Introdução
Cisco Umbrella é uma plataforma que oferece serviços de segurança da informação em nuvem para empresas de diversos tamanhos, como também para usuários e dispositivos conectados de qualquer lugar.
Cisco Umbrella provê múltiplos níveis de defesa contra ameaças na Internet.
É possível trazer segurança e confiabilidade nos dados em trânsito na Internet, sem a necessidade de o dispositivo que originou o tráfego estar conectado em um equipamento físico como, firewall ou roteador. Isso não significa que estes dispositivos tenham de ser removidos da arquitetura, visto que eles possuem outras funções no perímetro ou na configuração da rede, como também, em alguns momentos são integrados com o próprio Cisco Umbrella para ter uma camada a mais de proteção.
Entre as funcionalidades que o Cisco Umbrella traz, estão:
- DNS-Layer Security - (Segurança na camada de DNS) - fornece proteção para serviços na camada de DNS.
- Secure Web Gateway - (Gateway de Web Seguro) - atua entre os usuários e a Internet, habilitando inspeção de tráfego, filtro de URL, proteção contra ameaças, controle e visibilidade de aplicação, prevenção contra perda de dados e segurança de DNS.
- Cloud Access Security Broker (CASB) - atua como intermediário entre os provedores de serviço em e os consumidores de serviços em cloud, para impor as políticas e o uso de segurança de uma organização. O CASB protege a movimentação de dados limitando o acesso e o compartilhamento de privilégios, ao mesmo tempo em que usa criptografia para proteger os dados.
- Cloud Data Loss Prevention (DLP) - (Prevenção de perda de dados em nuvem) - análise de tráfego de saída para web evitand a perda de dados confidenciais.
- Cloud Delivered Firewall - (Firewall na nuvem) - Serviço de firewall em nuvem para melhor visibilidade e controle do tráfego para a Internet, oferecendo proteção desde a camada 3 e 4, que é proteção para para portas e protocolos, camada 7 de aplicação, como também Intrusion Prevention System - IPS (Sistema de prevenção de intrusào).
- Cloud Malware Protection - (Proteção contra Malware em nuvem) - com a proteção nas camadas de DNS e IP, Umbrella bloqueia requisição de malware, ransomware, phishing, botnets, antes que o tráfego malicioso atinja a rede ou o dispositivo final.
- Remote Browser Isolation - (Isolamento remoto do navegador) - O isolamento remoto de navegador (RBI) do Umbrella fornece uma camada adicional de proteção contra ameaças de segurança baseadas no navegador dos dispositivos de usuário, trazendo a possibilidade de os usuários acessarem as aplicações web de qualquer lugar, obtendo a mesma proteção.
Pacotes Cisco Umbrella
A Cisco Umbrella provê diferentes pacotes de segurança em nuvem. Abaixo um resumo de cada um dos pacotes como também uma lista com suas funcionalidades.
- DNS Security Essentials - Bloqueio de ameaças na camada DNS.
- DNS Security Advantage - Proteção de DNS, além de informações adicionais sobre segurança na Web e insights sobre ameaças para acelerar as investigações.
- SIG Essentials - Todas as funcionalidades de DNS, mais adicionais como, proteção de camada 3 e 4.
- SIG Advantange - Nível de licença mais completa, incluindo proteção e filtro de aplicação, DLP, firewall com IPS.
Abaixo uma imagem comparativa.
Como utilizar o Cisco Umbrella?
Para utilizar o Cisco Umbrella é necessário que seja adiquirido um dos níveis de licença mencionados acima,
porém antes da aquisição do produto, a Cisco disponibiliza uma licença gratuita para avaliação durante o período de 14 dias.
O pacote da licença disponível para trial é o DNS Advantage.
Para adquirir a licença gratuita é necessário realizar o registro através do web site (Umbrella trial), e após validar o email de confirmação já é possível ter acesso ao dashboard da Umbrella.
Nos tópicos a seguir é demonstrado como realizar a configuração inicial do Cisco Umbrella.
Configuração Cisco Umbrella
Passos iniciais para ativar a proteção da rede com Cisco Umbrella
Para iniciar a proteção com Cisco Umbrella, é bem simples.
