Cisco Umbrella was voor IT-teams in het middensegment een goed beveiligingsproduct voor de DNS-laag. Nu de oude Umbrella SKU’s in september 2025 uit de verkoop gaan en het softwareonderhoud in september 2026 afloopt, loopt de migratieklok. De vraag is niet langer óf er moet worden overgeschakeld, maar hoe dit moet gebeuren zonder DNS-resolutie te verbreken, SIEM-zichtbaarheid te verliezen of een beschermingsgat te creëren tijdens de overgang.
Deze post is een 60-dagen-playbook. Vier fasen: 14 dagen ontdekking, 21 dagen parallelle implementatie, 14 dagen DNS cutover en 11 dagen ontmanteling. Het moment met het hoogste risico is de DNS-switch in fase 3. De rest is methodisch projectmanagement.
Als je achtergrondinformatie nodig hebt over waarom de architectuur van Umbrella beperkingen oplevert voor teams in het middensegment, kun je terecht bij de vergelijking tussen Cisco Umbrella en Jimber. Deze post gaat ervan uit dat je hebt besloten te migreren en zekerheid over de uitvoering nodig hebt.
De migratietijdlijn van 60 dagen in één oogopslag
Het vervangen van Cisco Umbrella door een single-vendor SASE-platform neemt 60 dagen in beslag, verdeeld over vier fasen: ontdekking en planning (14 dagen), parallelle implementatie (21 dagen), DNS cutover en validatie (14 dagen) en buitengebruikstelling (11 dagen). Het kritieke pad loopt door de DNS cutover in Fase 3, waar resolverwijzigingen zich over uw netwerk verspreiden en elke verkeerde configuratie onmiddellijk verlies van connectiviteit veroorzaakt.
| Fase | Dagen | Belangrijkste activiteiten | Output | Risiconiveau |
|---|---|---|---|---|
| 1. Ontdek | 1-14 | Beleidsexport, integratie in kaart brengen, leveranciersselectie | Projectplan en RFP | Laag |
| 2. Zet in. | 15-35 | Parallel uitrollen, agent uitrollen, beleid bouwen | Functionerende nieuwe stack naast Umbrella | Middelgroot |
| 3. Cutover | 36-49 | DNS-omschakeling, validatie, bewaking | Productiemigratie voltooid | Hoog |
| 4. Buitengebruikstelling | 50-60 | Contractontbinding, agentverwijdering, audit | Gesloten Parapluhuurder | Laag |
Fase 1 (dagen 1-14): ontdekken en plannen
Elke mislukte SASE-migratie is terug te voeren op een onvolledige ontdekkingsfase. Deze 14 dagen voorkomen de verrassingen die van een gecontroleerde migratie een brandoefening maken.
Uw huidige Umbrella-implementatie doorlichten
Begin met een export van alles wat Umbrella controleert.
Beleidsexport. Gebruik de Umbrella Management API v2 om bestemmingslijsten, DNS-beleid, webbeleid en firewallregels op te halen. Het /policies/v2/destinationlists eindpunt exporteert aangepaste domeinlijsten als JSON. Met de beheerconsole kunt u handmatig CSV-bestemmingslijsten exporteren. Exporteer beide.
Documentatie over DNS-resolver. Identificeer elk apparaat, DHCP scope en Group Policy Object dat verwijst naar de resolvers van Umbrella: 208.67.222.222 en 208.67.220.220 voor IPv4, 2620:119:35::35 en 2620:119:53::53 voor IPv6. Controleer routers, firewalls, Windows DNS-servers met conditionele forwarders en hardcoded resolver-vermeldingen op servers. De meest voorkomende migratiefout is een vergeten DNS-vermelding op een enkele branchrouter die query’s naar Umbrella blijft sturen na de cutover.
Onderzoek API-integraties. Documenteer elk script, playbook en SOAR-workflow die de Investigate API aanroept. Voor deze integraties moet de threat intelligence-API van de nieuwe leverancier opnieuw worden gebouwd.
SIEM-aansluitingen. Umbrella exporteert logs meestal naar een Amazon S3 bucket die is versleuteld met AES-256. Splunk gebruikt de Cisco Umbrella Add-on. Microsoft Sentinel gebruikt een Azure Function of REST API-connector. Documenteer het logformaat, de bewaarperiode en aangepaste dashboards die zijn gebouwd op Umbrella-gegevens. Het herbouwen van SIEM-connectoren is goed voor 15-20% van de totale migratie-inspanning bij de overgang naar een beveiligingsplatform (Gartner, 2025).
