• Non ci sono risultati.

Guida all'integrazione di VMware SD- WAN e Netskope. VMware SD-WAN 4.1

N/A
N/A
Protected

Academic year: 2022

Condividi "Guida all'integrazione di VMware SD- WAN e Netskope. VMware SD-WAN 4.1"

Copied!
20
0
0

Testo completo

(1)

WAN e Netskope

VMware SD-WAN 4.1

(2)

È possibile trovare la documentazione tecnica più aggiornata sul sito Web di VMware all'indirizzo:

https://docs.vmware.com/it/

VMware, Inc.

3401 Hillview Ave.

Palo Alto, CA 94304 www.vmware.com

VMware, Inc.

Centro Leoni Palazzo A Via Spadolini 5

Ground Floor Milan, MI 20121 tel: +39 02 30412700 fax: +39 02 30412701 www.vmware.com/it

Copyright © 2020 VMware, Inc. Tutti i diritti sono riservati. Informazioni sul copyright e sui marchi

VMware, Inc. 2

(3)

1

Guida all'integrazione di VMware SD-WAN e Netskope 4

Panoramica dell'integrazione di SD-WAN e Netskope 4 Requisiti di sistema 5

Configurazione di IPSec da Orchestrator a Netskope POP 6 Configurazione delle credenziali VPN nel portale di Netskope 6 Configurazione di una destinazione non SD-WAN tramite gateway 8

Configurazione del profilo con una destinazione non SD-WAN tramite gateway 13 Creazione di un criterio di business per la destinazione non SD-WAN 14

Monitoraggio della destinazione non SD-WAN tramite gateway 17 Test e verifica dei criteri di sicurezza 18

(4)

SD-WAN e Netskope 1

La Guida all'integrazione di VMware SD-WAN™ e Netskope descrive le configurazioni necessarie per integrare Netskope Next Gen Secure Web Gateway con VMware SD-WAN Orchestrator.

Questo capitolo include i seguenti argomenti:

n Panoramica dell'integrazione di SD-WAN e Netskope

n Requisiti di sistema

n Configurazione di IPSec da Orchestrator a Netskope POP

n Configurazione di una destinazione non SD-WAN tramite gateway

n Test e verifica dei criteri di sicurezza

Panoramica dell'integrazione di SD-WAN e Netskope

VMware SD-WAN si integra con Netskope Next Gen Secure Web Gateway (SWG) per fornire alle organizzazioni una sicurezza completa abilitata per il cloud, oltre a una connettività ottimizzata.

VMware SD-WAN offre servizi di rete fornendo un accesso affidabile ad alte prestazioni a servizi cloud, data center privati e applicazioni aziendali basate su SaaS, mentre Netskope offre servizi di sicurezza complementari come Next Gen SWG, un broker CASB (Cloud Access Security Broker) con protezioni abilitate per l'API e inline. Insieme forniscono dati avanzati e protezione dalle minacce per utenti, applicazioni e dati. VMware SD-WAN Edge può essere distribuito come appliance fisica o come macchina virtuale nel sito del cliente. Gli Edge comunicano tramite IPSec sicuro con Netskope Security Cloud.

Quando si accede a cloud pubblici come AWS o Azure o ad applicazioni SaaS come Office 365 e Workday, i VMware SD-WAN Gateways passano il traffico a Netskope Security Cloud, dove vengono applicati controlli di attività e sicurezza granulari con dati avanzati e protezione dalle minacce. In particolare, ciò estende l'accesso virtuale degli utenti alla nuova infrastruttura di rete globale dell'Edge che funge da base per Netskope Security Cloud e offre accesso ad alta capacità e bassa latenza alle app cloud, all'infrastruttura e ai siti Web per un'esperienza utente con prestazioni elevate.

VMware, Inc. 4

(5)

Network-as-a-Service VMware SD-WAN Netskope

Security Cloud

Nuova infrastruttura di rete globale dell'Edge

Ottimizzazione Monitoraggio Assegnazione della priorità

Indipendente da WAN Segmentazione Singolo riquadro di visualizzazione

App private App SaaS App Web

Forza lavoro in sede Filiale

SD-WAN Edge

SD-WAN Edge

Security-as-a-Service Netskope

Visibilità CASB SWG DLP ATP UEBA AAC CSPM ZTNA

VMware SD-WAN Gateway

Insieme, Netskope e VMware integrano saldamente la sicurezza e le funzionalità di SD-WAN offrendo servizi di ottimizzazione della rete come accelerazione, QoS e de-jitter, insieme a

controlli di sicurezza in un unico passaggio convergenti nativi del cloud, come CASB, SWG, DLP e ZTNA, per fornire alle organizzazioni un ambiente altamente scalabile, rapido e sicuro che

protegga gli utenti e i dati all'interno e all'esterno della rete perimetrale aziendale tradizionale.

