Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

Zscalerの統合

このワークフローに従って、ZscalerをSecure Edgeプロバイダとして使用します。

ジュニパーMist™は、ジュニパーネットワークス®のSRXシリーズファイアウォールおよびWANエッジデバイスとして導入されるジュニパー®セッションスマート™ ルーター用に特別に設計された構築済みのコネクターを提供します。これらのコネクタにより、セキュアエッジ(SSE)導入環境とのシームレスな統合が容易になります。最小限の構成で、SSEをジュニパーMistポータルに統合できます。その結果、WANエッジデバイスは、IPsecまたはGREプロトコルを使用してSSEへの接続を確立します。

概要

Mist AIを搭載したジュニパーのSD-WANはセキュリティを強化し、Zscalerとの統合により、場所全体にわたる安全なアクセスを実現する一流のSASEソリューションを提供します。Zscalerは、包括的なサイバーセキュリティとゼロトラスト接続を提供し、すべてをJuniper Mist Cloudとシームレスに統合します。

図1:ジュニパー MistとZscaler Juniper Mist Integration with Zscalerの統合

クラウドツークラウドの接続を改善するために、Mist は自動 Zscaler トンネル プロビジョニングを提供しています。WAN Assuranceは、デフォルトのZscaler接続用の使いやすいワークフローを提供します。この統合により、事前定義された設定を使用してデバイスから接続を簡単に確立できます。Juniper Mist Cloudポータルを使用すると、Zscaler セキュリティサービスエッジ(SSE)接続の設定と管理が簡略化され、追加のプラットフォームログインが不要になります。

Zscaler トンネルのプロビジョニングについては、次の点に注意してください。

  • 自動プロビジョニングは、IPsecトンネルのみをサポートします。
  • トンネルの自動プロビジョニングプロセスには、Zscalerクラウドへの新しいZscalerロケーションとVPN資格オブジェクトの作成が含まれます。これらのZscalerリソースは、関連するトンネルプロバイダがMistから削除されると削除されます。
  • 各自動オーケストレーションでは、1つのプライマリトンネルと1つのセカンダリトンネルを作成する必要があります。

Juniper Mist CloudからZscalerトンネル構成を設定する方法については、以下のトピックをお読みください。

Zscaler によるトンネルの手動プロビジョニング

前提条件

IPsecトンネルの場合

GREトンネルの場合

  • Zscalerクラウドアカウント
  • Zscaler パブリック サービス エッジ トンネル(プライマリおよびセカンダリ)の IP アドレスまたはホスト名。Zscaler Enforcement Nodes(ZEN)のホスト名とIPアドレスの検索を参照してください。 GREトンネルの設定を参照してください。
  • 静的 IP アドレス。 静的IPについてを参照してください。

Zscalerトンネルプロビジョニングの設定

  1. ジュニパー Mistポータルで、WANエッジテンプレートレベル、ハブプロファイル、またはサイトレベルでSecure Edge Connector に移動します。
  2. プロバイダを追加をクリックします
  3. [ Add Provider ]ウィンドウで、手動プロビジョニング用に [Zscaler ]を選択します。
  4. Zscalerによるトンネルの手動プロビジョニングの詳細を入力します。
    1. IPsecトンネルの場合:
      図2:Zscaler IPsecトンネルの詳細を追加するAdd Details for Zscaler IPsec Tunnels
      1. 名前—サービスの名前を入力します。
      2. プロバイダー—Zscalerを選択します。
      3. プロトコル—プロトコルをIPsecとして選択します。
      4. ローカルID—ZscalerアカウントのログインIDを指定します。
      5. 事前共有キー—Zscalerアカウントで作成された事前共有キー(PSK)を提供します。PSKの長さは6〜255文字である必要があります。
      6. IPまたはホスト名—ZscalerデータセンターのIPアドレスまたはホスト名( https://config.zscaler.com/zscalerbeta.net/cenr を参照)。デバイスの場所に最も近いデータセンターのIPアドレスを追加することをお勧めします。

