VMware Cloud Web Security | 2024 年 1 月 10 日 请查看发行说明以了解新增内容及更新。 |
VMware Cloud Web Security | 2024 年 1 月 10 日 请查看发行说明以了解新增内容及更新。 |
VMware Cloud Web Security™ 是 VMware SASE™ 解决方案的一部分,它是一种云托管服务,可保护访问 SaaS 和 Internet 应用程序的用户和基础架构免受不断变化的内部和外部威胁形势侵扰,同时提供可见性和控制,并确保合规性。
Cloud Web Security 发行说明介绍了已解决和已知的 Cloud Web Security 问题,以及新功能和增强功能。该资料以前记录在 VMware SASE 发行说明中,以后将单独记录在此处。Cloud Web Security 问题包括由 VMware SASE Orchestrator UI 中的缺陷引起的问题,以及由 Cloud Web Security 服务本身中的缺陷引起的问题。
Cloud Web Security 遵循与 VMware SD-WAN 不同的版本控制系统,因此应将其视为独立于 SD-WAN 或 SASE Orchestrator。
可以通过以下方法在 Orchestrator 上找到客户部署的 Cloud Web Security 版本:首先选择 Cloud Web Security 屏幕,然后单击 (?) 图标以打开帮助 (Help) 菜单。Cloud Web Security 版本显示在帮助 (Help) 菜单的底部。
Cloud Web Security 版本 1.17.0 于 2024 年 1 月 10 日发布。
此版本增加了一项新功能并解决了两个问题。
Cloud Web Security 版本 1.17.0 中增加的新功能和解决的问题:
新功能:可打印的“概览”(Overview) 页面
版本 1.17.0 改进了概览 (Overview) 页面,现在可以自动设置打印格式。
要获取概览 (Overview) 的 PDF 报告,请在浏览器中启动“打印”(Print) 并选择“另存为 PDF”(Save as PDF)(或类似选项,具体取决于您所用的浏览器和操作系统)。
以下是在 Adobe Acrobat Reader 中打开的示例报告:
Mozilla Firefox 浏览器在打印输出中显示图形时可能会出现问题。如果遇到问题,可尝试从其他浏览器(例如,Safari、Microsoft Edge、Google Chrome 或任何其他基于 Chromium 的浏览器)打印。
修复的问题 131353:如果在已有提交正在进行中时单击“提交”(Submit) 按钮,可能会多次提交某些向导或表单,这可能会导致意外的规则数据或错误。
在 CASB、Web 应用程序 (Web Application) 和 DLP 规则向导中,以及在 SaaS 标头例外 (SaaS Header Exceptions) 和企业网关 IP (Corporate Gateway IPs) 页面上,如果在已有提交正在进行中时快速单击提交 (Submit) 按钮,则可能会多次提交表单。网络连接速度较慢时,效果更为明显。
修复的问题 134198:尝试下载 SSL 证书描述时,用户可能会看到打开了新的浏览器标签页,并显示错误“401 需要授权”(401 Authorization Required)。
当用户转到 Cloud Web Security > 配置 (Configure) > SSL 证书 (SSL Certificate),然后单击此页面上的任一下载证书 (Download Certificate) 按钮时,可能会出现此问题。
Cloud Web Security 版本 1.16.0 于 2023 年 12 月 14 日发布。
此版本增加了两项新功能并解决了一个问题。
Cloud Web Security 版本 1.16.0 中增加的新功能和解决的问题:
新功能:日志导出
借助日志导出功能,客户可以将有关 Cloud Web Security 活动的近实时日志转发到客户控制的 SIEM(安全信息和事件管理)端点以进行存储和分析。
有关详细信息,请参阅 Cloud Web Security 文档中的日志导出一节。
在此版本发布时,只能在有限数量的 Orchestrator 上激活日志导出功能。VMware 将在未来三周内继续向更多 Orchestrator 推出此功能。
新功能:监控概览页面
Cloud Web Security 引入了新的监控 (Monitor) > 概览 (Overview) 页面。此仪表板在单个页面上提供了更简洁、更易于访问的关键信息,同时还会将用户引导至每个数据类别的更详细信息。顶部图形为用户提供了 Cloud Web Security 在配置的时间段内已执行的操作 (Actions Taken) 以及该客户的当前规则分布 (Rules Distribution)。
此外,用户还可以进一步滚动并查看访问次数靠前的网站 (Top Websites Visited)、排名靠前的 SaaS 应用程序 (Top SaaS Applications)、威胁细目 (Threat Breakdown) 和用户细目 (User Breakdown) 的概览图表。
修复的问题 132528:用户尝试将逗号分隔的项目列表粘贴到多项输入字段中时,可能会发现 Cloud Web Security 将此列表视为单个项目,而不遵循逗号分隔符。
在配置使用多项输入字段的标记、域、电子邮件地址以及类似项目时,添加逗号分隔列表是一种常见的省时做法。由于存在此问题,逗号会被 UI 忽略,并且列表仅生成一项。例如,如果为 Web 安全规则粘贴标记列表,则结果是只生成一个标记。
Cloud Web Security 版本 1.15.2 于 2023 年 11 月 14 日发布。
Cloud Web Security 版本 1.15.2 中解决的问题:
修复的问题 114373:不支持 Cloud Web Security UI 中的多项输入字段获得键盘焦点或进行交互。
在 CWS UI 中将选项添加到各种列表和标记时,不支持多项输入字段获得键盘焦点或进行操作。这通常用于输入标记、域、电子邮件地址或其他类似项目。
修复的问题 114379:在 Cloud Web Security UI 上,DLP 规则向导中的某些多项下拉字段无法获得焦点,并且无法通过键盘进行交互。
