Co-existentie van Security Service Edge (SSE) met Microsoft en Cisco Secure Access

Meer informatie over het configureren van co-existentie van Security Service Edge (SSE) met behulp van Global Secure Access en Cisco Secure Access.

In het huidige digitale landschap hebben organisaties robuuste, geïntegreerde oplossingen nodig voor veilige en naadloze connectiviteit. Global Secure Access en Cisco Secure Access bieden aanvullende SASE-mogelijkheden (Secure Access Service Edge). Wanneer deze platforms zijn geïntegreerd, verbeteren deze platformen de beveiliging en connectiviteit voor diverse toegangsscenario's.

In deze handleiding wordt beschreven hoe u global Secure Access-oplossingen configureert en implementeert naast Cisco Secure Access SSE-aanbiedingen. Door beide platforms te gebruiken, kunt u het beveiligingspostuur van uw organisatie optimaliseren met behoud van krachtige connectiviteit voor privétoepassingen, Microsoft 365-verkeer en internettoegang.

Scenariën

In deze handleiding worden de volgende co-existentiescenario's behandeld:

1. Microsoft Entra Private Access met Cisco Secure Internet Access. In dit scenario verwerkt Global Secure Access privétoepassingsverkeer. Cisco Secure Internet Access biedt DNS-beveiliging en SWG-mogelijkheden.

2. Microsoft Entra Private Access met Cisco Secure Internet Access en Cisco Secure Private Access. In dit scenario verwerken beide clients verkeer voor afzonderlijke privétoepassingen. Global Secure Access verwerkt privétoepassingen in Microsoft Entra Private Access, terwijl de Cisco Secure Client - Zero Trust Access-module privétoepassingen verwerkt in Cisco Secure Private Access. Web- en DNS-verkeer wordt beveiligd door Cisco Secure Internet Access.

3. Microsoft Entra Microsoft Access met Cisco Secure Internet Access en Cisco Secure Private Access. Global Secure Access beheert al het Microsoft 365-verkeer. De Cisco Secure Client - Zero Trust Access-module verwerkt privétoepassingen in Cisco Secure Private Access. Web- en DNS-verkeer wordt beveiligd door Cisco Secure Internet Access.

4. Microsoft Entra Internet Access en Microsoft Entra met Cisco Secure Private Access. Global Secure Access beheert internet- en Microsoft-verkeer. Cisco Secure Access verwerkt alleen privétoegang met de Cisco Secure Client - Zero Trust Access-module.

Vereiste voorwaarden

Globale beveiligde toegang en Cisco Secure Access configureren voor een geïntegreerde SASE-oplossing:

• Globale beveiligde toegang instellen (Microsoft Entra Internet Access en Microsoft Entra Private Access).
• Configureer Cisco Secure Internet Access en Secure Private Access.
• Stel vereiste FQDN- en IP-bypasss in voor integratie tussen de platforms.

Globale instelling voor beveiligde toegang

1. Schakel verschillende profielen voor het doorsturen van verkeer in en uit voor uw Microsoft Entra-tenant. Zie Profielen voor het doorsturen van verkeer.
2. Installeer en configureer de privénetwerkconnector voor Private Access-toepassingen. Zie Connectors configureren.
3. Snelle toegang tot privébronnen configureren en privé-DNS- en DNS-achtervoegsels instellen. Zie Quick Access configureren.
4. Installeer en configureer de Global Secure Access-client op apparaten van eindgebruikers. Zie Global Secure Access-clients.

Opmerking

Privénetwerkconnectors zijn vereist voor Private Access-toepassingen.