Requisiti di sistema

Netskope Next Generation Secure Web Gateway

n Tenant Netskope attivo

n Credenziali di accesso di amministratore

n Possibilità di configurare criteri diversi nel servizio SWG

VMware SD-WAN Orchestrator

n Accesso con account aziendale a VMware SD-WAN Orchestrator

n Credenziali di accesso di amministratore

(6)

VMware e Netskope hanno testato i seguenti scenari:

n Tunnel NSD basato su IKEv2 dal gateway - POP di Netskope per un singolo tenant.

n Tunnel NSD basati su IKEv2 dal gateway - Più tunnel per più tenant che utilizzano la stessa origine (indirizzo IP VMware SD-WAN Gateway) e la stessa destinazione (POP di Netskope basato su Strongswan 5.71) tramite il nome di dominio completo.

n Passare il traffico da più tenant utilizzando i tunnel IPSec precedenti e applicare criteri di Netskope diversi a ogni tenant. Attivare i tunnel in modo ridondante sia dal punto di vista di VMware sia dal punto di vista del POP Netskope e testare gli scenari di failover.

n Tunnel NSD basato su IKEv2 dall'Edge al POP di Netskope.

Configurazione di IPSec da Orchestrator a Netskope POP

Per integrare VMware SD-WAN e Netskope, configurare IPSec da SD-WAN Orchestrator a Netskope POP.

Configurazione delle credenziali VPN nel portale di Netskope

Per configurare le credenziali VPN:

Prerequisiti

Assicurarsi di disporre di credenziali valide per accedere a Netskope.

Procedura

1 Passare al portale di Netskope NG SWG: https://<customer-tenant>.goskope.com/

2 Configurare il tunnel Netskope per la connessione con VMware SD-WAN. Nel portale di Netskope, fare clic su Impostazioni (Settings) > Piattaforma Security Cloud (Security Cloud Platform) > Reindirizzamento traffico (Traffic Steering) > IPSec.

3 Fare clic su Aggiungi nuovo tunnel (Add New Tunnel).

VMware, Inc. 6

(7)

4 Nella finestra Aggiungi nuovo tunnel IPSec (Add New IPsec Tunnel), configurare quanto segue:

Opzione Descrizione

Nome tunnel (Tunnel Name) Immettere un nome per il nuovo tunnel IPSec Indirizzo IP origine (Source IP Address) Immettere l'indirizzo IP di origine

Identità origine (Source Identity) Immettere il nome di dominio completo POP Netskope primario (Primary Netskope POP) Selezionare il POP primario di Netskope POP Netskope di failover (Failover Netskope POP) Selezionare il POP secondario di Netskope

Pre-Shared Key (PSK) Immettere la chiave PSK

Crittografia (Encryption Cipher) Nell'elenco a discesa, selezionare la crittografia AES128- CBC.

Larghezza di banda massima (Maximum Bandwidth) Nell'elenco a discesa, selezionare la larghezza di banda massima che il tunnel IPSec può utilizzare.

Fare clic su Aggiungi (Add).

(8)

5 Il tunnel configurato viene visualizzato nella finestra IPSec.

6 Scegliere il tunnel e fare clic su Abilita (Enable) per attivare il tunnel. L'icona della freccia dello stato nella prima colonna viene visualizzata nel colore verde quando il tunnel viene autenticato correttamente e stabilito tra Netskope e VMware SD-WAN.

Operazioni successive

Configurare il tunnel in VMware SD-WAN Orchestrator. Vedere Configurazione di una destinazione non SD-WAN tramite gateway.

Configurazione di una destinazione non SD-WAN tramite gateway

Configurare una destinazione non SD-WAN tramite gateway in SD-WAN Orchestrator per stabilire un tunnel IPSec sicuro verso il portale di Netskope tramite SD-WAN Gateway.

Per configurare una destinazione non SD-WAN tramite gateway:

Prerequisiti

Assicurarsi di aver già configurato un tunnel IPSec nel portale di Netskope NG SWG. Vedere Configurazione delle credenziali VPN nel portale di Netskope.

VMware, Inc. 8

(9)

Procedura

1 Accedere a SD-WAN Orchestrator per verificare che le istanze dei clienti siano state create e che gli Edge siano online.

