Cisco heeft het einde van de levensduur van oudere Umbrella SKU’s aangekondigd op 18 juni 2025. Het einde van de verkoop gaat in op 30 september 2025. Software-onderhoudsreleases stoppen op 30 september 2026. Als je nog steeds Umbrella gebruikt, heb je ongeveer vier maanden de tijd om een migratie te voltooien, of dat nu betekent dat je overstapt op Cisco Secure Access of dat je een leveranciersneutraal SASE-platform evalueert dat DNS-beveiliging, webgateway en netwerktoegang in één licentie consolideert.
Cisco’s Umbrella-productlijn gaat terug tot de overname van OpenDNS in 2015. Tien jaar lang was het de standaard DNS-beveiligingstool voor IT-teams in het middensegment van de Europese markt. De afschaffing heeft invloed op elke bestaande Umbrella SKU, van DNS-only Roaming licenties tot volledige Secure Internet Gateway (SIG) pakketten. Cisco’s beoogde migratiedoel is het Cisco Secure Access platform, maar dat is niet het enige beschikbare pad en voor veel organisaties ook niet het eenvoudigste.
Dit bericht gaat in op de exacte tijdlijn, welke SKU’s worden beïnvloed, wat Cisco Secure Access wel en niet vervangt en de drie realistische migratiepaden die je nu kunt bewandelen.
Wanneer bereikt Cisco Umbrella precies het einde van zijn levensduur?
Cisco heeft op 18 juni 2025 EOL bulletin EOL15688 gepubliceerd. Legacy Umbrella SKU’s zijn op 30 september 2025 uit de verkoop gegaan. Sinds die datum zijn er geen nieuwe bestellingen of abonnementsverlengingen meer mogelijk. Softwareonderhoud, inclusief bugfixes en patches, eindigt op 30 september 2026. Bestaande abonnementen met actieve contracten blijven TAC ondersteuning ontvangen tot 30 september 2030, maar zonder nieuwe software releases na september 2026, komt het product in een ‘feature freeze’ waardoor het blootgesteld wordt aan nieuwe bedreigingen.
| Datum | Mijlpaal | Wat het voor jou betekent |
|---|---|---|
| 18 juni 2025 | Aankondiging einde levensduur | Cisco publiceert EOL-bulletin EOL15688 |
| 30 september 2025 | Einde verkoop en einde verlenging | Laatste dag om oudere Umbrella SKU’s te bestellen of te vernieuwen |
| 30 september 2025 | Laatste verzenddatum | Uiterste datum voor inschrijving |
| 30 september 2026 | Einde softwareonderhoud | Geen patches, bugfixes of functie-updates meer |
| 30 september 2030 | Laatste ondersteuningsdatum | TAC-ondersteuning eindigt; product wordt officieel verouderd |
Het gat tussen het einde van de verkoop (september 2025) en het einde van het softwareonderhoud (september 2026) is precies twaalf maanden. Voor inkoopteams in organisaties in het middensegment van de markt is dat nog maar vier maanden. Als uw huidige Umbrella-abonnement tot na september 2026 loopt, werkt u met software die geen beveiligingspatches ontvangt.
Welke overkoepelende SKU’s worden beïnvloed?
De EOL-aankondiging omvat het volledige spectrum van oudere Umbrella-verpakkingen. Cisco’s bulletin vermeldt meer dan 30 individuele onderdeelnummers, maar ze zijn onderverdeeld in vijf functionele categorieën.
