーザー名とパスワードを取得します。

  • SD-WANアプライアンスGUIでIPsecトンネルを構成します。

  • サイトが、Citrix-IKE-暗号化デフォルト/Citrix-IPsec 暗号化デフォルト以外の IKE/IPsec プロファイルで構成された別のサイトがあるリージョンにオンボードされていないことを確認します。

  • SD-WAN センターによって設定を更新するときに、Prisma Access の設定が手動で変更されていないことを確認します。

Citrix SD-WAN CenterのGUIで、Palo Alto のサブスクリプション情報を入力します。

  • パノラマIPアドレスを設定します。このIPアドレスはPalo Alto(PRISMA ACCESSサービス)から取得できます。

  • PRISMA ACCESSサービスで使用するユーザー名とパスワードを設定します。

    Palo Altoコンフィグ

サイトを追加して展開する

  1. サイトをデプロイするには、PRISMA ACCESSネットワークリージョンとPrisma Accessリージョン用に構成するSD-WANサイトを選択し、サイトWANリンク、帯域幅、およびトラフィック選択用のアプリケーションオブジェクトを選択します。

    注:

    選択した帯域幅が使用可能な帯域幅範囲を超えると、トラフィックフローが影響を受けます。

    [アプリケーションオブジェクト] の選択の下にある [すべてのトラフィック] オプションを選択すると、インターネットにバインド されたすべてのトラフィック を PRISMA Accessサービスにリダイレクトできます。

    Palo Alto追加サイト

    Palo Alto展開

  2. 必要に応じて、引き続きSD-WANブランチサイトを追加できます。

    サイトを追加する

  3. [展開] をクリックします。変更管理プロセスが開始されます。[Yes]をクリックして続行します。

    展開済みサイト

    展開後、トンネルの確立に使用されるIPsecトンネル構成は次のとおりです。

    トンネルの確立

    ランディングページには、さまざまなSD-WANリージョンで構成およびグループ化されたすべてのサイトのリストが表示されます。

    構成済みサイト

エンドツーエンドのトラフィック接続を確認します。

  • ブランチの LAN サブネットから、インターネットリソースにアクセスします。

  • トラフィックがCitrix SD-WAN IPsecトンネルを通過してPalo Alto Prisma Accessに到達することを確認します。

  • [Monitoring] タブで、Palo Alto セキュリティポリシーがトラフィックに適用されていることを確認します。

  • インターネットからブランチ内のホストへの応答が通過することを確認します。

IPsec トンネルを使用したPalo Alto 統合