Condividi tramite


Informazioni sulla coesistenza di Security Service Edge (SSE) con Microsoft e Palo Alto Networks

Le soluzioni Microsoft e Palo Alto Networks SSE possono essere usate insieme in un ambiente unificato. Se usati insieme, è possibile sfruttare un solido set di funzionalità di entrambe le piattaforme per elevare il percorso SASE. La sinergia tra queste piattaforme migliora la sicurezza e offre connettività senza problemi.

Questo documento contiene i passaggi per distribuire queste soluzioni affiancate in diversi scenari di accesso.

  1. Configurazione 1: Accesso Privato di Microsoft Entra con Palo Alto Prisma Access per un accesso internet sicuro

In questo scenario l'accesso sicuro globale gestirà il traffico delle applicazioni private. Prisma Access acquisirà solo il traffico Internet.

  1. Configurazione 2: Accesso privato Microsoft Entra con Palo Alto Prisma Access per l'applicazione privata e l'accesso a Internet

In questo scenario entrambi i client gestiranno il traffico per applicazioni private separate. Le applicazioni private in Microsoft Entra Private Access verranno gestite dall'accesso sicuro globale, mentre le applicazioni private nelle connessioni al servizio Prisma Access o dai connettori ZTNA saranno accessibili tramite il client GlobalProtect. Il traffico Internet verrà gestito da Prisma Access.

  1. Configurazione 3: Accesso Microsoft Entra con Palo Alto Prisma Access per applicazioni private e accesso Internet

In questo scenario l'accesso sicuro globale gestirà tutto il traffico di Microsoft 365. Prisma Access gestirà le applicazioni private tramite la connessione al servizio o i connettori ZTNA. Il traffico Internet verrà gestito da Prisma Access.

  1. Configurazione 4: Microsoft Entra Internet Access e Microsoft Entra Microsoft Access con Palo Alto Prisma Access per l'accesso alle applicazioni private

In questo scenario l'accesso sicuro globale gestirà il traffico Internet e Microsoft 365. Prisma Access acquisirà solo il traffico dell'applicazione privata tramite la connessione al servizio o i connettori ZTNA.

Annotazioni

Le configurazioni seguenti sono state testate per Palo Alto Prisma Access e gestite con Strata Cloud Manager. L'accesso alle applicazioni private è stato testato tramite connessioni al servizio e connettori ZTNA. La connettività al servizio Prisma Access è stata fornita da GlobalProtect e testata con configurazioni VPN SSL e IPsec.

Prerequisiti

Per configurare Microsoft e Palo Alto Prisma Access per una soluzione SASE unificata, iniziare configurando Microsoft Entra Internet Access e Microsoft Entra Private Access. Configurare quindi Prisma Access per l'accesso alle applicazioni private tramite connessione al servizio o connettore ZTNA. Infine, assicurarsi di stabilire il nome di dominio completo e i bypass IP necessari per garantire una corretta integrazione tra le due piattaforme.

  • Configurare Microsoft Entra Internet Access e Microsoft Entra Private Access. Questi prodotti costituiscono la soluzione Global Secure Access.
  • Configurare Palo Alto Prisma Access per l'accesso privato e l'accesso a Internet
  • Configurare il nome di dominio completo di accesso sicuro globale e i bypass IP

Microsoft Global Secure Access

Per configurare l'accesso sicuro globale e testare tutti gli scenari in questa documentazione, è necessario eseguire le operazioni seguenti.

  • Abilitare e disabilitare profili di inoltro del traffico di accesso sicuro globale diversi per il tenant di Microsoft Entra. Per altre informazioni sull'abilitazione e la disabilitazione dei profili, vedere Profili di inoltro del traffico di accesso sicuro globale.

  • Installare e configurare il connettore di rete privata Microsoft Entra. Per informazioni su come installare e configurare il connettore, vedere Come configurare i connettori.

Annotazioni

I connettori di rete privata sono necessari per le applicazioni Microsoft Entra Private Access.

Palo Alto Prisma Access

Per integrare Palo Alto Prisma Access con Microsoft Global Secure Access, assicurarsi di completare i prerequisiti seguenti. Questi passaggi garantiscono un'integrazione uniforme, una migliore gestione del traffico e una maggiore sicurezza.

