Compartir a través de

Más información sobre la coexistencia del Servicio de seguridad de Edge (SSE) con Microsoft y Palo Alto Networks

Las soluciones SSE de Microsoft y Palo Alto Networks se pueden usar conjuntamente en un entorno unificado. Cuando se utilizan conjuntamente, se aprovecha un sólido conjunto de capacidades de ambas plataformas para mejorar su trayectoria SASE. La sinergia entre estas plataformas mejora la seguridad y proporciona conectividad sin problemas.

Este documento contiene los pasos para implementar estas soluciones en paralelo en varios escenarios de acceso diferentes.

  1. Configuración 1: Acceso privado de Microsoft Entra con Palo Alto Prisma Access para acceso seguro a Internet

En este escenario, El acceso seguro global controlará el tráfico de la aplicación privada. Prisma Access solo capturará el tráfico de Internet.

  1. Configuración 2: Microsoft Entra Private Access con Palo Alto Prisma Access para el Acceso a Aplicaciones Privadas e Internet

En este escenario, ambos clientes controlarán el tráfico de aplicaciones privadas independientes. Las aplicaciones privadas de Microsoft Entra Private Access se controlarán mediante Acceso seguro global, mientras que las aplicaciones privadas de las conexiones del servicio Prisma Access o los conectores ZTNA tendrán acceso a ellas a través del cliente GlobalProtect. Prisma Access controlará el tráfico de Internet.

  1. Configuración 3: Microsoft Entra Microsoft Access con Palo Alto Prisma Access para aplicaciones privadas y acceso a Internet

En este escenario, El acceso seguro global controlará todo el tráfico de Microsoft 365. Prisma Access controlará las aplicaciones privadas a través de la conexión de servicio o los conectores ZTNA. Prisma Access controlará el tráfico de Internet.

  1. Configuración 4: Microsoft Entra Internet Access y Microsoft Access con Palo Alto Prisma Access para Acceso a Aplicaciones Privadas

En este escenario, el acceso seguro global controlará el tráfico de Internet y Microsoft 365. Prisma Access solo capturará el tráfico de aplicaciones privadas a través de la conexión de servicio o los conectores ZTNA.

Nota:

Las siguientes configuraciones se probaron para Palo Alto Prisma Access y se administraron con Strata Cloud Manager. El acceso a aplicaciones privadas se ha probado a través de conexiones de servicio y conectores ZTNA. GlobalProtect proporcionó conectividad con el servicio Prisma Access y se probó con configuraciones de VPN SSL e IPsec.

Requisitos previos

Para configurar Microsoft y Palo Alto Prisma Access para una solución SASE unificada, empiece por configurar Microsoft Entra Internet Access y Microsoft Entra Private Access. A continuación, configure Prisma Access para el acceso a aplicaciones privadas por conexión de servicio o conector ZTNA. Por último, asegúrate de establecer los FQDN y las omisiones de IP necesarios para garantizar una integración fluida entre las dos plataformas.

  • Configure Microsoft Entra Internet Access y Microsoft Entra Private Access. Estos productos componen la solución Global Secure Access.
  • Configurar Palo Alto Prisma Access para acceso privado e Internet
  • Configura el FQDN de Acceso Seguro Global y las omisiones de IP

Acceso seguro global de Microsoft

Para configurar Global Secure Access y probar todos los escenarios de esta documentación, deberá realizar lo siguiente.

  • Habilite y deshabilite diferentes perfiles de reenvío de tráfico de Global Secure Access para su entidad de Microsoft Entra. Para más información sobre cómo habilitar y deshabilitar perfiles, consulte los perfiles de reenvío de tráfico de Acceso global seguro.

  • Instale y configure el conector de red privada de Microsoft Entra. Para obtener información sobre cómo instalar y configurar el conector, consulte Configuración de conectores.

Nota:

Los conectores de red privada son necesarios para las aplicaciones de Microsoft Entra Private Access.

Acceso a Palo Alto Prisma

Para integrar Palo Alto Prisma Access con Microsoft Global Secure Access, asegúrese de completar los siguientes requisitos previos. Estos pasos garantizan una integración fluida, una mejor administración del tráfico y una mayor seguridad.

