Intégration de Palo Alto à l’aide de tunnels IPsec

Les réseaux Palo Alto fournissent une infrastructure de sécurité basée sur le cloud pour protéger les réseaux distants. Il assure la sécurité en permettant aux organisations de configurer des pare-feu régionaux basés sur le cloud qui protègent la structure SD-WAN.

Le service Prisma Access pour les réseaux distants vous permet d’intégrer des emplacements réseau distants et d’assurer la sécurité des utilisateurs. Il élimine la complexité de la configuration et de la gestion des périphériques à chaque emplacement distant.

Le service offre un moyen efficace d’ajouter facilement de nouveaux emplacements réseau distants et de minimiser les défis opérationnels en veillant à ce que les utilisateurs de ces emplacements soient toujours connectés et sécurisés.

Le service Prisma Access vous permet également de gérer les stratégies de manière centralisée depuis Panorama pour une sécurité cohérente et rationalisée pour vos emplacements réseau distants.

Pour connecter vos emplacements réseau distants au service Prisma Access, vous pouvez utiliser le pare-feu de nouvelle génération de Palo Alto Networks ou un périphérique tiers compatible IPSec incluant SD-WAN, qui peut établir un tunnel IPsec vers le service.

  • Planifier le service d’accès Prisma pour les réseaux distants

  • Configurer le service d’accès Prisma pour les réseaux distants

  • Réseaux distants intégrés avec importation de configuration

La solution Citrix SD-WAN offrait déjà la possibilité de sortir le trafic Internet de la succursale. Ceci est essentiel pour offrir une expérience utilisateur plus fiable et à faible latence tout en évitant l’introduction d’une pile de sécurité coûteuse à chaque branche. Citrix SD-WAN et Palo Alto Networks offrent désormais aux entreprises distribuées un moyen plus fiable et plus sûr de connecter les utilisateurs des succursales aux applications dans le cloud.

Les appliances Citrix SD-WAN peuvent se connecter au réseau Palo Alto (Prisma Access Service) via des tunnels IPSec à partir d’emplacements d’appliances SD-WAN avec une configuration minimale. Vous pouvez configurer le réseau Palo Alto dans Citrix SD-WAN Center.

Avant de commencer à configurer le service d’accès Prisma pour les réseaux distants, gardez la configuration suivante prête pour vous assurer que vous êtes en mesure d’activer le service et d’appliquer la stratégie pour les utilisateurs de vos emplacements réseau distants :

  1. Connexion de service : si vos emplacements réseau distants nécessitent un accès à l’infrastructure de votre siège social pour authentifier les utilisateurs ou pour activer l’accès aux ressources réseau critiques, vous devez configurer Accès à votre réseau d’entreprise de sorte que le siège social et les emplacements réseau distants soient connecté.

Si l’emplacement réseau distant est autonome et n’a pas besoin d’accéder à l’infrastructure à d’autres emplacements, vous n’avez pas besoin de configurer la connexion de service (sauf si vos utilisateurs mobiles ont besoin d’un accès).

  1. Modèle : le service Prisma Access crée automatiquement une pile de modèles (Remote_Network_Template_Stack) et un modèle de niveau supérieur (Remote_Network_Template) pour le service Prisma Access pour les réseaux distants.

    Pour configurer le service d’accès Prisma pour les réseaux distants, vous configurez le modèle de niveau supérieur à partir de zéro ou utilisez votre configuration existante si vous exécutez déjà un pare-feu Palo Alto Networks sur site.

    Le modèle nécessite les paramètres pour établir le tunnel IPSec et la configuration IKE (Internet Key Exchange) pour la négociation de protocole entre votre emplacement réseau distant et le service Prisma Access pour les réseaux distants, les zones que vous pouvez référencer dans la stratégie de sécurité et un profil de transfert de journal afin que vous peut transférer les journaux du service Prisma Access pour les réseaux distants vers le service de journalisation.

  2. Groupe de périphériques parent : le service Prisma Access pour les réseaux distants vous demande de spécifier un groupe de périphériques parent qui inclut votre stratégie de sécurité, vos profils de sécurité et d’autres objets de stratégie (tels que les groupes d’applications et les objets et les groupes d’adresses), ainsi que la stratégie d’authentification, de sorte que le service Prisma Access pour les réseaux distants peut appliquer systématiquement une stratégie pour le trafic acheminé via le tunnel IPSec vers le service Prisma Access pour les réseaux distants. Vous devez définir des règles et des objets de stratégie dans Panorama ou utiliser un groupe de périphériques existant pour sécuriser les utilisateurs dans l’emplacement réseau distant.

