Koexistence služby Security Service Edge (SSE) s ochranou Microsoftu a Cisco Umbrella DNS

Zjistěte, jak nasadit globální zabezpečený přístup a Cisco Umbrella, pouze se zabezpečením DNS v jednotném prostředí. Tato příručka obsahuje podrobné pokyny ke konfiguraci obou platforem pro zvýšení zabezpečení a připojení v rámci strategie SASE (Secure Access Service Edge). Konfigurace uvedené platí pro Cisco Umbrella i Cisco Secure Access. Jsou k dispozici podrobné pokyny ke konfiguraci jednotlivých portálů.

Poznámka:

Tyto scénáře obsahují pouze zabezpečení DNS. Pokud chcete zahrnout zabezpečenou webovou bránu Cisco, podívejte se na konfiguraci koexistence v průvodci zabezpečeným přístupem Cisco.

Scénáře

Tato příručka popisuje následující scénáře koexistence:

1. Microsoft Entra Internet Access a Microsoft Entra Microsoft Access s zabezpečením Cisco Umbrella DNS. V tomto scénáři Globální Zabezpečený Přístup zpracovává internetový provoz a provoz Microsoft. Cisco Umbrella poskytuje zabezpečení DNS. Funkce Cisco Secure Web Gateway by měly být zakázané.
2. Microsoft Entra Internet Access, Microsoft Access a Microsoft Entra Private Access s zabezpečením Cisco Umbrella DNS. V tomto scénáři globální zabezpečený přístup zpracovává provoz internetu, Microsoftu a privátního přístupu. Cisco Umbrella zpracovává DNS. Služba Cisco Secure Web Gateway by měla být zakázaná.

Požadavky

1. Pro tyto konfigurace musí být zakázané funkce Cisco SWG.
2. Pro zajištění nejlepšího uživatelského prostředí se doporučuje integrace s ID Microsoft Entra.

Nastavení globálního zabezpečeného přístupu

Konfigurace globálního zabezpečeného přístupu:

1. Povolte nebo zakažte profily přesměrování provozu pro vašeho tenanta Microsoft Entra.
   Viz profily směrování provozu Globálního zabezpečeného přístupu.
2. Nainstalujte a nakonfigurujte privátní síťový konektor Microsoft Entra pro aplikace privátního přístupu.
   Viz Postup konfigurace konektorů.
3. Nakonfigurujte rychlý přístup k privátním prostředkům a nastavte privátní DNS a přípony DNS.
   Podívejte se, jak nakonfigurovat rychlý přístup.
4. Nainstalujte a nakonfigurujte klienta globálního zabezpečeného přístupu na zařízeních koncových uživatelů.
   Viz klienti globálního zabezpečeného přístupu.

Poznámka:

Konektory privátní sítě jsou vyžadovány pro aplikace privátního přístupu.

Nastavení Cisco Umbrella

Konfigurace Cisco Umbrella:

1. Zřiďte uživatele a skupiny.
   Doporučuje se integrace s MICROSOFT Entra ID. Další informace najdete v průvodci konfigurací SAML pro Microsoft Entra ID Umbrella nebo Cisco Secure Access.
2. Vytvořte zásadu pro blokování cíle nebo obsahu pro testování. Podrobné informace naleznete v části Umbrella policies nebo v dokumentaci k pravidlům přístupu na internet pro Cisco Secure Access.
3. Nasaďte a nainstalujte klienta Cisco Secure Client.

Důležité

Cisco vydalo funkci Cisco Secure Client (CSC) pro zlepšení koexistence s globálním zabezpečeným přístupem. Tyto kroky je potřeba provést po počáteční instalaci nebo opětovné instalaci (není nutné znovu spustit při upgradu) CSC verze 5.1.10.x (nebo novější).

1. Nainstalujte Cisco Secure Client verze 5.1.10.x.
2. Otevřete příkaz příkazového řádku jako správce a spusťte tyto příkazy:
3. "%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -slwm 10
4. net stop csc_vpnagent && net stop acsock && net start csc_vpnagent

Obejití konfigurace pro koexistenci

Obejití Umbrella/Cisco zabezpečeného přístupu vyžaduje adresy IP v rámci globálního zabezpečeného přístupu

1. V Centru pro správu Microsoft Entra přejděte do Globálního bezpečného přístupu > Connect > předávání přenosu > profil přístupu k internetu.
2. V části Zásady přístupu k internetu vyberte Zobrazit.
3. Rozbalte Vlastní obejití a vyberte Přidat pravidlo.
4. Zadejte následující IP adresy: 208.67.222.222, 208.67.220.220, 67.215.64.0/19, 146.112.0.0/16, 155.190.0.0/16, 185.60.84.0/22, 204.194.232.0/21, 208.67.216.0/21, 208.69.32.0/21
5. Vyberte Uložit.