O primeiro passo é validar se o seu tráfego está ou não sendo direcionado para o DNS da Umbrella.
Acesse a URL https://welcome.umbrella.com/oops/ e, se a mensagem que aparecer na tela for igual a imagem abaixo, significa que as requisições DNS ainda não são tratadas pela Cisco Umbrella.
Após essa validação é necessário alterar o endereçamento IP DNS de sua rede para os IPs da Umbrella, que são:
- IPv4 - 208.67.222.222 e 208.67.220.220
- IPv6 - 2620:119:35::35 e 2620:119:53::53
Como exemplo prático, nessa demonstração é realizada a configuração a partir de um dispositivo Windows, configurando o DNS diretamente na placa de rede do disposivito, porém o mesmo processo é possível realizar no servidor DNS, ou no gateway da rede.
Observação: Em uma rede em produção, o planejamento e realizar essa configuração em uma janela de manutenção são vitais, a fim de evitar impactos operacionais.
Após a configuração do DNS e acessar a URL pela segunda vez, o resultado será diferente, visto que todas as requisições DNS estão sendo resolvidas e tratadas pelo DNS da Umbrella.
Setup inicial dashboard do Cisco Umbrella
Após validar o email e fazer o login na plataforma, as telas iniciais são das configurações do Cisco Umbrella, como o Setup da rede, e configuração de Roaming Computers. Por esse momento clique em Skip Step, para as telas que aparecerem, e a configuração será aplicada mais tarde.
Agora já dentro do Dashboard do Umbrella é possível visualizar os menus disponíveis, e no topo da página os dias restantes para expirar a licença trial.
Navegue até o menu opção Admin > Licensing, e também encontrará os detalhes da licença disponível para essa trial.
Configuração da Rede no Cisco Umbrella
A configuração do apontamento de DNS para o Cisco Umbrella não é a única que deve ser feita. Quando é modificado o DNS, todo o tráfego DNS será resolvido pelo DNS da Umbrella, porém para aplicar políticas de bloqueio de tráfego, como ter o controle e visualização do que os dispositivos estão acessando, é necessário adicionar sua rede, ou criar um tunnel a partir do dispositivo de rede, firewall, roteador, entre outros, com a Cisco Umbrella.
Neste exemplo, é adicionada a rede através do IP público.
Para este passo, vá ao menu Deployments > Core Identities > Networks. No botão do lado direito no topo da página, clique em Add, crie um nome para a rede, e adicione o seu IP público. Logo em seguida clique em Save.
Neste caso, é adicionado somente o IPv4.
Caso você não tenha um IP público fixo contratado com o seu provedor, é importante selecionar a opção "This network has a dynamic IP address".
Inicialmente, o status que aparecerá é que a rede está inativa, pois ainda não recebeu nenhuma requisição vindo do seu IP púbico ou rede, mas em algums minutos este status mudará.
Observe também que a Primary Policy é Default Policy, pois a rede acabou de ser adicionada, e ainda não foi criada nenhuma política customizada e aplicada nessa rede.
Após a rede ser adicionada, comece a navegar em algumas páginas web com o intuito de gerar tráfego para o Umbrella.
Verificando tráfego no Cisco Umbrella
Para confirmar que o tráfego está realmente sendo direcionado para o Cisco Umbrella, navegue até o menu Reporting > Activity Search.
Observe que já existe algumas requisões de DNS para o Cisco Umbrella, como:
- tipo: DNS
- IP de origem: seu IP público
- url destino: google.com
- ação tomada: Allowed (permitido)
No mesmo menu Reporting, navegando até a categoria Additional Reports > Top Destinations, será possível observar quais foram os destinos mais acessados desde o seu dispositivo ou rede.
Voltando ao menu Deployments > Core Identities > Network, observe que o status da rede agora está como Active.
Conclusão
Vimos aqui a configuração inicial do Umbrella, porém a ferramenta vai muito além.
Aconselho que navegue por dentro do dashboard para uma melhor visualizão de todas as funcionalidades e benefícios que o Cisco Umbrella traz para o seu ambiente.
Espero que você tenha aproveitado a leitura.
Jonas Resende.