| Legacy SKU-categorie | Voorbeeld onderdeelnummers | Cisco’s vervangende SKU |
|---|---|---|
| Overkoepelende roaming | UMB-ROAM | Cisco Umbrella DNS Security Essentials (UMB-DNS-ESS-K9) |
| Paraplu Professioneel | UMB-PROFESSIONAL | Cisco Paraplu DNS Essentiële Beveiliging |
| Paraplu-tak (ISR/RV) | UMB-BRAN-1100, UMB-BRAN-4321, UMB-BRAN-RV | Cisco Paraplu DNS Essentiële Beveiliging |
| Umbrella Insights / Platform (SP) | UMB-INSIGHTS-K9-SP, UMB-PLATFORM-K9-SP | Cisco Umbrella DNS-beveiligingsvoordeel voor SP’s |
| Paraplu-cloudbeveiliging | PARAPLU-SUB, PARAPLU-ENT-SUB | Cisco Paraplu Beveiligingsabonnement (UMB-SEC-SUB) |
Twee extra EOL-trajecten lopen parallel. De Umbrella Roaming Client-software bereikt het einde van de levensduur op 2 april 2025, waardoor migratie naar Cisco Secure Client (de opvolger van AnyConnect) noodzakelijk wordt. De Umbrella Reserved IP add-on bereikt het einde van de verkoop op 3 januari 2025.
Organisaties die Umbrella DNS Security Essentials of Advantage draaien onder de huidige (niet-legacy) SKU-structuur worden niet direct beïnvloed door dit bulletin. Maar Cisco stuurt de hele Umbrella installed base in de richting van Cisco Secure Access packaging, en de feature roadmap voor standalone Umbrella SKU’s neemt af ten gunste van het Secure Access platform.
Wat Cisco Secure Access biedt (en wat niet)
Cisco positioneert Secure Access als de opvolger van zowel Umbrella als AnyConnect. Het combineert DNS-beveiliging, Secure Web Gateway, ZTNA en cloud firewall-mogelijkheden in één platform dat wordt geleverd via Cisco’s Security Cloud-infrastructuur. Op papier klinkt dat als een schoon upgradepad. In de praktijk brengt de overgang complexiteit met zich mee die teams in het middensegment zorgvuldig moeten evalueren.
Wat netjes van Umbrella naar Secure Access gaat:
DNS-laagbeveiliging wordt overgedragen als “DNS-verdediging” binnen Secure Access. Webfiltering, malware-inspectie en categorisering van inhoud worden overgebracht naar de SWG-component. Talos threat intelligence blijft de detectie-engine voor beide producten.
Wat verandert er aanzienlijk:
De Intelligent Proxy, een functie die verdacht verkeer selectief door een cloud proxy leidt zonder alles te proxen, bestaat niet in dezelfde vorm in Secure Access. Het nieuwe model stuurt al het webverkeer door een volledige SWG-stack. Voor organisaties die vertrouwden op de lichtgewicht DNS-first benadering van de lagere niveaus van Umbrella, is dit een fundamentele architecturale verschuiving die gevolgen heeft voor de latentie, het certificaatbeheer en de eindpuntconfiguratie.
De beheerconsole verandert van het Umbrella Dashboard in Security Cloud Control. Beleidsstructuren, rapportagelay-outs en API-eindpunten verschillen allemaal. Aangepaste blokpagina’s die zijn gebouwd voor het Umbrella DNS redirect-model moeten worden herbouwd voor een proxy-gebaseerde architectuur waarbij het blokkeren inline gebeurt in plaats van op de DNS-omzettingslaag.
ZTNA in Secure Access vereist Cisco Secure Client op elk beheerd eindpunt. Organisaties die voorheen Umbrella gebruikten met alleen DNS-implementatie (richt uw resolvers en ga) worden nu geconfronteerd met een uitrol van agents per apparaat.
Waarvoor extra Cisco-licenties nodig zijn:
Volledige SASE-dekking binnen het Cisco-ecosysteem vereist nog steeds het samenstellen van meerdere producten. Cisco Duo biedt MFA en identiteitsverificatie. Cisco Meraki of Catalyst zorgt voor SD-WAN voor connectiviteit op meerdere locaties. ThousandEyes zorgt voor digitale ervaringsmonitoring. Elk product heeft zijn eigen licentie, zijn eigen beheerinterface en zijn eigen vernieuwingscyclus. Een organisatie met 200 gebruikers die streeft naar de SASE-dekking die een uniform platform van begin tot eind biedt, zou vier tot vijf afzonderlijke Cisco-abonnementen kunnen beheren.