Impostazioni tunnel:

  1. Nel portale di Strata Cloud Manager, vai a Flussi di lavoro>Prisma Access Setup>GlobalProtect>App GlobalProtect>Impostazioni del Tunnel.
  2. Nella sezione Split Tunneling escludere il traffico aggiungendo il dominio e le route: *.globalsecureaccess.microsoft.com, , 150.171.19.0/24150.171.20.0/2413.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24150.171.18.0/24151.206.0.0/16, . 6.6.0.0/16

Impostazioni app:

  1. Nel portale di Strata Cloud Manager passare a Flussi di lavoro>Prisma Access Setup>GlobalProtect>App GlobalProtect>Impostazioni
  2. Scorrere fino a Configurazione App>Mostra opzioni avanzate>DNS e deselezionare la casella per Risolvere tutti i Nome di Dominio Completo usando server DNS assegnati dal tunnel (solo Windows)

    Annotazioni

    L'impostazione "Resolve All FQDNs Using DNS Servers Assigned by the Tunnel (Windows Only)" deve essere disabilitata quando si usa Microsoft Entra Private DNS (Configurazioni 1 e 2). Durante i test, questa impostazione è stata abilitata (selezionata) per le configurazioni 3 e 4.

  3. Passare a Flussi di lavoro>Prisma Access Setup>GlobalProtect>App GlobalProtect. Selezionare Push Config e selezionare Push in alto a destra dello schermo.
  4. Verificare che la configurazione sia stata inserita nel client GlobalProtect. Passare a Gestisci>Operazioni>Stato push.
  5. Installare il client Palo Alto Networks GlobalProtect. Per altre informazioni sull'installazione del client Palo Alto Networks GlobalProtect, per Windows vedere GlobalProtect App for Windows.For more information on installing the Palo Alto Networks GlobalProtect client, for Windows see GlobalProtect App for Windows. Per macOS vedere GlobalProtect App for macOS (App GlobalProtect per macOS). Per configurare il client GlobalProtect sono disponibili numerose opzioni, come ad esempio integrare l'ID di Microsoft Entra per creare gli account. Per altre informazioni sulle opzioni, vedere Integrazione dell'accesso Single Sign-On (SSO) di Microsoft Entra con Palo Alto Networks - GlobalProtect. Per la configurazione più semplice, aggiungere un utente locale a GlobalProtect da Strata Cloud Manager di Palo Alto Networks.
  6. Passare a Gestisci>Configurazione>NGFW e Prisma Access.
  7. Selezionare Ambito >GlobalProtect e quindi selezionareUtenti locali e gruppi> di Servizi di identità> Utentilocali. Aggiungere un utente e una password per il test.
  8. Dopo l'installazione del client, gli utenti immettono l'indirizzo del portale e le relative credenziali.
  9. Dopo l'accesso degli utenti, l'icona di connessione diventa blu e facendo clic su di esso viene visualizzato in uno stato connesso.

    Annotazioni

    In Configurazione 4, se si verificano problemi di connessione con GlobalProtect usando gli utenti locali, provare a configurare Microsoft Entra SSO.

Configurazione 1: Accesso privato di Microsoft Entra con Palo Alto Prisma Access per un accesso sicuro a Internet

In questo scenario l'accesso sicuro globale gestirà il traffico delle applicazioni private. Prisma Access acquisirà solo il traffico Internet.

Configurazione di Microsoft Entra Private Access

Per questo scenario è necessario eseguire le operazioni seguenti.

Configurazione di Palo Alto Prisma Access

Per questo scenario è necessario eseguire le operazioni seguenti nel portale di Palo Alto Strata Cloud Manager.

Al termine dell'installazione e dell'esecuzione side-by-side di entrambi i client e delle configurazioni dai portali di amministrazione, passare all'area di notifica per verificare che i client Global Secure Access e GlobalProtect siano abilitati.

Verificare la configurazione per il client di accesso sicuro globale.

  1. Fare clic con il pulsante destro del mouse sul client di Global Secure Access > Diagnostiche Avanzate > Profilo di Inoltro e verificare che al client siano applicate le regole di Accesso Privato e DNS privato.
  2. Passare a Controllo integrità diagnostica > avanzata e verificare che non siano presenti controlli non riusciti.

Annotazioni

Per informazioni sulla risoluzione degli errori di controllo integrità, vedere Risolvere i problemi relativi al client di accesso sicuro globale: Controllo integrità - Accesso sicuro globale | Microsoft Learn.

