Coexistência do SSE (Security Service Edge) com a proteção DNS da Microsoft e do Cisco Umbrella

Saiba como implantar o Acesso Seguro Global e o Cisco Umbrella, somente com segurança DNS, em um ambiente unificado. Este guia fornece instruções passo a passo para configurar ambas as plataformas para aprimorar a segurança e a conectividade como parte de sua estratégia de SASE (Secure Access Service Edge). As configurações descritas se aplicam ao Cisco Umbrella e ao Cisco Secure Access. Instruções detalhadas para configurar cada portal são fornecidas.

Observação

Esses cenários apresentam somente segurança DNS. Se você quiser incluir o Gateway Web Seguro da Cisco, consulte as configurações de coexistência no guia do Cisco Secure Access.

Cenários

Este guia aborda os seguintes cenários de coexistência:

1. Microsoft Entra Internet Access e Microsoft Entra Microsoft Access com a segurança do Cisco Umbrella DNS. Nesse cenário, o Acesso Seguro Global manipula o tráfego da Internet e da Microsoft. O Cisco Umbrella fornece segurança DNS. Os recursos do Cisco Secure Web Gateway devem ser desabilitados.
2. Microsoft Entra Internet Access, Microsoft Access e Microsoft Entra Private Access com segurança DNS do Cisco Umbrella. Nesse cenário, o tráfego de Internet, Microsoft e Acesso Privado são gerenciados pelo Acesso Seguro Global. O Cisco Umbrella manipula o DNS. O Cisco Secure Web Gateway deve estar desabilitado.

Pré-requisitos

1. Os recursos do Cisco SWG devem ser desabilitados para essas configurações.
2. A integração com a ID do Microsoft Entra é recomendada para melhor experiência do usuário.

Configuração global do Acesso Seguro

Para configurar o Acesso Seguro Global:

1. Ative ou desative perfis de encaminhamento de tráfego para seu tenant do Microsoft Entra.
   Consulte perfis de encaminhamento de tráfego do Acesso Seguro Global.
2. Instale e configure o conector de rede privada do Microsoft Entra para aplicativos de Acesso Privado.
   Veja como configurar conectores.
3. Configure o Acesso Rápido para recursos privados e configure DNS privadas e sufixos DNS.
   Veja como configurar o Acesso Rápido.
4. Instale e configure o cliente de Acesso Seguro Global em dispositivos de usuário final.
   Consulte clientes de Acesso Seguro Global.

Observação

Conectores de Rede Privada são necessários para aplicativos de Acesso Privado.

Configuração do Cisco Umbrella

Para configurar o Cisco Umbrella:

1. Provisione usuários e grupos.
   A integração com a ID do Microsoft Entra é recomendada. Consulte o guia de configuração do SAML do Microsoft Entra ID para o Umbrella ou o Cisco Secure Access.
2. Crie uma política para bloquear um destino ou conteúdo para teste. Para obter informações detalhadas, consulte as políticas do Umbrella ou a documentação do Cisco Secure Access Internet Access Rules.
3. Implante e instale o Cisco Secure Client.

Importante

A Cisco lançou um recurso do Cisco Secure Client (CSC) para melhorar a coexistência com o Acesso Seguro Global. Essas etapas precisam ser executadas após a instalação inicial ou a nova instalação (não necessárias para serem executadas novamente durante a atualização), do CSC versão 5.1.10.x (ou posterior).

1. Instale o Cisco Secure Client versão 5.1.10.x.
2. Abra o prompt do CMD como administrador e execute estes comandos:
3. "%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -slwm 10
4. net stop csc_vpnagent && net stop acsock && net start csc_vpnagent

Ignorar a configuração para coexistência

Ignorar os IPs necessários para o Acesso Seguro do Umbrella/Cisco no Acesso Seguro Global

1. No Centro de administração do Microsoft Entra, vá para Global Secure Access > Connect > Encaminhamento de tráfego > Perfil de acesso à Internet.
2. Em políticas de acesso à Internet, selecione Exibir.
3. Expanda o Bypass Personalizado e selecione Adicionar regra.
4. Insira os seguintes IPs: 208.67.222.222, 208.67.220.220, 67.215.64.0/19, 146.112.0.0/16, 155.190.0.0/16, 185.60.84.0/22, 204.194.232.0/21, 208.67.216.0/21, 208.69.32.0/21
5. Clique em Salvar.