  • Configure una conexión de servicio o un conector ZTNA para Prisma Access para permitir el acceso a aplicaciones privadas. Para obtener información sobre cómo configurar una conexión de servicio, consulte la documentación de Palo Alto para configurar una conexión de servicio. Para el conector ZTNA, consulte la documentación de Palo Alto para configurar un conector ZTNA.
  • Configura GlobalProtect para permitir que los usuarios móviles tengan acceso remoto a aplicaciones privadas. Para obtener más información, consulte la documentación de configuración de GlobalProtect.
  • Configure los ajustes del túnel GlobalProtect y la configuración de la aplicación para trabajar con Microsoft Entra Private DNS y evitar las direcciones de Protocolo de Internet (IP) y Nombre de Dominio Completamente Calificado (FQDN) del servicio Microsoft Entra.

Configuración del túnel:

  1. En el portal de Strata Cloud Manager, vaya a Flujos de trabajo>Prisma Access Setup>GlobalProtect>GlobalProtect App>Tunnel Settings.
  2. En la sección Túnel dividido, para excluir el tráfico, agregue el dominio y las rutas: *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16.

Configuración de la aplicación:

  1. En el portal de Strata Cloud Manager, vaya a Flujos de trabajo>Configuración de Prisma Access>GlobalProtect>Aplicación de GlobalProtect>Configuración de la aplicación
  2. Desplácese hasta App Configuration>Mostrar opciones avanzadas>DNS y desactive la casilla Resolver todos los FQDN mediante servidores DNS asignados por el túnel (solo Windows)

    Nota:

    La opción "Resolver todos los FQDN mediante servidores DNS asignados por el túnel (solo Windows)" debe deshabilitarse al usar DNS privado de Microsoft Entra (configuraciones 1 y 2). Durante las pruebas, este ajuste se habilitó (marcó como activado) para las configuraciones 3 y 4.

  3. Vaya a Flujos de trabajo>Configuración de acceso a Prisma>GlobalProtect>GlobalProtect App. Seleccione Insertar configuración y, después, Insertar en la parte superior derecha de la pantalla.
  4. Verifique que la configuración se haya aplicado al cliente GlobalProtect. Vaya a Administrar>Operaciones>Insertar estado.
  5. Instale el cliente GlobalProtect de Palo Alto Networks. Para obtener más información sobre cómo instalar el cliente GlobalProtect de Palo Alto Networks, para Windows, consulte GlobalProtect App for Windows. Para macOS, consulte GlobalProtect App for macOS (Aplicación GlobalProtect para macOS). Para configurar el cliente GlobalProtect, hay muchas opciones, como integrando Microsoft Entra ID para crear cuentas. Para obtener más información sobre las opciones, consulte Integración del inicio de sesión único (SSO) de Microsoft Entra con Palo Alto Networks - GlobalProtect. Para la configuración más básica, agregue un usuario local a GlobalProtect de Strata Cloud Manager de Palo Alto Networks.
  6. Vaya a Administrar>Configuración>Acceso a NGFW y Prisma.
  7. Seleccione Ámbito de Configuración>GlobalProtect y, a continuación, seleccione Identity Services>Usuarios y Grupos Locales>Usuarios Locales. Agregue un usuario y una contraseña para realizar pruebas.
  8. Una vez instalado el cliente, los usuarios escriben la dirección del portal y sus credenciales.
  9. Después de que los usuarios inicien sesión, el icono de conexión se vuelve azul y al hacer clic en él se muestra en un estado conectado.

    Nota:

    En Configuración 4, si tiene problemas para conectarse con GlobalProtect mediante usuarios locales, pruebe a configurar el inicio de sesión único de Microsoft Entra.

Configuración 1: Acceso privado de Microsoft Entra con Palo Alto Prisma Access para acceso seguro a Internet

En este escenario, El acceso seguro global controlará el tráfico de la aplicación privada. Prisma Access solo capturará el tráfico de Internet.

Configuración de Microsoft Entra Private Access

Para este escenario, deberá hacer lo siguiente.

Configuración de Palo Alto Prisma Access

Para este escenario, deberá realizar lo siguiente en el portal de Palo Alto Strata Cloud Manager.

Una vez instalados y ejecutados ambos clientes en paralelo y las configuraciones de los portales de administración están completos, vaya a la bandeja del sistema para comprobar que los clientes Global Secure Access y GlobalProtect están habilitados.

Compruebe la configuración del cliente del Acceso global seguro.