2 Fare clic sul link al nome di un cliente per passare al portale dell'azienda.

3 Nel portale dell'azienda, fare clic su Configura (Configure) > Servizi di rete (Network Services).

4 Nel riquadro Destinazioni non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway), fare clic su Nuovo (New) per creare una nuova destinazione non SD-WAN.

(10)

5 Nella finestra Nuova destinazione non SD-WAN tramite Gateway (New Non SD-WAN Destination via Gateway), configurare quanto segue:

Opzione Descrizione

Nome (Name) Immettere un nome descrittivo per la destinazione non

SD-WAN.

Tipo (Type) Selezionare il tipo Router IKEv2 generico (VPN basata

su route) (Generic IKEv2 Router (Route Based VPN)).

Gateway VPN primario (Primary VPN Gateway) Immettere l'indirizzo IP del POP primario utilizzato per configurare il tunnel VPN nel portale di Netskope.

Gateway VPN secondario (Secondary VPN Gateway) Immettere l'indirizzo IP del POP secondario utilizzato per configurare il tunnel VPN nel portale di Netskope.

Fare clic su Avanti (Next).

VMware, Inc. 10

(11)

6 Nella finestra successiva, configurare le seguenti impostazioni:

Vengono visualizzati il Nome (Name) e il Tipo (Type) della destinazione non SD-WAN.

Selezionare la casella di controllo Abilita tunnel (Enable Tunnel(s)) per abilitare il tunnel.

Fare clic su Avanzate (Advanced) per configurare gli altri parametri del tunnel IPSec per i gateway VPN primario e secondario come segue:

(12)

Opzione Descrizione

Crittografia (Encryption) Nell'elenco a discesa, selezionare la chiave degli algoritmi AES per crittografare i dati. Se non si desidera

crittografare i dati, selezionare Null. Il valore predefinito è AES 128.

Gruppo DH (DH Group) Selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia la chiave PSK. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5, 14, 15 e 16. È consigliabile utilizzare il gruppo DH 14.

PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per

una protezione aggiuntiva. I livelli di PFS supportati sono 2, 5, 14, 15 e 16. Il valore predefinito è Disabilitato (Disabled).

Hash Nell'elenco a discesa, selezionare l'algoritmo di

autenticazione per l'intestazione VPN. Sono disponibili le seguenti opzioni SHA (Secure Hash Algorithm):

n SHA 1 n SHA 256 n SHA 384 n SHA 512

Il valore predefinito è SHA 256.

Durata SA IKE (min) (IKE SA Lifetime(min)) Immettere la durata di SA IKE in minuti. La ridefinizione delle chiavi deve essere avviata per gli Edge prima che il tempo scada. L'intervallo è compreso tra 10 e 1440 minuti. Il valore predefinito è 1440 minuti.

Durata SA IPSec (min) (IPsec SA Lifetime(min)) Immettere la durata di SA IPSec in minuti. La ridefinizione delle chiavi deve essere avviata per gli Edge prima che il tempo scada. L'intervallo è compreso tra 3 e 480 minuti.

Il valore predefinito è 480 minuti.

Timer timeout DPD (sec) (DPD Timeout Timer(sec)) Immettere il tempo massimo che il dispositivo deve attendere per ricevere una risposta a un messaggio DPD prima di considerare il peer inattivo. Il valore predefinito è 20 secondi. È possibile disabilitare DPD configurando il timer del timeout DPD su Zero (0).

VPN cloud VeloCloud ridondante (Redundant VeloCloud Cloud VPN): selezionare la casella di controllo per stabilire i tunnel IPSec dal SD-WAN Gateways primario e da quello

secondario.

Subnet del sito (Site Subnets): aggiungere subnet per il Non VMware SD-WAN Site

utilizzando l'icona più (+). Se non sono necessarie subnet per il sito, selezionare la casella di controllo Disabilita subnet sito (Disable Site Subnets).

VMware, Inc. 12

(13)

ID autenticazione locale (Local Auth Id): nell'elenco a discesa, selezionare l'ID di autenticazione locale per definire il formato e l'identificazione del gateway locale. Sono disponibili le seguenti opzioni:

n Predefinito (Default): per impostazione predefinita, l'indirizzo IP pubblico dell'interfaccia di SD-WAN Gateway viene utilizzato come ID di autenticazione locale.

n FQDN: nome di dominio completo o nome host. Ad esempio, google.com.

n FQDN utente (User FQDN): nome di dominio completo dell'utente sotto forma di indirizzo e-mail. Ad esempio, utente@google.com.

n IPv4: indirizzo IP utilizzato per comunicare con il gateway locale.