例如,在选择目标 (Select Destinations) 屏幕上,浏览此屏幕并选择多个类别 (Categories) 的操作无法通过键盘来完成。
修复的问题 128108:URL 筛选规则有时会丢失其内容并变为空白。
编辑 URL 筛选 (URL Filtering) 规则时,在最后一步中快速单击更新 (Update) 多次可能会导致规则内容被损坏。内容被损坏后,用户需要重新创建规则及其内容。
修复的问题 128782:更改所选文件类型后,“内容检查”(Content Inspection) 向导中的策略操作将恢复为“标记为正常”(Mark As Clean)。
仅当用户在文件类型 (File Type) 和文件哈希 (File Hash) 之间切换类别类型时,UI 才会重置内容检查 (Content Inspection) 中的策略操作。但是,如果用户将文件类型更改为检查 (Inspect),则 UI 也会重置策略操作,并且用户必须手动将策略操作重置回其预期值。
修复的问题 129269:SAML 详细调试一旦启用,就无法禁用。
用户启用 SAML 详细调试后,就无法将其禁用。此外,在启用详细调试 2 小时后,状态会自动设置为已禁用/否 (disabled/No),但实际仍为已启用/是 (enabled/yes)。
修复的问题 130111:如果用户在 Cloud Web Security UI 上执行的操作无效,UI 不会返回错误消息来让用户知晓其操作无效。
例如,如果用户尝试第二次添加同一企业网关,则该操作会通过 API 触发一个错误,但 UI 无法显示错误通知。
Cloud Web Security 版本 1.15.1 于 2023 年 11 月 1 日发布。
Cloud Web Security 版本 1.15.1 中解决的问题:
修复的问题 114363:在仅使用键盘导航时,用户可能会发现很难在 Cloud Web Security UI 中导航。
当用户在 UI 中依赖键盘导航时,很难在弹出的提示信息内容上聚焦或滚动。
修复的问题 123063:在 VMware SASE Orchestrator UI 上不加载 CASB 应用程序图标。
在 UI 的 CASB 规则配置对话框和 CASB 应用程序页面上不加载 CASB 应用程序图标。
修复的问题 123816:Orchestrator UI 上的 Web 应用程序规则网格中不显示目标域。
Web 应用程序规则网格中不显示目标域,用户而是会看到“任意”(Any)。
修复的问题 125526:创建 Web 应用程序规则时,如果用户选择请求类型“下载”(Download),他们看不到文件类型选项菜单。
用户只看到“上载”(Uploads) 以及“上载和下载”(Uploads and Downloads) 选项的文件类型选择菜单;对于“下载”(Download) 类型,这些文件类型选项处于隐藏状态。
修复的问题 126051:不可编辑的默认内容检查规则将“标记为正常”(Mark As Clean) 显示为默认行为。
每个 Cloud Web Security 策略均以一组显示默认行为的不可编辑规则开头。虽然这通常是“允许”(Allow),但对于内容检查,默认行为应该是“检查”(Inspect),而不是“标记为正常”(Mark As Clean)。
修复的问题 126264:尝试在 Orchestrator UI 的第二页或之后的页面上移动或重新排序 Cloud Web Security 规则时,该操作无法按预期执行。
如果添加了超过 21 个策略规则,则尝试在第二页或之后的页面上通过拖放对规则重新排序,或者尝试将规则从第二页或之后的页面移动到第一页时,操作会失败。
此外,当用户位于 SaaS 标头(SaaS Header)、CASB、DLP、Web 应用程序 (Web Application) 或 Web 安全 (Web Security) 规则的第二页或之后的页面上时,如果他们尝试移动一个或多个规则,则规则将暂时显示正确进行了重新排序,但刷新后又恢复为原始顺序。
对于希望移动到第一页的单个规则,用户可以通过删除并重新添加该规则,同时在规则创建向导的最后一页上指定“列表顶部”(Top of List) 或“列表底部”(Bottom of List) 来解决此问题;或者,如果要对规则列表重新排序,请使用 API 调用而不是 Orchestrator UI。
修复的问题 127646:为 Instagram 选择 CASB 控件时,“搜索”(Search) 控件可能会意外关闭,且难以还原。
为 CASB 控件还原“搜索”(Search) 控件的唯一方法是,选择“浏览器操作”(Browser Action) 下的“阻止”(Block) 以关闭所有切换开关。然后,再次切换“阻止”(Block) 以允许所有 Instagram 规则。切换单个控件不起作用时,这将可以还原“搜索”(Search) 控件。
Cloud Web Security 版本 1.14.1 于 2023 年 7 月 11 日发布。
Cloud Web Security 版本 1.14.1 中解决的问题:
修复的问题 113256:Cloud Web Security 中多个规则和配置表的项目无法通过键盘导航进行选择或交互。
在安全策略规则屏幕(例如,SSL 检查 (SSL Inspection))上,使用 Tab 键聚焦现有规则的名称时,浏览器的焦点跳过规则名称,并且选择时间的唯一方法是使用鼠标/触摸板。
修复的问题 114409:用户可能会发现难以在 UI 屏幕之间导航,因为页面的“主要”部分没有明确的标识,这使得跳过标题和导航变得更加困难。
使用屏幕阅读器或辅助工具时,用户很难识别页面中具有“主要”角色的部分,因为没有相应标题或横幅指向该部分。
修复的问题 114438:通过键盘或屏幕阅读器使用边栏菜单导航 Cloud Web Security UI 十分困难。此外,用户无法打开边栏导航菜单中的链接以进入新选项卡或浏览器窗口。
使用屏幕阅读器或辅助工具聚焦于左侧导航中的项目时,生成的标题变得混乱,并且有多余的公告。
Cloud Web Security 版本 1.14.0 于 2023 年 6 月 6 日发布。
此版本增加了一项新功能并解决了多个问题。
Cloud Web Security 版本 1.14.0 中增加的新功能和解决的问题:
新功能:使用计划功能为 URL 筛选规则制定基于时间的策略。
借助 Cloud Web Security,您现在能够使用计划功能仅在指定的时间段内应用某些 URL 筛选规则。在配置 URL 筛选 (URL Filtering) 类型的 Web 安全规则时,此功能将添加到操作、日志和计划 (Action, Log and Schedule) 部分中。
