PaloAlto Prisma Access部署規劃

本文將概述在規劃 Prisma Access 部署時的步驟和注意事項。重點如下:

• Service Connection的規劃
• Remote networks的規劃
• 針對Mobile users的GlobalProtect規劃
• 針對Mobile users的explicit proxy規劃

Service Connection的規劃

本節將描述Service Connection的規劃

• access resource
• route traffic
• QoS

Access Resources

透過Service connections，行動使用者和分公司網路的使用者都可以存取總部或資料中心的資源。 除了提供對公司資源的存取之外，Service connection還允許行動使用者連到分公司。

我們建立的第一個tunnel是service connection的primary tunnel。 然後，可以重複此工作流程以選擇性地設定secondary tunnel。 當兩條tunnel都已啟動時，primary tunnel的優先權高於secondary。 如果primary掛掉，connection將跳到secondary，直到primary恢復。 根據我們用於建立tunnel的 IPSec 設備，Prisma Access 提供內建的建議性的 IKE 和 IPSec 安全設定。 我們可以使用建議的設定快速入門，也可以根據環境需求進行自行訂定。

Manage > Service Connections > Add Service Connection

Route traffic

Prisma Access使用BGP協定與BGP path secection來決定路由表裡的路由資訊。

當 Prisma Access 使用service connection將流量路由到總部或資料中心時，它會使用有效引導流量的路由方法。 Prisma Access 使用預設路由模型，旨在適應大多數網路部署； 然而，並非所有組織的網路都是相同的。 為了適應更廣泛的部署，Prisma Access 可讓我們選擇另一種service connection路由模式。

上圖中，若要設定路由模式。

Manage > Service Connections > Add Service Connections > Routing > Setup > Advanced Settings > Enable BGP for Dynamic Routing

QoS

我們可以設定 QoS 以優先考慮業務關鍵型流量或需要低延遲的流量。 如果我們打算設定 Prisma SASE security policy rules以將 QoS 標記套用至入口流量(ingress traffic)，或者在總部/DC 擁有標記入口流量的設備，則可以透過定義對應類別的 QoS 設定檔來調整流出站點的流量。

首先，必須新增 QoS profile來定義 QoS classes，從而調整 HQ/DC 和 Prisma Access 之間的流量。 然後，建立 QoS policy rule並將profile新增至rule中，以便對符合的 HQ/DC 流量實施 QoS。

Manage > Service Connections > Add Service Connections > QoS > Set Up > Create New

Remote networks的規劃

在規劃remote network部署時，我們需要做好準備，記錄remote network的數量以及每個網路所需的頻寬，確定路由要求，並分析流量以確定Security policy rule要求。

當準備將remote network連接到 Prisma Access 時，我們需要知道將連接多少個站點。 此資訊將幫助我們確定連線需求，例如如何透過 Prisma Access 路由流量。 當規劃remote network部署時，需要知道哪些應用程式將通過 Prisma Access，以便正確配置Best Security policy rules。 同樣重要的是建立 threat profile configuration。 此外，還需要考量將consistent threat、 URL與WildFire scanning套用於所有規則，以實現一致的威脅緩解策略。

規劃考量點:

• Remote network 需要存取公司的資源嗎? —
  如果Remote network需要存取總部或資料中心的基礎設施或資源，需要建立 Prisma Access SC-CAN 來連接到公司站點。
• 選擇正確Prisma Access Locations —
  當分公司的mobile user連接到 Prisma Access 時，選擇的本地 Prisma Access 位置將決定提供 Internet 內容的語言。
• IP subnet已經就緒 —
  為了使 Prisma Access 將流量路由到我們的remote network，我們需要提供希望 Prisma Access 要保護的subnet的路由資訊。
• 針對Remote Network如何分配頻寬 —
  至少兩個（通常更多）地理上彼此接近的 Prisma Access Locations被分組為compute locations。 這是指定頻寬的等級，而不是為各個 Prisma Access Locations或特定remote network站點指派頻寬。
• IPSec Termination nodes —
  IPSec terminations nodes可讓我們將remote network與compute location相關聯。 當加入remote network時，請為與compute location相關的remote network選擇 IPSec terminations nodes。
• Overlapping subnets —
  一般來說，Prisma Access instance中不能有任何重疊的子網路。 也就是說，所有remote network位置、service connection以及Prisma Access for mobile users的 IP address pools的子網路不能重疊。

加入remote network的步驟:

若要加入remote network，啟動 Prisma Access Cloud Management 並驗證我們是否已將頻寬指派到將部署remote network的位置。

步驟1:
為remote network名命

步驟2:
在" Prisma Access Location"下拉選單中選擇靠近remote network的地理位置

步驟3:
繼續將remote network站點連接到 Prisma Access

ECMP Load Balancing

只有當我們計劃使用 BGP 進行動態路由時，需要執行額外步驟。要啟用ECMP(equal-cost multi-path)負載平衡，以便remote network站點最多可使用四個 IPSec tunnel。

ECMP負載平衡需要用到BGP； 不支援 QoS 和靜態路由。 若要使用 ECMP 負載平衡，請指定最小頻寬 50Mbps。 Prisma Access 將把我們選擇的頻寬除以tunnel數量； 例如，指定1Gbps，新增4條隧道，則每條隧道承載250Mbps。 如果其中一條tunnel發生故障，網路連線現在將傳輸 750Mbps，而不是 1Gbps。

Compute Locations and Local Zones

Compute location是region內的雲端位置，其中託管了RN-SPN(remote network security processing nodes)、SC-CAN(service connection corporate access nodes) 和MU-SPN(mobile user security processing nodes)。 Compute location也為 RN-SPN 提供頻寬分配。 在將 RN-SPN 加入compute location之前，請先分配頻寬。

遠端網路的頻寬為位於compute location level。 多個位置或remote network可以共用一個compute location。 許多remote network可以共用一個bandwidth pool。 這種從一個bandwidth pool共享的能力提供了一種更有效的方式來向remote network分配頻寬。

Location是進入 Prisma Access cloud的入口。 compute location是 Prisma Access node所在的特定雲端位置。

Prisma Access 在全球超過 105 個location提供在地體驗和連線速度。 Prisma Access 透過根據最佳化的效能和延遲將每個位置對應到compute location來實現這種本地體驗。 這種設計意味著某些國家的流量將被定向到定義的compute location。

Prisma Access 已將location新增至local zone，這些zone將擁有自己的compute location。 目前支援的區域包括澳洲西部（珀斯）、美國中部（芝加哥）和美國東南部（邁阿密）。 local zone的加入方式與任何其他 Prisma Access location相同，且local zone可在mobile users中使用 — GlobalProtect、remote network和service connection部署。

針對行動使用者的GlobalProtect規劃

本節介紹使用 GlobalProtect 的行動使用者的規劃清單。

Planning Checklist: GlobalProtect with Prisma Access

如果我們使用 GlobalProtect 來保護行動使用者的安全，請使用以下清單來確保能夠成功啟用該服務並為行動使用者實施一致的政策。

事前檢查清單描述了為行動使用者啟用 GlobalProtect with Prisma Access 時應考量或設定的項目。

加入locations後，我們需要新增每個locations使用的public ip address，並將這些location的 IP 位址新增至網路中的allow list中，以便行動使用者能夠存取 SaaS 或外部應用程式。

針對行動使用者的explicit proxy規劃

這裡介紹explicit proxy如何在 Prisma Access 中為行動使用者服務。

設立基本的Infra setting

對於這兩種連線類型，Prisma Access 最初必須填寫一些必要的配置來設定行動使用者的環境。 還需要選擇location並為行動使用者設定驗證(authentication)。 要測試我們的配置，可以新增 Prisma Access 在本地進行驗證的使用者，也可以直接設定企業級身份驗證。

選擇Explicit Proxy Connection

輸入Portal Name 與Proxy URL Settings

設定 user authentication

Explicit Proxy on Prisma Access

除了使用 GlobalProtect 保護行動使用者之外，我們還可以使用 Prisma Access 設定explicit proxy。

步驟1: 透過輸入 URL 存取 SaaS 應用程式

步驟2:瀏覽器會檢查 PAC(Proxy Auto-Configuration) 檔案

步驟3:HTTPS client將URLrequest轉送到 proxy URL

步驟4: 流量被導到explicit proxy，porxy會解密流量

步驟5: proxy 檢查流量並check Prisma Access explicit proxy設定的authentication cookie。

步驟6: Proxy重定向使用者進行authentication（如果未通過authentication）

步驟7: 使用者的驗證狀態會儲存在ACS(Authentication Cache Service)

步驟8: Explicit proxy會檢查cookie是否存在與有效性

步驟9: 根據Security policy rules套用安全性

步驟10: 如果流量沒有被 Security policy rule給block，則會向 Internet 傳送 URL request