      7. 送信元IP—Zscalerトンネルの送信元IPアドレスを入力します。

      8. プローブIP—プローブIPアドレスを入力します。任意の既知のIP(例:8.8.8.8)を使用できます。プローブを使用してZscaler IPsecトンネルのステータスを監視するには、プローブIPアドレスが必要です。
      9. WANインターフェイス—プライマリおよびセカンダリトンネルのプロビジョニング用にWANインターフェイスを割り当てます。複数のWANインターフェイスを追加でき、リストされた最初のインターフェイスが優先されます。最初のインターフェイスがダウンした場合、システムは2番目のインターフェイスを使用してトンネルを確立します。

      10. セカンダリトンネルオプションを設定します(オプション)。IPまたはホスト名、送信元IP、プローブIP、WANインターフェイスを入力します。

      11. 追加をクリックします

    2. GREトンネルの場合:
      図3:Zscaler GREトンネルの詳細を追加するAdd Details for Zscaler GRE Tunnels
      1. 名前—サービスの名前を入力します。
      2. プロバイダー—Zscalerを選択します。
      3. プロトコル—プロトコルをGREとして選択します。
      4. IPまたはホスト名—ZscalerデータセンターのIPアドレスまたはホスト名。 https://config.zscaler.com/zscalerbeta.net/cenr を参照してください。デバイスの場所に最も近いデータセンターのIPアドレスを追加することをお勧めします。
      5. 送信元IP—GREトンネルの送信元IPアドレスを入力します。 GREトンネルの設定を参照してください。
      6. プローブIP—プローブIPアドレスを入力します。任意の既知のIP(例:8.8.8.8)を使用できます。プローブを使用してZscaler GREトンネルのステータスを監視するには、プローブIPアドレスが必要です。
      7. WANインターフェイス—プライマリおよびセカンダリトンネルのプロビジョニング用にWANインターフェイスを割り当てます。複数のWANインターフェイスを追加でき、リストされた最初のインターフェイスが優先されます。最初のインターフェイスがダウンした場合、システムは2番目のインターフェイスを使用してトンネルを確立します。

      8. セカンダリトンネルオプションを設定します。IPまたはホスト名、送信元IP、プローブIP、WANインターフェイスを入力します。

      9. モード—アクティブ/スタンバイオプションを選択します。
  5. 追加 をクリックして続 行します。

  6. WANエッジテンプレートページまたはWANエッジデバイスページにトラフィックステアリングプロファイルを追加します。

    図4:トラフィックステアリングパス Traffic Steering Path
    • トラフィックステアリングパスの詳細を入力します。
      • 名前—トラフィックステアリングプロファイルの名前を入力します。
      • 戦略—戦略を選択します。トラフィックステアリングプロファイルは、トポロジーと設定に基づいて、任意の戦略(順序付け/重み付け/ECMP)で設定できます。
      • タイプSecure Edge Connectorを選択します。
      • プロバイダー—Zscalerを選択します。
      • 名前—Zscalerプロバイダーの名前を選択します。
  7. 作成したトラフィックステアリングプロファイルを参照するアプリケーションポリシーを追加します。このステップは、プロバイダトンネルを有効にするために必要です。アプリケーションポリシーを作成するには、WANエッジテンプレートまたはデバイスページのアプリケーションポリシーセクションまでスクロールします。

    次の図は、前のステップで設定したトラフィックステアリングで設定されたアプリケーションポリシーを示しています。

    図5:アプリケーションポリシーApplication Policies

Zscalerによるトンネルの自動プロビジョニング

前提条件

Zscalerトンネルを自動プロビジョニングするには、Zscalerポータルでパートナーキーとパートナー管理者のログイン資格情報が必要です。

  1. パートナーAPIキーを追加します。

    1. Zscalerアカウントを使用して 、管理ポータルにログインします。
    2. 管理>パートナー統合を選択します。
    3. SD-WANタブを選択します。
    4. パートナーキーを追加をクリックします
    5. [Add Partner Key]ウィンドウで、ドロップダウンメニューからパートナー名を選択し、[Generate]をクリックします。
      図6:パートナー統合Selecting SD-WAN Partner IntegrationSD-WAN選択

  2. APIアクセス用の資格情報を指定します。

    1. 管理>ロール管理に移動し>パートナーAPIロールを追加SD-WANします。
    2. 以下のオプションを設定します。
      • 名前—SD-WANパートナーAPIロールの名前。
      • トラフィックフォワーディング—パートナーが クラウドサービスAPIを介して管理しているトラフィックフォワーディングAPIエンドポイントにアクセスするための権限をSD-WANパートナーAPIに割り当てます。フル、表示のみ、またはカスタムの権限を選択できます。

