action.skip

Planificación de la implementación del MVE de Palo Alto

Este tema proporciona una descripción general del proceso de aprovisionamiento y describe las consideraciones de implementación para Megaport Virtual Edge (MVE).

Necesitará una licencia VM-Series para usarla en la red definida por software (SDN) de Megaport. Megaport le ofrece:

  • Una máquina virtual para alojar la imagen del firewall de próxima generación (NGFW)
  • Una conexión de Megaport Internet con denegación de servicio distribuido (DDoS) para terminar el túnel entre el MVE y el CPE en la sucursal a través de Internet
  • Acceso al ecosistema de Megaport

Consideraciones de implementación

Palo Alto Networks utiliza dispositivos virtuales o físicos como muchas otras plataformas. Sin embargo, con Palo Alto Networks, puede configurar los dispositivos para varios usos diferentes. Por ejemplo, puede configurar un dispositivo de Palo Alto Networks para su uso:

  • Estrictamente como un firewall de nueva generación (NGFW) para oficinas remotas con configuración local y registro local solamente.

  • Como gestión central con registro central, o como gestión central sin registro central.

Características de VM-Series

VM-Series ofrece servicios de NGFW en una máquina virtual. El alojamiento de VM-Series en MVE no solo optimiza la conectividad de la red de perímetro a nube, sino que también aplica servicios y políticas de seguridad avanzados en los segmentos de la red troncal de Megaport.

La oferta SASE de Palo Alto Networks es para clientes que están adoptando la arquitectura SASE y necesitan seguridad adicional para su red en el perímetro.

La integración de VM-Series en la plataforma NaaS de Megaport extiende los siguientes elementos centrales de perímetro de servicio de acceso seguro (SASE) entre el perímetro y el tejido de red de la nube:

  • Firewall de próxima generación: incluye políticas de firewall empresariales con estado, traducción de direcciones de red (NAT), servicios de protección contra intrusiones, inspección de capa de sockets seguros (SSL) e inteligencia contra amenazas.

  • Servicios de gateway web segura (SWG): protegen los dispositivos de los destinos maliciosos de Internet mediante el filtrado de contenidos web y el análisis de malware.

  • Acceso a la red de confianza cero (ZTNA): controla el acceso a las aplicaciones verificando a los usuarios y dispositivos antes de cada sesión en la aplicación y confirma que cumplen la política de la organización para acceder a esa aplicación.

  • Aplicaciones de control de segmentación y listas blancas: comunicándose a través de diferentes subredes, bloquean el movimiento lateral de las amenazas y contribuyen al cumplimiento normativo.

  • Servicios de prevención de amenazas, seguridad de DNS y WildFire: aplican políticas específicas de aplicaciones que previenen el malware y evitan que amenazas previamente desconocidas infecten la nube.

Palo Alto VM-Series también admite la integración de usuarios remotos mediante soluciones SASE con Prisma Access. Prisma Access ofrece dos métodos de conexión de acceso de usuarios remotos:

  • GlobalProtect – Extiende la visibilidad y el control de Prisma Access de todo el tráfico de red, aplicaciones, puertos y protocolos al usuario para garantizar un acceso seguro a Internet o a aplicaciones basadas en centros de datos.
  • Proxy explícito – Permite el acceso SWG a aplicaciones SaaS basadas en Internet mediante HTTP y HTTPS.

Para obtener más información sobre estas funciones, consulte la documentación técnica de VM-Series.

Nota

Si ya ha implementado un firewall VM-Series, puede conectarlo a un MVE para que sus sedes o sucursales puedan acceder a los servicios en la nube a través de interconexiones privadas.

Ubicaciones de MVE

Para obtener una lista de las ubicaciones mundiales en las que puede conectarse a un MVE, consulte Ubicaciones de Megaport Virtual Edge.

