Co-existentie van Security Service Edge (SSE) met Microsoft en Cisco Umbrella DNS-beveiliging

Meer informatie over het implementeren van Global Secure Access en Cisco Umbrella, met alleen DNS-beveiliging, in een geïntegreerde omgeving. Deze handleiding bevat stapsgewijze instructies voor het configureren van beide platforms om de beveiliging en connectiviteit te verbeteren als onderdeel van uw SASE-strategie (Secure Access Service Edge). De configuraties die worden beschreven, zijn van toepassing op zowel Cisco Umbrella als Cisco Secure Access. Gedetailleerde instructies voor het configureren van elke portal worden gegeven.

Opmerking

Deze scenario's bevatten alleen DNS-beveiliging. Als u Cisco's Secure Web Gateway wilt opnemen, raadpleegt u de co-existentieconfiguraties in de handleiding voor Cisco Secure Access.

Scenariën

In deze handleiding worden de volgende co-existentiescenario's behandeld:

1. Microsoft Entra Internet Access en Microsoft Entra Microsoft Access met Cisco Umbrella DNS-beveiliging. In dit scenario verwerkt Global Secure Access internet- en Microsoft-verkeer. Cisco Umbrella biedt DNS-beveiliging. Cisco Secure Web Gateway-functies moeten worden uitgeschakeld.
2. Microsoft Entra Internet Access, Microsoft Access en Microsoft Entra Private Access met Cisco Umbrella DNS-beveiliging. In dit scenario verwerkt Global Secure Access internet-, Microsoft- en Private Access-verkeer. Cisco Umbrella verwerkt DNS. Cisco Secure Web Gateway moet worden uitgeschakeld.

Vereiste voorwaarden

1. Cisco SWG-functies moeten worden uitgeschakeld voor deze configuraties.
2. Integratie met Microsoft Entra ID wordt aanbevolen voor de beste gebruikerservaring.

Globale instelling voor beveiligde toegang

Globale beveiligde toegang configureren:

1. Verkeer doorstuurprofielen in- of uitschakelen voor uw Microsoft Entra-tenant.
   Zie globale profielen voor het doorsturen van verkeer via secure access.
2. Installeer en configureer de Microsoft Entra Private Network Connector voor Private Access-toepassingen.
   Zie Connectors configureren.
3. Snelle toegang tot privébronnen configureren en privé-DNS- en DNS-achtervoegsels instellen.
   Zie Hoe Snelle toegang te configureren.
4. Installeer en configureer de Global Secure Access-client op apparaten van eindgebruikers.
   Zie Global Secure Access-clients.

Opmerking

Privénetwerkconnectors zijn vereist voor Private Access-toepassingen.

Cisco Umbrella instellen

Cisco Umbrella configureren:

1. Gebruikers en groepen inrichten.
   Integratie met Microsoft Entra-id wordt aanbevolen. Zie de Configuratiehandleiding voor Microsoft Entra ID SAML voor Umbrella of Cisco Secure Access.
2. Maak een beleid om een bestemming of inhoud te blokkeren voor testen. Zie de Cisco Umbrella beleidsregels of de documentatie van Cisco Secure Access Internet Access-regels voor meer gedetailleerde informatie.
3. Rol de Cisco Secure Client uit en installeer hem.

Belangrijk

Cisco heeft een CSC-functie (Cisco Secure Client) uitgebracht om co-existentie met Global Secure Access te verbeteren. Deze stappen moeten worden uitgevoerd na de eerste installatie of opnieuw installeren (niet vereist om opnieuw te worden uitgevoerd bij het upgraden), van CSC-versie 5.1.10.x (of hoger).

1. Installeer Cisco Secure Client versie 5.1.10.x.
2. Open de CMD-prompt als beheerder en voer deze opdrachten uit:
3. "%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -slwm 10
4. net stop csc_vpnagent && net stop acsock && net start csc_vpnagent

Bypassconfiguratie voor coëxistentie

Umbrella/Cisco Secure Access vereiste IP-adressen overslaan in Global Secure Access

1. Ga in het Microsoft Entra-beheercentrum naar Global Secure Access > Connect Verkeer > Doorsturen > Internettoegangsprofiel.
2. Selecteer Weergave onder Beleid voor internettoegang.
3. Vouw Aangepaste bypass uit en selecteer Regel toevoegen.
4. Voer de volgende IP-adressen in: 208.67.222.222, 208.67.220.220, 67.215.64.0/19, 146.112.0.0/16, 155.190.0.0/16, 185.60.84.0/22, 204.194.232.0/21, 208.67.216.0/21, 208.69.32.0/21
5. Selecteer Opslaan.

