Tudnivalók a Security Service Edge (SSE) és a Microsoft és a Cisco együttes használatáról
A Microsoft és a Cisco Security Service Edge (SSE) megoldásait egységes környezetben használhatja ki, hogy mindkét platformról robusztus képességeket használjon ki, és emelje fel a Secure Access Service Edge (SASE) útját. A platformok közötti szinergia fokozott biztonságot és zökkenőmentes kapcsolatot biztosít az ügyfelek számára.
Ez a dokumentum a megoldások egymás melletti üzembe helyezésének lépéseit tartalmazza, különösen a Microsoft Entra privát hozzáférés (saját DNS funkció engedélyezve van) és a Cisco Umbrellat az internet-hozzáféréshez és a DNS-réteg biztonságához.
Konfiguráció áttekintése
A Microsoft Entra-ban engedélyezi a privát hozzáférésű adattovábbítási profilt, és letiltja az Internet Access és a Microsoft 365 adattovábbítási profiljait. A privát hozzáférés saját DNS funkcióját is engedélyezheti és konfigurálhatja. A Cisco-ban az Internet Access-forgalmat rögzíti.
Feljegyzés
Az ügyfeleket Windows 10 vagy Windows 11 Microsoft Entra csatlakoztatott eszközre vagy Hibrid Microsoft Entra-eszközre kell telepíteni.
Microsoft Entra privát hozzáférés konfiguráció
Engedélyezze a Microsoft Entra privát hozzáférés forgalomtovábbítási profilt a Microsoft Entra-bérlőjéhez. A profilok engedélyezésével és letiltásával kapcsolatos további információkért lásd: Global Secure Access traffic forwarding profiles.
Telepítse és konfigurálja a globális biztonságos hozzáférési ügyfelet végfelhasználói eszközökön. További információ az ügyfelekről: Global Secure Access-ügyfelek. A Windows-ügyfél telepítésének módjáról további információt a Windows globális biztonságos hozzáférésű ügyfélprogramjában talál.
Telepítse és konfigurálja a Microsoft Entra magánhálózati összekötőt. Az összekötő telepítéséről és konfigurálásáról az Összekötők konfigurálása című témakörben olvashat.
Feljegyzés
Az összekötő 1.5.3829.0-s vagy újabb verziója szükséges a saját DNS.
Konfigurálja a privát erőforrások gyors elérését, és állítsa be saját DNS és DNS-utótagokat. A gyorselérés konfigurálásáról a Gyorselérés konfigurálása című témakörben olvashat.
Cisco-konfiguráció
Adja hozzá a tartomány utótagjait a Microsoft Entra Gyorselérés és a Microsoft Entra szolgáltatás teljes tartománynevével a belső tartományok tartománykezelésében a Cisco Esernyő DNS-ének megkerüléséhez. Adja hozzá a Microsoft Entra szolgáltatás teljes tartománynevét és IP-címét a külső tartományok tartománykezelésében a Cisco biztonságos webátjárójának (SWG) megkerüléséhez.
- A Cisco Umbrella portálon lépjen az Üzembe helyezések konfigurációs > > tartománykezelésére.
- A Belső tartományok szakaszban adja hozzá ezeket, és mentse őket.
*.globalsecureaccess.microsoft.com
Feljegyzés
Cisco Umbrella egy hallgatólagos helyettesítő karakter, így használhatja
globalsecureaccess.microsoft.com
.<quickaccessapplicationid>.globalsecureaccess.local
Feljegyzés
quickaccessapplicationid
A konfigurált gyorselérési alkalmazás alkalmazásazonosítója.- A gyorselérési alkalmazásban konfigurált DNS-utótagok.
- A Külső tartományok és IP-címek szakaszban adja hozzá ezeket a teljes tartományneveket és IP-címeket, és mentse őket.
*.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16
Feljegyzés
A Cisco Umbrella egy implicit helyettesítő karaktert tartalmaz, így használhatja
globalsecureaccess.microsoft.com
a teljes tartománynevet.
- Indítsa újra a Cisco Umbrella és a Cisco SWG ügyfélszolgáltatásokat, vagy indítsa újra azt a gépet, amelyen az ügyfelek telepítve vannak.
Miután mindkét ügyfél egymás mellett lett telepítve és fut, és a felügyeleti portálok konfigurációi befejeződtek, lépjen a rendszertálcára, és ellenőrizze, hogy engedélyezve van-e a globális biztonságos hozzáférés és a Cisco-ügyfelek.
Ellenőrizze a Global Secure Access-ügyfél konfigurációját.
- Kattintson a jobb gombbal a Global Secure Access ügyfél > speciális diagnosztikai továbbítási > profiljára , és ellenőrizze, hogy csak a privát hozzáférési szabályok vonatkoznak-e az ügyfélre.
- Az Advanced Diagnostics Health Check (Speciális diagnosztika állapotellenőrzése > ) területen győződjön meg arról, hogy az ellenőrzések nem meghiúsulnak.
Forgalom tesztelése
A Microsoft SSE-konfigurációja: Engedélyezze a Microsoft Entra privát hozzáférés, tiltsa le az Internet Access és a Microsoft 365 forgalomátirányítási profilokat.
Cisco SSE-konfiguráció: Az internet-hozzáférési forgalom rögzítve van. A privát hozzáférésű forgalom ki van zárva.
- A tálcán kattintson a jobb gombbal a Global Secure Access ügyfélikonra, majd válassza a Speciális diagnosztika lehetőséget. Válassza a Forgalom lapot, és válassza a Gyűjtés indítása lehetőséget.
- Hozzáférés az Entra Private Access szolgáltatással konfigurált privát erőforrásokhoz, például az SMB-fájlmegosztáshoz. Nyissa meg
\\YourFileServer.yourdomain.com
a Start/Futtatás menüt egy kezelőablakból. - A tálcán kattintson a jobb gombbal a Global Secure Access-ügyfélre, majd válassza a Speciális diagnosztika lehetőséget. A Hálózati forgalom párbeszédpanelen válassza a Adatgyűjtés leállítása lehetőséget.
- A Hálózati forgalom párbeszédpanelen görgessen, és figyelje meg a generált forgalmat annak ellenőrzéséhez, hogy a Privát hozzáférés forgalmat a Globális biztonságos hozzáférés ügyfél kezelte-e.
- Azt is ellenőrizheti, hogy a forgalmat a Microsoft Entra rögzíti-e, ha ellenőrzi a globális biztonságos hozzáférésű hozzáférés forgalmi naplóinak forgalmát a Microsoft Entra felügyeleti központjából a Globális biztonságos hozzáférés-figyelő forgalmi naplóiban.> >
- A böngészőkből elérheti a webhelyeket, és ellenőrizheti, hogy hiányzik-e az internetes forgalom a globális biztonságos hozzáférés forgalmi naplóiból, és csak a Cisco Umbrellaben rögzítve.