Tamaño de instancia del MVE

El tamaño de instancia determina las capacidades del MVE, como el número de conexiones concurrentes que admite. Las instancias del MVE se dividen en estos tamaños.

Tamaño del paquete vCPU DRAM Almacenamiento Velocidad de Megaport Internet *
MVE 2/8 2 8 GB 60 GB Ajustable de 20 Mbps a 10 Gbps
MVE 4/16 4 16 GB 60 GB Ajustable de 20 Mbps a 10 Gbps
MVE 8/32 8 32 GB 60 GB Ajustable de 20 Mbps a 10 Gbps
MVE 12/48 12 48 GB 60 GB Ajustable de 20 Mbps a 10 Gbps

* El acceso de Megaport Internet es simétrico, redundante, diverso e incluye protección de depuración DDoS. El acceso de Megaport Internet se puede ajustar mediante la conexión Megaport Internet que se establece con el MVE.

A la hora de determinar el tamaño de instancia del MVE, se deben tener en cuenta estos elementos:

  • El aumento de la carga del flujo de datos de la red puede degradar el rendimiento. Por ejemplo, el establecimiento de túneles seguros con IPsec, la agregación de la dirección de la ruta de tráfico o el uso de la inspección profunda de paquetes (DPI) pueden influir en la velocidad máxima de rendimiento.

  • Planes futuros para escalar la red.

¿Y si necesito más capacidad de MVE en el futuro?

Tiene varias opciones:

  • Puede aprovisionar otra instancia de MVE, añadirla a su red superpuesta SD-WAN y dividir la carga de trabajo entre los dos MVE.

  • Puede aprovisionar una instancia de MVE más grande, añadirla a su red superpuesta SD-WAN, migrar las conexiones del MVE antiguo al nuevo MVE y retirar el MVE antiguo.

Si necesita más núcleos (vCPU), puede:

  • Pedir un nuevo MVE con más núcleos y terminar el anterior (para ello tendrá que volver a configurar su firewall).
  • Pedir un nuevo MVE como segundo firewall para descargar la capacidad del primer firewall.

Puede ajustar el ancho de banda de Megaport Internet en cualquier momento sin tener que desactivar la máquina virtual.

Licencias

Debe aportar su propia licencia de VM-Series para su uso con MVE. Es su responsabilidad tener las licencias correspondientes para los puntos de conexión creados en la red de Megaport.

Para adquirir una licencia de VM-Series, le recomendamos comenzar con la herramienta de estimación de crédito de Palo Alto Networks.

Recomendaciones:

  • Asegúrese de que la cantidad de vCPU que seleccione se ajuste a sus requisitos.
  • En Environment (Entorno), elija Kernel-based Virtual Machine (KVM) (Máquina virtual basada en kernel [KVM]).
  • Para garantizar un rendimiento óptimo, le recomendamos que iguale la cantidad de vCPU de su licencia de VM-Series a la cantidad de vCPU de su MVE.

Etiquetado VLAN

Megaport utiliza Q-in-Q para diferenciar VXC y MVE en un sistema de hardware de host. El MVE del inquilino recibe tráfico sin etiquetar para el enlace que da a Internet, y tráfico 802.1Q de etiqueta única para VXC hacia otros destinos en la red de Megaport (como accesos a CSP u otros MVE).

vNIC

Cada MVE puede tener hasta 5 vNIC. Un MVE se crea con 2 vNIC de forma predeterminada. Puede añadir 3 más, hasta sumar un total de 5.

Antes de especificar el número de vNIC en su MVE:

  • Tenga en cuenta que el número de vNIC no se puede cambiar después de pedir un MVE. Decida de antemano cuántas vNIC quiere especificar cuando cree el MVE.

  • Consulte a su proveedor de servicios para asegurarse de que la funcionalidad no se vea afectada si añade una vNIC.

Nota

Si necesita cambiar el número de vNIC después de haber pedido un MVE, tendrá que cancelar y volver a pedir el MVE.