Ignorar IPs de acesso seguro global e FQDNs no Acesso Seguro do Umbrella/Cisco

Cisco Umbrella Portal

1. Adicione sufixos de domínio e FQDNs do serviço Microsoft Entra à lista de Implantações > Configuração > Gerenciamento de Domínio > domínios internos: *.globalsecureaccess.microsoft.com

   Observação

   O Cisco Umbrella dá suporte a curingas implícitos, permitindo o uso de globalsecureaccess.microsoft.com.

2. Adicione esses FQDNs da Microsoft (necessário somente se o perfil de encaminhamento de tráfego da Microsoft estiver habilitado): auth.microsoft.com, msftidentity.com, msidentity.com, onmicrosoft.com, outlook.com, protection.outlook.com, sharepoint.com, sharepointonline.com, svc.ms, wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net
3. Adicione o FQDN de Acesso Rápido (necessário somente se você usar o Acesso Privado com Acesso Rápido). <quickaccessapplicationid>.globalsecureaccess.local

Observação

Substitua <quickaccessapplicationid> pela ID do aplicativo de Acesso Rápido. 4. Adicione sufixos DNS definidos em seus segmentos de DNS privado ou aplicativo empresarial (necessário somente se o perfil de encaminhamento de tráfego de Acesso Privado estiver habilitado). Por exemplo, se o sufixo DNS privado for contoso.local e você tiver um aplicativo privado em contoso.com, adicione ambos os sufixos. 5. Reinicie os serviços cliente cisco umbrella ou reinicie o computador em que os clientes estão instalados.

Cisco Secure Access Portal

1. Vá para Conectar-se > Conectividade do Usuário Final > Segurança da Internet.
2. Na Direção de Tráfego, selecione Adicionar Bypass de Acesso Seguro ao Destino>, adicione este FQDN e salve:*.globalsecureaccess.microsoft.com

   Observação

   O Cisco Secure Access tem um curinga implícito, para que você possa usar globalsecureaccess.microsoft.com.

3. Adicione esses FQDNs da Microsoft (necessário somente se o perfil de encaminhamento de tráfego da Microsoft estiver habilitado): auth.microsoft.com, msftidentity.com, msidentity.com, onmicrosoft.com, outlook.com, protection.outlook.com, sharepoint.com, sharepointonline.com, svc.ms, wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net
4. Adicione o FQDN de Acesso Rápido (necessário somente se você usar o Acesso Privado com Acesso Rápido). <quickaccessapplicationid>.globalsecureaccess.local

   Observação

   Substitua <quickaccessapplicationid> pela ID do aplicativo de Acesso Rápido.

5. Adicione sufixos DNS definidos em seus segmentos de DNS privado ou aplicativo empresarial (necessário somente se o perfil de encaminhamento de tráfego de Acesso Privado estiver habilitado). Por exemplo, se o sufixo DNS privado for contoso.local e você tiver um aplicativo privado em contoso.com, adicione ambos os sufixos.
6. Reinicie os serviços de cliente do Cisco Umbrella ou reinicie o computador em que os clientes estão instalados.

Cenários de configuração

1. Microsoft Entra Internet Access e Microsoft Entra Microsoft Access com segurança do Cisco Umbrella DNS.

Configuração global do Acesso Seguro:

1. Habilite os perfis de encaminhamento do Acesso à Internet e do Microsoft Access.
2. Instale e configure o cliente de Acesso Seguro Global para Windows ou macOS.

Configuração do Cisco:

1. Configure os bypasses de destinos necessários. Para obter instruções, consulte Ignorar IPs e FQDNs de Acesso Seguro Global no Umbrella/Cisco Secure Access e selecione a guia do portal do Cisco Secure Access ou do Portal da Umbrella.
2. Desabilite o SWG para dispositivos Umbrella ou dispositivos Cisco Secure Access.
3. Instale e configure o software Cisco Secure Client com o módulo Umbrella.