计划功能可用于基于 (Based on) 类型为网站类别 (Website Categories) 或域 (Domain) > 静态域列表 (Static Domain List) 的 URL 筛选规则。
计划功能不适用于基于 (Based on) 类型威胁类别 (Threat Categories) 或域 (Domain) > 动态域列表 (Dynamic Domain List),并且在这些实例中,无法访问用于激活此功能的切换按钮。
计划功能为 URL 筛选规则提供了两个计划类型 (Website Categorie) 选项:定期 (Periodic)和一次 (One Time)。
定期 (Periodic) 选项允许您在 URL 筛选规则处于活动状态时为其配置每周轮换计划。此定期 (Periodic) 计划基于全局时区、每周几天以及一个或多个开始和结束时间段。
一次 (One-time) 选项指定规则处于活动状态时包含开始和过期日期和时间的单个时间块,或者指定规则无限期处于活动状态的开始日期和时间。
有关详细信息,请参阅《Cloud Web Security 指南》中的配置安全策略 > 配置 Web 安全规则 > URL 筛选文档
修复的问题 105290:在两个 SSL 检查规则共享同一源或目标域、IP、CIDR 或 IP 范围的情况下尝试发布安全规则时,将显示非特定的“结构定义验证错误”(schema validation error)。
如果同一规则中的两个目标域重复,也会出现此问题。该错误含糊不清,并且在对阻止规则验证的配置问题进行故障排除方面没有为用户提供任何帮助。用户只能在 SSL 检查规则中查找重复的域、IP、CIDR 或 IP 范围(包括快速例外规则的内容),并将其从除一个规则之外的所有规则中移除。现在,错误将描述哪些源或目标存在冲突,或者规则本身是否存在重复。
修复的问题 116525:在编辑或创建已包含自定义“源”(Source) >“用户或组”(Users or Groups) 的 URL 筛选、SaaS 标头异常和地理筛选规则时,在“源”(Source) 选项卡中选择“所有用户和组”(All Users and Groups) 不会从底层规则中清除先前的自定义用户和组列表,这可能会导致在发布安全策略时出现验证错误。
Cloud Web Security 不会清除手动配置的用户和/或组,更正此问题的唯一方法是取消选中“所有用户和组”(All Users and Groups),然后手动移除所有用户和组,并重新选中“所有用户和组”(All Users and Groups)。
Cloud Web Security 版本 1.12.1 于 2023 年 5 月 22 日发布。
Cloud Web Security 版本 1.12.1 中解决的问题:
修复的问题 63489:在保存规则之前,Cloud Web Security 不会提醒用户他们正在配置的 SSL 规则具有无效的 IP 地址、IP CIDR 或域字段。
当用户尝试保存具有无效规则的 SSL 规则时,该规则将被拒绝。问题在于,用户不应该在进入流程后才发现 SSL 规则 IP 地址、IP CIDR 或域无效。Orchestrator 应在 SSL 规则编辑步骤中使用 SSL 规则向导向用户发出警示。
修复的问题 98213:用户尝试使用本地化文本(非英语)筛选“数据丢失防护 (DLP) 字典”(Data Loss Prevention (DLP) Dictionary) 或“DLP 审核员”(DLP Auditor) 页面失败。
“DLP 字典”(DLP Dictionary) 和“DLP 审核员”(DLP Auditors) 上的筛选器未本地化为非英语语言。在此修复中,字符串筛选器已升级为复选框筛选器,这不仅修复了本地化语言问题,而且还让用户能够更轻松地筛选这些部分。
Cloud Web Security 版本 1.12.0 于 2023 年 5 月 5 日发布。
此版本增加了一项新功能并解决了多个问题。
Cloud Web Security 版本 1.12.0 中增加的新功能和解决的问题:
新功能:使用动态域列表筛选 URL
以前,当用户配置包含 URL 筛选规则的 Web 安全规则时,如果客户希望按域进行筛选,则只能选择静态域列表 (Static Domain List) 选项,并且必须在 Orchestrator UI 上进行手动配置和维护。对于存在大量域或域中列表频繁发生更改的情况,此选项并不理想。从版本 v1.12.0 开始,客户在筛选域时现在可以选择一个附加选项:动态域列表 (Dynamic Domain List)。
对于此选项,Cloud Web Security 引用 FQDN 格式的域的文本列表,此文本列表远程存储在客户选择的位置。该位置必须可供服务公开访问。此选项的优势在于,您可以创建一个包含大量域且可轻松编辑和更新的域列表。可以将 Cloud Web Security 配置为每 30 秒(最多每 24 小时)检查一次动态域列表。
动态域列表 (Dynamic Domain List) 存在一个限制,即只能使用 FQDN 格式的域创建,而静态域列表 (Static Domain List) 允许采用多种格式(IP 地址、IP 地址范围、FQDN 或 CIDR 表示法)的域。
有关详细信息,请阅《VMware Cloud Web Security 配置指南》中有关配置 Web 安全规则 > URL 筛选的文档。
修复的问题 115178:具有 Standard 许可证的 Cloud Web Security 客户无法访问“SaaS 标头限制”功能。
SaaS 标头限制功能应该可以供所有 Cloud Web Security 客户使用,但当使用 Standard 许可证的用户单击 SaaS 标头限制 (SaaS Header Restrictions) 链接时,他们会被转到内容检查 (Content Inspection) 页面,而不是预期页面。使用 Advanced 许可证的用户不会出现此问题。
修复的问题 112990:如果用户在“非标准 Web 端口”(Non-Standard Web Ports) 页面上,然后离开此页面而不做任何更改,仍然会显示“是否要保存?”(Do you want to save?) 提示屏幕。
即使未做任何更改,Orchestrator UI 仍会提示客户是否要保存更改,这可能会导致用户产生不必要的困惑。