      詳細については、 パートナー管理者ロールの追加 を確認してください。

  3. SD-WAN Orchestratorのパートナーアカウントを作成します。この管理者ユーザー(ユーザー名/パスワード)は、特にSD-WANパートナー認証に使用され、Zscalerアカウント管理者ユーザーとは異なります。

    1. 管理>管理者管理>パートナーAPIクライアントを追加を選択しますSD-WAN
    2. ログインID、メールアドレス、名前、パートナーロール、パスワードなどの詳細を入力します。詳細については、「 パートナー管理者の追加 」を参照してください。
  4. Zscaler Cloud の名前を確認するには、「 私のクラウド名とは」を参照してください。

ジュニパー MistポータルにZscalerの資格情報を追加する

  1. ジュニパー MistポータルでZscaler資格の詳細を提供して、ジュニパー MistクラウドをZscalerと統合します。
    • ジュニパー Mistポータルの左側のメニューから、[ 組織>設定] を選択します。
    • Secure WAN Edge 統合ペインまで下にスクロールし、 資格情報の追加をクリックします。
    • プロ バイダの追加ウィンドウ で、詳細を入力します。
      図7:ZscalerAdd Credentials for Zscalerの資格情報を追加する
      • プロバイダー—Zscalerを選択します。
      • メールアドレス—ユーザー名(メールアドレス)(SD-WANパートナーユーザーの資格情報)を入力します。
      • パスワード—ユーザー名のパスワードを入力します。
      • パートナーキー—Zscalerアカウントを設定する際に作成したパートナーキーを入力します。
      • クラウド名—ZscalerクラウドURL。例えば、zscalerbeta.net です。
    • 保存」 をクリックして続行します。

    この手順は、組織レベルでの1回限りの設定です。複数のサイトにまたがるZscalerトンネルを自動的にプロビジョニングするために、Mist Cloudは特定の組織に対して上記の認証情報を使用します。

Zscaler 自動トンネル プロビジョニングの設定

  1. ジュニパー Mistポータルの左側のメニューから、WANエッジテンプレートレベルまたはデバイスレベルの セキュアエッジコネクタ に移動します。
  2. プロバイダーを追加をクリックします
  3. [プロバイダの追加]ウィンドウの[プロバイダ]フィールドで、自動トンネルプロビジョニングの[Zscaler (Auto)]を選択します。
    図 8: Zscaler トンネル Add Details for Auto Provisioning a Zscaler Tunnelの自動プロビジョニングの詳細の追加

    Zscaler自動プロビジョニングについては、以下の詳細を入力します。

    • 名前—Zscalerトンネルのわかりやすい名前を入力します。
    • プロバイダー—Zscaler(自動)を選択します。
    • プローブIP—プローブIPアドレス(プライマリおよびセカンダリ)を入力します。プローブIPとして既知のIPアドレス(8.8.8.8など)を入力できます。
    • WANインターフェイス—プライマリおよびセカンダリセクションの下にあるWANインターフェイスを割り当てて、プライマリおよびセカンダリトンネルのプロビジョニングを行います。
  4. 追加 をクリックして続 行します。

  5. WANエッジテンプレートページまたはWANエッジデバイスページにトラフィックステアリングプロファイルを追加します。

    図9:トラフィックステアリングパス Traffic Steering Path
    • 以下を選択することで、新しいトラフィックステアリングパスを追加できます。

      • 名前—トラフィックステアリングプロファイルの名前を入力します。

      • 戦略—戦略を選択します。トラフィックステアリングプロファイルは、トポロジーと設定に基づいて、任意の戦略(順序付け/重み付け/ECMP)で設定できます。

      • タイプSecure Edge Connectorを選択します。

      • プロバイダー—Zscaler(自動)を選択します。

      • 名前—上記のステップ3で作成したZscalerプロバイダの名前を選択します。

  6. 作成したトラフィックステアリングプロファイルを参照するアプリケーションポリシーを追加します。これは、プロバイダトンネルのプロビジョニングを有効にするために必要です。アプリケーションポリシーを作成するには、現在使用しているWANエッジテンプレートまたはデバイスのアプリケーションポリシーセクションまで下にスクロールします。
    図10:アプリケーションポリシーApplication Policies