Obcházení globálních IP adres a plně kvalifikovaných názvů domén v Umbrella/Cisco Secure Access

Cisco Umbrella Portal

1. Přidejte přípony domény a plně kvalifikované názvy domén Microsoft Entra do seznamu interních domén řízení nasazení > Konfigurace > Správa domény>:*.globalsecureaccess.microsoft.com

   Poznámka:

   Cisco Umbrella podporuje implicitní zástupné znaky, takže můžete použít globalsecureaccess.microsoft.com.

2. Přidejte tyto plně kvalifikované názvy domén Microsoftu (vyžaduje se jenom, jestliže je povolen profil pro přesměrování provozu Microsoftu): auth.microsoft.com, msftidentity.com, msidentity.com, onmicrosoft.com, outlook.com, protection.outlook.com, sharepoint.com, sharepointonline.com, svc.ms, wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net
3. Přidejte plně kvalifikovaný název domény Rychlého přístupu (vyžaduje se jenom v případě, že používáte soukromý přístup s Rychlým přístupem). <quickaccessapplicationid>.globalsecureaccess.local

Poznámka:

Nahraďte <quickaccessapplicationid> ID aplikace Pro rychlý přístup. 4. Přidejte přípony DNS definované v segmentech privátního DNS nebo podnikové aplikace (vyžaduje se jenom v případě, že je povolený profil předávání přenosů privátního přístupu). Pokud je contoso.local například přípona privátního DNS a vy máte soukromou aplikaci contoso.com, přidejte obě přípony. 5. Restartujte klientské služby Cisco Umbrella nebo restartujte počítač, na kterém jsou klienti nainstalováni.

Cisco Secure Access Portal

1. Přejděte na Připojení > koncového uživatele > k zabezpečení internetu.
2. V řízení provozu vyberte Přidat cílový > obejít zabezpečený přístup, přidejte tento plně kvalifikovaný název domény a uložte: *.globalsecureaccess.microsoft.com

   Poznámka:

   Cisco Secure Access má implicitní zástupný znak, takže můžete použít globalsecureaccess.microsoft.com.

3. Přidejte tyto plně kvalifikované názvy domén Microsoftu (vyžaduje se jenom, jestliže je povolen profil pro přesměrování provozu Microsoftu): auth.microsoft.com, msftidentity.com, msidentity.com, onmicrosoft.com, outlook.com, protection.outlook.com, sharepoint.com, sharepointonline.com, svc.ms, wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net
4. Přidejte plně kvalifikovaný název domény Rychlého přístupu (vyžaduje se jenom v případě, že používáte soukromý přístup s Rychlým přístupem). <quickaccessapplicationid>.globalsecureaccess.local

   Poznámka:

   Nahraďte <quickaccessapplicationid> ID aplikace Pro rychlý přístup.

5. Přidejte přípony DNS definované v segmentech privátního DNS nebo podnikové aplikace (vyžaduje se jenom v případě, že je povolený profil předávání přenosů privátního přístupu). Pokud je contoso.local například přípona privátního DNS a vy máte soukromou aplikaci contoso.com, přidejte obě přípony.
6. Restartujte klientské služby Cisco Umbrella nebo restartujte počítač, na kterém jsou klienti nainstalováni.

Scénáře konfigurace

1. Microsoft Entra Internet Access a Microsoft Entra Microsoft Access s zabezpečením Cisco Umbrella DNS.

Globální konfigurace zabezpečeného přístupu:

1. Povolte profily předávání přes Internet Access a Microsoft Access.
2. Nainstalujte a nakonfigurujte klienta globálního zabezpečeného přístupu pro Windows nebo macOS.

Konfigurace Cisco:

1. Nakonfigurujte potřebné obcházení cílů. Pokyny najdete v tématu Obcházení globálních IP adres a plně kvalifikovaných názvů domén v aplikaci Umbrella/Cisco Secure Access a vyberte kartu portál Cisco Secure Access nebo portál Umbrella.
2. Zakažte SWG pro Umbrella zařízení nebo zařízení Cisco Secure Access.
3. Nainstalujte a nakonfigurujte software Cisco Secure Client pomocí modulu Umbrella.

