Cisco Umbrella là một cơ chế bảo mật dựa trên dịch vụ DNS, cung cấp dịch vụ bảo mật chung ở hình thức tại chổ on-prem hoặc off-prem (trên mây) cho các thiết bị đầu cuối. Umbrella tại chổ sẽ không cần các đầu cuối cài bất cứ phần mềm nào vào máy. Nếu so sánh với thiết bị tường lửa, tường lửa thì phù hợp để chặn những mối đe dọa từ ngoài vào. Còn Umbrella thì dùng để chặn những nguy cơ từ bên trong. Các mối đe dọa này không thể bị ngăn chặn bởi những thiết bị ngoại vi bởi vì nó đã ở phía sau của tường lửa.
Umbrella là một giải pháp bảo mật dựa giúp bảo vệ và chống lại các mối đe dọa phát sinh trên Internet. Umbrella là tuyến phòng thủ đầu tiên cho những người dùng có thể đang cố gắng kết nối Internet từ mọi nơi. Một thiết bị kết nối với Internet cần tra cứu DNS (Hệ thống Domain) để dịch tên của trang web hoặc dịch vụ sang địa chỉ IP mà nó cần kết nối. Umbrella xử lý hàng tỷ yêu cầu DNS mỗi ngày, phân tích và tìm hiểu về các hoạt động khác nhau và chặn các yêu cầu đến các điểm đến không mong muốn và độc hại trước khi kết nối được thiết lập. Cisco Umbrella kết hợp các dịch vụ bảo mật sau trong sản phẩm của mình, bất kể người dùng ở đâu:
- Nó chặn phần mềm độc hại, ransomware và các trang web độc hại hoặc lừa đảo.
- Nó có thể được tích hợp với Cisco AMP và các công cụ chống vi-rút khác
- Nó duy trì các danh mục nội dung, danh sách trắng (whitelist) và danh sách đen (blacklist) được xác định tùy chỉnh để tuân thủ bất kỳ chính sách nào của tổ chức.
9.3.1. Tìm hiểu Umbrella
Trong một vài trường hợp trong mạng doanh nghiệp, bạn phải điều chỉnh chính sách bảo mật cho các thiết bị đầu cuối mà không nằm trong phạm vi quản lý của bạn. Điều này đặt ra vài thách thức mà người thực thi bảo mật phải giải quyết: “Làm thế nào để quản lý bảo mật cho các thiết bị đầu cuối mà bạn không thể quản lý?”
Umbrella xử lý các yêu cầu DNS nhận được từ người dùng hoặc thiết bị trên mạng. Nó không chỉ hoạt động trên HTTP hoặc HTTPS mà còn hỗ trợ các giao thức khác. Giả sử rằng một người dùng muốn truy cập một trang web và đưa ra yêu cầu đối với trang web đó. Điều này dẫn đến một yêu cầu DNS được gửi đến Umbrella. Các bước sau xảy ra:
Bước 1. Umbrella phân tích yêu cầu DNS để kiểm tra xem tên miền (domain) có độc hại hay an toàn hay không.
Bước 2. Umbrella kiểm tra xem có bất kỳ chính sách nào được kích hoạt hay không, chẳng hạn như chính sách lọc nội dung hoặc các tên miền nằm trong danh sách cấm.
Bước 3. Nếu tất cả đều ổn, địa chỉ IP sẽ được gửi đến người dùng yêu cầu. Trong trường hợp của stanford.edu, Umbrella trả về địa chỉ IP chính xác.
Bước 4. Khi một yêu cầu DNS được gửi cho domain.xyz, Umbrella sẽ kiểm tra xem có bất kỳ chính sách nào được kích hoạt hay không hoặc đây có phải là một tên miền độc hại đã biết hay không.
Bước 5. Umbrella phản hồi bằng thông báo “trang bị chặn”, thông báo cho người dùng rằng tên miền độc hại hoặc nằm trong danh sách bị chặn.
Umbrella có thể chặn những kết nối từ phía client ở mức ứng dụng, không cần quan tâm đến kiểu kết nối mạng hay các bảo mật ở lớp biên. Cách hoạt động của Umbrella là nó ngăn ngừa DNS phân giải địa chỉ đích. Nếu một máy client không thể phân giải địa chỉ đích, nó không thể thiết lập kết nối và sẽ không tải về các phần mềm độc hại. Umbrella có thể được dùng để ngăn ngừa các kết nối từ máy client đến các trang web độc hại hoặc những trang web mà chính sách của công ty không cho truy cập.