  1. Haga clic con el botón derecho en el perfil de reenvío de diagnósticos avanzados del cliente de acceso seguro global>> y verifique que las reglas de acceso privado y DNS privado estén aplicadas a este cliente.
  2. Vaya a Advanced Diagnostics Health Check (Comprobación avanzada de estado de diagnóstico) > y asegúrese de que no se producen errores en las comprobaciones.

Nota:

Para obtener información sobre cómo solucionar errores de comprobación de estado, consulte Solución de problemas del cliente de acceso seguro global: Comprobación de estado: Acceso seguro global | Microsoft Learn.

Prueba del flujo de tráfico

  1. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. Seleccione la pestaña Tráfico y seleccione Iniciar recopilación.
  2. Acceda a estos sitios web desde los exploradores: salesforce.com, Instagram.com y yelp.com.
  3. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso global seguro y seleccione Diagnóstico avanzado>Pestaña de tráfico.
  4. Desplácese para observar que el cliente de acceso seguro global no captura el tráfico de estos sitios web.
  5. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Acceso seguro global>Monitor>Registros de tráfico. Verifique si falta tráfico relacionado con estos sitios en los registros de tráfico de Global Secure Access.
  6. Inicie sesión en Strata Cloud Manager de Palo Alto Networks y vaya a Incidentes y alertas>Visor de registros.
  7. Valide que el tráfico relacionado con estos sitios está presente en los registros de Prisma Access.
  8. Acceda a la aplicación privada configurada en Microsoft Entra Private Access. Por ejemplo, acceda a un recurso compartido de archivos a través del bloque de mensajes del servidor (SMB).
  9. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Acceso seguro global>Monitor>Registros de tráfico.
  10. Valide que el tráfico relacionado con el recurso compartido de archivos es capturado en los registros de tráfico de acceso seguro global.
  11. Inicie sesión en Strata Cloud Manager de Palo Alto Networks y vaya a Incidentes y alertas>Visor de registros. Validar que el tráfico relacionado con la aplicación privada no esté presente en los registros.
  12. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. En el cuadro de diálogo Tráfico, seleccione Detener recopilación.
  13. Desplácese para confirmar que el cliente de acceso seguro global solo controló el tráfico de la aplicación privada.

Configuración 2: Microsoft Entra Private Access con Palo Alto Prisma Access for Private Application and Internet Access

En este escenario, ambos clientes controlarán el tráfico de aplicaciones privadas independientes. Las aplicaciones privadas de Microsoft Entra Private Access se controlarán mediante Acceso seguro global, mientras que las aplicaciones privadas de las conexiones del servicio Prisma Access o los conectores ZTNA tendrán acceso a ellas a través del cliente GlobalProtect. Prisma Access controlará el tráfico de Internet.

Configuración de Microsoft Entra Private Access

Para este escenario, deberá:

Configuración de Palo Alto Networks

Para este escenario, deberá realizar lo siguiente en el portal de Palo Alto Strata Cloud Manager.

Una vez instalados y ejecutados ambos clientes en paralelo y las configuraciones de los portales de administración están completos, vaya a la bandeja del sistema para comprobar que los clientes Global Secure Access y GlobalProtect están habilitados.

Compruebe la configuración del cliente del Acceso global seguro.

  1. Haga clic con el botón derecho en el perfil de reenvío de diagnósticos avanzados del cliente de acceso seguro global>> y verifique que las reglas de acceso privado y DNS privado estén aplicadas a este cliente.
  2. Vaya a Advanced Diagnostics Health Check (Comprobación avanzada de estado de diagnóstico) > y asegúrese de que no se producen errores en las comprobaciones.

Nota:

Para obtener información sobre cómo solucionar errores de comprobación de estado, consulte Solución de problemas del cliente de acceso seguro global: Comprobación de estado: Acceso seguro global | Microsoft Learn.