Cloud Web Security 版本 1.11.1 于 2023 年 4 月 11 日发布。
此版本增加了一项新功能并解决了多个问题。
Cloud Web Security 版本 1.11.1 中增加的新功能和解决的问题:
新功能:SaaS 标头限制
以前,在公司希望管理访问权限时,他们会限制域名或 IP 地址。在软件即服务 (SaaS) 应用程序托管在公有云中并在共享域名上运行的环境中,此方法会失败。例如,如果企业使用 Office 365,他们将使用 outlook.office.com 和 login.microsoftonline.com 等域名。在 Microsoft 示例中,阻止这些地址会使用户完全无法访问 Outlook 网页版,而不是限制用户只能访问已批准的标识和资源。
解决该问题的方法是限制租户访问,而 Cloud Web Security 可以通过使用 SaaS 标头限制功能来实现这一点。借助此功能,管理员可以在 Office 365 和 G Suite 等 SaaS 服务中强制执行租户限制策略。例如,您可能希望允许所有员工访问 Office 365 企业帐户,但禁止他们访问个人帐户。为此,可以通过插入 HTTP 标头以指定允许的租户来实现这些限制。
此功能已添加到 Cloud Web Security > 配置 (Configure) 页面的企业设置 (Enterprise Settings) 下:
客户可以从六个预定义的应用程序中选择一个应用程序来配置 SaaS 标头规则:“Office 365 - 企业”(Office 365 - Enterprise)、“Office 365 - 用户”(Office 365 - Consumer)、“G Suite”、“Slack”、“YouTube”和“Dropbox”。在这些预定义的应用程序中,每一个都包含不同级别的详细信息,如受限制的域和标头。根据应用程序的不同,客户可能需要提供其他输入才能完成规则。
客户还可以创建自定义应用程序,前提是该应用程序支持通过标头限制租户。
修复的问题 79906:在某些语言中,左侧导航中包含的项目错误地将单词首字母大写。
例如,菜单术语安全策略 (Security Policies) 被翻译并显示为 Directivas De Seguridad,而它应当显示为 Directivas de seguridad。实际上,如果英语菜单项是一个单词,而翻译后的项目是多个单词,Orchestrator 会将每个额外的单词首字母大写,而正确的做法是将额外的单词首字母保持小写。
修复的问题 91672:用户在“配置”(Configure) >“内容检查”(Content Inspection) 或“配置”(Configure) >“企业网关”(Corporate Gateways) 页面上进行更改时,“未保存的更改”(Unsaved changes) 页脚提示可能会遮盖页面上的其他内容。
UI 不会考虑“未保存的更改”(Unsaved changes) 页脚高度而在较小的 Web 浏览器上滚动,因而此页脚会遮盖这些相应页面上的其他内容。
修复的问题 102793:“DLP”选项卡显示在“Web 安全”(Web Security) 的左侧,这意味着 DLP 处理在 Web 安全规则之前进行。
客户可能会误以为 DLP 处理会先于 Web 安全规则处理,但事实并非如此。在修复后的版本中,“DLP”选项卡现在显示在末尾,以表示它在处理流中的实际位置。
修复的问题 104122:在“SSL 检查”(SSL Inspection) 中,“快速例外”(Quick Exception) 按钮的某些部分不可单击,具体取决于语言和屏幕大小。
当“SSL 检查”(SSL Inspection) 的快速例外 (Quick Exception) 按钮翻译为某些非英语语言时,用户可以单击该按钮的外部边缘,但不会得到任何结果。在修复后的版本中,无论鼠标光标放置在何处,现在都可以完全单击快速例外 (Quick Exception) 按钮。
修复的问题 109624:VMware Cloud Web Security UI 侧栏菜单的组织结构未针对新功能进行优化,并且某些菜单术语含糊不清。
从版本 11.1.1 开始,Cloud Web Security UI 现在对侧边导航菜单进行了以下更改:
新区域:“策略设置”(Policy Settings)
CASB 和 DLP 已移至策略设置 (Policy Settings)
检查引擎 (Inspection Engine) 已重命名为内容检查 (Content Inspection) 并移至策略设置 (Policy Settings)
移除了证书 (Certificates) 区域
身份验证 (Authentication) 已重命名为身份提供程序 (Identity Provider) 并移至企业设置 (Enterprise Settings)
SSL 终止 (SSL Termination) 已重命名为 SSL 证书 (SSL Certificate) 并移至企业设置 (Enterprise Settings)
企业网关 (Corporate Gateways) 已重命名为企业网关 IP (Corporate Gateway IPs)
修复的问题 109687:配置非标准 Web 端口规则时,用户没有指定目标 IP 地址的选项,因此无法使用同一端口创建多个条目。
用户可能希望配置两个不同的非标准 Web 端口规则,这两个规则的端口值相同,但目标 IP 地址不同。在版本 11.1.1 中,用户可以执行该操作。
Cloud Web Security 版本 1.11.0 于 2023 年 3 月 8 日发布。
此版本增加了一项新功能并解决了一个问题。
Cloud Web Security 版本 1.11.0 中增加的新功能和解决的问题:
新功能:基于地理区域的 Web 安全规则
现在,客户可以根据内容或用户所在的地理区域阻止或允许 Internet 流量。此功能已添加到配置 (Configure) > 安全策略 (Security Policies) > Web 安全 (Web Security) 部分中,可通过单击基于地理位置的筛选 (Geo-Based Filtering) 选项卡来使用该功能。
配置基于地理位置的筛选 (Geo-Based Filtering) 规则时,用户可以指定该规则适用的用户和组,然后可以从包含 251 个国家/地区的列表(其中添加了“未知国家/地区”(Unknown Countries)、“匿名代理”(Anonymous Proxy) 和“卫星提供商”(Satellite Provider) 流量选项)中进行选择,确保用户无法绕过规则。