Global Secure Access IPs en FQDN's omzeilen in Umbrella/Cisco Secure Access

Cisco Umbrella Portal

1. Voeg domeinachtervoegsels en FQDN's van de Microsoft Entra-service toe aan de lijst interne domeinen van Deployments > Configuration > Domain Management>:*.globalsecureaccess.microsoft.com

   Opmerking

   Cisco Umbrella ondersteunt impliciete jokertekens, zodat u deze kunt gebruiken globalsecureaccess.microsoft.com.

2. Voeg deze Microsoft FQDN's toe (alleen vereist als microsoft traffic forwarding-profiel is ingeschakeld): auth.microsoft.com, msftidentity.com, msidentity.com, onmicrosoft.com, outlook.com, protection.outlook.com, sharepoint.com, sharepointonline.com, svc.ms, wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net
3. Voeg de FQDN voor snelle toegang toe (alleen vereist als u Persoonlijke toegang met Snelle toegang gebruikt). <quickaccessapplicationid>.globalsecureaccess.local

Opmerking

Vervang door <quickaccessapplicationid> de toepassings-id van uw Quick Access-app. 4. Voeg DNS-achtervoegsels toe die zijn gedefinieerd in uw privé-DNS- of Enterprise App-segmenten (alleen vereist als het doorsturen van privétoegangsprofiel is ingeschakeld). Als uw privé-DNS-achtervoegsel bijvoorbeeld is contoso.local en u een privé-app contoso.comhebt, voegt u beide achtervoegsels toe. 5. Start Cisco Umbrella-clientservices opnieuw of start de computer waarop de clients zijn geïnstalleerd opnieuw op.

Cisco Secure Access Portal

1. Ga naar Verbinding maken met > internetbeveiliging voor > eindgebruikers.
2. Selecteer in Traffic Steering, Voeg bestemming Bypass Secure Access toe>, voeg deze FQDN toe en sla deze op:*.globalsecureaccess.microsoft.com

   Opmerking

   Cisco Secure Access heeft een impliciet jokerteken, zodat u deze kunt gebruiken globalsecureaccess.microsoft.com.

3. Voeg deze Microsoft FQDN's toe (alleen vereist als microsoft traffic forwarding-profiel is ingeschakeld): auth.microsoft.com, msftidentity.com, msidentity.com, onmicrosoft.com, outlook.com, protection.outlook.com, sharepoint.com, sharepointonline.com, svc.ms, wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net
4. Voeg de FQDN voor snelle toegang toe (alleen vereist als u Persoonlijke toegang met Snelle toegang gebruikt). <quickaccessapplicationid>.globalsecureaccess.local

   Opmerking

   Vervang door <quickaccessapplicationid> de toepassings-id van uw Quick Access-app.

5. Voeg DNS-achtervoegsels toe die zijn gedefinieerd in uw privé-DNS- of Enterprise App-segmenten (alleen vereist als het doorsturen van privétoegangsprofiel is ingeschakeld). Als uw privé-DNS-achtervoegsel bijvoorbeeld is contoso.local en u een privé-app contoso.comhebt, voegt u beide achtervoegsels toe.
6. Start Cisco Umbrella-clientservices opnieuw of start de computer waarop de clients zijn geïnstalleerd opnieuw op.

Configuratiescenario's

1. Microsoft Entra Internet Access en Microsoft Entra Microsoft Access met Cisco Umbrella DNS-beveiliging.

Globale configuratie voor beveiligde toegang:

1. Schakel doorstuurprofielen voor Internet Access en Microsoft Access in.
2. Installeer en configureer de Global Secure Access-client voor Windows of macOS.

Cisco-configuratie:

1. Configureer de vereiste omleidingen voor bestemmingen. Zie Global Secure Access IP's en FQDN's overslaan in Umbrella/Cisco Secure Access en selecteer het tabblad voor de Cisco Secure Access-portal of Umbrella-portal.
2. Schakel de SWG voor Umbrella-apparaten of Cisco Secure Access-apparaten uit.
3. Installeer en configureer Cisco Secure Client-software met de Umbrella-module.

