通过

安全服务边缘(SSE)与 Microsoft 和 Cisco 安全访问共存

了解如何使用全局安全访问和 Cisco 安全访问配置安全服务边缘(SSE)共存。

在当今的数字格局中,组织需要可靠的统一解决方案来实现安全无缝连接。 全局安全访问和 Cisco Secure Access 提供互补的安全访问服务边缘(SASE)功能。 集成后,这些平台可增强各种访问方案的安全性和连接性。

本指南概述了如何配置和部署全局安全访问解决方案以及 Cisco Secure Access SSE 产品/服务。 通过使用这两个平台,可以优化组织的安全状况,同时保持专用应用程序的高性能连接、Microsoft 365 流量和 Internet 访问。

Scenarios

本指南介绍以下共存方案:

  1. Microsoft Entra 私人访问与 Cisco Secure Internet Access 在此方案中,全局安全访问处理专用应用程序流量。 Cisco Secure Internet Access 提供 DNS 安全性和 SWG 功能。

  2. Microsoft Entra Private Access 配合 Cisco Secure Internet Access 和 Cisco Secure Private Access 在此方案中,两个客户端处理单独的专用应用程序的流量。 全局安全访问处理 Microsoft Entra Private Access 中的专用应用程序,而 Cisco Secure Client - Zero Trust Access 模块处理 Cisco Secure Private Access 中的专用应用程序。 Web 和 DNS 流量受 Cisco 安全 Internet 访问保护。

  3. Microsoft Entra Microsoft Access 与 Cisco Secure Internet Access 及 Cisco Secure Private Access 全局安全访问管理所有Microsoft 365 流量。 Cisco Secure Client - Zero Trust Access 模块处理 Cisco Secure Private Access 中的专用应用程序。 Web 和 DNS 流量受 Cisco 安全 Internet 访问保护。

  4. Microsoft Entra Internet Access 和 Microsoft Access 搭配 Cisco Secure Private Access "全球安全访问管理互联网和Microsoft的流量。" Cisco Secure Access 仅使用 Cisco Secure Client - Zero Trust Access 模块处理专用访问。

先决条件

若要为统一的 SASE 解决方案配置全局安全访问和 Cisco Secure Access,请执行以下作:

  • 设置全球安全访问(Microsoft Entra Internet 访问和 Microsoft Entra 私密访问)。
  • 配置 Cisco 安全 Internet 访问和安全专用访问。
  • 建立所需的 FQDN 和 IP 旁路,以便在平台之间集成。

全局安全访问设置

  1. 为 Microsoft Entra 租户启用或禁用不同的流量转发方案。 请参阅 流量转发配置文件
  2. 安装和配置专用访问应用程序的专用网络连接器 。 请参阅 “配置连接器”。
  3. 配置对专用资源的快速访问并设置专用 DNS 和 DNS 后缀。 请参阅 “配置快速访问”。
  4. 在最终用户设备上安装和配置 Global Secure Access 客户端。 请参阅 全局安全访问客户端

注释

专用访问应用程序需要专用网络连接器。

Cisco 安全访问设置

  1. 为专用应用程序设置资源连接器。 请参阅 Cisco 文档,了解如何 管理资源连接器和连接器组
  2. 配置用户和组。 与 Microsoft Entra ID 集成可提供最佳的用户体验。 请参阅 Cisco 文档 ,了解 Microsoft Entra ID SAML 配置
  3. 添加专用资源并创建访问策略。 请参阅 Cisco 文档,了解如何 管理专用访问规则
  4. 设置 Internet 安全性并为共存配置旁路 。 请参阅 Cisco 文档,了解如何 管理 Internet 安全性
  5. 安装和配置 Cisco Secure Client。 请参阅 Cisco 文档,了解如何 下载和安装适用于 Windows 和 macOS 的客户端

重要

Cisco 发布了一项 Cisco Secure Client (CSC) 功能,可改善与全局安全访问的共存。 这些步骤需要在初始安装后执行,或重新安装(在升级时不需要再次运行),CSC 版本 5.1.10.x(或更高版本)。

  1. 安装 Cisco Secure Client 版本 5.1.10.x。
  2. 以管理员身份打开 CMD 提示符并运行以下命令:
  3. "%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -slwm 10
  4. net stop csc_vpnagent && net stop acsock && net start csc_vpnagent

跳过共存配置

在全局安全访问中绕过 Cisco Secure Access/Umbrella 所需的 IP 和 FQDN

  1. 在 Microsoft Entra 管理中心,转到 全局安全访问 > 连接 > 流量转发 > Internet 访问配置文件
  2. Internet 访问策略下,选择“ 查看”。
  3. 展开 “自定义绕过 ”,然后选择“ 添加规则”。
  4. 输入以下 IP: 208.67.222.222, 208.67.220.220, 67.215.64.0/19, 146.112.0.0/16, 155.190.0.0/16, 185.60.84.0/22, 204.194.232.0/21, 208.67.216.0/21, 208.69.32.0/21
  5. 为目标添加规则: *.zpc.sse.cisco.com
  6. 选择“保存”