修复的问题 108990:在 Orchestrator 的“Cloud Web Security”>“监控”(Monitor) 页面上,Cloud Web Security 用户无法使用“刷新”(Refresh) 按钮。
如果用户希望刷新和更新监控 (Monitor) 页面上的信息(例如,“Web 日志”(Web Logs) 或“DLP 日志”(DLP Logs)),Orchestrator 会在页面底部包含一个刷新 (Refresh) 按钮。
但是,如果用户单击刷新 (Refresh),则由于 Orchestrator 组件中的底层更改,数据不会更新。
修复的问题 10900:如果 CASB 用户具有适用于 Google Drive 的规则,他们可以在“应用程序控制”(Applications Controls) 下选择配置“创建”(Create)。
症状:对于 Google Drive,CASB 仅支持上载 (Upload) 和下载 (Download) 控制选项,因此在版本 1.11.0 及更高版本中移除了创建 (Create) 控制选项。
修复的问题 110901:用户可以选择 Telegram 并将其配置为 CASB 规则的目标应用程序。
CASB 不再支持 Telegram 应用程序,并且在此版本中移除了为该应用程序配置 CASB 规则的选项。
如果客户的现有 CASB 规则将 Telegram 作为目标应用程序,他们应当在将 Cloud Web Security 版本升级到 1.11.0 或更高版本后移除该应用程序,因为 CASB 规则将不再强制应用于该应用程序。
在更高版本中,Cloud Web Security 将自动从所有 CASB 规则中移除 Telegram 应用程序,并将此操作记录为一个事件。
Cloud Web Security 版本 1.10.1 于 2023 年 2 月 7 日发布。
此版本增加了一项新功能并解决了多个问题。
Cloud Web Security 版本 1.10.1 中增加的新功能和解决的问题:
新功能:使用页面自定义的可自定义阻止页面。
当安全策略阻止用户访问网站或云应用程序时,VMware Cloud Web Security 会默认向所有用户显示 VMware 品牌的阻止页面。
借助可自定义的阻止页面功能,用户可以创建和自定义自有品牌的阻止页面,以在其流量(Web 或数据丢失防护流量)被阻止时向用户显示。使用 Orchestrator 的配置 (Configure) > 页面自定义 (Page Customization) 部分,Cloud Web Security 管理员可以自定义:
VMware Cloud 用于响应违反已配置安全策略的 HTTP 请求或文件上载的阻止页面。
当用户尝试上载违反已配置的 DLP 规则的文件时,VMware Cloud 返回的阻止页面。
有关如何配置自定义阻止页面的详细信息,请参见页面自定义。
修复的问题 96370:创建数据丢失防护 (DLP) 规则时,用户在 UI 中看到不正确的“最大文件大小”(Maximum File Size) 工具提示信息。
创建数据丢失防护 (DLP) 规则时,用户会看到不正确的“最大文件大小”(Maximum File Size) 工具提示信息。工具提示指出“如果上载的文件大小大于指定的值,则会丢弃该文件并通知审核员”(If the uploaded file size is more than the specified value, the file is dropped, and auditor is informed),这个信息不正确。可以通过将工具提示改写为“如果上载的文件大小大于指定的值,则 DLP 不会检查该文件,并允许其通过”(If the uploaded file size is more than the specified value, the file is not inspected by DLP and is allowed through) 来解决此问题。
修复的问题 99511:Cloud Web Security Web 日志仅包含“威胁类型”,不包含线程详细信息。
Cloud Web Security Web 日志仅包含威胁类型,并且不显示风险详细信息。要增强用户监控 Web 流量的能力,除了确定的威胁类型以外,还应显示漏洞的风险详细信息。
修复的问题 106671:某些客户在发布非浏览器 Web 应用程序规则时可能会出错。
在检查非浏览器 Web 应用程序上的浏览器流量时,老客户在发布非浏览器 Web 应用程序安全策略规则时可能会看到错误。出现该问题的原因是,没有为支持的浏览器配置默认值。新客户不会看到此问题。
解决办法:支持人员可以在 Cloud Web Security 团队中创建一个请求单,请求为客户手动添加支持的默认浏览器。
Cloud Web Security 版本 1.10.0 于 2023 年 1 月 24 日发布。
此版本增加了一项新功能:
新功能:为非浏览器 Web 应用程序流量配置规则
以前,用户可以配置 CWS 安全策略规则,以检查基于浏览器的 Web 应用程序(如 Chrome、Edge、Firefox、Safari 等),但该规则不适用于非浏览器 Web 应用程序(如 Slack 或 Dropbox)。
从版本 1.10.0 开始,用户可以选择配置规则来检查非浏览器 Web 应用程序上的浏览器流量。
用户可以查看、添加和移除非浏览器 Web 应用程序流量的规则。要为非浏览器 Web 应用程序配置规则,请执行以下操作:
导航到 Cloud Web Security > 配置 (Configure) > 安全策略 (Security Policy),然后选择现有策略并单击 Web 应用程序 (Web Applications) 选项卡。
单击 + 添加规则 (+ ADD RULE),然后输入所需的全部详细信息(例如“源类型”(Source type)、“目标类型”(Destination type)、“请求和文件类型”(Request and File types)、“操作和日志”(Action and Log) 详细信息),以创建新的非浏览器 Web 应用程序规则。
字段 |
描述 |
源 (Source) |
根据 IP 地址/IP 范围、用户代理或浏览器选择源。
注:
每个规则只能选择一种源类型。 |
