Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

SASE Health向けのPalo Alto Prisma Access統合(ベータ版)

Palo Alto Prisma Accessアカウントをジュニパー Mist™ WAN Assuranceと統合して、Mistポータルから直接一元的なトラブルシューティングを行うことができます。

Palo Alto Prisma Accessアカウントをジュニパー Mist™ WAN Assuranceと統合することで、トラブルシューティングやデバッグのための一元的なビューを取得できます。この統合により、Mistポータルから直接Prisma Accessイベントとトンネル統計をリアルタイムで表示できるため、トラブルシューティング中にプラットフォーム間を移動する必要がありません。

Palo Alto Prisma Accessは、ユーザーがどこにいてもアプリケーションやデータに安全かつ迅速にアクセスできるようにするクラウドベースのセキュリティプラットフォームです。Prisma AccessとMist WAN Assuranceの両方を使用する場合、IPsecトンネルは両者間のエンドツーエンド通信に使用されます。例えば、スタンドアロンのWANエッジデバイスが特定のアプリケーションにアクセスする必要がある場合、デバイスとPrismaクラウドの間のIPsecトンネルを介して安全に到達できます。

MistはこれらのIPsecトンネルを自動的にプロビジョニングするため、必要となる手動設定の量が大幅に削減され、ヒューマンエラーのリスクも低減します。この自動トンネルプロビジョニングは、Mistで行う設定がStrata Cloud Managerに複製されるため、両側で設定する必要がないことを意味します。

この統合により、WANエッジデバイス、Prisma Access、アプリケーションに関する重要なインサイトがリアルタイムで提供されます。これらのインサイトを使用して、サイトの問題を迅速かつ効率的に診断および解決できます。

図1:ジュニパー Secure EdgeTraffic Inspection by Juniper Secure Edgeによるトラフィック検査

利点と要件

表1:メリットと要件
利点
  • ジュニパー Mist™ WAN Assuranceをご利用のお客様向け:
    • 追加費用は不要
    • 追加のサブスクリプションは不要

    • 自動IPsecトンネルプロビジョニングに必要な最小限の設定

    • MistのIPsecトンネル設定は、Strata Cloud Managerに自動的に複製されます

  • トラブルシューティングのための一元管理:
    • Prisma Accessによって生成されたアラートを表示する
    • トンネル統計情報の表示
    • 根本原因の分析
  • ネットワークの健全性に関するMarvis Insights
要件
  • ジュニパー Mist™ SD-WANデバイス
  • ジュニパー Mist™ WAN Assuranceサブスクリプション
  • Strata Cloud Manager(SCM)によって管理されるPalo Alto Prisma Access
  • Palo Alto Prisma Accessライセンス
  • Palo Altoから生成されたAPIキー

Prisma Access アカウントを Mist WAN Assurance と統合するには、以下の手順を完了する必要があります。

Prisma Strata Cloud Managerでユーザーアクセスロールを設定し、Mistの認証情報を取得します

アプリケーションとサービスへのアクセスを制御するには、Prismaでユーザーアクセスロールを設定します。ロールは、Strata Cloud Managerを通じて設定します。次に、ユーザーの認証情報を保存して、 アカウントをリンクするためにジュニパー Mistポータルに入力できるようにします。

  1. Strata Cloud Manager で、[Identity & Access] に移動します。
    ヘルプについては、paloaltonetworks.com に関するStrata Cloudドキュメントのヘルプトピックを特定してアクセスするを参照してください。
  2. Strata Cloudのドキュメントで説明されているように、新しいIDを追加します。
  3. クライアント資格情報が画面に表示されたら、以下の値をコピーし、この情報を安全な場所に保存します。

    • クライアントID

    • クライアントシークレット

    • TSG-ID—テナント/サービスグループID(TSG-ID)は、クライアントIDの @ 記号のすぐ後の一連の数字です。TSG-IDは、Strata Cloud Managerの左側パネルから表示することもできます。

      以下の例を参照してくださいが、最新情報については Strata Cloud のドキュメントを参照してください。

      Configuration screen for adding a new identity in Juniper. Displays Client ID Mist-Integration with numeric ID 1785313269 and domain iam.panserviceaccount.com. Client Secret field is hidden and cannot be copied after saving. Includes Download CSV File button, navigation tabs for Identity Information, Client Credentials, Assign Roles, and action buttons Remove, Back, Next. Highlights TSG-ID with arrow pointing to numeric ID.