Fare clic su Salva modifiche (Save Changes) e chiudere la finestra.

Risultati

La nuova destinazione non SD-WAN tramite gateway viene visualizzata nella finestra Servizi di rete (Network Services):

Operazioni successive

Configurare il profilo per utilizzare la nuova destinazione non SD-WAN tramite gateway. Vedere Configurazione del profilo con una destinazione non SD-WAN tramite gateway.

Configurazione del profilo con una destinazione non SD-WAN tramite gateway

È possibile configurare il profilo per stabilire una connessione VPN tra una filiale e una destinazione non SD-WAN tramite gateway.

Prerequisiti

Assicurarsi di aver creato una destinazione non SD-WAN tramite gateway con i parametri del tunnel IPSec necessari. Per creare una destinazione non SD-WAN tramite gateway, vedere Configurazione di una destinazione non SD-WAN tramite gateway.

Procedura

1 Nel portale dell'azienda, fare clic su Configura (Configure) > Profili (Profiles).

2 Fare clic sull'icona Dispositivo (Device) per un profilo oppure selezionare un profilo e fare clic sulla scheda Dispositivo (Device).

(14)

3 Nella scheda Dispositivo (Device), scorrere verso il basso fino alla sezione VPN Cloud (Cloud VPN) e spostare il dispositivo di scorrimento sulla posizione ON.

4 Per stabilire una connessione VPN tra una filiale e una destinazione non SD-WAN tramite gateway, selezionare la casella di controllo Abilita (Enable) in Da filiale a destinazione non SD-WAN tramite gateway (Branch to Non SD-WAN Destination via Gateway).

Nell'elenco a discesa, selezionare una destinazione non SD-WAN tramite gateway per stabilire una connessione VPN. Fare clic sull'icona più (+) per aggiungerne altre.

5 Fare clic su Salva modifiche (Save Changes).

Operazioni successive

Creare un criterio di business per instradare il traffico dal tunnel della destinazione non SD-WAN al portale di Netskope. Vedere Creazione di un criterio di business per la destinazione non SD- WAN.

Creazione di un criterio di business per la destinazione non SD-WAN

Dopo aver stabilito una connessione VPN tra una filiale e una destinazione non SD-WAN tramite gateway, creare un criterio di business per instradare il traffico dal tunnel della destinazione non SD-WAN.

Prerequisiti

Assicurarsi di aver stabilito la connessione VPN tra la filiale e la destinazione non SD-WAN tramite gateway. Vedere Configurazione del profilo con una destinazione non SD-WAN tramite gateway.

VMware, Inc. 14

(15)

Procedura

1 Nel portale dell'azienda, fare clic su Configura (Configure) > Profili (Profiles).

2 Selezionare un profilo nell'elenco e fare clic sulla scheda Criterio di business (Business Policy).

3 Fare clic su Nuova regola (New Rule) o su Azioni (Actions) > Nuova regola (New Rule).

4 Immettere un nome per la regola di business.

5 Nell'area Corrispondenza (Match), fare clic su Definisci (Define) e scegliere Internet come destinazione.

6 In Applicazione (Application) selezionare Web.

7 Nell'area Azione (Action), fare clic su Backhaul Internet (Internet Backhaul) come servizio di rete.

(16)

8 Scegliere Destinazione non SD-WAN tramite gateway (Non SD-WAN Destination via Gateway) e selezionare il servizio della destinazione non SD-WAN creato con i parametri del tunnel Netskope.

9 Scegliere le altre azioni necessarie e fare clic su OK.

Risultati

Il criterio di business reindirizza il traffico HTTP/HTTPS destinato a Internet verso il POP di

Netskope utilizzando il tunnel IPSec. Il criterio appena creato viene installato nella parte superiore e verrà ispezionato per primo.

VMware, Inc. 16

(17)

Operazioni successive

È possibile verificare che il tunnel sia online monitorando i servizi di rete. Vedere Monitoraggio della destinazione non SD-WAN tramite gateway.

Monitoraggio della destinazione non SD-WAN tramite gateway

È possibile monitorare e verificare la configurazione del tunnel della destinazione non SD-WAN utilizzando la scheda Monitoraggio (Monitoring).

Per monitorare la configurazione del tunnel della destinazione non SD-WAN:

1 Nel portale dell'azienda, fare clic su Monitora (Monitor) > Servizi di rete (Network Services).

2 Nella sezione Destinazione non SD-WAN tramite Gateway (Non SD-WAN Destination via Gateway) viene visualizzata la destinazione non SD-WAN configurata insieme allo stato.

