了解安全服务边缘 (SSE) 与 Microsoft 和 Cisco 的共存

在统一环境中利用 Microsoft 和 Cisco 的安全服务边缘 (SSE) 解决方案,利用两个平台的强大功能,提升安全访问服务边缘 (SASE) 的旅程。 这些平台之间的协同作用为客户提供了增强的安全性和无缝连接。

本文档包含并行部署这些解决方案的步骤,具体来说,Microsoft Entra 专用访问(已启用专用 DNS 功能)和 Cisco Umbrella 用于互联网访问和 DNS 层安全。

配置概述

在 Microsoft Entra 中,可以启用专用访问流量转发配置文件并禁用 Internet 访问和 Microsoft 365 流量转发配置文件。 还可以启用和配置专用访问的专用 DNS 功能。 在 Cisco 中,可以捕获 Internet 访问流量。

注意

客户端必须安装在 Windows 10 或 Windows 11 Microsoft Entra 连接设备或 Microsoft Entra 混合连接设备上。

Microsoft Entra 专用访问配置

为 Microsoft Entra 租户启用 Microsoft Entra 专用访问流量转发配置文件。 有关启用和禁用配置文件的更多信息,请参阅全局安全访问流量转发配置文件

在最终用户设备上安装和配置全局安全访问客户端。 有关客户端的详细信息,请参阅全球安全访问客户端。 若要了解如何安装 Windows 客户端,请参阅适用于 Windows 的全球安全访问客户端

安装和配置 Microsoft Entra 专用网络连接器。 若要了解如何安装和配置连接器,请参阅如何配置连接器

注意

专用 DNS 需要连接器版本 v1.5.3829.0 或更高版本。

配置对专用资源的快速访问并设置专用 DNS 和 DNS 后缀。 若要了解如何配置快速访问,请参阅如何配置快速访问

Cisco 配置

在内部域列表中的域管理中添加来自 Microsoft Entra 快速访问和 Microsoft Entra 服务 FQDN 的域后缀,以绕过 Cisco 的 Umbrella DNS。 在外部域列表中的域管理中添加 Microsoft Entra 服务 FQDN 和 IP,以绕过 Cisco 的安全 Web 网关 (SWG)。

  1. 从 Cisco Umbrella 门户,转到“部署”>“配置”>“域管理”
  2. 在“内部域”部分中,添加这些域并保存。
    • *.globalsecureaccess.microsoft.com

      注意

      Cisco Umbrella 有一个隐式通配符,使你可以使用 globalsecureaccess.microsoft.com

    • <quickaccessapplicationid>.globalsecureaccess.local

      注意

      quickaccessapplicationid 是你配置的快速访问应用程序的应用程序 ID。

    • 在快速访问应用程序中配置的 DNS 后缀。
  3. 在“外部域和 IP”部分,添加这些 FQDN 和 IP 并保存。
    • *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16

      注意

      Cisco Umbrella 有一个隐式通配符,使你可以将 globalsecureaccess.microsoft.com 用于 FQDN。

  4. 重新启动 Cisco Umbrella 和 Cisco SWG 客户端服务,或者重新启动安装客户端的计算机。

在两个客户端都安装并并排运行并且管理门户的配置完成后,转到系统托盘,检查全球安全访问和 Cisco 客户端是否已启用。

验证全球安全访问客户端的配置。

  1. 右键单击“全球安全访问客户端”>“高级诊断”>“转发配置文件”,并验证是否仅将专用访问规则应用于此客户端。
  2. “高级诊断”>“运行状况检查”中,确保所有检查均未失败。

测试流量

Microsoft 的 SSE 配置:启用 Microsoft Entra 专用访问,禁用 Internet 访问和 Microsoft 365 流量转发配置文件。

Cisco SSE 配置:捕获 Internet 访问流量。 排除专用访问流量。

  1. 在系统托盘中,右键单击全球安全访问客户端图标,然后选择“高级诊断”。 选择“流量”选项卡,然后选择“开始收集”。
  2. 访问已使用 Entra 专用访问配置的专用资源,例如 SMB 文件共享。 使用资源管理器窗口中的“开始/运行”菜单打开 \\YourFileServer.yourdomain.com
  3. 在系统托盘中,右键单击全球安全访问客户端,然后选择“高级诊断”。 在“网络流量”对话框中,选择“停止收集”。
  4. 在“网络流量”对话框中,滚动以观察生成的流量,确认全球安全访问客户端处理了专用访问流量。
  5. 还可以通过从 Microsoft Entra 管理中心的“全球安全访问”>“监控”>“流量日志”中验证全球安全访问流量日志中的流量来验证流量是否由 Microsoft Entra 捕获。
  6. 从浏览器访问任何网站,并验证 Internet 流量是否在全球安全访问流量日志中缺失,而仅在 Cisco Umbrella 中捕获。

后续步骤