目标 (Destination) |
根据域、IP 地址/IP 范围、URL、类别、线程或地理位置选择目标。
注:
每个规则只能选择一个目标类型。 |
请求和文件类型 (Request And File Type) |
选择要应用规则的请求类型(上载、下载或两者)和文件类型。您也可以为上载请求类型选择 HTTP 方法(POST、PUT)。(可选)您还可以输入要应用操作的最小文件大小。 |
操作和日志 (Action And Log) |
选择在满足规则条件时要执行的操作(允许或拒绝)。(可选)您可以通过打开捕获日志 (Capture Logs) 切换按钮来收集此规则的日志。 |
名称、原因和标记 (Name, Reason and Tags) |
为基于地理位置的规则配置名称、标记、原因和位置。确保为规则指定唯一的名称。(可选)您可以为规则添加原因和标记,以用于排序和筛选。
注:
位置 (Position) 字段指定该规则在 Web 应用程序规则列表中的位置。 |
单击完成 (Finish),新创建的 Web 应用程序规则将显示在 Web 应用程序 (Web Application) 列表中。
要使新的安全策略规则生效,请选择该规则,然后单击屏幕右上角的发布 (Publish) 按钮。
发布安全策略后,用户就可以应用安全策略。
Cloud Web Security 版本 1.9.1 于 2023 年 1 月 17 日发布。
此版本增加了一项新功能并解决了多个问题。
Cloud Web Security 版本 1.9.1 中增加的新功能和解决的问题:
新功能:为非标准 Web 端口配置端口规则
在以前的版本中,VMware Cloud Web Security 可以检查标准 Web 端口 80 和 443 上的流量。版本 1.9.1 允许检查非标准 Web 端口上的浏览器流量 (HTTP/HTTPS)。
用户可以通过导航到 Cloud Web Security > 配置 (Configure) > 企业设置 (Enterprise Settings) > 非标准 Web 端口 (Non-Standard Web Ports) 来查看、添加和移除端口规则。
要允许并检查非标准 Web 端口上的流量,请输入端口号。单击相应行上的“+”按钮可添加更多非标准 Web 端口。
用户可以编辑现有规则,或通过单击关联的“-”按钮来移除规则。编辑后,单击保存更改 (Save Changes) 按钮。
修复的问题 93272:不会阻止与某个威胁类别或内容类别匹配的资源请求。
如果存在阻止某个威胁类别或内容类别的 Web 安全规则,则在访问与这些类别匹配的域时,网站会被阻止。但是,如果在网页中作为资源访问同一域(例如,单击下载文件的链接),则不会阻止该请求。
修复的问题 93278:与内容检查规则匹配的 Web 日志可能显示匹配了错误的规则。
与内容检查规则匹配的 Web 日志显示匹配了默认规则,但从不显示 SASE Orchestrator 上创建和配置的规则的实际名称。
修复的问题 95190:YouTube 下载在 Web 日志中被错误地分类为“文件上载”(File Upload)。
如果存在阻止或允许 YouTube 下载操作的 CASB 规则,则可以正确应用该规则,但 Web 日志会将此事件显示为“文件上载”(File Upload) 而不是“文件下载”(File download),这会影响管理员评估其网络上的活动的能力。
修复的问题 96794:阻止上载所有文件类型的内容筛选规则会阻止登录 Microsoft 应用程序。
当存在阻止上载所有文件类型的内容筛选规则时,该规则会阻止登录需要从 https://login.microsoftonline.com/ 登录的 Microsoft 应用程序。
修复的问题 99661:某些企业级 Microsoft 应用程序的 CASB 控制无法按预期工作。
用户配置“阻止”规则时,以下 Microsoft 应用程序的 CASB 控制无法按预期工作。如果用户尝试执行以下任何操作,系统不会阻止这些操作,用户反而能够成功完成这些操作:
Microsoft Teams - 文件上载、创建、删除
Microsoft Outlook - 文件上载、下载、删除
Microsoft OneDrive - 删除
Microsoft OneNote - 下载
修复的问题 104945:由于跨域资源共享 (CORS) 问题,某些网站可能无法加载。
实施 Cloud Web Security 策略后,用户访问某些网站时,由于跨域资源共享 (CORS) 问题,页面可能无法加载。用户将在控制台日志中看到类似以下内容的错误:“xxxx 已被 CORS 策略阻止: ‘Access-Control-Allow-Origin’标头包含多个值‘*’”(xxxx has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header contains multiple values '*')。
修复的问题 104948:针对 OneDrive 的 CASB 规则对 SharePoint OneDrive 不起作用。
当存在阻止 OneDrive 的所有应用程序控制的 CASB 规则时,该 CASB 规则不会阻止 SharePoint 操作。
修复的问题 104949:如果用户为 Google Drive 创建 CASB 规则,该规则不会阻止创建文件夹。
虽然会阻止 Google Drive 的上载和下载操作,但任何人都可以在 Google Drive 中创建文件夹。
在版本 1.9.1 及更高版本中,默认情况下,用户无法在 Google Drive 中创建文件夹,并且此应用程序不再需要配置选项。
Cloud Web Security 版本 1.8.0 于 2022 年 11 月 28 日发布。
此版本添加了一项新功能:
新功能:使用快速例外的简易 SSL 绕过功能
在 Cloud Web Security 的早期版本中,如果用户需要创建规则来绕过对常用 Web 应用程序的检查,则需要手动创建 SSL 检查规则。添加“简易 SSL 绕过”后,用户可以快速创建这些 SSL 检查规则。
新功能在 Cloud Web Security > 配置 (Configure) > 安全策略 (Security Policies) 的 SSL 检查 (SSL Inspection)选项卡下显示为快速例外 (Quick Exception) 按钮。