Aangepaste blokpagina’s en SAML SSO. Exporteer elke aangepaste blokpagina HTML en documenteer uw identiteitsleverancierintegratie, of het nu gaat om Microsoft Entra ID, Okta of on-premises AD Connector.
Breng functies in kaart op je nieuwe platform
| Paraplufunctie | SASE-equivalent | Migratie inspanning |
|---|---|---|
| DNS-laagfiltering (phishing, malware, C2) | DNS-beveiligingsmodule | Laag, bestemmingslijst importeren |
| Intelligente proxy (inspectie van grijze domeinen) | Volledige SWG inline proxy | Medium, bredere dekking |
| Onderzoek bedreigingsinformatie-API | Leverancierspecifieke bedreiging feed | Hoog, API schema wijzigen |
| Inhoudscategorie filteren | SWG URL-categorieën | Laag, categorie mapping herziening |
| CASB / schaduw IT ontdekken | CASB-module | Laag tot gemiddeld |
| Cloud-delivered firewall (CDFW) | FWaaS | Medium, regelvertaling |
| S3 log export | Platform-native logging | Hoog, herbouw SIEM-connector |
| AD-connector / SAML | Integratie identiteitsprovider | Laag |
| Aangepaste blokpagina’s | Blokpagina-editor | Laag, andere syntaxis |
De grootste conceptuele verschuiving is van Umbrella’s “Intelligent Proxy” naar een volledige Secure Web Gateway. Umbrella proxioneert alleen verkeer naar risicovolle of onbekende domeinen. Een SWG inspecteert 100% van het webverkeer inline, waarvoor een rootcertificaat moet worden ingezet op elk beheerd eindpunt voor TLS-inspectie.
Stel het projectteam samen en selecteer een leverancier
Voor een migratie van 200 gebruikers zijn vijf rollen nodig (projectmanager, netwerkengineer, identiteitsbeheerder, beveiligingsanalist, helpdeskleider). In slanke IT-teams in het middensegment neemt één persoon er vaak twee voor zijn rekening.
Als je nog geen vervangend platform hebt gekozen, richt je dan op: cloud-native architectuur versus gevirtualiseerde appliance erfenis, DNS en webbeveiliging in één policy engine, agentless apparaatondersteuning voor IoT en OT, SIEM log schema documentatie, en time-to-first-policy. Het SASE-leverancier evaluatieraamwerk met zeven criteria gaat hier dieper op in. Voor een gedetailleerd overzicht van hoe de SASE-architectuur werkt, geeft de architectuurgids uitleg over single-pass inspectie, PoP-distributie en modellen voor beleidshandhaving.
Fase 2 (dagen 15-35): parallelle uitrol
Door uw nieuwe SASE-platform drie weken lang naast Umbrella te laten draaien, kunt u beleidsregels valideren en integratieproblemen opsporen voordat ze het productieverkeer beïnvloeden.
Parallel implementeren en DNS-beleid migreren
Begin met 10-20% van je gebruikers: kantoorpersoneel, telewerkers en ten minste één filiaal. Vermijd het directieteam als pilot. Kies gebruikers die problemen nauwkeurig rapporteren en kleine ongemakken tolereren tijdens de validatieperiode.
De parallelle fase betekent dat beide platformen tegelijkertijd draaien. Umbrella behandelt de meerderheid van de gebruikers. De pilotgroep routeert via het nieuwe platform. Deze dual-stack aanpak vereist een zorgvuldige DNS scoping om te voorkomen dat verkeer tussen de platformen weglekt. Configureer de DHCP scope of het MDM profiel van de pilootgroep om de nieuwe SASE resolvers te gebruiken, terwijl de rest van het netwerk Umbrella blijft gebruiken.
Exporteer Umbrella-bestemmingslijsten als CSV en importeer ze in het nieuwe platform. Bekijk elke lijst handmatig voordat u deze importeert. Implementaties die al jaren lopen, accumuleren oudbakken items: domeinen die niet meer bestaan, tijdelijke blokkades van eerdere incidenten en te brede wildcardregels. Voer een twee weken durende vergelijking uit: pas hetzelfde voorgenomen beleid toe op beide platformen en vergelijk wat elk platform blokkeert. De delta onthult vertaalkloven.
