本节介绍了如何使用 Cloud Web Security 服务的云访问安全代理 (CASB) 功能。

概览

在访问 SaaS 应用程序时,云访问安全代理 (CASB) 功能可以查看和控制用户活动。

CASB 功能包括以下功能:

应用程序可见性Cloud Web Security Standard 和 Advanced Edition 软件包的一部分):客户能够查看用户在其网络中访问的各种 SaaS 应用程序。对于每个应用程序,使用 CASB 应用程序可见性的客户可以观察到:

  • 每个应用程序的风险评分。
  • 用户访问应用程序的次数。
  • 应用程序的类别。

应用程序控制(仅 Cloud Web Security Advanced Edition 软件包的一部分):客户能够控制可以在每个 SaaS 应用程序上执行的特定操作。

系统提供了适用于所有 SaaS 应用程序的即时可用的预定义控件,还在每个应用程序级别提供了应用程序特定的控件。可以根据用户和用户组按应用程序自定义并配置这些控件。

对于每个应用程序,使用 CASB 应用程序控件的客户可以控制:

  • 对应用程序站点的初始访问(允许或阻止)。
  • 其他操作,包括登录、上载/下载内容、搜索、编辑、共享、创建、删除、点赞或发布。

客户可以查看他们想要控制的应用程序的当前可用操作。

必备条件

用户需要满足以下条件才能访问 Cloud Web Security 的云访问安全代理 (CASB) 功能:
  1. 生产 VMware Cloud Orchestrator 中已激活 Cloud Web Security 的客户企业。
  2. 客户的 SD-WAN Edge、SASE PoP 和 Orchestrator 必须均使用 4.5.0 或更高版本。
  3. CASB 应用程序可见性适用于所有 Cloud Web Security 客户,无论他们具有 Standard 还是 Advanced 软件包。
  4. 要访问 CASB 应用程序控制,客户必须具有 Cloud Web Security Advanced 软件包。
    如果用户导航到 Cloud Web Security > 配置 (Configure) > 安全策略 (Security Policies),并单击现有的策略或创建新的策略,CASB 选项卡将包含一个锁图标。这表示 Standard Edition 许可证仅允许使用 CASB 可见性,需要具有 Advanced Edition 许可证才能创建 CASB 控制策略。
  5. 可选:如果客户计划使用基于用户的规则,则需要具有身份提供程序 (IdP)。有关将 Workspace ONE 或 Azure Active Directory (AD) 配置为身份提供程序的更多信息,请参阅单点登录指南 (SAML) 页面上的相应指南。

CASB 配置工作流

在介绍了组成 CASB 功能的两个关键功能(应用程序可见性应用程序控制)后,本节将介绍 CASB 工作流。

创建、配置和应用安全策略

有关为 Cloud Web Security 服务创建配置应用安全策略的详细信息,请参阅《Cloud Web Security 配置指南》中的相关文档。

CASB 设置 - 应用程序可见性

在将安全策略与客户分段关联后,如果通过 Cloud Web Security 策略传输来自 SD-WAN Edge 后面的端点设备的流量或通过 Secure Access 客户端传输的流量,将检查和监控这些流量。

  1. 在 VMware SASE Orchestrator UI 上,导航到 Cloud Web Security > 配置 (Configure) > 策略设置 (Policy Settings) > CASB
  2. CASB 设置 (CASB Settings) 页面提供一个应用程序列表,这些应用程序与一个安全策略规则匹配,并默认按最高访问次数(在指定时间段内访问特定应用程序的次数)进行排序。
    • 每个应用程序还具有关联的风险评分:低 (1-3)、中 (4-6) 或高 (7-9)。
    • 可以单击列标题,以按“应用程序名称”(Application Name)、“类别名称”(Category Name)、“访问次数”(# of times Accessed) 或“风险评分”(Risk Score) 对应用程序 (Applications) 表进行排序。或者,用户可以单击一个列的排序图标,以便在该列中搜索特定的搜索词或数字。
    • “CASB 设置”(CASB Settings) 页面默认每页显示 20 个应用程序,用户可以滚动到页面底部并指定每页最多 100 个应用程序。用户也可以单击一个箭头图标或在文本框中指定特定页面以选择新的“应用程序”(Applications) 页面。
    • 在通过 Cloud Web Security 服务传输更多的流量时,“应用程序”(Applications) 列表可能会根据访问的网站而发生变化。这些更改可能包括应用程序顺序、应用程序数、访问事件和风险评分。

创建并应用 CASB 控制规则

要创建并应用 CASB 控制规则,请参阅配置云访问安全代理规则

验证 CASB 规则是否正常工作

在发布具有 CASB 控制规则的安全策略后,转到一个受该规则影响的网站,并测试控制功能以确认它按预期方式工作。要验证应用程序是否配置了 CASB 控制,请使用 Cloud Web Security > 监控 (Monitor) > Web 日志 (Web Logs) 页面。例如,请考虑以下情况:用户尝试登录到 WeTransfer 网站,但根据发布的 CASB 控制规则阻止用户登录。Web 日志显示阻止的登录尝试。

监控 CASB

  1. 导航到 Cloud Web Security > 监控 (Monitor) > CASB 分析 (CASB Analysis)
  2. CASB 分析 (CASB Analysis) 页面上,用户可以查看“排名靠前的类别”(Top Categories)、“排名靠前的应用程序”(Top Applications)、“排名靠前的用户”(Top User) 和“按应用程序排名靠前的上载”(Top Uploads by Application) 的条形图。
  3. Web 日志 (Web Logs):在 Cloud Web Security > 监控 (Monitor) > Web 日志 (Web Logs) 页面中,用户可以了解有关应用程序访问事件的更多详细信息。对于任何 CASB 应用程序事件,用户可以单击与该日志条目关联的气泡以查看完整的日志条目详细信息 (Log Entry Details)