    Zscaler(自動)オプションで有効になっているテンプレートをサイトに割り当てると、次の操作が実行されます。

    • 関連付けられた Zscaler サイト(ロケーション オブジェクト)が自動的に作成されます。ロケーション オブジェクトは、Zscaler ポータルの [管理 ] > [ロケーション管理 ] で表示できます。

      図11:ZscalerポータルLocation Created in Zscaler Portalで作成された場所

    • トンネル作成に必要な詳細情報は、ジュニパー Mist クラウドとZscalerの間で交換されます。

    • トンネルは、デバイスから最も近いネットワーク ポイント オブ プレゼンス(POP)まで電源が投入されます。

ジュニパー セキュア エッジ トンネルの検証

ジュニパー Mistポータルで、[ WAN Edge ] > [WAN Edge] > WAN Edge インサイト > WAN Edge イベント) に移動して、確立されたトンネルの詳細を確認できます。 WANエッジトンネルの自動プロビジョニングに成功した イベントが表示されます。

図12:WANエッジイベント WAN Edge Events

Zscaler トンネル設定が展開されたら、[ WAN Edge] > [WAN Edge] に移動して、トンネル ステータスを確認できます。デバイス名をクリックし、ジュニパー Mistポータルの Secure Edge Connectorの詳細 セクションまで下にスクロールします。

図13:WAN Edge InsightsStatus of Tunnels in WAN Edge Insightsのトンネルのステータス

Secure Edge Connectorの自動プロビジョニング設定

ゲートウェイオプションは、ジュニパーMistポータルの Secure Edge Connector自動プロビジョニング設定 で設定できます。これらの設定は、さまざまなトラフィックルールやポリシーを設定するための追加の制御を提供し、オプションのパラメーターです。

  1. ジュニパー Mist ポータルで、[ 組織> WAN Edge テンプレート ] を選択するか、[ WAN Edge] > [ WAN Edges ] > [WAN Edge Name] を選択します。

  2. Secure Edge Connectors セクションまで下にスクロールします。
  3. Secure Edge Connectorの自動プロビジョニング設定セクションでZscalerタブを選択し、ゲートウェイオプションを定義できます。
図14:Secure Edge Connectorの自動プロビジョニング設定 Secure Edge Connector Auto Provision Settings
  • クライアント要求からXFFを使用—この場所がプロキシチェイニングを使用してZscalerサービスにトラフィックを転送する場合、このオプションを有効にします。
  • 認証を適用—この場所からユーザーを認証する場合は、このオプションを有効にします。
  • 注意を有効にする—注意間隔を1分以上設定すると、認証されていないユーザーに注意通知が表示されます。認証 の適用 オプションを無効にしている場合、このオプションを使用します。
  • AUPを有効にする—認証されていないトラフィックに対する許容可能な使用ポリシー(AUP)を表示し、ユーザーに受け入れを義務付けることができます。認証 の適用を無効にしている場合は、このオプションを使用します。
  • ファイアウォール制御の適用—ファイアウォール制御オプションを有効にします。
  • 帯域幅制御の適用—ロケーションの帯域幅制御を強制します。アップロードとダウンロードの最大帯域幅制限を指定できます。

サブロケーションを使用したZscaler自動トンネルプロビジョニング

ジュニパー Mist は、トンネル オーケストレーション プロセスの一環として、Zscaler サブロケーションの設定とプロビジョニングをサポートしています。Zscaler サブロケーションは、ロケーション オブジェクトの子エンティティです。場所は、組織がインターネットトラフィックを送信するさまざまなネットワークを識別します。

サブロケーションは、特定のユースケースに使用できます。たとえば、トラフィックが同じIPsecトンネルを通過する場合でも、企業ネットワークにはZscalerサブロケーションを定義し、ゲストネットワークには別のサブロケーションを定義できます。

企業はサブロケーションを以下の目的で使用します。

  • IPアドレスに基づいて異なるポリシーを実装します。
  • 社内ネットワークには認証を適用し、ゲストネットワークには無効にします。
  • サブロケーションの帯域幅制御を実施しながら、未使用の帯域幅を親ロケーションで利用できるようにします。

