Coexistência do SSE (Security Service Edge) com o Microsoft e o Cisco Secure Access

Saiba como configurar a coexistência do SSE (Security Service Edge) usando o Acesso Seguro Global e o Cisco Secure Access.

No cenário digital atual, as organizações precisam de soluções robustas e unificadas para conectividade segura e perfeita. O Acesso Seguro Global e o Cisco Secure Access oferecem recursos complementares de SASE (Secure Access Service Edge). Quando integradas, essas plataformas aprimoram a segurança e a conectividade para cenários de acesso diversos.

Este guia descreve como configurar e implantar soluções de Acesso Seguro Global juntamente com as ofertas do Cisco Secure Access SSE. Usando ambas as plataformas, você pode otimizar a postura de segurança da sua organização, mantendo a conectividade de alto desempenho para aplicativos privados, tráfego do Microsoft 365 e acesso à Internet.

Cenários

Este guia aborda os seguintes cenários de coexistência:

1. Microsoft Entra Private Access com Cisco Secure Internet Access. Nesse cenário, o Acesso Seguro Global manipula o tráfego de aplicativos privados. O Cisco Secure Internet Access fornece segurança DNS e recursos SWG.

2. Microsoft Entra Private Access com Cisco Secure Internet Access e Cisco Secure Private Access. Nesse cenário, ambos os clientes lidam com o tráfego para aplicativos privados separados. O Acesso Seguro Global manipula aplicativos privados no Microsoft Entra Private Access, enquanto o módulo Cisco Secure Client – Zero Trust Access manipula aplicativos privados no Cisco Secure Private Access. O tráfego web e DNS é protegido pelo Cisco Secure Internet Access.

3. Microsoft Entra Microsoft Access com Cisco Secure Internet Access e Cisco Secure Private Access. O Acesso Seguro Global gerencia todo o tráfego do Microsoft 365. O módulo Cisco Secure Client – Zero Trust Access manipula aplicativos privados no Cisco Secure Private Access. O tráfego web e DNS é protegido pelo Cisco Secure Internet Access.

4. Microsoft Entra Internet Access e Microsoft Access com Cisco Secure Private Access. O Acesso Seguro Global gerencia o tráfego da Internet e da Microsoft. O Cisco Secure Access manipula apenas o Acesso Privado com o módulo Cisco Secure Client – Zero Trust Access.

Pré-requisitos

Para configurar o Acesso Seguro Global e o Cisco Secure Access para uma solução SASE unificada:

• Configure o Acesso Seguro Global (Microsoft Entra Internet Access e Microsoft Entra Private Access).
• Configure o Cisco Secure Internet Access e o Secure Private Access.
• Estabeleça os bypasss FQDN e IP necessários para integração entre as plataformas.

Configuração global do Acesso Seguro

1. Habilite e desabilite diferentes perfis de encaminhamento de tráfego para seu locatário do Microsoft Entra. Consulte perfis de encaminhamento de tráfego.
2. Instale e configure o conector de rede privada para aplicativos de Acesso Privado. Consulte Configurar conectores.
3. Configure o Acesso Rápido para recursos privados e configure DNS privados e sufixos DNS. Consulte Configurar o Acesso Rápido.
4. Instale e configure o cliente de Acesso Seguro Global em dispositivos de usuário final. Consulte clientes de Acesso Seguro Global.

Observação

Conectores de Rede Privada são necessários para aplicativos de Acesso Privado.

Configuração do Cisco Secure Access

1. Configure um conector de recursos para aplicativos privados. Consulte a documentação da Cisco para gerenciar conectores de recursos e grupos de conectores.
2. Provisione usuários e grupos. A integração com a ID do Microsoft Entra oferece a melhor experiência do usuário. Consulte a documentação da Cisco para a configuração do SAML do Microsoft Entra ID.
3. Adicione recursos privados e crie políticas de acesso. Consulte a documentação da Cisco para gerenciar regras de acesso privado.
4. Configure a segurança da Internet e configure bypasses para coexistência. Consulte a documentação da Cisco para gerenciar a segurança da Internet.
5. Instale e configure o Cisco Secure Client. Consulte a documentação da Cisco para baixar e instalar o cliente para Windows e macOS.

Importante

A Cisco lançou um recurso do Cisco Secure Client (CSC) para melhorar a coexistência com o Acesso Seguro Global. Essas etapas precisam ser executadas após a instalação inicial ou a nova instalação (não necessárias para serem executadas novamente durante a atualização), do CSC versão 5.1.10.x (ou posterior).

