SASE-Testreihe, Teil 4: Cisco
Cloud-Security mit SD-WAN-Integration
Fortsetzung des Artikels von Teil 1
Umfangreiche Sicherheitsfunktionen
Die Sicherheitsfunktionen von Umbrella schützen die Zugriffe auf externe Internet-ressourcen, indem diese über die Cloud-Gateways der Security-Plattform geroutet werden, wobei mehrere Schutzmechanismen den Datenverkehr durchleuchten. Die DNS-Policies sorgen dafür, dass schädliche Domain-Adressen außen vor bleiben. Mit Web-Content-Policies gibt der Systemverwalter vor, welche Web-Inhalte nicht erlaubt sind und geblockt werden. Die Umbrella-Konsole enthält über hundert Kategorien, die sich zur Blacklist hinzufügen lassen. Es ist zudem möglich, eigene Kategorien zu definieren. Um den Web-Content-Filter zu testen, erstellten wir eine Blacklist mit mehreren Deny-Kategorien, darunter Glücksspiel, Lotterien und Reise. Umbrella hat dann das Aufrufen von Websites verhindert, die in die gefilterten Kategorien fallen.
Mit den Firewall-Policies lassen sich Zugriffe über bestimmte Protokolle und Ports blockieren. Auch hier bietet die Konsole eine Auswahlliste mit zahlreichen Kategorien an. Für den Test legten wir eine Blockierregel für das Ping-Protokoll ICMP an und eine weitere für die Sperrung von Zugriffen auf die AWS-Management-Konsole. Nachdem wir diese Regeln aktiviert hatten, war von den Testrechnern aus der Zugriff auf unsere AWS-Konsole nicht mehr möglich, auch einen Ping blockte Umbrella. Die Anti-Malware-Funktionen testeten wir, indem wir versuchten, von der Malware-Testwebsite www.eicar.com eine Testdatei herunterzuladen. Umbrella blockierte den Download und zeigte einen Hinweis an, dass es sich um Schadcode handelt.
Zu den weiteren Sicherheitsfeatures von Umbrella zählen unter anderem Cloud Access Security Broker (CASB), Intrusion Detection and Prevention (IDS/IPS), Botnet- und Cryptomining-Erkennung sowie Data Loss Prevention (DLP). Diese Policy überwacht alle Daten, die man ins Web hochlädt, und blockiert die vom Administrator als sensibel klassifizierten Datenkategorien. Auch Drucker und IoT-Geräte (Internet of Things) lassen sich in Umbrella integrieren. Für die Benutzerverwaltung kann die Software Verzeichnisdienste wie Active Directory, Azure AD oder LDAP nutzen.
Umbrella unterstützt bislang die SASE-Funktion Zero Trust Network Access (ZTNA) nicht. Cisco bietet hierfür mit Duo ein eigenständiges Produkt an, das auch eine Multi-Faktor-Authentifizierung beherrscht und sich als Single-Sign-on-Lösung für Umbrella konfigurieren lässt. Zur Verwaltung der SASE-Lösung sind bislang mit dem Meraki-Dashboard und der Umbrella-GUI zwei verschiedene Management-Tools erforderlich. Cisco arbeitet bereits an einer zentralen Konsole, über die sich künftig alle SASE-Funktionen bedienen lassen sollen.
Roaming- und VPN-Client
Um Internetzugriffe mobiler Mitarbeiter zu schützen, bietet Cisco den Umbrella Roaming Client. Er sorgt dafür, dass der Web-Traffic immer über das nächstgelegene Umbrella-Gateway läuft. Ein VPN-Zugriff über Umbrella auf das Unternehmensnetz ist bislang nicht möglich. Dafür ist ein klassischer VPN-Client erforderlich, der eine direkte Verbindung zu den Meraki-Systemen aufbaut. Laut Cisco ist derzeit ein neuer Client in Entwicklung, der VPN-Zugriffe über Umbrella unterstützen soll.
Mit den nativen VPN-Clients der aktuellen PC- und Handy-Betriebssysteme ist ein Zugriff auf das Unternehmensnetz per L2TP-IPSec-VPN möglich. Der Cisco Anyconnect-Client, der auch ein Umbrella Roaming Module integriert, unterstützt VPN-Zugriffe mit IKE v2. Im Test haben wir einen nativen Android-VPN-Client für den L2TP/IPSec-VPN-Zugriff auf das Meraki-MX-Netzwerk konfiguriert. Wir konnten mit dem Handy eine VPN-Verbindung aufbauen und uns per RDP-App an einem Windows-Rechner im lokalen Testnetz anmelden. Der Client-Monitor von Meraki zeigte den Android-VPN-Client als erfolgreich verbunden an.
Den Umbrella Roaming Client installierten wir auf einem Windows-10-Notebook. Das Setup hat die DNS-Einstellungen des Rechners so geändert, dass alle Internetzugriffe über Umbrella geroutet und damit von der Cloud-Security-Plattform geschützt wurden. In der Umbrella-Konsole erschien der Windows-Rechner automatisch unter Roaming Computers.
Leistungsfähige Cloud-Security-Lösung
Die Kombination von Meraki SD-WAN und Umbrella Cloud-Security stellt eine leistungsfähige SASE-Plattform bereit. Die Verbindung der beiden Umgebungen mit dem Cloud-On-Ramp-Mechanismus und der Auto-VPN-Funktion erfolgt weitgehend automatisiert, sodass die Lösung schnell einsatzbereit ist. Umbrella unterstützt zahlreiche Sicherheitsmechanismen, mit denen sich Internetzugriffe gut schützen lassen. Die Lizenzierung hat Cisco recht einfach gehalten. Die Kosten richten sich nach der Anzahl der Benutzer, unabhängig davon, von wo aus der Zugriff auf die SASE-Infrastruktur erfolgt.
- Cloud-Security mit SD-WAN-Integration
- Umfangreiche Sicherheitsfunktionen
Lesen Sie mehr zum Thema