Prueba del flujo de tráfico

  1. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. Seleccione la pestaña Tráfico y seleccione Iniciar recopilación.
  2. Acceda a estos sitios web desde los exploradores: salesforce.com, Instagram.com y yelp.com.
  3. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso global seguro y seleccione Diagnóstico avanzado>Pestaña de tráfico.
  4. Desplácese para observar que el cliente global de acceso seguro no captura el tráfico de estos sitios web.
  5. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Acceso seguro global>Monitor>Registros de tráfico. Verifique si falta tráfico relacionado con estos sitios en los registros de tráfico de Global Secure Access.
  6. Inicie sesión en Strata Cloud Manager de Palo Alto Networks y vaya a Incidentes y alertas>Visor de registros.
  7. Valide que el tráfico relacionado con estos sitios está presente en los registros de Prisma Access.
  8. Acceda a la aplicación privada configurada en Microsoft Entra Private Access. Por ejemplo, acceda a un recurso compartido de archivos a través del bloque de mensajes del servidor (SMB).
  9. Acceda a la aplicación privada configurada en Prisma Access a través de una conexión de servicio o un conector ZTNA. Por ejemplo, abra una sesión RDP en un servidor privado.
  10. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Acceso seguro global>Monitor>Registros de tráfico.
  11. Valide que el tráfico relacionado con la aplicación privada de compartición de archivos SMB se capture y que el tráfico relacionado con la sesión RDP no se capture en los registros de tráfico de Global Secure Access.
  12. Inicie sesión en Strata Cloud Manager de Palo Alto Networks y vaya a Incidentes y alertas>Visor de registros. Valide que el tráfico relacionado con la sesión de RDP privada está presente y que el tráfico relacionado con el recurso compartido de archivos SMB no está en los registros.
  13. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. En el cuadro de diálogo de tráfico de red, seleccione Detener recopilación.
  14. Desplácese para confirmar que el cliente de acceso seguro global controló el tráfico de la aplicación privada para el recurso compartido de archivos SMB y no controló el tráfico de sesión RDP.

Configuración 3: Microsoft Entra Microsoft Access con Palo Alto Prisma Access para aplicaciones privadas y acceso a Internet

En este escenario, El acceso seguro global controlará todo el tráfico de Microsoft 365. Prisma Access controlará las aplicaciones privadas a través de la conexión de servicio o los conectores ZTNA y el tráfico de Internet.

Configuración de Microsoft Access de Microsoft Entra

Para este escenario, deberá:

Configuración de Palo Alto Networks

Para este escenario, deberá realizar lo siguiente en el portal de Palo Alto Strata Cloud Manager.

Nota:

Para esta configuración, habilite Resolver todos los FQDN mediante servidores DNS asignados por el túnel (solo Windows) en la configuración de la aplicación.

Una vez instalados y ejecutados ambos clientes en paralelo y las configuraciones de los portales de administración están completos, vaya a la bandeja del sistema para comprobar que los clientes Global Secure Access y GlobalProtect están habilitados.

Compruebe la configuración del cliente del Acceso global seguro.

  1. Haga clic con el botón derecho en el perfil de reenvío del cliente de acceso seguro global > Diagnósticos Avanzados> y compruebe que las reglas de Microsoft 365 se aplican a este cliente.
  2. Vaya a Advanced Diagnostics Health Check (Comprobación avanzada de estado de diagnóstico) > y asegúrese de que no se producen errores en las comprobaciones.

Nota:

Para obtener información sobre cómo solucionar errores de comprobación de estado, consulte Solución de problemas del cliente de acceso seguro global: Comprobación de estado: Acceso seguro global | Microsoft Learn.

Prueba del flujo de tráfico

  1. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. Seleccione la pestaña Tráfico y seleccione Iniciar recopilación.
  2. Acceda a estos sitios web desde los exploradores: salesforce.com, Instagram.com y yelp.com.
  3. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso global seguro y seleccione Diagnóstico avanzado>Pestaña de tráfico.
  4. Desplácese para observar que el cliente global de acceso seguro no captura el tráfico de estos sitios web.
  5. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Acceso seguro global>Monitor>Registros de tráfico. Verifique si falta tráfico relacionado con estos sitios en los registros de tráfico de Global Secure Access.
  6. Inicie sesión en Strata Cloud Manager de Palo Alto Networks y vaya a Incidentes y alertas>Visor de registros.
  7. Valide que el tráfico relacionado con estos sitios está presente en los registros de Prisma Access.
  8. Acceda a la aplicación privada configurada en Prisma Access a través de una conexión de servicio o un conector ZTNA. Por ejemplo, abra una sesión RDP en un servidor privado.
  9. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Acceso seguro global>Monitor>Registros de tráfico.
  10. Validar que el tráfico relacionado con la sesión RDP no está en los registros de tráfico de acceso seguro global
  11. Inicie sesión en Strata Cloud Manager de Palo Alto Networks y vaya a Incidentes y alertas>Visor de registros. Valide que el tráfico relacionado con la sesión RDP esté presente en los registros de Prisma Access.
  12. Acceso a Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
  13. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. En el cuadro de diálogo Tráfico, seleccione Detener recopilación.
  14. Desplácese para confirmar que el cliente de Acceso seguro global solo controló el tráfico de Microsoft 365.
  15. También puede validar que el tráfico se captura en los registros de tráfico de acceso global seguro. En el centro de administración de Microsoft Entra, vaya a Acceso global seguro>Monitorización>Registros de tráfico.
  16. Valide que el tráfico relacionado con Outlook Online y SharePoint Online falte en los registros de Prisma Access en Strata Cloud Manager Incidents & Alerts>Log Viewer.