1. Instale o Cisco Secure Client versão 5.1.10.x.
2. Abra o prompt do CMD como administrador e execute estes comandos:
3. "%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -slwm 10
4. net stop csc_vpnagent && net stop acsock && net start csc_vpnagent

Ignorar a configuração para coexistência

Ignorar iPs e FQDN necessários do Cisco Secure Access/Umbrella no Acesso Seguro Global

1. No Centro de administração do Microsoft Entra, vá para Global Secure Access > Connect > Encaminhamento de tráfego > Perfil de acesso à Internet.
2. Em políticas de acesso à Internet, selecione Exibir.
3. Expanda o Bypass Personalizado e selecione Adicionar regra.
4. Insira os seguintes IPs: 208.67.222.222, 208.67.220.220, 67.215.64.0/19, 146.112.0.0/16, 155.190.0.0/16, 185.60.84.0/22, 204.194.232.0/21, 208.67.216.0/21, 208.69.32.0/21
5. Adicione uma regra para o destino: *.zpc.sse.cisco.com
6. Clique em Salvar.

Ignorar IPs de acesso seguro global e FQDNs no Cisco Secure Access/Umbrella

Cisco Secure Access Portal

1. No portal do Cisco Secure Access, vá para Conectar > Conectividade do Usuário Final > Segurança da Internet.
2. Na seção Direção de Tráfego, selecione Adicionar Acesso Seguro de Bypass de Destino>, adicione o seguinte FQDN e salve:*.globalsecureaccess.microsoft.com

   Observação

   O Cisco Secure Access tem um curinga implícito, para que você possa usar globalsecureaccess.microsoft.com.

3. Adicione esses FQDNs do Microsoft 365 (necessário somente se o perfil de encaminhamento de tráfego da Microsoft estiver habilitado): auth.microsoft.com, msftidentity.com, msidentity.com, onmicrosoft.com, outlook.com, protection.outlook.com, sharepoint.com, sharepointonline.com, svc.ms, wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net
4. Adicione o FQDN de Acesso Rápido (necessário somente se você usar o Acesso Privado com Acesso Rápido). <quickaccessapplicationid>.globalsecureaccess.local

   Observação

   Substitua <quickaccessapplicationid> pela ID do aplicativo de Acesso Rápido.

5. Adicione sufixos DNS definidos em seus segmentos de DNS privado ou aplicativo empresarial (necessário somente se o perfil de encaminhamento de tráfego de Acesso Privado estiver habilitado). Por exemplo, se o sufixo DNS privado for contoso.local e você tiver um aplicativo privado em contoso.com, adicione ambos os sufixos.
6. Na seção Direção de Tráfego, selecione Adicionar Proxy Web de Bypass de Destino > somente, adicione estes IPs e salve: 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16
7. Adicione esses endereços IP do Microsoft 365 (necessários somente se o perfil de encaminhamento de tráfego da Microsoft estiver habilitado): 132.245.0.0/16, 204.79.197.215/32, 150.171.32.0/22, 131.253.33.215/32, 23.103.160.0/20, 40.96.0.0/13, 52.96.0.0/14, 40.104.0.0/15, 13.107.128.0/22, 13.107.18.10/31, 13.107.6.152/31, 52.238.78.88/32, 104.47.0.0/17, 52.100.0.0/14, 40.107.0.0/16, 40.92.0.0/15, 150.171.40.0/22, 52.104.0.0/14, 104.146.128.0/17, 40.108.128.0/17, 13.107.136.0/22, 40.126.0.0/18, 20.231.128.0/19, 20.190.128.0/18, 20.20.32.0/19
8. Reinicie os serviços de cliente do Cisco Umbrella ou reinicie o computador em que os clientes estão instalados.

Cisco Umbrella Portal

1. Adicione sufixos de domínio e FQDNs do serviço Microsoft Entra à lista de domínios internos : *.globalsecureaccess.microsoft.com

   Observação

   O Cisco Umbrella dá suporte a curingas implícitos, permitindo o uso de globalsecureaccess.microsoft.com.

2. Adicione esses FQDNs do Microsoft 365 (necessário somente se o perfil de encaminhamento de tráfego da Microsoft estiver habilitado): auth.microsoft.com, msftidentity.com, msidentity.com, onmicrosoft.com, outlook.com, protection.outlook.com, sharepoint.com, sharepointonline.com, svc.ms, wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net
3. Adicione o FQDN de Acesso Rápido (necessário somente se você usar o Acesso Privado com Acesso Rápido). <quickaccessapplicationid>.globalsecureaccess.local

   Observação

   Substitua <quickaccessapplicationid> pela ID do aplicativo de Acesso Rápido.