单击添加快速例外 (Add Quick Exception) 将打开快速例外 (Quick Exception) 配置屏幕,用户可以在该屏幕中选择一个或多个要从 SSL 检查中排除的应用程序。用户选择应用程序后,将从 SSL 检查中排除与该应用程序关联的所有 URL。
使用“快速例外”(Quick Exception) 选项时,只能创建一个规则,而无法创建其他规则。此规则始终称为快速例外规则 (Quick Exception Rule),并且该名称无法在“快速例外”(Quick Exception) 向导中更改。
该规则将始终是网格中的倒数第二个规则,并且可通过单击快速例外规则 (Quick Exception Rule) 名称来快速访问。添加“快速例外规则”(Quick Exception Rule) 后,添加快速例外 (Add Quick Exception) 菜单选项将更改为快速例外 (Quick Exception),表示存在可以编辑的现有快速例外规则 (Quick Exception Rule),并且无法添加此类型的其他规则。
Cloud Web Security 版本 1.7.0 于 2022 年 11 月 1 日发布。
此版本增加了一项新功能并解决了多个问题。
Cloud Web Security 版本 1.7.0 中增加的新功能和解决的问题:
新功能:Web 日志现在包含“区域”(Region) 字段和“用户组”(User Group) 字段,以增强监控功能。
区域 (Region) 字段指示用于 Web 事件的 SASE PoP,这有助于定位事件发生在世界的哪个位置。
用户组 (User Group) 字段指示在其中使用 SAML 配置的 SAML 用户组。
这两个增加的字段共同增强了用户监控 Web 流量的能力。
修复的问题 93269:Cloud Web Security Web 策略不会阻止恶意文件下载操作。
在某些情况下,尽管配置了策略以阻止恶意文件下载操作,用户仍可能会发现下载了恶意文件。
修复的问题 94168:从 OneDrive 或 Dropbox 下载受密码保护的文件时,系统没有提示输入密码,并且用户无法下载文件。
从任何网站下载受密码保护的文件时,系统应提示用户输入密码,因为这是内容筛选中的默认操作。但在 OneDrive 和 Dropbox 上,没有提示输入密码便阻止文件下载,并且无法下载文件。
修复的问题 95190:管理员在其企业的 Web 日志中发现,YouTube 下载操作被错误地分类为上载操作。
如果存在阻止或允许 YouTube 下载操作的 CASB 规则,则可以正确应用该规则,但 Web 日志会将此事件显示为“文件上载”(File Upload) 而不是“文件下载”(File download),这会影响管理员评估其网络上的活动的能力。
修复的问题 95998:CASB 规则对 OneDrive 不起作用。
如果用户创建并应用一个 CASB 规则,该规则允许浏览器操作,同时阻止所有应用程序控制操作,然后用户登录 OneDrive 并尝试执行所有应被阻止的操作,则这些操作均不会被阻止。未阻止的操作包括创建和删除文件夹。
修复的问题 96274:对 Microsoft O365 Outlook 的某些 CASB 控制无法按预期起作用。
当存在阻止在 Microsoft O365 Outlook 中执行删除、下载、上载或搜索操作的 CASB 规则时,如果用户尝试在 Microsoft O365 Outlook 中执行其中任何操作,这些操作均不会被阻止。
修复的问题 96790:由于日志内容不清晰,用户无法确定在 Web 请求中执行的确切安全策略。
在该问题中,日志仅显示在 Web 请求中执行的策略标头(只是标识代码),而不是明确说明正在调用的策略。用户能够确定所使用策略的唯一方法是,获取策略标头,然后打开“网络”(Network) 选项卡,以将该策略标头映射到策略名称。
修复的问题 98047:当存在阻止在 Microsoft SharePoint 中执行 Microsoft Word 文件上载和下载操作的 CASB 规则时,Cloud Web Security 不会阻止文件上载和下载操作。
当存在阻止在 Microsoft O365 SharePoint 中执行 Microsoft Word 文件上载和下载操作的 CASB 规则时,如果用户尝试将 Word 文件上载到 SharePoint 或从 SharePoint 下载 Word 文件,则不会阻止上载和下载操作。
Cloud Web Security 版本 1.6.1 于 2022 年 9 月 15 日发布。
Cloud Web Security 版本 1.6.1 中增加了以下功能
新功能:Web 代理
VMware Cloud Web Security 的 Web 代理功能旨在支持独立使用 Cloud Web Security 服务,而无需 VMware SD-WAN 或 VMware Secure Access。任何具有现代浏览器且可以支持网络代理配置(手动配置或通过代理自动配置 (PAC) 文件自动配置)的设备,都可以将其 Web 流量重定向到 Cloud Web Security 服务以进行安全检查。
新功能:克隆安全策略。
版本 1.6.1 引入了克隆安全策略的功能,也可以将这些安全策略存储为备份。
此功能还包括对安全策略中的不同规则类型进行克隆的功能,例如:SSL 检查、CASB、DLP 和 Web 安全。
Cloud Web Security 版本 1.5.2 于 2022 年 9 月 3 日发布。
Cloud Web Security 版本 1.5.2 中解决的问题
修复的问题 94734:用户看到令人混淆的文件类别,它们具有含糊不清的名称“其他下载”(Other Downloads) 和“其他文档”(Other Documents)。
创建 Cloud Web Security 规则时,用户看到“其他下载”(Other Downloads) 和“其他文档”(Other Documents) 文件类别,对于它们的作用并不是很清楚。该问题已通过以下方法解决:将“其他下载”(Other Downloads) 重命名为“其他文件和文档”(Other Files and Documents),将“其他文档”(Other Documents) 重命名为“杂项文档”(Miscellaneous Documents),以此来减少歧义。
Cloud Web Security 版本 1.5.1 于 2022 年 8 月 30 日发布。
Cloud Web Security 版本 1.5.1 中解决的问题
