了解安全服务边缘 (SSE) 与 Microsoft 和 Cisco 的共存
在统一环境中利用 Microsoft 和 Cisco 的安全服务边缘 (SSE) 解决方案,利用两个平台的强大功能,提升安全访问服务边缘 (SASE) 的旅程。 这些平台之间的协同作用为客户提供了增强的安全性和无缝连接。
本文档包含并行部署这些解决方案的步骤,具体来说,Microsoft Entra 专用访问(已启用专用 DNS 功能)和 Cisco Umbrella 用于互联网访问和 DNS 层安全。
配置概述
在 Microsoft Entra 中,可以启用专用访问流量转发配置文件并禁用 Internet 访问和 Microsoft 365 流量转发配置文件。 还可以启用和配置专用访问的专用 DNS 功能。 在 Cisco 中,可以捕获 Internet 访问流量。
注意
客户端必须安装在 Windows 10 或 Windows 11 Microsoft Entra 连接设备或 Microsoft Entra 混合连接设备上。
Microsoft Entra 专用访问配置
为 Microsoft Entra 租户启用 Microsoft Entra 专用访问流量转发配置文件。 有关启用和禁用配置文件的更多信息,请参阅全局安全访问流量转发配置文件。
在最终用户设备上安装和配置全局安全访问客户端。 有关客户端的详细信息,请参阅全球安全访问客户端。 若要了解如何安装 Windows 客户端,请参阅适用于 Windows 的全球安全访问客户端。
安装和配置 Microsoft Entra 专用网络连接器。 若要了解如何安装和配置连接器,请参阅如何配置连接器。
注意
专用 DNS 需要连接器版本 v1.5.3829.0 或更高版本。
配置对专用资源的快速访问并设置专用 DNS 和 DNS 后缀。 若要了解如何配置快速访问,请参阅如何配置快速访问。
Cisco 配置
在内部域列表中的域管理中添加来自 Microsoft Entra 快速访问和 Microsoft Entra 服务 FQDN 的域后缀,以绕过 Cisco 的 Umbrella DNS。 在外部域列表中的域管理中添加 Microsoft Entra 服务 FQDN 和 IP,以绕过 Cisco 的安全 Web 网关 (SWG)。
- 从 Cisco Umbrella 门户,转到“部署”>“配置”>“域管理”。
- 在“内部域”部分中,添加这些域并保存。
*.globalsecureaccess.microsoft.com
注意
Cisco Umbrella 有一个隐式通配符,使你可以使用
globalsecureaccess.microsoft.com
。<quickaccessapplicationid>.globalsecureaccess.local
注意
quickaccessapplicationid
是你配置的快速访问应用程序的应用程序 ID。- 在快速访问应用程序中配置的 DNS 后缀。
- 在“外部域和 IP”部分,添加这些 FQDN 和 IP 并保存。
*.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16
注意
Cisco Umbrella 有一个隐式通配符,使你可以将
globalsecureaccess.microsoft.com
用于 FQDN。
- 重新启动 Cisco Umbrella 和 Cisco SWG 客户端服务,或者重新启动安装客户端的计算机。
在两个客户端都安装并并排运行并且管理门户的配置完成后,转到系统托盘,检查全球安全访问和 Cisco 客户端是否已启用。
验证全球安全访问客户端的配置。
- 右键单击“全球安全访问客户端”>“高级诊断”>“转发配置文件”,并验证是否仅将专用访问规则应用于此客户端。
- 在“高级诊断”>“运行状况检查”中,确保所有检查均未失败。
测试流量
Microsoft 的 SSE 配置:启用 Microsoft Entra 专用访问,禁用 Internet 访问和 Microsoft 365 流量转发配置文件。
Cisco SSE 配置:捕获 Internet 访问流量。 排除专用访问流量。
- 在系统托盘中,右键单击全球安全访问客户端图标,然后选择“高级诊断”。 选择“流量”选项卡,然后选择“开始收集”。
- 访问已使用 Entra 专用访问配置的专用资源,例如 SMB 文件共享。 使用资源管理器窗口中的“开始/运行”菜单打开
\\YourFileServer.yourdomain.com
。 - 在系统托盘中,右键单击全球安全访问客户端,然后选择“高级诊断”。 在“网络流量”对话框中,选择“停止收集”。
- 在“网络流量”对话框中,滚动以观察生成的流量,确认全球安全访问客户端处理了专用访问流量。
- 还可以通过从 Microsoft Entra 管理中心的“全球安全访问”>“监控”>“流量日志”中验证全球安全访问流量日志中的流量来验证流量是否由 Microsoft Entra 捕获。
- 从浏览器访问任何网站,并验证 Internet 流量是否在全球安全访问流量日志中缺失,而仅在 Cisco Umbrella 中捕获。