Cisco Secure Access instellen

1. Stel een resourceconnector in voor privétoepassingen. Zie de Cisco-documentatie voor het beheren van resourceconnectors en connectorgroepen.
2. Gebruikers en groepen inrichten. Integratie met Microsoft Entra ID biedt de beste gebruikerservaring. Zie de Cisco-documentatie voor de SAML-configuratie van Microsoft Entra ID.
3. Voeg privébronnen toe en maak toegangsbeleid. Zie de Cisco-documentatie voor het beheren van regels voor privétoegang.
4. Stel internetbeveiliging in en configureer bypasses voor co-existentie. Zie de Cisco-documentatie voor het beheren van internetbeveiliging.
5. Installeer en configureer de Cisco Secure Client. Zie de Cisco-documentatie voor het downloaden en installeren van de client voor Windows en macOS.

Belangrijk

Cisco heeft een CSC-functie (Cisco Secure Client) uitgebracht om co-existentie met Global Secure Access te verbeteren. Deze stappen moeten worden uitgevoerd na de eerste installatie of opnieuw installeren (niet vereist om opnieuw te worden uitgevoerd bij het upgraden), van CSC-versie 5.1.10.x (of hoger).

1. Installeer Cisco Secure Client versie 5.1.10.x.
2. Open de CMD-prompt als beheerder en voer deze opdrachten uit:
3. "%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -slwm 10
4. net stop csc_vpnagent && net stop acsock && net start csc_vpnagent

Bypassconfiguratie voor coëxistentie

Omzeilen van vereiste IP's en FQDN's van Cisco Secure Access/Umbrella in Global Secure Access

1. Ga in het Microsoft Entra-beheercentrum naar Global Secure Access > Connect Verkeer > Doorsturen > Internettoegangsprofiel.
2. Selecteer Weergave onder Beleid voor internettoegang.
3. Vouw Aangepaste bypass uit en selecteer Regel toevoegen.
4. Voer de volgende IP-adressen in: 208.67.222.222, 208.67.220.220, 67.215.64.0/19, 146.112.0.0/16, 155.190.0.0/16, 185.60.84.0/22, 204.194.232.0/21, 208.67.216.0/21, 208.69.32.0/21
5. Voeg een regel toe voor de bestemming: *.zpc.sse.cisco.com
6. Selecteer Opslaan.

Global Secure Access IPs en FQDNs overslaan in Cisco Secure Access/Umbrella

Cisco Secure Access Portal

1. Ga in de Cisco Secure Access-portal naar Verbinding maken met > internetbeveiliging voor eindgebruikers>.
2. In de sectie Verkeer sturen selecteer Bestemming toevoegen om Veilige toegang te omzeilen >, voeg de volgende FQDN toe en sla op: *.globalsecureaccess.microsoft.com

   Opmerking

   Cisco Secure Access heeft een impliciet jokerteken, zodat u deze kunt gebruiken globalsecureaccess.microsoft.com.

3. Voeg deze Microsoft 365-FQDN's toe (alleen vereist als Microsoft Traffic Forwarding-profiel is ingeschakeld): auth.microsoft.com, msftidentity.com, msidentity.com, onmicrosoft.com, outlook.com, protection.outlook.com, sharepoint.com, sharepointonline.com, svc.ms, wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net
4. Voeg de FQDN voor snelle toegang toe (alleen vereist als u Persoonlijke toegang met Snelle toegang gebruikt). <quickaccessapplicationid>.globalsecureaccess.local

   Opmerking

   Vervang door <quickaccessapplicationid> de toepassings-id van uw Quick Access-app.

5. Voeg DNS-achtervoegsels toe die zijn gedefinieerd in uw privé-DNS- of Enterprise App-segmenten (alleen vereist als het doorsturen van privétoegangsprofiel is ingeschakeld). Als uw privé-DNS-achtervoegsel bijvoorbeeld is contoso.local en u een privé-app contoso.comhebt, voegt u beide achtervoegsels toe.
6. Selecteer in de sectie Traffic Steering Bestemming toevoegen: Bypass alleen webproxy >, voeg deze IP's toe en sla op: 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16
7. Voeg deze IP-adressen van Microsoft 365 toe (alleen vereist als het doorsturen van Microsoft-verkeer is ingeschakeld): 132.245.0.0/16, 204.79.197.215/32, 150.171.32.0/22, 131.253.33.215/32, 23.103.160.0/20, 40.96.0.0/13, 52.96.0.0/14, 40.104.0.0/15, 13.107.128.0/22, 13.107.18.10/31, 13.107.6.152/31, 52.238.78.88/32, 104.47.0.0/17, 52.100.0.0/14, 40.107.0.0/16, 40.92.0.0/15, 150.171.40.0/22, 52.104.0.0/14, 104.146.128.0/17, 40.108.128.0/17, 13.107.136.0/22, 40.126.0.0/18, 20.231.128.0/19, 20.190.128.0/18, 20.20.32.0/19
8. Start Cisco Umbrella-clientservices opnieuw of start de computer waarop de clients zijn geïnstalleerd opnieuw op.