Validering:

1. Zorg ervoor dat beide clients zijn ingeschakeld en het Umbrella-profiel is Active.
2. nl-NL: Als u wilt controleren of regels worden toegepast en gezondheidscontroles worden doorgegeven, gebruikt u Geavanceerde diagnostische gegevens in de Global Secure Access-client.
3. Test de verkeersstroom door toegang te krijgen tot verschillende sites en verkeerslogboeken op beide platforms te valideren.
   1. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client > Advanced Diagnostics > Tabblad Verkeer > Begin met verzamelen.
   2. Toegang tot bing.com, salesforce.com, yelp.com in browsers.
   3. Controleer of de Global Secure Access-client het verkeer vastlegt voor deze sites. We verwachten niet dat de doel-FQDN-informatie voor deze sites op het tabblad Verkeer wordt weergegeven.
   4. Valideer in de Umbrella- of Cisco Secure Access-portal dat DNS-verkeer naar deze sites wordt vastgelegd.
   5. Toegang verkrijgen tot outlook.office365.com en <yourmicrosoftdomain>.sharepoint.com in browsers.
   6. Controleer of de Global Secure Access-client verkeer vastlegt voor deze sites. We verwachten wel dat de doel-FQDN-informatie voor deze sites wordt weergegeven.
   7. Toegang tot een site die is geblokkeerd door Cisco en controleer of de Cisco-blokpagina wordt weergegeven.
   8. Stop in Global Secure Access met het verzamelen van verkeer en bevestig de juiste verkeersafhandeling.

2. Microsoft Entra Internet Access, Microsoft Access en Microsoft Entra Private Access met Cisco Umbrella DNS-beveiliging.

Globale beveiligde toegang-configuratie:

1. Schakel doorstuurprofielen voor Internet Access, Microsoft Access en Private Access in.
2. Installeer een privénetwerkconnector.
3. Snelle toegang en privé-DNS configureren.
4. Installeer en configureer de Global Secure Access-client voor Windows of macOS.

Cisco-configuratie:

1. Configureer de vereiste omleidingen voor bestemmingen. Zie Global Secure Access IP's en FQDN's overslaan in Umbrella/Cisco Secure Access en selecteer het tabblad voor de Cisco Secure Access-portal of Umbrella-portal.
2. Schakel de SWG voor Umbrella-apparaten of Cisco Secure Access-apparaten uit.
3. Installeer en configureer Cisco Secure Client-software met de Umbrella-module.

Validering:

1. Zorg ervoor dat beide clients zijn ingeschakeld en het Umbrella-profiel is Active.
2. Als u wilt controleren of regels worden toegepast en gezondheidscontroles worden doorgegeven, gebruikt u Geavanceerde Diagnose in de Global Secure Access-client.
3. Test de verkeersstroom door toegang te krijgen tot verschillende sites en verkeerslogboeken op beide platforms te valideren.
   1. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client > Advanced Diagnostics, Traffic-tab > Verzamelen starten.
   2. Toegang tot bing.com, salesforce.comyelp.com in browsers.
   3. Controleer of de Global Secure Access-client verkeer vastlegt voor deze sites. We verwachten niet dat de doel-FQDN-informatie voor deze sites op het tabblad Verkeer wordt weergegeven.
   4. Valideer in de Umbrella- of Cisco Secure Access-portal dat DNS-verkeer naar deze sites wordt vastgelegd.
   5. Toegang tot outlook.office365.com in <yourmicrosoftdomain>.sharepoint.com webbrowsers.
   6. Controleer of de Global Secure Access-client verkeer vastlegt voor deze sites. We verwachten wel dat de doel-FQDN-informatie voor deze sites wordt weergegeven.
   7. Toegang tot een site die is geblokkeerd door Cisco en controleer of de Cisco-blokpagina wordt weergegeven.
   8. Open een microsoft Entra-privétoepassing (bijvoorbeeld een SMB-bestandsshare) en controleer of Global Secure Access verkeer vastlegt en Cisco niet.
   9. Stop in Global Secure Access met het verzamelen van verkeer en bevestig de juiste verkeersafhandeling.

Opmerking

Zie Troubleshoot de Global Secure Access-client: Statuscontrole voor het oplossen van problemen met de statuscontrole.

Volgende stappen

• Wat is globale beveiligde toegang?