4. Adicione sufixos DNS definidos em seus segmentos de DNS privado ou aplicativo empresarial (necessário somente se o perfil de encaminhamento de tráfego de Acesso Privado estiver habilitado). Por exemplo, se o sufixo DNS privado for contoso.local e você tiver um aplicativo privado em contoso.com, adicione ambos os sufixos.
5. Na seção Domínios Externos &IPs , adicione estes IPs de Acesso Seguro Global e FQDN: *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16
6. Adicione esses endereços IP do Microsoft 365 (necessários somente se o perfil de encaminhamento de tráfego da Microsoft estiver habilitado): 132.245.0.0/16, 204.79.197.215/32, 150.171.32.0/22, 131.253.33.215/32, 23.103.160.0/20, 40.96.0.0/13, 52.96.0.0/14, 40.104.0.0/15, 13.107.128.0/22, 13.107.18.10/31, 13.107.6.152/31, 52.238.78.88/32, 104.47.0.0/17, 52.100.0.0/14, 40.107.0.0/16, 40.92.0.0/15, 150.171.40.0/22, 52.104.0.0/14, 104.146.128.0/17, 40.108.128.0/17, 13.107.136.0/22, 40.126.0.0/18, 20.231.128.0/19, 20.190.128.0/18, 20.20.32.0/19
7. Reinicie os serviços de cliente do Cisco Umbrella ou reinicie o computador em que os clientes estão instalados.

Cenários de configuração

1. Microsoft Entra Private Access com Cisco Secure Internet Access

Configuração de Acesso Seguro Global

1. Habilitar o perfil de encaminhamento do Acesso Privado.
2. Instale um conector de rede privado.
3. Configurar o Acesso Rápido e o DNS privado.
4. Instale e configure o cliente de Acesso Seguro Global para Windows ou macOS.

Configuração do Cisco Secure Access

1. Configure os destinos necessários para ignorar a Segurança da Internet. Para obter instruções, consulte Ignorar IPs e FQDNs de Acesso Seguro Global no Cisco Secure Access/Umbrella e selecione a guia do portal do Cisco Secure Access ou do Portal da Umbrella.
2. Implante e configure o Cisco Secure Client com o módulo Umbrella.

Validação

1. Verifique se ambos os clientes estão habilitados e se o perfil Umbrella está Active.
2. Para verificar se as regras são aplicadas e as verificações de integridade são aprovadas, use o Diagnóstico Avançado no cliente de Acesso Seguro Global.
3. Teste o fluxo de tráfego acessando vários sites e validando logs de tráfego em ambas as plataformas.
   1. Na bandeja do sistema, clique com o botão direito do mouse no Cliente de Acesso Seguro Global > Diagnóstico Avançado > guia Tráfego > Comece a coletar.
   2. Acessar bing.com, salesforce.com, outlook.office365.com em navegadores.
   3. Verifique se o cliente de Acesso Seguro Global não está capturando o tráfego para esses sites.
   4. No portal do Cisco Secure Access, valide que o tráfego para esses sites é capturado.
   5. Acesse aplicativos privados por meio do Acesso Seguro Global (por exemplo, compartilhamento de arquivos SMB).
   6. Valide se o tráfego de compartilhamento de arquivos SMB é capturado em logs de Acesso Seguro Global e não é mostrado nos logs do Cisco.
   7. Pare de coletar tráfego e confirme a manipulação correta do tráfego.

2. Microsoft Entra Private Access com Cisco Secure Internet Access e Cisco Secure Private Access

Configuração de Acesso Seguro Global

1. Habilitar o perfil de encaminhamento do Acesso Privado.
2. Instale um conector de rede privado.
3. Configurar o Acesso Rápido e o DNS privado.
4. Instale e configure o cliente de Acesso Seguro Global para Windows ou macOS.

Configuração do Cisco Secure Access

1. Configure os destinos necessários para ignorar a Segurança da Internet. Para obter instruções, consulte Ignorar IPs e FQDNs de Acesso Seguro Global no Cisco Secure Access/Umbrella e selecione a guia do portal do Cisco Secure Access ou do Portal da Umbrella.
2. Implante e configure o Cisco Secure Client com os módulos Zero Trust Access e Umbrella.
3. Adicione recursos privados e crie políticas de acesso.

Validação

1. Verifique se ambos os clientes estão habilitados e se o perfil Umbrella está Active.
2. Para verificar se as regras são aplicadas e as verificações de integridade são aprovadas, use o Diagnóstico Avançado no cliente de Acesso Seguro Global.
3. Teste o fluxo de tráfego acessando vários sites e validando logs de tráfego em ambas as plataformas.
   1. Na bandeja do sistema, clique com o botão direito do mouse no Cliente de Acesso Seguro Global > Diagnóstico Avançado > guia Tráfego > Comece a coletar.
   2. Acessar bing.com, salesforce.com, outlook.office365.com em navegadores.
   3. Verifique se o cliente de Acesso Seguro Global não está capturando o tráfego para esses sites.
   4. No portal do Cisco Secure Access, valide que o tráfego para esses sites é capturado.
   5. Acesse aplicativos privados por meio do Acesso Seguro Global (por exemplo, compartilhamento de arquivos SMB).
   6. Acesse recursos privados por meio do Cisco Secure Private Access (por exemplo, sessão RDP).
   7. Valide se o tráfego de compartilhamento de arquivos SMB é capturado em logs de Acesso Seguro Global e não é mostrado nos logs do Cisco.
   8. Valide se o tráfego RDP é capturado nos logs do Cisco e não é mostrado nos logs de Acesso Seguro Global.
   9. Pare de coletar tráfego e confirme a manipulação correta do tráfego.