Drie realistische migratiepaden
Traject 1: migreren naar Cisco Secure Access
Dit is het standaardpad dat Cisco voorstaat, en het heeft echte voordelen voor organisaties die diep in het Cisco-ecosysteem zitten. Als je al Meraki switches, Duo voor identiteit en Catalyst voor SD-WAN gebruikt, past Secure Access in die stack zonder een nieuwe leveranciersrelatie te introduceren.
Wanneer dit goed werkt: Grote Cisco-native omgevingen met toegewijd beveiligingspersoneel en meerjarige Cisco EA’s (Enterprise Agreements) waarin licenties worden gebundeld.
Waar het wrijving veroorzaakt: Organisaties in het middensegment die Umbrella gebruikten als een standalone DNS-beveiligingslaag. De overstap van een lichtgewicht DNS-tool naar een volledig SSE-platform betekent meer complexiteit, meer eindpunten om te beheren en meer licenties om te coördineren. De multi-console realiteit van Duo plus Security Cloud Control plus Meraki Dashboard maakt de werkzaamheden voor een IT-team van drie personen er niet eenvoudiger op.
Traject 2: consolideren in een SASE-platform van één leverancier
Voor organisaties die de EOL van Umbrella zien als een trigger om hun beveiligingsarchitectuur volledig te heroverwegen, bieden single-vendor SASE-platformen de breedste vervangingsmogelijkheden. In plaats van DNS-beveiliging, webgateway, firewall, ZTNA en SD-WAN uit afzonderlijke producten samen te stellen, levert een uniform platform ze allemaal vanuit één console onder één licentie.
Verschillende leveranciers bedienen deze markt. Zscaler levert een volwassen SSE-stack met wereldwijd bereik, maar enterprise-grade complexiteit en ondoorzichtige prijzen. Cloudflare One maakt gebruik van een van ’s werelds grootste edge netwerken en biedt een freemium instappunt, hoewel voor datalokalisatie bedrijfscontracten nodig zijn. Netskope is toonaangevend op het gebied van CASB en DLP, maar richt zich op grote ondernemingen. Jimber biedt een Europees SASE-platform voor organisaties met 50 tot 400 gebruikers, met transparante prijzen per gebruiker, datasoevereiniteit in de EU en agentless apparaatisolatie via NIAC-hardware.
Wanneer dit goed werkt: Organisaties die een einde willen maken aan de wildgroei van tools, het aantal beheerconsoles willen beperken en hun beveiligingsarchitectuur willen afstemmen op een duidelijk evaluatieraamwerk voor leveranciers.
Waar het wrijving veroorzaakt: Organisaties die vastzitten aan meerjarige Cisco-contracten voor netwerken en identiteit kunnen te maken krijgen met contractuele belemmeringen voor een volledige overstap naar een andere leverancier.
Traject 3: hybride benadering
Sommige organisaties splitsen de migratie: DNS-beveiliging bij de ene leverancier, bredere SASE of SSE bij een andere. Dit is zinvol wanneer contractuele beperkingen een gefaseerde overgang afdwingen, of wanneer een specifieke compliance-eis (zoals lokale DNS-resolutie voor gegevenssoevereiniteit) een gespecialiseerde leverancier vereist.
Wanneer dit goed werkt: Gereguleerde omgevingen waar DNS-filtering binnen een specifieke jurisdictie moet blijven, of organisaties die halverwege een Cisco EA zitten en niet netjes kunnen afsluiten.
Te beheren risico’s: Twee beheerplatformen, twee beleidstalen, twee workflows voor incidentenonderzoek. De operationele overhead van een hybride aanpak kan de kosten van elk platform afzonderlijk overstijgen, vooral voor slanke IT-teams.
De migratiebeslissingen die teams verrassen
De leveranciersselectie krijgt de meeste aandacht, maar de operationele details van de migratie zelf veroorzaken vaak meer verstoring. Vijf gebieden verrassen IT-teams steeds weer als ze van Umbrella migreren.