De taxonomie voor inhoudscategorieën van Umbrella is niet perfect afgestemd op andere leveranciers. Het blokkeren van de categorie “Beveiliging” in Umbrella kan betrekking hebben op andere bedreigingstypen dan de gelijkwaardige categorie op uw nieuwe platform. Documenteer elke discrepantie en pas het beleid aan vóór Fase 3.
Identiteit en herbouw integraties opzetten
Maak verbinding met uw identity provider. Controleer of het UPN-formaat overeenkomt met wat Umbrella gebruikt. Een mismatch tussen user@company.com en DOMAIN\user breekt de handhaving van het beleid in stilte af.
Vervang voor SIEM-herbouwingen de Umbrella-gegevensbron volledig. Splunk heeft een nieuwe add-on of HEC-invoer nodig. Sentinel heeft een nieuwe dataconnector en herbouwde analyseregels nodig. Budget 3-5 dagen voor Sentinel, 2-4 dagen voor Elastic of QRadar. SOAR playbooks die Umbrella’s Enforcement API aanroepen, moeten volledig worden herschreven tegen de API van het nieuwe platform.
Implementeer het hoofdcertificaat van de nieuwe leverancier via GPO, Intune of Jamf. Zorg voor een volledig venster van zeven dagen. Schakel TLS-inspectie pas in als het certificaat voor meer dan 95% is geïmplementeerd, anders krijgen gebruikers op elke HTTPS-site te maken met browserwaarschuwingen.
Single-vendor SASE-platforms met een multi-tenantarchitectuur, waaronder Jimber, behandelen toegang voor servicepartners van nature. Controleer of de beheerderstoegang van je partner correct is toegewezen aan de nieuwe console.
Fase 3 (dagen 36-49): DNS cutover en validatie
Dit is de fase met het hoogste risico. DNS ondersteunt elke internetverbinding. Een verkeerd geconfigureerde cutover betekent dat gebruikers niets kunnen bereiken.
DNS cutover-strategieën
| Strategie | Best voor | Terugdraaitijd | Risico |
|---|---|---|---|
| Geleidelijke rotatie | 200+ gebruikers | Minuten per subnet | Laag |
| Harde omschakeling | Minder dan 50 gebruikers | 15-30 minuten | Middelmatig |
| Overgang met twee oplossers | Niet aanbevolen | Onvoorspelbaar | Hoog |
Geleidelijke rotatie wordt aanbevolen. Wijzig de DHCP-scopes één subnet per keer, te beginnen met het subnet dat het beste presteerde tijdens de pilot. Wacht 24 uur tussen subnetten. Instellingen met twee resolvers lijken veilig, maar zorgen voor onvoorspelbaar gedrag: de meeste besturingssystemen geven de voorkeur aan de resolver die het snelst reageert, niet aan de resolver die het eerst op de lijst staat.
Het draaiboek voor een cutover
- Verlaag DNS TTL naar 300 seconden een week voor de overgang.
- Pre-cutover validatie. Zet vanaf een testmachine op de nieuwe resolvers 50 representatieve domeinen om. Controleer of de resolutie minder dan 50 ms is en of geblokkeerde domeinen aangepaste blokpagina’s retourneren.
- Werk DHCP-scopes bij naar de nieuwe SASE-resolvers. Push via Groepsbeleid of MDM voor eindpunten.
- Wacht op DHCP lease propagatie (8-24 uur). Verleng niet alle leases tegelijkertijd.
- Gedurende 48 uur controleren. Volg het succespercentage van de resolutie (doel 99,9%+), latentie (onder 50 ms) en NXDOMAIN reacties voor domeinen die moeten worden opgelost.
- Valideer beleidshandhaving over drie netwerksegmenten.
- Beslissingspunt. Schone statistieken gedurende 48 uur betekent dat de cutover voltooid is. Degradatie triggert rollback.
Veelvoorkomende valkuilen
Oplossing voor gedeelde hersenen. Elk apparaat dat nog naar de resolvers van Umbrella wijst, werkt onder het oude beleid terwijl de rest van het netwerk het nieuwe platform gebruikt. Dit creëert een onzichtbare beschermingskloof. Voer na de overgang een netwerkscan uit om specifiek de DNS-instellingen op routers, servers en netwerkapparaten te controleren.
DNSSEC-keten breekt. Als het nieuwe SASE-platform DNSSEC-validatie anders verwerkt dan Umbrella, kunnen bepaalde beveiligde domeinen onbereikbaar worden. Test DNSSEC-ondertekende domeinen tijdens de proeffase, niet tijdens de productie cutover.