绕过 Cisco Secure Access/Umbrella 中的全局安全访问 IP 和 FQDN

  1. 在 Cisco Secure Access 门户中,转到 Connect > 终端用户连接 > 互联网安全
  2. “流量引导 ”部分中,选择“ 添加目标 > 绕过安全访问”,添加以下 FQDN,然后保存: *.globalsecureaccess.microsoft.com

    注释

    Cisco Secure Access 具有隐式通配符,因此可以使用 globalsecureaccess.microsoft.com

  3. 添加这些 Microsoft 365 FQDN(仅当启用 Microsoft 流量转发配置时才需要): auth.microsoft.com, msftidentity.com, msidentity.com, onmicrosoft.com, outlook.com, protection.outlook.com, sharepoint.com, sharepointonline.com, svc.ms, wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net
  4. 添加快速访问 FQDN(仅当将专用访问与快速访问配合使用时才需要)。 <quickaccessapplicationid>.globalsecureaccess.local

    注释

    <quickaccessapplicationid> 替换为 Quick Access 应用程序的应用程序 ID。

  5. 添加在专用 DNS 或企业应用段中定义的 DNS 后缀(仅当启用了专用访问流量转发配置文件时才需要)。 例如,如果专用 DNS 后缀是 contoso.local 且你拥有专用应用 contoso.com,请添加这两个后缀。
  6. 在“流量引导”部分中, 仅选择“添加目标 > 绕过 Web 代理”,添加以下 IP,然后保存: 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16
  7. 添加这些 Microsoft 365 IP 地址(仅当启用 Microsoft 流量转发配置文件时才需要):132.245.0.0/16, 204.79.197.215/32, 150.171.32.0/22, 131.253.33.215/32, 23.103.160.0/20, 40.96.0.0/13, 52.96.0.0/14, 40.104.0.0/15, 13.107.128.0/22, 13.107.18.10/31, 13.107.6.152/31, 52.238.78.88/32, 104.47.0.0/17, 52.100.0.0/14, 40.107.0.0/16, 40.92.0.0/15, 150.171.40.0/22, 52.104.0.0/14, 104.146.128.0/17, 40.108.128.0/17, 13.107.136.0/22, 40.126.0.0/18, 20.231.128.0/19, 20.190.128.0/18, 20.20.32.0/19
  8. 重启 Cisco Umbrella 客户端服务或重启安装了客户端的计算机。

配置场景

1. Microsoft Entra 私有访问与 Cisco Secure Internet Access

全局安全访问配置

  1. 启用专用访问路由配置。
  2. 安装专用网络连接器。
  3. 配置快速访问和专用 DNS。
  4. 安装和配置适用于 Windows 或 macOS 的全局安全访问客户端。

Cisco Secure Access 配置

  1. 配置所需的目标以绕过 Internet 安全性。 有关说明,请参阅 “绕过 Cisco Secure Access/Umbrella 中的全局安全访问 IP 和 FQDN ”,然后选择 Cisco Secure Access 门户Umbrella 门户的选项卡。
  2. 使用 Umbrella 模块部署和配置 Cisco Secure Client。

验证

  1. 确保同时启用这两个客户端,并且 Umbrella 配置文件为 Active
  2. 若要验证规则是否已应用,并且健康检查通过,请在全局安全访问客户端中使用高级诊断。
  3. 通过访问各种站点并验证两个平台中的流量日志来测试流量流。
    1. 在系统托盘中,右键单击全局安全访问客户端 > 流量选项卡 > 高级诊断 > 开始收集。
    2. 在浏览器中访问bing.comsalesforce.comoutlook.office365.com
    3. 验证全局安全访问客户端 是否未 捕获这些站点的流量。
    4. 在 Cisco Secure Access 门户中,确保这些站点 的流量已 被捕获。
    5. 通过全局安全访问访问访问专用应用程序(例如 SMB 文件共享)。
    6. 验证 SMB 文件共享流量是否已捕获到全局安全访问日志中,并且不会显示在 Cisco 日志中。
    7. 停止收集流量,并确认流量处理是否正确。

2. Microsoft Entra 私人访问与 Cisco Secure Internet Access 和 Cisco Secure Private Access 结合使用

全局安全访问配置

  1. 启用专用访问路由配置。
  2. 安装专用网络连接器。
  3. 配置快速访问和专用 DNS。
  4. 安装和配置适用于 Windows 或 macOS 的全局安全访问客户端。

Cisco Secure Access 配置

  1. 配置所需的目标以绕过 Internet 安全性。 有关说明,请参阅 “绕过 Cisco Secure Access/Umbrella 中的全局安全访问 IP 和 FQDN ”,然后选择 Cisco Secure Access 门户Umbrella 门户的选项卡。
  2. 使用零信任访问和 Umbrella 模块部署和配置 Cisco Secure Client。
  3. 添加专用资源并创建访问策略。