    後で、これらの値をMistポータルに入力して、 Prisma Accessアカウントをリンクします
  4. Strata Cloudで、以下の情報で事前定義されたロールを割り当てます。

    • アプリとサービス— PrismaアクセスとNGFW設定を選択します。

    • ロール— ネットワーク管理者を選択します。

      注:ネットワーク管理者ロールは、MistとPrisma API間のリンクを有効にするために必要最小限のアクセスロールです。この役割を持つことで、MistはIPsecトンネルオーケストレーション用のPrisma APIにアクセスし、トンネルステータス、アラート、インシデント通知を可視化できます。このロールが割り当てられていない場合は、2つの別々のダッシュボード(Mist SD-WANデバイスのトラブルシューティング用のMistポータルとPrismaトンネルトラブルシューティング用のStrata Cloud Manager)を使用する必要があります。

      以下の例を参照してくださいが、最新情報については Strata Cloud のドキュメントを参照してください。

      Add New Identity interface showing Assign Roles section. Roles are being assigned for Apps and Services. Selected role is Network Administrator for Prisma Access and NGFW Configuration. Buttons for Back and Submit are at the bottom right.

Prisma AccessアカウントをSecure Edgeコネクタとして追加

以下の手順に従って、Prisma AccessアカウントをMist組織に追加します。
  1. ジュニパー Mistポータルの左側のメニューから、組織>管理>設定を選択します。
  2. セキュアWANエッジ統合セクションで、資格情報の追加をクリックします。
  3. Prisma Strata Cloud Managerからコピーした認証情報を入力します。
    1. プロバイダー—Prisma Accessを選択します。
    2. サービスアカウントIDアドレスクライアントシークレットTSG-IDを追加します。
    3. 同意するチェックボックスを選択して、条件に同意します。
    4. トンネルプローブの追加 送信元 IP アドレス範囲—指定した範囲からランダムに選択された IP アドレスを使用して、トンネル内でプローブを実行し、主要パフォーマンス指標(KPI)を測定します。プローブが正常に通過できるように、このIPがPrisma Accessのホワイトリストに登録されていることを確認してください。
    5. 「保存」をクリックします。

      Configuration interface to integrate with a network provider, showing fields for provider selection, account credentials, and consent to grant Juniper access for insights. Save and Cancel options available. Selected provider: Prisma Access Beta.

      注:

      入力した資格情報のいずれかが間違っているか、期限切れになっている場合、エラーメッセージが表示され、設定を保存することはできません。

      Prismaアクセスプロバイダーとユーザー名が[Secure WAN Edge統合]タイルに表示されます。

IPsecトンネルの自動プロビジョニング

MistのPrismaトンネルの自動プロビジョニングに必要な設定は最小限です。Mistで設定するだけで、その設定はStrata Cloud Managerに自動的に複製されます。

構成のほとんどの側面が自動的に設定されます。トンネルを設定するために必要なのは、名前、プロバイダー、WANインターフェイスを入力することだけです。自動的に設定されるフィールドには、Prismaテナント情報に基づいてトンネルのリージョンを自動的に検索する地域Mistデータセンターや、サービス接続に最も近い地理的に最も近いポイントオブプレゼンス(POP)を自動的に検索するデータセンター Mistがあります。ただし、必要に応じて、これらのフィールドを他の値で設定できます。

注:自動トンネル作成のすべての構成要素は、上級ユーザーが必要に応じて手動で上書きできます。
  1. WANエッジテンプレート(組織>WANエッジテンプレート)に移動します。[SECURE EDGE CONNECTOR AUTO PROVISION SETTINGS] タイルで、作成した Prisma Access アカウントを選択します。

    Secure Edge Connector Auto Provision Settings interface with dropdown for selecting Prisma Access Account labeled BETA and information icon for details.

  2. WANエッジデバイスからPrisma AccessクラウドへのIPsecトンネルを設定します。これを行うには、まずプロバイダーを追加する必要があります。
    1. WANエッジテンプレートのSecure Edge Connectorsタイルから、プロバイダーを追加ボタンを選択します。
    2. プロバイダの追加ウィンドウで、トンネルのプロビジョニングに必要な以下の情報を入力します。
      1. 名前—サービスの名前を入力します。
      2. プロバイダーPrisma Accessを選択します。
      3. リモートネットワーク—既存のネットワークを選択するか、新しいネットワークを作成します。
      4. プローブIP—宛先プローブIPアドレスを入力します。任意の既知のIP(例:8.8.8.8)を使用できます。プローブは、ジッター、遅延、往復時間などの情報をPrismaに送信し、WANエッジインサイトページに表示されるピアパス統計を構築するために使用されます。

      5. WANインターフェイス—プライマリおよびセカンダリトンネルのプロビジョニング用にWANインターフェイスを割り当てます。複数のWANインターフェイスを追加でき、リストの最初のインターフェイスが優先されます。最初のインターフェイスがダウンした場合、2番目のインターフェイスを使用してトンネルが確立されます。