Configuración 4: Microsoft Entra Internet Access y Microsoft Entra Access con Palo Alto Prisma Access para acceso a aplicaciones privadas

En este escenario, el acceso seguro global controlará el tráfico de Internet y Microsoft. Prisma Access solo capturará el tráfico de aplicaciones privadas a través de la conexión de servicio o los conectores ZTNA.

Configuración de Microsoft Entra Internet y Microsoft Access

Para este escenario, deberá hacer lo siguiente.

Agregue una omisión personalizada para Prisma Access en Acceso seguro global:

  1. Inicie sesión en el centro de administración de Microsoft Entra y vaya a Global Secure Access>Connect>Reenvío de tráfico>Perfil de acceso a Internet>. En directivas de acceso a Internet>, seleccione "Ver".
  2. Expanda el Bypass personalizado>. Seleccione Agregar regla.
  3. Deje el tipo de destino como FQDN y en Destino escriba *.gpcloudservice.com.
  4. Seleccione Guardar.

Configuración de Palo Alto Networks

Para este escenario, deberá realizar lo siguiente en el portal de Palo Alto Strata Cloud Manager.

Nota:

Para esta configuración, habilite Resolver todos los FQDN mediante servidores DNS asignados por el túnel (solo Windows) en la configuración de la aplicación.

Una vez instalados y ejecutados ambos clientes en paralelo y las configuraciones de los portales de administración están completos, vaya a la bandeja del sistema para comprobar que los clientes Global Secure Access y GlobalProtect están habilitados.

Compruebe la configuración del cliente del Acceso global seguro.

  1. Haga clic con el botón derecho en el cliente de Acceso Seguro Global > Diagnósticos Avanzados > Perfil de Reenvío y verifique que se aplican las reglas de Microsoft 365 y acceso a Internet a este cliente.
  2. Vaya a Advanced Diagnostics Health Check (Comprobación avanzada de estado de diagnóstico) > y asegúrese de que no se producen errores en las comprobaciones.

Nota:

Para obtener información sobre cómo solucionar errores de comprobación de estado, consulte Solución de problemas del cliente de acceso seguro global: Comprobación de estado: Acceso seguro global | Microsoft Learn.

Prueba del flujo de tráfico

  1. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. Seleccione la pestaña Tráfico y seleccione Iniciar recopilación.
  2. Acceda a estos sitios web desde el explorador: bing.com, , , salesforce.comOutlook Online (Instagram.com, outlook.com, outlook.office.com), SharePoint Online (outlook.office365.com<yourtenantdomain>.sharepoint.com).
  3. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Acceso seguro global>Monitor>Registros de tráfico. Verifique que el tráfico relacionado con estos sitios se capture en los registros de tráfico de Acceso Seguro Global.
  4. Acceda a la aplicación privada configurada en Prisma Access a través de una conexión de servicio o un conector ZTNA. Por ejemplo, abra una sesión RDP en un servidor privado.
  5. Inicie sesión en Strata Cloud Manager de Palo Alto Networks y vaya a Incidentes y alertas>Visor de registros. Valide que el tráfico relacionado con la sesión RDP esté presente y que falte el tráfico relacionado con Microsoft 365 y el tráfico de Internet, como Instagram.com, Outlook Online y SharePoint Online, en los registros de Prisma Access.
  6. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. En el cuadro de diálogo de tráfico de red, seleccione Detener recopilación.
  7. Desplácese para observar que el cliente de Acceso seguro global no está capturando tráfico de la aplicación privada. Además, observe que el cliente de Acceso seguro global está capturando tráfico para Microsoft 365 y otro tráfico de Internet.

Pasos siguientes

- ¿Qué es el acceso seguro global?