    Remarque :

    Si vous utilisez un groupe de périphériques existant qui référence des zones, assurez-vous d’ajouter le modèle correspondant qui définit les zones à Remote_Network_Template_Stack.

    Cela vous permet de terminer le mappage de zone lorsque vous configurez le service d’accès Prisma pour les réseaux distants.

  3. Sous-réseaux IP : pour que le service Prisma Access acheminera le trafic vers vos réseaux distants, vous devez fournir des informations de routage pour les sous-réseaux que vous souhaitez sécuriser à l’aide du service Prisma Access. Vous pouvez définir un itinéraire statique vers chaque sous-réseau à l’emplacement réseau distant, ou configurer BGP entre vos emplacements de connexion de service et le service Prisma Access, ou utiliser une combinaison des deux méthodes.

    Si vous configurez à la fois des routes statiques et activez BGP, les routes statiques ont priorité. Bien qu’il soit pratique d’utiliser des routes statiques si vous n’avez que quelques sous-réseaux à vos emplacements réseau distants, BGP vous permet d’évoluer plus facilement dans un déploiement volumineux avec de nombreux réseaux distants avec des sous-réseaux superposés.

Réseau Palo Alto au Centre SD-WAN

Assurez-vous que les conditions préalables suivantes sont remplies :

  • Obtenez une adresse IP panoramique auprès du service PRISMA ACCESS.

  • Obtenez le nom d’utilisateur et le mot de passe utilisateur dans le service PRISMA ACCESS.

  • Configurez les tunnels IPSec dans l’interface graphique de l’appliance SD-WAN.

  • Assurez-vous que le site n’est pas intégré à une région, qui a déjà un site différent configuré avec des profils IKE/IPsec autres que Citrix-ike-crypto-default/Citrix-ipsec-crypto-default.

  • Assurez-vous que la configuration Prisma Access n’est pas modifiée manuellement lorsque la configuration est mise à jour par SD-WAN Center.

Dans l’interface graphique du Centre Citrix SD-WAN, fournissez les informations d’abonnement à Palo Alto.

  • Configurez l’adresse IP panoramique. Vous pouvez obtenir cette adresse IP auprès de Palo Alto (service PRISMA ACCESS).

  • Configurez le nom d’utilisateur et le mot de passe utilisés dans le service PRISMA ACCESS.

    Configuration de Palo Alto

Ajouter et déployer des sites

  1. Pour déployer les sites, choisissez la région réseau PRISMA ACCESS et le site SD-WAN à configurer pour la région Prisma Access, puis sélectionnez la liaison WAN du site, la bande passante et l’objet d’application pour la sélection du trafic.

    Remarque :

    Le flux de trafic est affecté si la bande passante sélectionnée dépasse la plage de bande passante disponible.

    Vous pouvez choisir de rediriger tout le trafic lié à Internet vers le service PRISMA ACCESS en sélectionnant l’option Tout le trafic sous la sélection d’objet Application.

    Palo Alto ajouter un site

    Déploiement de Palo Alto

  2. Vous pouvez continuer à ajouter d’autres sites de succursale SD-WAN selon vos besoins.

    Ajouter d'autres sites

  3. Cliquez sur Déployer. Le processus de gestion du changement est lancé. Cliquez sur Oui pour continuer.

    Site déployé

    Après le déploiement, la configuration du tunnel IPSec utilisée pour établir les tunnels est la suivante.

    Établir un tunnel

    La page de destination affiche la liste de tous les sites configurés et regroupés sous différentes régions SD-WAN.

    Site configuré

Vérifiez la connexion du trafic de bout en bout :

  • À partir du sous-réseau LAN d’une branche, accédez aux ressources Internet.

  • Vérifiez que le trafic passe par le tunnel IPsec Citrix SD-WAN vers l’accès Palo Alto Prisma.

  • Vérifiez que la stratégie de sécurité Palo Alto est appliquée au trafic sous l’onglet Surveillance.

  • Vérifiez que la réponse de l’Internet à l’hôte dans une branche arrive.

Intégration de Palo Alto à l’aide de tunnels IPsec