Aangepaste blokpagina’s zijn niet overdraagbaar. De DNS-redirect blokpagina’s van Umbrella gebruiken een fundamenteel ander leveringsmechanisme dan proxy-gebaseerde SWG blokpagina’s. Als je merkgebonden blokpagina’s hebt gemaakt met helpdesk-instructies en beleidsuitleg, dan moeten deze helemaal opnieuw worden opgebouwd in welk platform je ook kiest. Budget hiervoor twee tot drie dagen.
Onderzoek API-integraties breken. Organisaties die geautomatiseerde zoekacties naar bedreigingsinformatie of verrijking van incidenten via de Umbrella Investigate API uitvoeren, krijgen te maken met een nieuwe architectuur. Cisco’s Security Cloud gebruikt OAuth 2.0 authenticatie en een andere endpointstructuur. SIEM-integraties van derden die gebruikmaken van Investigate moeten worden bijgewerkt.
De migratie van Roaming Client naar Secure Client is zwaarder dan verwacht. Cisco Secure Client is een grotere, resource-intensievere agent dan de oorspronkelijke Umbrella Roaming Client. IT-teams op Reddit’s r/sysadmin en r/Cisco melden conflicten met DLP-agenten van derden en VPN-configuraties. Voor organisaties zonder gecentraliseerd MDM is het pushen van de nieuwe client naar elk eindpunt een omvangrijk project.
DNS cutover vereist een zorgvuldige opeenvolging. Het overschakelen van DNS-oplossers van de anycast-adressen van Umbrella naar een nieuwe provider heeft invloed op elk apparaat op het netwerk tegelijkertijd. Een gefaseerde omschakeling, beginnend met één site of één gebruikersgroep, verkleint de straal van de ontploffing als de pariteit van het beleid niet perfect is op dag één.
SAML SSO en Active Directory connectors moeten opnieuw geconfigureerd worden. De identiteitsintegratie tussen Umbrella en uw IdP wordt niet automatisch overgedragen. Verwacht dat u SAML vertrouwensrelaties opnieuw moet opbouwen en de Virtual Appliances die AD synchronisatie afhandelen opnieuw moet configureren.
Platformen die vanaf het begin zijn ontworpen als single-vendor SASE, waaronder Jimber, voorkomen een aantal van deze problemen door het ontwerp. Eén policy engine betekent één set blokpaginasjablonen, één API-structuur en één identiteitsintegratie, in plaats van afzonderlijke configuraties per Cisco-product.
Wat dit betekent voor uw aanbestedingscyclus in 2026
Met nog vier maanden te gaan tot de deadline voor softwareonderhoud, wordt de aanschaftijdlijn verkort. Organisaties in het middensegment van de markt moeten terugwerken vanaf 30 september 2026 en rekening houden met drie tot zes maanden voor een typische migratie, inclusief proof of concept, beleidsmigratie, uitrol van eindpunten en validatie.
Dat betekent dat de evaluatie al aan de gang zou moeten zijn. Als je nog niet begonnen bent, ziet de praktische volgorde er als volgt uit:
Nu tot juni 2026: Voer een proof of concept uit met twee of drie platforms op de shortlist. Neem Cisco Secure Access mee als u hebt geïnvesteerd in het Cisco-ecosysteem. Neem ten minste één leverancier-neutraal alternatief op om mee te benchmarken. Jimber biedt een PoC die CASB, SWG en ZTNA in één evaluatie omvat.
Juni tot augustus 2026: Neem de aankoopbeslissing en begin met de gefaseerde uitrol. Begin met externe gebruikers (zij voelen de VPN-wrijving het meest) en één bijkantoor.
September 2026: migratie voltooien voor de deadline voor softwareonderhoud. Buiten gebruik stellen van Umbrella DNS-resolverconfiguraties.
Drie vragen die je aan elke leverancier op je lijst moet stellen:
- Hoeveel beheerconsoles heeft uw platform nodig om DNS-beveiliging, SWG, ZTNA en SD-WAN te leveren?