IPv6-randgevallen. De IPv6-resolvers van Umbrella (2620:119:35::35) kunnen aanwezig zijn op apparaten die tijdens je IPv4-gerichte audit over het hoofd zijn gezien. Dual-stack servers en netwerkapparatuur zijn de gebruikelijke boosdoeners.
Conflicten tussen agenten. De Cisco Secure Client en de nieuwe SASE agent mogen nooit tegelijkertijd actief zijn op hetzelfde eindpunt. Ze concurreren om de controle over de routeringstabel en DNS-instellingen, waardoor onvoorspelbaar oplossingsgedrag ontstaat. De parallelle fase zou dit gevalideerd moeten hebben, maar controleer dit opnieuw op schaal.
Gecacheerde items. Zelfs na DHCP wijzigingen cachen eindpunten DNS antwoorden totdat TTL verloopt. Door TTL vooraf te verlagen naar 300 seconden (stap 1) wordt dit venster beperkt tot vijf minuten in plaats van uren.
Terugdraaien strategie
DHCP-scopes terugdraaien naar Umbrella resolvers (208.67.222.222, 208.67.220.220). Forceer DHCP-vernieuwing op kritieke servers. Controleer de resolutie via Umbrella. Verwijder geen Umbrella netwerk identiteiten of annuleer het abonnement niet totdat Fase 4 is voltooid.
Fase 4 (dagen 50-60): ontmanteling
Valideren, agenten verwijderen, het contract afsluiten
Controleer of er geen DNS-verkeer de Umbrella bereikt door op het dashboard te zoeken naar de activiteit van de afgelopen 72 uur. Als er query’s verschijnen, betekent dit dat een apparaat of netwerksegment werd gemist tijdens de cutover. Voer een netwerkscan uit om eindpunten of apparaten te identificeren met hardgecodeerde DNS-vermeldingen die nog steeds naar 208.67.222.222 wijzen.
Vergelijk de dreigingsblokkeringsstatistieken van het nieuwe platform met die van voor de migratie. De cijfers zullen niet exact overeenkomen omdat de beleidslogica verschilt, maar de orde van grootte zou consistent moeten zijn. Een organisatie met 200 gebruikers die 500 bedreigingen per dag blokkeert op Umbrella zou vergelijkbare of hogere cijfers moeten zien op het nieuwe platform. Een significante daling suggereert een hiaat in de vertaling van het beleid dat moet worden onderzocht.
Verwijder de Umbrella Roaming Client van elk eindpunt. Deze bindt aan poort 53 op het loopback-adres en onderschept query’s, zelfs nadat de service is gestopt. Implementeer een MDM-script dat de service Umbrella_RC stopt, de uninstaller uitvoert, registersleutels wist onder HKLM\SOFTWARE\OpenDNS en DNS-instellingen voor adapters opnieuw instelt. Verwijder het hoofdcertificaat van Umbrella uit de vertrouwensopslag.
Breng Cisco schriftelijk op de hoogte van het feit dat u het contract niet wilt verlengen. De meeste contracten worden automatisch verlengd met een opzegtermijn van 30-60 dagen. Exporteer definitieve nalevingsrapporten en activiteitenlogboeken voordat u de huurder deactiveert. Voor NIS2-gereguleerde organisaties die 12-24 maanden doorzoekbare logboeken nodig hebben, zet u historische gegevens over naar uw SIEM voordat u de huurder afsluit.
Plan een 30-daagse evaluatie na de migratie waarbij geblokkeerde bedreigingen, oplossingslatentie, fout-positieve percentages en dekking van SIEM-waarschuwingen worden vergeleken met de basislijn van voor de migratie. Documenteer de gehele migratie voor naleving van NIS2 Artikel 21 en als sjabloon voor toekomstige platformovergangen.
Wat de meeste teams verrast
Aangepast beleid dat niemand onthoudt. Implementaties die langer dan 3 jaar lopen, accumuleren bestemmingslijsten die zijn gemaakt door personeel dat is vertrokken. Vergelijk elke lijst met de huidige vereisten.
Verborgen API-integraties. Beveiligingsanalisten schrijven snelle scripts die de Investigate API aanroepen en die in persoonlijke mappen of SOAR playbooks staan. Stuur een gerichte e-mail met vragen over het gebruik van de Umbrella API.