Validace:

1. Ujistěte se, že oba klienti jsou povoleni a profil Umbrella je Active.
2. K ověření použití pravidel a průchodu kontrol stavu použijte rozšířenou diagnostiku v klientovi globálního zabezpečeného přístupu.
3. Otestujte tok provozu tak, že přistupujete k různým webům a ověřujete protokoly provozu na obou platformách.
   1. Na hlavním panelu systému klikněte pravým tlačítkem na ikonu Klient pro globální zabezpečený přístup > Advanced Diagnostics a poté přejděte na kartu Traffic > a vyberte možnost Zahájit shromažďování.
   2. Otevřete bing.com, salesforce.com, yelp.com v prohlížečích.
   3. Ověřte, že klient globálního zabezpečeného přístupu zachytává provoz pro tyto lokality. Neočekáváme, že se na kartě přenosů zobrazí informace o cílovém plně kvalifikovaném názvu domény pro tyto weby.
   4. Na portálu Umbrella nebo Cisco Secure Access ověřte, že se zaznamenává DNS provoz na tyto weby.
   5. Přístup k outlook.office365.com, <yourmicrosoftdomain>.sharepoint.com v prohlížečích.
   6. Ověřte, že klient globálního zabezpečeného přístupu zachytává provoz pro tyto lokality. Očekáváme, že se pro tyto weby zobrazí informace o cílovém plně kvalifikovaném názvu domény.
   7. Přejděte na web blokovaný společností Cisco a ověřte, že se zobrazí stránka bloku Cisco.
   8. V globálním zabezpečeném přístupu zastavte zaznamenávání provozu a potvrďte jeho správné zpracování.

2. Microsoft Entra Internet Access, Microsoft Access a Microsoft Entra Private Access s zabezpečením Cisco Umbrella DNS.

Globální konfigurace zabezpečeného přístupu:

1. Povolte profily přesměrování přístupu k internetu, Microsoft Accessu a privátního přístupu.
2. Nainstalujte privátní síťový konektor.
3. Konfigurace rychlého přístupu a privátního DNS
4. Nainstalujte a nakonfigurujte klienta globálního zabezpečeného přístupu pro Windows nebo macOS.

Konfigurace Cisco:

1. Nakonfigurujte potřebné obcházení cílů. Pokyny najdete v tématu Obcházení globálních IP adres a plně kvalifikovaných názvů domén v aplikaci Umbrella/Cisco Secure Access a vyberte kartu portál Cisco Secure Access nebo portál Umbrella.
2. Zakažte SWG pro Umbrella zařízení nebo zařízení Cisco Secure Access.
3. Nainstalujte a nakonfigurujte software Cisco Secure Client pomocí modulu Umbrella.

Validace:

1. Ujistěte se, že oba klienti jsou povoleni a profil Umbrella je Active.
2. K ověření použití pravidel a průchodu kontrol stavu použijte rozšířenou diagnostiku v klientovi globálního zabezpečeného přístupu.
3. Otestujte tok provozu tak, že přistupujete k různým webům a ověřujete protokoly provozu na obou platformách.
   1. Na hlavním panelu systému klikněte pravým tlačítkem na ikonu Klient pro globální zabezpečený přístup > Advanced Diagnostics a poté přejděte na kartu Traffic > a vyberte možnost Zahájit shromažďování.
   2. Otevřete bing.com, salesforce.com, yelp.com v prohlížečích.
   3. Ověřte, že klient globálního zabezpečeného přístupu zachytává provoz pro tyto lokality. Neočekáváme, že v panelu pro přenosy se zobrazí informace o cílovém FQDN pro tyto weby.
   4. Na portálu Umbrella nebo Cisco Secure Access ověřte, že se zaznamenává DNS provoz na tyto weby.
   5. Přístup k outlook.office365.com, <yourmicrosoftdomain>.sharepoint.com v prohlížečích.
   6. Ověřte, že klient globálního zabezpečeného přístupu zachytává provoz pro tyto lokality. Očekáváme, že se pro tyto weby zobrazí informace o cílovém plně kvalifikovaném názvu domény.
   7. Přejděte na web blokovaný společností Cisco a ověřte, že se zobrazí stránka bloku Cisco.
   8. Získejte přístup k privátní aplikaci Microsoft Entra (například sdílené složce SMB) a ověřte, že Global Secure Access zachytává provoz a Cisco nikoliv.
   9. V globálním zabezpečeném přístupu zastavte zaznamenávání provozu a potvrďte jeho správné zpracování.

Poznámka:

Informace o řešení potíží se selháními kontroly stavu najdete v tématu Řešení potíží s klientem globálního zabezpečeného přístupu: Kontrola stavu.

Další kroky

• Co je globální zabezpečený přístup?