3. Microsoft Entra Microsoft Access com o Cisco Secure Internet Access e o Cisco Secure Private Access

Configuração de Acesso Seguro Global

1. Habilite o perfil de encaminhamento do Microsoft Access.
2. Instale e configure o cliente de Acesso Seguro Global para Windows ou macOS.

Configuração do Cisco Secure Access

1. Configure os destinos necessários para ignorar a Segurança da Internet, incluindo outros IPs e FQDNs da Microsoft. Para obter instruções, consulte Ignorar IPs e FQDNs de Acesso Seguro Global no Cisco Secure Access/Umbrella e selecione a guia do portal do Cisco Secure Access ou do Portal da Umbrella.
2. Implante e configure o Cisco Secure Client com os módulos Zero Trust Access e Umbrella.
3. Adicione recursos privados e políticas de acesso.

Validação

1. Verifique se ambos os clientes estão habilitados e se o perfil Umbrella está Active.
2. Para verificar se as regras são aplicadas e as verificações de integridade são aprovadas, use o Diagnóstico Avançado no cliente de Acesso Seguro Global.
3. Teste o fluxo de tráfego acessando vários sites e validando logs de tráfego em ambas as plataformas.
   1. Comece a coletar tráfego no cliente de Acesso Seguro Global.
   2. Acesse bing.com, salesforce.com em navegadores.
   3. Verifique se o cliente de Acesso Seguro Global não está capturando o tráfego para esses sites.
   4. No portal do Cisco Secure Access, valide que o tráfego para esses sites é capturado.
   5. Acesse outlook.office365.com, <yourtenantdomain>.sharepoint.com.
   6. Os logs de tráfego do Global Secure Access mostram esses sites; o Cisco Secure Access não.
   7. Acesse recursos privados por meio do Cisco Secure Private Access.
   8. Valide os logs de tráfego em ambos os portais.
   9. Pare de coletar tráfego e confirme que o Acesso Seguro Global capturou apenas o tráfego da Microsoft.

4. Microsoft Entra Internet Access e Microsoft Entra Access com Cisco Secure Private Access

Configuração de Acesso Seguro Global

1. Habilite os perfis de encaminhamento do Acesso à Internet e do Microsoft Access.
2. Instale e configure o cliente de Acesso Seguro Global para Windows ou macOS.
3. Adicione um bypass personalizado para o Cisco Secure Access: *.zpc.sse.cisco.com.

Configuração do Cisco Secure Access

1. Configure os destinos necessários para ignorar a Segurança da Internet, incluindo outros IPs e FQDNs da Microsoft. Para obter instruções, consulte Ignorar IPs e FQDNs de Acesso Seguro Global no Cisco Secure Access/Umbrella e selecione a guia do portal do Cisco Secure Access ou do Portal da Umbrella.
2. Implante e configure o Cisco Secure Client com o módulo Acesso de Confiança Zero.
3. Adicione recursos privados e políticas de acesso.

Observação

Para esse cenário, o Cisco Secure Access trata apenas o tráfego privado. O módulo Umbrella não está instalado.

Validação

1. Verifique se ambos os clientes estão habilitados.
2. Para verificar se as regras são aplicadas e as verificações de integridade são aprovadas, use o Diagnóstico Avançado no cliente de Acesso Seguro Global.
3. Teste o fluxo de tráfego acessando vários sites e validando logs de tráfego em ambas as plataformas.
   1. Comece a coletar tráfego no cliente de Acesso Seguro Global.
   2. Access bing.com, salesforce.com, outlook.office365.com.
   3. Verifique se o cliente do Acesso Seguro Global captura o tráfego desses sites.
   4. No portal Cisco Secure Access, valide se o tráfego para esses sites não está sendo capturado.
   5. Acesse recursos privados por meio do Cisco Secure Private Access.
   6. Valide os logs de tráfego em ambos os portais.
   7. Pare de coletar tráfego e confirme se o Acesso Seguro Global não gerenciou o tráfego de aplicativos privados.

Observação

Para solucionar problemas de falhas de verificação de integridade, consulte Solucionar problemas do cliente de Acesso Seguro Global: Verificação de integridade.

Próximas etapas

• O que é o Acesso Seguro Global?