Loggen van hiaten tijdens de overgang. Tijdens parallelle werking worden beveiligingsgebeurtenissen verdeeld tussen platforms. Geen van beide heeft volledig overzicht. Communiceer de verminderde SIEM-dekking met uw beveiligingsteam en compliance belanghebbenden.
Onderschatting van de herbouw van SIEM. Het opnieuw opbouwen van dashboards, waarschuwingen en geautomatiseerde workflows voor een nieuw logschema neemt 30-40 uur in beslag voor een typische implementatie in het middensegment van de markt. Budgetteer dit expliciet.
Vertraging bij de implementatie van certificaten. Apparaten die zijn uitgeschakeld of losgekoppeld, kunnen dagen nodig hebben om het nieuwe basiscertificaat via MDM te ontvangen. Schakel TLS-inspectie alleen in boven 95% dekking. Apparaten met langzame VPN-verbindingen of apparaten die zelden opnieuw worden opgestart, ontvangen als laatste GPO-pushed certificaten. Volg de voortgang van de implementatie via uw MDM-rapportage voordat u TLS-inspectie op “afdwingen” zet.
Veelgestelde vragen
Kan ik Cisco Umbrella en een nieuw SASE-platform parallel laten draaien tijdens de migratie?
Ja. In de parallelle fase worden beide platforms tegelijkertijd gebruikt. Umbrella handelt de meeste gebruikers af terwijl de pilotgroep de routes via het nieuwe platform afhandelt. Houd beide actief tot fase 4 buiten gebruik wordt gesteld.
Wat gebeurt er met mijn Investigate API-integraties?
De toegang stopt wanneer uw Umbrella-abonnement eindigt. Er is geen equivalent voor meerdere leveranciers. Herbouw threat hunting-workflows op basis van de threat intelligence-API van uw nieuwe platform tijdens fase 2.
Wordt mijn Umbrella contract automatisch verlengd als ik de opzegtermijn niet respecteer?
De meeste contracten voorzien in automatische verlenging met een opzegtermijn van 30-60 dagen. Dien een niet-verlenging schriftelijk in tijdens fase 4 en bewaar de bevestiging. Als je de deadline niet haalt, ben je mogelijk gebonden aan nog een termijn van 12-36 maanden.
Wat is de typische downtime tijdens een DNS-overgang?
Nul, als het correct wordt uitgevoerd. Geleidelijke rotatie wijzigt DHCP-scopes één subnet per keer. Gebruikers ervaren de verandering transparant bij hun volgende DHCP-leasevernieuwing.
Moet ik de Umbrella Roaming Client van elk eindpunt verwijderen?
Ja. De Roaming Client bindt aan poort 53 op het loopback-adres en onderschept DNS-query’s zelfs nadat de service is gestopt. Onvolledige verwijdering veroorzaakt intermitterende mislukte resoluties.
Kan ik migreren naar een niet-Cisco SASE platform zonder mijn team opnieuw op te leiden?
De concepten zijn direct overdraagbaar. DNS-filtering, webbeleid, identiteitsgebaseerde toegang en SIEM-integratie werken volgens dezelfde principes. Budget 2-3 dagen voor beheerderstraining. Sommige SASE-platforms van één leverancier, waaronder Jimber, verminderen de leercurve door al het beleidsbeheer te consolideren in één console in plaats van aparte dashboards voor DNS-, web- en firewallbeleid.
Hoe verhoudt de capaciteit van een CASB zich tussen Umbrella en een SASE-platform?
De hogere niveaus van Umbrella omvatten basis-CASB voor schaduw-IT-detectie. De meeste unified SASE-platforms bieden uitgebreidere CASB in SASE, inclusief inline DLP, beleidscontroles op app-niveau en integratie met dezelfde identiteitsbron die alle andere toegang regelt.
Over zestig dagen kan uw Umbrella-tenant worden afgesloten, uw DNS-verkeer door een uniform SASE-platform stromen en uw SIEM opnieuw worden opgebouwd met volledige zichtbaarheid. De bredere SASE implementatie tijdlijn laat zien hoe deze migratie past in een grotere uitrol van het platform. Als je team een migratie in Q3 of Q4 plant, biedt Jimber een parallelle implementatie aan waarbij je het platform vanaf dag één naast Umbrella gebruikt, zonder enige verplichting totdat je klaar bent om over te stappen. Boek een demo om je migratie te bekijken.