Cisco Umbrella Portal

1. Voeg domeinachtervoegsels en FQDN's van de Microsoft Entra-service toe aan de lijst met interne domeinen : *.globalsecureaccess.microsoft.com

   Opmerking

   Cisco Umbrella ondersteunt impliciete jokertekens, zodat u deze kunt gebruiken globalsecureaccess.microsoft.com.

2. Voeg deze Microsoft 365-FQDN's toe (alleen vereist als Microsoft Traffic Forwarding-profiel is ingeschakeld): auth.microsoft.com, msftidentity.com, msidentity.com, onmicrosoft.com, outlook.com, protection.outlook.com, sharepoint.com, sharepointonline.com, svc.ms, wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net
3. Voeg de FQDN voor snelle toegang toe (alleen vereist als u Persoonlijke toegang met Snelle toegang gebruikt). <quickaccessapplicationid>.globalsecureaccess.local

   Opmerking

   Vervang door <quickaccessapplicationid> de toepassings-id van uw Quick Access-app.

4. Voeg DNS-achtervoegsels toe die zijn gedefinieerd in uw privé-DNS- of Enterprise App-segmenten (alleen vereist als het doorsturen van privétoegangsprofiel is ingeschakeld). Als uw privé-DNS-achtervoegsel bijvoorbeeld is contoso.local en u een privé-app contoso.comhebt, voegt u beide achtervoegsels toe.
5. Voeg in de sectie Externe domeinen en IP's deze GLOBAL Secure Access IP's en FQDN toe: *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16
6. Voeg deze IP-adressen van Microsoft 365 toe (alleen vereist als het doorsturen van Microsoft-verkeer is ingeschakeld): 132.245.0.0/16, 204.79.197.215/32, 150.171.32.0/22, 131.253.33.215/32, 23.103.160.0/20, 40.96.0.0/13, 52.96.0.0/14, 40.104.0.0/15, 13.107.128.0/22, 13.107.18.10/31, 13.107.6.152/31, 52.238.78.88/32, 104.47.0.0/17, 52.100.0.0/14, 40.107.0.0/16, 40.92.0.0/15, 150.171.40.0/22, 52.104.0.0/14, 104.146.128.0/17, 40.108.128.0/17, 13.107.136.0/22, 40.126.0.0/18, 20.231.128.0/19, 20.190.128.0/18, 20.20.32.0/19
7. Start Cisco Umbrella-clientservices opnieuw of start de computer waarop de clients zijn geïnstalleerd opnieuw op.

Configuratiescenario's

1. Microsoft Entra Private Access met Cisco Secure Internet Access

Globale configuratie voor beveiligde toegang

1. Het doorsturen van privétoegangsprofiel inschakelen.
2. Installeer een privénetwerkconnector.
3. Snelle toegang en privé-DNS configureren.
4. Installeer en configureer de Global Secure Access-client voor Windows of macOS.

Cisco Secure Access-configuratie

1. Configureer de vereiste bestemmingen om internetbeveiliging te omzeilen. Zie Global Secure Access IP's en FQDN's overslaan in Cisco Secure Access/Umbrella en selecteer het tabblad voor de Cisco Secure Access-portal of Umbrella-portal.
2. Implementeer en configureer Cisco Secure Client met Umbrella-module.