Zscaler サブロケーションを設定するには:

  1. ジュニパー Mistポータルで、[ 組織] > [WAN Edge テンプレート] を選択するか、[ WAN Edge] > [ WAN Edges ] > [WAN Edge Name] を選択します。

  2. Secure Edge Connectorsまで下にスクロールします。
  3. Secure EdgeコネクタとしてZscalerを選択します。 Secure Edge Connectorの自動プロビジョニング設定 セクションの下部に、既存のサブロケーションが表示されます。
    図15:サブロケーションの追加 Add Sub-Locations
  4. サブロケーションを追加をクリックして、新しいサブロケーションを定義します。

    サブロケーションの追加オプションは、Secure EdgeコネクタとしてZscalerを選択した場合にのみ使用できます。

  5. サブ ロケーションの追加 ウィンドウで、サブロケーションの設定を定義します。
    図16:サブロケーション設定 Sub-Locations Settings

    • ネットワーク—ドロップダウンボックスから既存のネットワークを選択します。

    • 認証を適用—この場所からユーザーを認証します。
    • 注意を有効にする—認証されていないユーザーに対する注意通知を表示します。認証 の適用 オプションを無効にしている場合、このオプションを使用します。
    • AUPを有効にする—認証されていないトラフィックに対する許容可能な使用ポリシー(AUP)を表示し、ユーザーに受け入れを義務付けることができます。認証 の適用を無効にしている場合は、このオプションを使用します。カスタムAUP頻度は、1から180までの数値である必要があります。
    • ファイアウォール制御の適用—ファイアウォール制御オプションを有効にします。
    • 帯域幅制御の適用—ロケーションの帯域幅制御を強制します。アップロードとダウンロードの最大帯域幅制限を指定できます。アップロードとダウンロードの帯域幅は、0.1から99999までの数値である必要があります。

Zscalerポータルのサブロケーションの表示

新しく作成されたサブロケーションは、Zscalerポータルの [管理 ]> [ ロケーション管理 ]で表示できます。ロケーションページで、テーブル内のサブロケーションの番号をクリックすると、ロケーションのサブロケーションが表示されます。

図17:ZscalerポータルView Configured Sub-Location in Zscaler Portalで設定されたサブロケーションを表示する

検証とトラブルシューティング

ジュニパー Mistポータルで、[ WAN Edge ] > [ WAN Edge] > [ WAN Edge Insights ] > [WAN Edge Events] に移動して、確立されたトンネルの詳細を確認できます。 WANエッジトンネルの自動プロビジョニングに成功した イベントが表示されます。

図18:WANエッジイベント WAN Edge Events

Zscaler トンネル設定が展開されたら、[ WAN Edge] > [WAN Edge] に移動して、トンネル ステータスを確認できます。デバイス名をクリックし、ジュニパー Mistポータルの Secure Edge Connectorの詳細 セクションまで下にスクロールします。

トンネルを確立できない場合は、トンネル設定の問題またはデバイスからの到達可能性の問題が原因である可能性があります。以下のオプションを使用して、問題のトラブルシューティングを行うことができます。

  • ジュニパー Mist ポータルで設定された Zscaler の IP アドレスまたはホスト名を確認します。Zscalerアカウントで設定されたローカルIDとPSKが、ジュニパーMistポータルで設定されたものと一致していることを確認します。
  • デバイスの WAN インターフェイスから Zscaler パブリック IP アドレスに ping を送信し、応答があるかどうかを確認します。
  • Mistポータルのパケットキャプチャツールを使用します。ZscalerパブリックIPアドレスをフィルターとして使用して、WANインターフェイス上でPCAPを実行し、双方向パケットがあるかどうかを確認します。 パケットキャプチャを使用したSRXシリーズファイアウォールのトラブルシューティングを参照してください。
  • セキュリティ デバイスが Zscaler にパケットを送信していて、Zscaler から応答がない場合は、次の操作を行います。
    • Zscaler の IP アドレスがアクティブかどうかを確認します。
    • トラフィックフローをブロックしているアップリンクルーターがないか確認します。
    • 該当する場合は、NAT設定を確認します。

    パケットキャプチャの結果は、上記の問題の検出に役立つことに注意してください。