Testare il flusso del traffico

  1. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Selezionare la scheda Traffico e selezionare Avvia raccolta.
  2. Accedere a questi siti Web dai browser: salesforce.com, Instagram.com, yelp.com.
  3. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e selezionare Advanced Diagnostics>Traffic.
  4. Scorrere per osservare che il client accesso sicuro globale non acquisisce il traffico da questi siti Web
  5. Accedi al centro di amministrazione di Microsoft Entra e vai su Global Secure Access>Monitor>Log del traffico. Verificare che il traffico correlato a questi siti non sia presente nei log del traffico di accesso sicuro globale.
  6. Accedere a Strata Cloud Manager di Palo Alto Networks e passare a Incidents & AlertsLog Viewer.
  7. Verificare che il traffico correlato a questi siti sia presente nei log di Accesso Prisma.
  8. Accedere all'applicazione privata configurata in Microsoft Entra Private Access. Ad esempio, accedere a una condivisione file tramite Server Message Block (SMB).
  9. Accedi al centro di amministrazione di Microsoft Entra e vai su Global Secure Access>Monitor>Log del traffico.
  10. Verificare che il traffico correlato alla condivisione file venga acquisito nei log del traffico di accesso sicuro globale.
  11. Accedere a Strata Cloud Manager di Palo Alto Networks e passare a Incidents & AlertsLog Viewer. Verificare che il traffico correlato all'applicazione privata non sia presente nei registri.
  12. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Nella finestra di dialogo Traffico selezionare Arresta raccolta.
  13. Scorri per confermare che il client di Global Secure Access ha gestito solo il traffico delle applicazioni private.

Configurazione 2: Accesso privato Microsoft Entra con Palo Alto Prisma Access per l'applicazione privata e l'accesso a Internet

In questo scenario entrambi i client gestiranno il traffico per applicazioni private separate. Le applicazioni private in Microsoft Entra Private Access verranno gestite dall'accesso sicuro globale, mentre le applicazioni private nelle connessioni al servizio Prisma Access o dai connettori ZTNA saranno accessibili tramite il client GlobalProtect. Il traffico Internet verrà gestito da Prisma Access.

Configurazione di Microsoft Entra Private Access

Per questo scenario è necessario:

Configurazione di Palo Alto Networks

Per questo scenario è necessario eseguire le operazioni seguenti nel portale di Palo Alto Strata Cloud Manager.

Al termine dell'installazione e dell'esecuzione side-by-side di entrambi i client e delle configurazioni dai portali di amministrazione, passare all'area di notifica per verificare che i client Global Secure Access e GlobalProtect siano abilitati.

Verificare la configurazione per il client di accesso sicuro globale.

  1. Fare clic con il pulsante destro del mouse sul client di Global Secure Access > Diagnostiche Avanzate > Profilo di Inoltro e verificare che al client siano applicate le regole di Accesso Privato e DNS privato.
  2. Passare a Controllo integrità diagnostica > avanzata e verificare che non siano presenti controlli non riusciti.

Annotazioni

Per informazioni sulla risoluzione degli errori di controllo integrità, vedere Risolvere i problemi relativi al client di accesso sicuro globale: Controllo integrità - Accesso sicuro globale | Microsoft Learn.