Validation

1. Zorg ervoor dat beide clients zijn ingeschakeld en het Umbrella-profiel is Active.
2. Als u wilt controleren of regels worden toegepast en gezondheidscontroles worden doorgegeven, gebruikt u Geavanceerde Diagnose in de Global Secure Access-client.
3. Test de verkeersstroom door toegang te krijgen tot verschillende sites en verkeerslogboeken op beide platforms te valideren.
   1. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client > Advanced Diagnostics, Traffic-tab > Verzamelen starten.
   2. Toegang tot bing.com, salesforce.comoutlook.office365.com in browsers.
   3. Controleer of de Global Secure Access-client geen verkeer vastlegt voor deze sites.
   4. Controleer in de Cisco Secure Access-portal of verkeer naar deze sites is geregistreerd.
   5. Toegang tot privétoepassingen via Global Secure Access (bijvoorbeeld SMB-bestandsshare).
   6. Controleer of het SMB-bestandsshareverkeer wordt vastgelegd in global Secure Access-logboeken en niet wordt weergegeven in Cisco-logboeken.
   7. Stop met het verzamelen van verkeer en bevestig de juiste verkeersafhandeling.

2. Microsoft Entra Private Access met Cisco Secure Internet Access en Cisco Secure Private Access

Globale configuratie voor beveiligde toegang

1. Het doorsturen van privétoegangsprofiel inschakelen.
2. Installeer een privénetwerkconnector.
3. Snelle toegang en privé-DNS configureren.
4. Installeer en configureer de Global Secure Access-client voor Windows of macOS.

Cisco Secure Access-configuratie

1. Configureer de vereiste bestemmingen om internetbeveiliging te omzeilen. Zie Global Secure Access IP's en FQDN's overslaan in Cisco Secure Access/Umbrella en selecteer het tabblad voor de Cisco Secure Access-portal of Umbrella-portal.
2. Implementeer en configureer Cisco Secure Client met Zero Trust Access- en Umbrella-modules.
3. Voeg privébronnen toe en maak toegangsbeleid.

Validation

1. Zorg ervoor dat beide clients zijn ingeschakeld en het Umbrella-profiel is Active.
2. Als u wilt controleren of regels worden toegepast en statuscontroles worden doorgegeven, kunt u Geavanceerde Diagnostiek in de Global Secure Access-client gebruiken.
3. Test de verkeersstroom door toegang te krijgen tot verschillende sites en verkeerslogboeken op beide platforms te valideren.
   1. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client > Advanced Diagnostics, Traffic-tab > Verzamelen starten.
   2. Toegang tot bing.com, salesforce.comoutlook.office365.com in browsers.
   3. Controleer of de Global Secure Access-client geen verkeer vastlegt voor deze sites.
   4. Controleer in de Cisco Secure Access-portal of verkeer naar deze sites wordt vastgelegd.
   5. Toegang tot privétoepassingen via Global Secure Access (bijvoorbeeld SMB-bestandsshare).
   6. Toegang tot privébronnen via Cisco Secure Private Access (bijvoorbeeld RDP-sessie).
   7. Controleer of het SMB-bestandsshareverkeer wordt vastgelegd in global Secure Access-logboeken en niet wordt weergegeven in Cisco-logboeken.
   8. Controleer of het RDP-verkeer wordt vastgelegd in Cisco-logboeken en niet wordt weergegeven in global Secure Access-logboeken.
   9. Stop met het verzamelen van verkeer en bevestig de juiste verkeersafhandeling.

3. Microsoft Entra Microsoft Access met Cisco Secure Internet Access en Cisco Secure Private Access

Globale configuratie voor beveiligde toegang

1. Schakel het doorsturen van Microsoft Access-profiel in.
2. Installeer en configureer de Global Secure Access-client voor Windows of macOS.

