Export Compliance en geografische beperkingen voor veilige toegang

Inleiding

In dit document wordt beschreven hoe u naleving en geografische beperkingen voor beveiligde toegang van Cisco kunt exporteren.

Achtergrondinformatie

In overeenstemming met het algemene beleid van Cisco inzake naleving van exportverplichtingen is Secure Access in verschillende landen en regio's beperkt. Zie Cisco Global Trade Compliance voor de nieuwste lijst. 

Domeinnaamserver (DNS)

• De DNS-service voor zoekopdrachten die afkomstig zijn van IP-adressen waarvan is vastgesteld dat ze afkomstig zijn uit Rusland, Wit-Rusland, de Krim, Loehansk, Donetsk, Syrië, Cuba, Iran, Noord-Korea en andere gesanctioneerde regio's met geoblocking, heeft geen beleid voor beveiliging of inhoudfiltratie toegepast. Rapportage is ook uitgeschakeld. De DNS-query's ontvangen nog steeds een geldig antwoord en worden behandeld met hetzelfde serviceniveau als verkeer uit de rest van de wereld.
• Bij gebruik voor DNS blijft de beveiligingsmodule voor Secure Client-roaming het DNS-verkeer oplossen.
  
  

webbeveiliging

• Web Security-servers accepteren geen verkeer waarbij het IP-adres afkomstig is uit een van de geblokkeerde landen of regio's.
• De standaardconfiguratie van de beveiligingsmodule voor Secure Client-roaming zorgt ervoor dat deze direct verbinding maakt met internet wanneer Secure Access niet beschikbaar is. Sommige specifieke klantconfiguraties werken in een 'fail closed'-modus, waardoor gebruikers de toegang tot internet kunnen verliezen.
• Het standaard Secure Access Protected Access Credential (PAC)-bestand zorgt ervoor dat het direct verbinding maakt met internet wanneer Secure Access niet beschikbaar is. Sommige specifieke klantconfiguraties (bijvoorbeeld die zonder standaardroute) kunnen 'failliet gaan', waardoor gebruikers de toegang tot internet verliezen.
• IPsec-tunnels worden losgekoppeld door IP-blokkering of intrekking van Internet Key Exchange (IKE)-referenties. Het gedrag en de gebruikerservaring zijn afhankelijk van de specifieke klantconfiguratie. Sommige configuraties keren terug naar een directe internetverbinding, andere keren terug naar Multiprotocol Label Switching (MPLS) en andere kunnen ervoor zorgen dat gebruikers internettoegang verliezen.
  
  

VPN en Zero Trust Access

Verbindingen met de VPN- en zero trust-toegangsservers waarbij de oorspronkelijke IP afkomstig is uit een van deze landen of regio's, worden geweigerd.

Dashboard- en beheerderstoegang

Het dashboard en de API's voor beveiligde toegang worden geblokkeerd voor gebruikers die verbinding maken vanuit een van de vermelde regio's.

Veelgestelde vragen

1. Wat als de gebruikers worden geblokkeerd, maar ze zich niet in een van de getroffen regio's bevinden?
   Neem contact op met ondersteuning en ze onderzoeken het graag.
   
   
2. Hoe nauwkeurig zijn uw geo-blokkerende gegevens?
   Toonaangevende geolocatiediensten worden gebruikt om het land voor een bepaald IP-adres te bepalen.
   
   
3. Wat moet u doen als de locatie die aan het IP-adres is gekoppeld, onjuist is?
   Het is aan te raden om een correctieverzoek in te dienen bij deze diensten:

• https://www.maxmind.com/en/geoip-location-correction
• https://support.google.com/websearch/contact/ip/
• https://ipinfo.io/corrections
• https://www.ip2location.com/
• http://www.ipligence.com/