- Wat zijn de kosten per gebruiker inclusief alle modules, zonder bandbreedtetoeslagen?
- Onder welke wettelijke jurisdictie vindt verkeersinspectie plaats en vallen jullie onder de Amerikaanse CLOUD Act?
Voor Europese organisaties die soevereiniteit naast veiligheid beoordelen, bepaalt die derde vraag steeds vaker de shortlist.
Veelgestelde vragen
Blijven mijn bestaande Cisco Umbrella contracten geldig tot aan de vervaldatum?
Actieve abonnementen met geldige contracten blijven TAC-ondersteuning ontvangen tot 30 september 2030, conform Cisco’s EOL bulletin EOL15688. Na 30 september 2026 worden echter geen nieuwe software-onderhoudsreleases meer uitgegeven. U behoudt ondersteuning, maar geen patches.
Bevat Cisco Secure Access alles wat Umbrella deed?
De kernfuncties DNS-filtering, webbeveiliging en informatie over bedreigingen worden overgenomen. De functie Intelligent Proxy bestaat niet in dezelfde vorm. Aangepaste blokpagina’s, API-integraties en de rapportagestructuur van het Umbrella Dashboard veranderen allemaal. Een proof of concept is de enige betrouwbare manier om functionele pariteit voor uw specifieke configuratie te bevestigen.
Hoe lang kan ik de paraplu blijven gebruiken na september 2026?
De software blijft functioneren, maar zonder patches of onderhoudsreleases. Cisco lost geen bugs op en pakt geen nieuwe kwetsbaarheden aan. Als u beveiligingssoftware zonder patches gebruikt na de einddatum van het onderhoud, loopt u een risico dat elke maand groter wordt.
Wat zijn de werkelijke kosten van de overstap van Umbrella naar Cisco Secure Access?
Cisco biedt migratieprijzen die overeenkomen met de bestaande abonnementskosten voor Umbrella. De verborgen kosten zitten in de aangrenzende licenties die nodig zijn voor volledige dekking: Duo voor identiteit, Meraki of Catalyst voor SD-WAN en ThousandEyes voor monitoring. Een uitgebreide Secure Web Gateway vergelijking helpt om te bepalen wat een volledige vervanging van webbeveiliging eigenlijk vereist.
Kan ik migreren naar een niet-Cisco SASE platform?
Ja. Umbrella gebruikt standaard DNS forwarding en, op hogere niveaus, IPsec tunnels en proxy configuraties. Dit zijn integraties op protocolniveau, geen propriëtaire lock-in. Migratie naar een SASE- of SSE-platform houdt in dat DNS opnieuw moet worden toegewezen, tunnels opnieuw moeten worden geconfigureerd, een nieuwe agent op eindpunten moet worden aangemeld en integraties met identiteitsproviders opnieuw moeten worden opgebouwd.
Werken mijn Umbrella API-integraties met Cisco Secure Access?
Niet direct. De Umbrella Reporting, Management en Investigate API’s gebruiken andere authenticatie- en endpointstructuren dan de Security Cloud API’s. Plan een refactoring als u geautomatiseerde workflows hebt die afhankelijk zijn van deze API’s.
Wat gebeurt er met mijn Umbrella Investigate-gegevens over bedreigingen?
De mogelijkheden van Investigate worden geïntegreerd in het bredere Cisco Security Cloud-platform. Historische querygegevens en informatiefeeds gaan over naar het nieuwe platform, maar de API-toegangsmethode verandert. Als u Investigate gebruikt voor geautomatiseerde verrijking in uw SIEM, moet die integratie opnieuw worden bewerkt.
Voor een gedetailleerde vergelijking van hoe Cisco Umbrella het doet ten opzichte van een uniforme SASE-aanpak, lees de volledige analyse Cisco Umbrella versus Jimber. Of als u wilt zien hoe een migratie naar één console er in de praktijk uitziet, boek dan een demo en neem uw Umbrella-configuratie mee.