Cisco Secure Access-configuratie

1. Configureer de vereiste bestemmingen om internetbeveiliging te omzeilen, inclusief andere Ip-adressen van Microsoft en FQDN's. Zie Global Secure Access IP's en FQDN's overslaan in Cisco Secure Access/Umbrella en selecteer het tabblad voor de Cisco Secure Access-portal of Umbrella-portal.
2. Implementeer en configureer Cisco Secure Client met Zero Trust Access- en Umbrella-modules.
3. Voeg privébronnen en toegangsbeleid toe.

Validation

1. Zorg ervoor dat beide clients zijn ingeschakeld en het Umbrella-profiel is Active.
2. Als u wilt controleren of regels worden toegepast en gezondheidscontroles worden doorgegeven, gebruikt u Geavanceerde Diagnose in de Global Secure Access-client.
3. Test de verkeersstroom door toegang te krijgen tot verschillende sites en verkeerslogboeken op beide platforms te valideren.
   1. Begin met het verzamelen van verkeer in de Global Secure Access-client.
   2. Toegang tot bing.com in salesforce.com webbrowsers.
   3. Controleer of de Global Secure Access-client geen verkeer vastlegt voor deze sites.
   4. Controleer in de Cisco Secure Access-portal of het verkeer naar deze sites is vastgelegd.
   5. Toegang outlook.office365.com, <yourtenantdomain>.sharepoint.com.
   6. Valideer Global Secure Access-verkeerslogboeken om te controleren of deze sites worden weergegeven; Cisco Secure Access niet.
   7. Toegang tot privébronnen via Cisco Secure Private Access.
   8. Valideer verkeerslogboeken in beide portals.
   9. Stop met het verzamelen van verkeer en bevestig dat Global Secure Access alleen vastgelegd Microsoft-verkeer heeft.

4. Microsoft Entra Internet Access en Microsoft Access met Cisco Secure Private Access

Globale configuratie voor beveiligde toegang

1. Schakel doorstuurprofielen voor Internet Access en Microsoft Access in.
2. Installeer en configureer de Global Secure Access-client voor Windows of macOS.
3. Voeg een aangepaste bypass toe voor Cisco Secure Access: *.zpc.sse.cisco.com.

Cisco Secure Access-configuratie

1. Configureer de vereiste bestemmingen om internetbeveiliging te omzeilen, inclusief andere Ip-adressen van Microsoft en FQDN's. Zie Global Secure Access IP's en FQDN's overslaan in Cisco Secure Access/Umbrella en selecteer het tabblad voor de Cisco Secure Access-portal of Umbrella-portal.
2. Implementeer en configureer Cisco Secure Client met zero Trust Access-module.
3. Voeg privébronnen en toegangsbeleid toe.

Opmerking

Voor dit scenario verwerkt Cisco Secure Access alleen privéverkeer. De Umbrella-module is niet geïnstalleerd.

Validation

1. Zorg ervoor dat beide clients zijn ingeschakeld.
2. Als u wilt controleren of regels worden toegepast en statuscontroles slagen, gebruikt u Geavanceerde diagnostiek in de Global Secure Access Client.
3. Test de verkeersstroom door toegang te krijgen tot verschillende sites en verkeerslogboeken op beide platforms te valideren.
   1. Begin met het verzamelen van verkeer in de Global Secure Access-client.
   2. Verkrijg toegang tot bing.com, salesforce.com, outlook.office365.com.
   3. Controleer of de Global Secure Access-client verkeer vastlegt voor deze sites.
   4. Controleer in de Cisco Secure Access-portal of verkeer naar deze sites niet is vastgelegd.
   5. Toegang tot privébronnen via Cisco Secure Private Access.
   6. Valideer verkeerslogboeken in beide portals.
   7. Stop met het verzamelen van verkeer en controleer of Global Secure Access geen privétoepassingsverkeer heeft verwerkt.

Opmerking

Zie Troubleshoot de Global Secure Access-client: Statuscontrole voor het oplossen van problemen met de statuscontrole.

Volgende stappen

• Wat is globale beveiligde toegang?