验证

  1. 确保同时启用这两个客户端,并且 Umbrella 配置文件为 Active
  2. 若要验证规则是否已应用,并且健康检查通过,请在全局安全访问客户端中使用高级诊断。
  3. 通过访问各种站点并验证两个平台中的流量日志来测试流量流。
    1. 在系统托盘中,右键单击全局安全访问客户端 > 流量选项卡 > 高级诊断 > 开始收集。
    2. 在浏览器中访问bing.comsalesforce.comoutlook.office365.com
    3. 验证全局安全访问客户端 是否未 捕获这些站点的流量。
    4. 在 Cisco Secure Access 门户中,确保这些站点 的流量已 被捕获。
    5. 通过全局安全访问访问访问专用应用程序(例如 SMB 文件共享)。
    6. 通过 Cisco Secure Private Access 访问专用资源(例如 RDP 会话)。
    7. 验证 SMB 文件共享流量是否已捕获到全局安全访问日志中,并且不会显示在 Cisco 日志中。
    8. 验证 RDP 流量是否已在 Cisco 日志中捕获,且未显示在全局安全访问日志中。
    9. 停止收集流量,并确认流量处理是否正确。

3. 使用 Microsoft Entra Microsoft Access 与 Cisco Secure Internet Access 和 Cisco Secure Private Access

全局安全访问配置

  1. 启用 Microsoft Access 转发配置文件。
  2. 安装和配置适用于 Windows 或 macOS 的全局安全访问客户端。

Cisco Secure Access 配置

  1. 配置所需的目标以绕过网络安全措施,包括其他 Microsoft 的 IP 和 FQDN。 有关说明,请参阅 “绕过 Cisco Secure Access/Umbrella 中的全局安全访问 IP 和 FQDN ”,然后选择 Cisco Secure Access 门户Umbrella 门户的选项卡。
  2. 使用零信任访问和 Umbrella 模块部署和配置 Cisco Secure Client。
  3. 添加专用资源和访问策略。

验证

  1. 确保同时启用这两个客户端,并且 Umbrella 配置文件为 Active
  2. 若要验证规则是否已应用,并且健康检查通过,请在全局安全访问客户端中使用高级诊断。
  3. 通过访问各种站点并验证两个平台中的流量日志来测试流量流。
    1. 在全局安全访问客户端中开始收集流量。
    2. 在浏览器中访问bing.comsalesforce.com
    3. 验证全局安全访问客户端 是否未 捕获这些站点的流量。
    4. 在 Cisco Secure Access 门户中,确保这些站点 的流量已 被捕获。
    5. 访问outlook.office365.com<yourtenantdomain>.sharepoint.com.
    6. 验证全局安全访问流量日志显示这些站点,但 Cisco Secure Access 的日志没有显示这些站点。
    7. 通过 Cisco Secure Private Access 访问专用资源。
    8. 在这两个门户中验证流量日志。
    9. 停止收集流量,确保全球安全访问仅捕获Microsoft的流量。

4. Microsoft Entra Internet Access 和 Microsoft Access 以及使用 Cisco Secure Private Access

全局安全访问配置

  1. 启用 Internet 访问和 Microsoft Access 转发规则配置文件。
  2. 安装和配置适用于 Windows 或 macOS 的全局安全访问客户端。
  3. 为 Cisco Secure Access 添加自定义绕过: *.zpc.sse.cisco.com

Cisco Secure Access 配置

  1. 配置所需的目标以绕过网络安全措施,包括其他 Microsoft 的 IP 和 FQDN。 有关说明,请参阅 “绕过 Cisco Secure Access/Umbrella 中的全局安全访问 IP 和 FQDN ”,然后选择 Cisco Secure Access 门户Umbrella 门户的选项卡。
  2. 使用零信任访问模块部署和配置 Cisco Secure Client。
  3. 添加专用资源和访问策略。

注释

对于此方案,Cisco Secure Access 仅处理专用流量。 未安装 Umbrella 模块。

验证

  1. 确保两个客户端都已启用。
  2. 若要验证规则是否已应用,并且健康检查通过,请在全局安全访问客户端中使用高级诊断。
  3. 通过访问各种站点并验证两个平台中的流量日志来测试流量流。
    1. 在全局安全访问客户端中开始收集流量。
    2. Accessbing.comsalesforce.comoutlook.office365.com.
    3. 验证全局安全访问客户端捕获这些站点的流量。
    4. 在 Cisco Secure Access 门户中,验证这些站点的流量 捕获。
    5. 通过 Cisco Secure Private Access 访问专用资源。
    6. 在这两个门户中验证流量日志。
    7. 停止收集流量并确认全局安全访问 处理专用应用程序流量。

注释

有关运行状况检查失败的故障排除,请参阅 “全局安全访问客户端故障排除:运行状况检查”。

后续步骤

  • Last updated on