Validação:

1. Verifique se ambos os clientes estão habilitados e se o perfil Umbrella está Active.
2. Para verificar se as regras são aplicadas e as verificações de integridade são aprovadas, use o Diagnóstico Avançado no cliente de Acesso Seguro Global.
3. Teste o fluxo de tráfego acessando vários sites e validando logs de tráfego em ambas as plataformas.
   1. Na bandeja do sistema, clique com o botão direito do mouse no Cliente de Acesso Seguro Global > Diagnóstico Avançado > guia Tráfego > Comece a coletar.
   2. Acessar bing.com, salesforce.com, yelp.com em navegadores.
   3. Verifique se o cliente de Acesso Seguro Global está capturando o tráfego para esses sites. Não esperamos ver informações de FQDN de destino para esses sites na guia de tráfego.
   4. No portal do Umbrella ou Cisco Secure Access, valide se o tráfego DNS para esses sites é capturado.
   5. Acesse outlook.office365.com, <yourmicrosoftdomain>.sharepoint.com em navegadores.
   6. Verifique se o cliente de Acesso Seguro Global está capturando o tráfego para esses sites. Esperamos ver informações de FQDN de destino para esses sites.
   7. Acesse um site bloqueado pela Cisco e valide se a página de bloqueio da Cisco é exibida.
   8. No Global Secure Access, pare de coletar tráfego e confirme o processamento correto do tráfego.

2. Microsoft Entra Internet Access, Microsoft Access e Microsoft Entra Private Access com segurança do Cisco Umbrella DNS.

Configuração global do Acesso Seguro:

1. Habilite os perfis de encaminhamento do Acesso à Internet, do Microsoft Access e do Acesso Privado.
2. Instale um conector de rede privado.
3. Configurar o Acesso Rápido e o DNS Privado.
4. Instale e configure o cliente de Acesso Seguro Global para Windows ou macOS.

Configuração do Cisco:

1. Configure os bypasses de destinos necessários. Para obter instruções, consulte Ignorar IPs e FQDNs de Acesso Seguro Global no Umbrella/Cisco Secure Access e selecione a guia do portal do Cisco Secure Access ou do Portal da Umbrella.
2. Desabilite o SWG para dispositivos Umbrella ou dispositivos Cisco Secure Access.
3. Instale e configure o software Cisco Secure Client com o módulo Umbrella.

Validação:

1. Verifique se ambos os clientes estão habilitados e se o perfil Umbrella está Active.
2. Para verificar se as regras são aplicadas e as verificações de integridade são aprovadas, use o Diagnóstico Avançado no cliente de Acesso Seguro Global.
3. Teste o fluxo de tráfego acessando vários sites e validando logs de tráfego em ambas as plataformas.
   1. Na bandeja do sistema, clique com o botão direito do mouse no Cliente de Acesso Seguro Global > Diagnóstico Avançado > guia Tráfego > Comece a coletar.
   2. Acessar bing.com, salesforce.com, yelp.com em navegadores.
   3. Verifique se o cliente de Acesso Seguro Global está capturando o tráfego para esses sites. Não esperamos ver informações de FQDN de destino para esses sites na guia de tráfego.
   4. No portal do Umbrella ou Cisco Secure Access, valide se o tráfego DNS para esses sites é capturado.
   5. Acesse outlook.office365.com, <yourmicrosoftdomain>.sharepoint.com em navegadores.
   6. Verifique se o cliente de Acesso Seguro Global está capturando o tráfego para esses sites. Esperamos ver informações de FQDN de destino para esses sites.
   7. Acesse um site bloqueado pela Cisco e valide se a página de bloqueio da Cisco é exibida.
   8. Acesse um aplicativo privado do Microsoft Entra (por exemplo, compartilhamento de arquivos SMB) e valide se o Acesso Seguro Global está capturando o tráfego e o Cisco não está.
   9. No Global Secure Access, pare de coletar tráfego e confirme o processamento correto do tráfego.

Observação

Para solucionar problemas de falhas de verificação de integridade, consulte Solucionar problemas do cliente de Acesso Seguro Global: Verificação de integridade.

Próximas etapas

• O que é o Acesso Seguro Global?