Testare il flusso del traffico

  1. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Selezionare la scheda Traffico e selezionare Avvia raccolta.
  2. Accedere a questi siti Web dai browser: salesforce.com, Instagram.com, yelp.com.
  3. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e selezionare Advanced Diagnostics>Traffic.
  4. Scorri per osservare che il client Global Secure Access non acquisisce il traffico da questi siti Web.
  5. Accedi al centro di amministrazione di Microsoft Entra e vai su Global Secure Access>Monitor>Log del traffico. Verificare che il traffico correlato a questi siti non sia presente nei log del traffico di accesso sicuro globale.
  6. Accedere a Strata Cloud Manager di Palo Alto Networks e passare a Incidents & AlertsLog Viewer.
  7. Verificare che il traffico correlato a questi siti sia presente nei log di Accesso Prisma.
  8. Accedere all'applicazione privata configurata in Microsoft Entra Private Access. Ad esempio, accedere a una condivisione file tramite Server Message Block (SMB).
  9. Accedere all'applicazione privata configurata in Prisma Access tramite una connessione al servizio o un connettore ZTNA. Ad esempio, aprire una sessione RDP in un server privato.
  10. Accedi al centro di amministrazione di Microsoft Entra e vai su Global Secure Access>Monitor>Log del traffico.
  11. Convalidare che il traffico correlato all'app privata della condivisione file SMB venga acquisito e che il traffico correlato alla sessione RDP non venga acquisito nei log del traffico del Global Secure Access.
  12. Accedere a Strata Cloud Manager di Palo Alto Networks e passare a Incidents & AlertsLog Viewer. Verificare che il traffico correlato alla sessione RDP privata sia presente e che il traffico correlato alla condivisione file SMB non sia presente nei log.
  13. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Nella finestra di dialogo Traffico di rete selezionare Arresta raccolta.
  14. Scorrere per confermare che il client di accesso sicuro globale ha gestito il traffico dell'applicazione privata per la condivisione file SMB e non ha gestito il traffico di sessione RDP.

Configurazione 3: Microsoft Entra Microsoft Access con Palo Alto Prisma Access per l'applicazione privata e l'accesso a Internet

In questo scenario l'accesso sicuro globale gestirà tutto il traffico di Microsoft 365. Prisma Access gestirà le applicazioni private tramite connessioni al servizio o connettori ZTNA e traffico Internet.

Configurazione di Microsoft Entra di Microsoft Access

Per questo scenario è necessario:

Configurazione di Palo Alto Networks

Per questo scenario è necessario eseguire le operazioni seguenti nel portale di Palo Alto Strata Cloud Manager.

Annotazioni

Per questa configurazione, abilitare Risolvi tutti i nomi di dominio completi usando i server DNS assegnati dal tunnel (solo Windows) nelle impostazioni dell'app.

Al termine dell'installazione e dell'esecuzione side-by-side di entrambi i client e delle configurazioni dai portali di amministrazione, passare all'area di notifica per verificare che i client Global Secure Access e GlobalProtect siano abilitati.

Verificare la configurazione per il client di accesso sicuro globale.

  1. Fare clic con il pulsante destro del mouse sul Profilo di Inoltro Diagnostica Avanzata > del client > Global Secure Access e verificare che al client siano applicate le regole di Microsoft 365.
  2. Passare a Controllo integrità diagnostica > avanzata e verificare che non siano presenti controlli non riusciti.

Annotazioni

Per informazioni sulla risoluzione degli errori di controllo integrità, vedere Risolvere i problemi relativi al client di accesso sicuro globale: Controllo integrità - Accesso sicuro globale | Microsoft Learn.

Testare il flusso del traffico

  1. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Selezionare la scheda Traffico e selezionare Avvia raccolta.
  2. Accedere a questi siti Web dai browser: salesforce.com, Instagram.com, yelp.com.
  3. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e selezionare Advanced Diagnostics>Traffic.
  4. Scorri per osservare che il client Global Secure Access non acquisisce il traffico da questi siti Web.
  5. Accedi al centro di amministrazione di Microsoft Entra e vai su Global Secure Access>Monitor>Log del traffico. Verificare che il traffico correlato a questi siti non sia presente nei log del traffico di accesso sicuro globale.
  6. Accedere a Strata Cloud Manager di Palo Alto Networks e passare a Incidents & AlertsLog Viewer.
  7. Verificare che il traffico correlato a questi siti sia presente nei log di Accesso Prisma.
  8. Accedere all'applicazione privata configurata in Prisma Access tramite una connessione al servizio o un connettore ZTNA. Ad esempio, aprire una sessione RDP in un server privato.
  9. Accedi al centro di amministrazione di Microsoft Entra e vai su Global Secure Access>Monitor>Log del traffico.
  10. Verificare che il traffico correlato alla sessione RDP non si trova nei log del traffico di accesso sicuro globale
  11. Accedere a Strata Cloud Manager di Palo Alto Networks e passare a Incidents & AlertsLog Viewer. Verificare che il traffico correlato alla sessione RDP sia presente nei log di accesso Prisma.
  12. Accedere a Outlook Online (outlook.com, , ), outlook.office.comSharePoint Online (outlook.office365.com<yourtenantdomain>.sharepoint.com).
  13. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Nella finestra di dialogo Traffico selezionare Arresta raccolta.
  14. Scorrere per confermare che il client accesso sicuro globale ha gestito solo il traffico di Microsoft 365.
  15. È anche possibile verificare che il traffico venga acquisito nei log del traffico di accesso sicuro globale. Nell'interfaccia di amministrazione di Microsoft Entra, navigare a Accesso sicuro globale>Monitor>Log di traffico.
  16. Verificare che il traffico correlato a Outlook Online e SharePoint Online non sia presente nei log di Accesso Prisma in Strata Cloud Manager Incidents & Alerts>Log Viewer.