(18)

Test e verifica dei criteri di sicurezza

Configurare i criteri di sicurezza in Netskope Security Cloud per convalidare la connettività tra Netskope e il traffico di VMware SD-WAN.

I passaggi seguenti illustrano un esempio di blocco di siti Web correlati al gioco d'azzardo mediante la configurazione di criteri di sicurezza.

Nota Se il traffico di produzione scorre già nei portali, è possibile ignorare questa procedura.

Prerequisiti

Assicurarsi che i tunnel IPSec verso entrambi i POP di Netskope, primario e secondario, siano connessi correttamente.

Procedura

1 Accedere a Netskope Next Gen Secure Web Gateway e passare a Criteri (Policies) >

Protezione in tempo reale (Real-time Protection). Configurare un criterio per bloccare tutti i siti Web correlati al gioco d'azzardo, come illustrato nell'immagine seguente.

2 Verificare che il criterio sia stato applicato e prendere nota del numero di occorrenze o corrispondenze individuate in base al criterio. Nell'esempio seguente, sono presenti 0 occorrenze.

VMware, Inc. 18

(19)

3 Nell'Edge, accedere a un client qualsiasi basato su Windows nella LAN e cercare di passare a un sito Web basato sul gioco d'azzardo.

Si noti che l'azione viene bloccata in base al criterio configurato nel portale di Netskope.

4 In Netskope Next Gen Secure Web Gateway, passare a Criteri (Policies) > Protezione in tempo reale (Real-time Protection) per controllare il numero di occorrenze per il criterio Blocca siti gioco d'azzardo (Block Gambling Sites).

Il fatto che il numero di occorrenze sia aumentato indica che il traffico passa attraverso la piattaforma di Netskope Cloud Security.

5 Passare al portale di Skope IT e verificare le corrispondenze nella schermata Eventi pagina (Page Events).

6 Controllare il flusso attivo nel portale di VMware SD-WAN Orchestrator per verificare che il traffico raggiunga la destinazione non SD-WAN tramite gateway, per la consegna definitiva a Netskope Security Cloud.

a Nel portale dell'azienda, fare clic su Test e risoluzione problemi (Test & Troubleshoot) >

Diagnostica remota (Remote Diagnostics).

b Nella pagina Diagnostica remota (Remote Diagnostics) vengono visualizzati tutti gli Edge attivi.

(20)

c Selezionare l'Edge configurato con la destinazione non SD-WAN tramite gateway. L'Edge passa alla modalità live e visualizza tutti i test di diagnostica remota che possono essere eseguiti nell'Edge.

d Scorrere verso il basso fino alla sezione Elenca flussi attivi (List Active Flows) e fare clic su Esegui (Run) per visualizzare il flusso del traffico.

Si noti che il traffico destinato all'URL http://www.bet365.com viene fatto passare attraverso la route di backhaul Internet e quindi instradato verso Netskope Security Cloud.

VMware, Inc. 20

Riferimenti

Documenti correlati

Selezionare il pacchetto personalizzato e fare clic su Azioni (Actions) &gt; Applica pacchetto (Apply Package) per applicare la personalizzazione disponibile nel pacchetto

For the clock signal, use the crystal connected to XTAL EXTAL pin with which the clock signal is obtained by the self-oscillation at the crystal oscillation circuit, or external

Un factory reset consente di cancellare e ripristinare alle impostazioni di fabbrica tutte le impostazioni come dati di accesso a internet, password per il portale

- Accendere lo strumento e attendere il tempo di warm-up - Collegare il cavo di avvio alla fonte. Questo dovrebbe rimanere collegato alla fonte per la durata del test.

Quando si crea un nuovo cliente, si viene reindirizzati alla pagina Configurazione cliente (Customer Configuration), in cui è possibile configurare le impostazioni del cliente..

Il Lettore Schede SD a due slot supporta tutte le schede SD: SD (Secure Digital), SDHC™ (Secure Digital High Capacity) e SDXC™ (Secure Digital Extended Capacity).. Supporta inoltre

Ecco perchè BreldoItalia propone una soluzione che ti permette di creare una rete Wi-Fi che garantisce non solo il collegamento dei client alla rete IP ma anche di poter gestire

Una volta eseguito il provisioning di un Edge di analisi, è possibile sostituire l'interfaccia di analisi predefinita nel segmento globale affinché l'Edge possa acquisire dati,