      自動プロビジョニングオプションのオーバーライドセクションでは、この自動プロバイダー設定プロセスの一環として、デフォルトパラメーターが自動的に設定されます。このセクションのフィールドは、自動的に選択されるパラメーターを変更する必要がある場合に使用します。

      • 地域—これは、Secure Edgeインスタンスの地理的な地域を示します。デフォルトの「自動」が選択されている場合、最も近いPrismaクラウドリージョンが自動的に選択されます。

      • IKE v2プロポーザル—インターネット鍵交換セキュリティアソシエーションに使用される暗号化と認証の設定は自動的に設定されますが、必要に応じて変更できます。

      • DHグループ—トンネルを確立するためのIKEネゴシエーションで使用するキーのサイズは自動的に設定されますが、必要に応じて変更できます。

      • IPsecプロポーザル—IPsecトンネルに使用する暗号化と認証の設定は自動的に設定されますが、必要に応じて変更できます。

      • データセンター—デフォルトでは「なし」に設定されています。自動プロビジョニングの一環として、Mistが最寄りのポイントオブプレゼンス(POP)の場所を自動的に選択します。つまり、Mistはアプリケーションに最も近いPOPを自動的に選択します。ただし、必要に応じて特定のデータセンターを指定するオプションもあります。

    3. 最後に、[追加] を選択します。
      Prisma Accessプロバイダーが Secure Edgeコネクタ タイルにリストされます。
    注:

    設定したプロバイダ情報は、WAN Edgeテンプレートが更新されると自動的にPrismaに引き継がれるため、Prisma側で手動で設定する必要はありません。これは、 アカウントリンク のステップにより可能です。
    プロバイダの設定に加えて、以下の手順を実行してIPsecトンネルを設定する必要があります。

トラフィックステアリングとアプリケーションポリシーを設定する

  1. WANエッジテンプレート(組織>WAN>WANエッジテンプレート)に移動します。
  2. トラフィックステアリングセクションまで下にスクロールし、トラフィックステアリングを追加をクリックします。
    後で、このトラフィックステアリングプロファイルをアプリケーションポリシーに追加して、トラフィックが宛先に到達できるパスを指定します。
    1. トラフィックステアリングパスの詳細を入力します。
      • 名前—トラフィックステアリングプロファイルの名前を入力します。
      • 戦略—戦略を選択します。トラフィックステアリングプロファイルは、トポロジーと設定に基づいて、任意の戦略(順序付き重み付けまたはECMP)で設定できます。
      • パスパスを追加をクリックし 、以下の詳細を入力します。
        1. タイプSecure Edge Connectorを選択します。
        2. プロバイダー—カスタムを選択します。
        3. 名前—ステップ2で作成したPrismaプロバイダーの名前を選択します。
    2. 青いチェックマークを選択して変更を保存します。
    3. 追加を選択します

      Configuration interface for adding traffic steering in a network management system with fields for rule name, strategy selection, path configuration, and buttons to add or cancel.

  3. 次に、WANエッジテンプレートのアプリケーションポリシータイルまで下にスクロールし、アプリケーションポリシーの追加をクリックします。アプリケーションポリシーは、アプリケーションにアクセスできるネットワークとユーザー、およびトラフィックが宛先にたどるパスを定義します。
    1. アプリケーションポリシーに名前を付けます。
    2. ネットワーク/ユーザー—これは、Prismaクラウドを介してアプリケーションへの安全なアクセスを必要とするLANユーザーです。
    3. アクション—トラフィックに対して許可のアクションを選択します。
    4. アプリケーション/宛先—ネットワーク/ユーザーにアクセス権を付与するアプリケーションを選択します。
    5. トラフィックステアリング—ステップ3で作成したトラフィックステアリングプロファイルを選択します。トラフィックが宛先に到達するまでに通過できるパスを指定します。

    アプリケーションポリシーの作成方法については、「 アプリケーションポリシーの設定」を参照してください。

トンネル検証:

IPsec設定は、テンプレートが割り当てられているサイトに属するすべてのWANエッジデバイスにプッシュされ、デバイスから最も近いPrismaクラウドへのトンネルが立ち上がります。IPsecステータスを確認するには、左側のメニューから WAN Edge > WAN Edge を選択し、WAN Edge デバイスをクリックし、最後に Edge インサイト WANをクリックします。

確立されたトンネルの詳細は、 WAN Edge Tunnel 自動プロビジョニング成功 イベントが WAN Edge イベントの下に表示されると、デバイスの WAN Edge インサイト ページで確認できます。

WAN monitoring dashboard for SRX320New under CTC-PROD-20 system showing data usage graph, timestamps, 48 events categorized as 33 Good, 0 Neutral, 11 Bad, and highlighted event at 2:58:04 PM August 11 2025 indicating successful tunnel update for Prisma_WAN1.