Configurazione 4: Microsoft Entra Internet Access e Microsoft Entra Microsoft Access con Palo Alto Prisma Access per l'accesso alle applicazioni private

In questo scenario l'accesso sicuro globale gestirà il traffico Internet e Microsoft. Prisma Access acquisirà solo il traffico dell'applicazione privata tramite la connessione al servizio o i connettori ZTNA.

Configurazione di Microsoft Entra Internet e Microsoft Access

Per questo scenario è necessario eseguire le operazioni seguenti.

Aggiungere un bypass personalizzato per Prisma Access in Accesso sicuro globale:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra e passare a Global Secure Access>Connect>Traffic forwarding>Internet access profile> In Internet access policies> (Criteri di accesso a Internet) Selezionare "Visualizza".
  2. Espandi Bypass personalizzato>, quindi seleziona Aggiungi regola.
  3. Lascia il tipo di destinazione FQDN e in Destinazione immetti *.gpcloudservice.com.
  4. Seleziona Salva.

Configurazione di Palo Alto Networks

Per questo scenario è necessario eseguire le operazioni seguenti nel portale di Palo Alto Strata Cloud Manager.

Annotazioni

Per questa configurazione, abilitare Risolvi tutti i nomi di dominio completi usando i server DNS assegnati dal tunnel (solo Windows) nelle impostazioni dell'app.

Al termine dell'installazione e dell'esecuzione side-by-side di entrambi i client e delle configurazioni dai portali di amministrazione, passare all'area di notifica per verificare che i client Global Secure Access e GlobalProtect siano abilitati.

Verificare la configurazione per il client di accesso sicuro globale.

  1. Fare clic con il pulsante destro del mouse sul client > Di accesso sicuro globale Advanced Diagnostics > Forwarding Profile (Profilo di inoltro diagnostica avanzata ) e verificare che al client siano applicate le regole di Accesso Internet e Microsoft 365.
  2. Passare a Controllo integrità diagnostica > avanzata e verificare che non siano presenti controlli non riusciti.

Annotazioni

Per informazioni sulla risoluzione degli errori di controllo integrità, vedere Risolvere i problemi relativi al client di accesso sicuro globale: Controllo integrità - Accesso sicuro globale | Microsoft Learn.

Testare il flusso del traffico

  1. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Selezionare la scheda Traffico e selezionare Avvia raccolta.
  2. Accedere a questi siti Web dal browser: , , , Outlook Online (bing.com, salesforce.com, Instagram.com), SharePoint Online (outlook.com). outlook.office.comoutlook.office365.com<yourtenantdomain>.sharepoint.com
  3. Accedi al centro di amministrazione di Microsoft Entra e vai su Global Secure Access>Monitor>Log del traffico. Verificare che il traffico correlato a questi siti venga acquisito nei log del traffico di Global Secure Access.
  4. Accedere all'applicazione privata configurata in Prisma Access tramite una connessione al servizio o un connettore ZTNA. Ad esempio, aprire una sessione RDP in un server privato.
  5. Accedere a Strata Cloud Manager di Palo Alto Networks e passare a Incidents & AlertsLog Viewer. Verificare che il traffico correlato alla sessione RDP sia presente e che il traffico correlato a Microsoft 365 e traffico Internet, Instagram.comad esempio Outlook Online e SharePoint Online, non sia presente nei log di Accesso Prisma.
  6. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Nella finestra di dialogo Traffico di rete selezionare Arresta raccolta.
  7. Scorrere per osservare che il client di Accesso Sicuro Globale non acquisisce il traffico dall'applicazione privata. Osservare inoltre che il client Di accesso sicuro globale sta acquisendo traffico per Microsoft 365 e altro traffico Internet.

Passaggi successivi

- Che cos'è Accesso globale sicuro?