Prismaイベント

Prisma Accessイベントを含むWAN Edgeイベントは、Prisma AccessクラウドにIPsecトンネルが設定されているデバイスの WAN Edgeインサイトページの WAN Edgeイベントの下に表示できます。
注:Prisma Accessイベントを有効にするには、アカウントチームに連絡する必要があります。これらのイベントは、Prisma Accessの通知プロファイルの問題により、デフォルトで無効になっています。

  • ジュニパー Mistは、以下のPrismaアクセスイベントをサポートしています。

    リモートネットワーク:

    • Prisma RN ECMP BGPダウン

    • Prisma RN ECMP BGPフラップ

    • Prisma RN ECMPプロキシトンネルダウン

    • Prisma RN ECMPプロキシトンネルフラップ

    • Prisma RNプライマリWAN BGPダウン

    • Prisma RNプライマリWAN BGPフラップ

    • Prisma RNプライマリWAN BGPアップ

    • Prisma RNプライマリWANプロキシトンネルダウン

    • Prisma RNプライマリWANプロキシトンネルフラップ

    • Prisma RNプライマリWANトンネルダウン

    • Prisma RNプライマリWANトンネルフラップ

    • Prisma RNプライマリWANトンネルアップ

    • Prisma RNセカンダリWAN BGPダウン

    • Prisma RNセカンダリWAN BGPフラップ

    • Prisma RNセカンダリWAN BGPアップ

    • Prisma RNセカンダリWANプロキシトンネルダウン

    • Prisma RNセカンダリWANプロキシトンネルフラップ

    • Prisma RNセカンダリWANトンネルダウン

    • Prisma RNセカンダリWANトンネルフラップ

    • Prisma RNセカンダリWANトンネルアップ

    サービス接続:

    • Prismaサービス接続プライマリWAN BGPダウン

    • Prismaサービス接続プライマリWAN BGPフラップ

    • Prismaサービス接続プライマリWANプロキシトンネルダウン

    • Prisma サービス接続プライマリ WAN プロキシ トンネル フラップ

    • Prismaサービス接続のプライマリWANトンネルダウン

    • Prismaサービス接続プライマリWANトンネルフラップ

    • Prismaサービス接続セカンダリWANプロキシトンネルダウン

    • Prisma サービス接続セカンダリ WAN プロキシ トンネル フラップ

    • Prisma サービス接続セカンダリ WAN トンネルダウン

    • Prisma サービス接続セカンダリ WAN トンネル フラップ

    • Prisma サービス接続 WAN BGP ダウン

    • Prisma サービス接続 WAN BGP フラップ

    注:

    Prisma Access アイコンは、Strata Cloud Manager から受信した Prisma Access イベントの横に表示されます。Prisma Accessイベントの情報は、Strata Cloud Managerから直接取得されます。

    • Prisma Accessイベントを選択すると、 Prisma SCMインシデントを表示 ボタンが表示されます。Prisma SCMからのPrismaインシデントの詳細を表示する必要がある場合は、このボタンを選択します。

      Network monitoring dashboard showing WAN edge events for device US_Prod_3, including a traffic graph with spikes, 13 events categorized as 5 good, 1 neutral, and 7 bad, and configuration issues like Prisma IKE and IPSEC mismatches.

構成の不一致

Marvisは、Mistのサイト構成とPrismaの構成を常に比較しています。逸脱が検出されると、Prisma Accessイベントが生成され、WANエッジイベントに表示されます。

WAN edge network monitoring interface for vSRX-Spoke-SAAS1 showing a traffic graph with port errors at 3 PM, events like Prisma IPSEC config mismatch and certificate regeneration, event details including remote network name AUSSIE_POP_RN1 and tunnel name AUS_TUN1, and filter options for event type and port.

構成相違アラート:

  • Prisma IKE構成の不一致

  • Prisma IPsec構成の不一致

トンネル統計情報

セッションスマートルーター(SSR)と SRXシリーズファイアウォールの両方のPrismaトンネル統計情報は、WANエッジインサイトページのピアパス統計に表示されます。

トンネル統計は、ノースバウンドリソースへのインテリジェントなプローブを使用して、ほぼリアルタイムの主要業績評価指標(KPI)を生成します。トンネルを介してアプリケーションにアクセスする際の顧客のエクスペリエンスをほぼリアルタイムで確認できます。

注:データがグラフに確実に入力されるように、 プロバイダ設定で適切なプローブIPアドレスと送信元IPアドレスが設定されていることを確認してください。

ピアパス統計チャートにカーソルを合わせると、表示される文字列内のパスに関する情報が表示されます。文字列は次のように解読できます。

egress device interface <--> Prisma tunnel name.

Network performance monitoring dashboard showing traffic overview, WAN edge events, latency, loss, and jitter graphs for multiple network paths. Highlights include 0 percent packet loss across all paths.

関連項目