修复的问题 93206:将 CASB 规则配置为阻止 MEGA 下载操作时,该规则不会阻止此类操作。
如果用户为应用程序“Mega”创建一个 CASB 规则以阻止上载和下载操作,然后登录 mega.io 并尝试上载或下载文件,则用户会发现可正确阻止文件上载操作,但不会阻止下载操作。
修复的问题 93208:无论是否存在相应规则,都会阻止下载 Gmail 附件,并且不会为该事件生成日志。
无论是否配置了 CASB 规则以阻止下载 Gmail 附件,当用户尝试仅通过单击 Gmail 附件的下载图标来下载该附件时,都会阻止下载,但不会记录任何日志。如果用户尝试在新选项卡中下载附件,则不会出现该问题。
修复的问题 93209:将内容筛选规则配置为阻止标识为恶意软件的文件时,该规则不会阻止某些此类文件。
当存在阻止上载和下载恶意软件文件的内容筛选规则时,某些文件会被阻止,而某些文件则不会被阻止。
修复的问题 93210:阻止与字典匹配的文本输入的 DLP 规则无法应用于 LinkedIn 消息。
如果存在阻止与字典匹配的文本输入的 DLP 规则,则在 LinkedIn 中发送与字典匹配的消息时,不会阻止该消息。
修复的问题 93211:将 CASB 规则配置为阻止 YouTube 下载操作时,该规则不会阻止此类操作。
如果用户创建一个 CASB 规则以阻止 YouTube 下载操作,然后尝试下载 YouTube 上的任何视频,则不会阻止下载操作。
修复的问题 93213:刷新浏览器页面后,最初有效的 CASB 规则可能不起作用。
当存在阻止搜索等操作的 CASB 规则时,会阻止应用程序中的搜索功能。现在,如果浏览器中的 URL 具有搜索参数,并且刷新了页面,则不会阻止搜索结果。
修复的问题 93214:配置为阻止下载所有文件的内容筛选规则不会阻止下载 JPEG。
阻止下载“所有文件”(应包括所有图片格式)的内容筛选规则不会阻止下载 JPEG。如果未进行该修复,解决办法是使用自定义文件类型选项并添加应阻止的文件扩展名(例如,JPEG)。
修复的问题 93217:即使文件内容与 DLP 规则匹配,也不会在 Google Drive (G-Drive) 上阻止上载某些文件类型。
即使文件内容与 DLP 规则匹配,也不会在 G-Drive 上阻止扩展名为 .doc、.docx、.ppt 和 .pptx 的文件。
修复的问题 93225:Cloud Web Security 可能无法将网站与正确的威胁类别匹配,从而导致该网站未被阻止。
用户可以配置一个规则,以通过 URL 筛选规则阻止所有威胁类别,但某些应归类为恶意的站点不会被阻止。
修复的问题 93262:不会应用配置为应用于特定用户组的 Cloud Web Security 规则。
如果存在应当仅应用于指定组中用户的安全规则,则不会强制执行该规则。因此,应当应用于组中用户的所有规则都不会正确应用。
修复的问题 93268:CASB 控制规则不会应用于 Microsoft Teams。
允许浏览 Microsoft Teams Web 应用程序,但阻止所有其他操作的 CASB 控制策略不会阻止用户发布内容。
修复的问题 94369:当用户配置规则以阻止“所有文档”或“所有文件”时,用户会发现与相应规则不匹配的上载操作被阻止。
应用规则以阻止“所有文档”时,用户会发现不仅会阻止文档上载操作,而且还会阻止文件和存档上载操作。
应用规则以阻止“所有文件”时,用户会发现不仅会阻止文件上载操作,而且还会阻止文档和存档上载操作。
Cloud Web Security 版本 1.5.0 于 2022 年 8 月 10 日发布。
Cloud Web Security 版本 1.5.0 中解决的问题。
修复的问题 87027:Cloud Web Security 日志包含资源类型日志,这可能会使日志视图混乱。
Orchestrator UI 中没有相应的选项来允许用户打开和关闭资源日志,以便他们能够更好地识别更相关的日志。
修复的问题 88813:当 CASB 未获得许可时,“安全 Web 策略”(Security Web Policies) 选项卡组件显示两个选项卡同时处于选定状态。
由于我们禁用和隐藏选项卡的方式,该选项卡组件进入错误状态。
修复的问题 89718:VMware SASE Orchestrator 无法加载 DLP 预定义字典。
Orchestrator 后端存在一个问题,该问题会导致 UI 无法获取 DLP 预定义字典。此问题不会影响客户定义的字典,这些字典可以正常加载。
修复的问题 89752:对于使用标准许可证的 Cloud Web Security 客户,VMware SASE Orchestrator UI 上的 CASB 功能不完全可见。
CASB 功能的以下项目不可见:
配置 (Configure) > CASB 菜单项和视图。
监控 (Monitor) > CASB 分析 (CASB Analysis) 菜单项和视图。
这些特定组件使用的 API。
修复的问题 91054:对于使用 VMware Cloud Web Security 的客户,在 VMware SASE Orchestrator UI 上尝试配置单点登录身份验证 (SAML) 时,用户可能会遇到多个可用性问题。
用户在 Cloud Web Security 服务中配置单点登录时可能会遇到以下问题:
证书错误显示在“身份验证”(Authentication) 主页面上,而不是显示在“证书”(Certificate) 页面上。
用户有时可以保存无效的证书。
更改证书时,有时可能会重置“身份验证”(Authentication) 表单中的其他值。
个别字段不显示字段内嵌的验证消息。
保存“身份验证”(Authentication) 页面时,Orchestrator UI 不显示进度旋转图标。
“详细调试”(Verbose Debugging) 工具提示显示“t+2hrs”,而不是实际时间。•在某些语言中,“单点登录”(Single Sign-On) 切换标签换行为多行。
保存更改 (Save Changes) 页脚布局在短屏幕上不正确。
对问题 91054 的修复解决了以上列出的所有问题。
修复的问题 91683:用户无法将 CIDR IP 地址添加到 Cloud Web Security 中的 SSL 检查规则源。
配置向导和 API 的 SSL 检查规则源中均不接受 CIDR IP,此修复解决了该问题。
修复的问题 91697:使用 Cloud Web Security 向导配置 SSL 检查、URL 筛选、内容筛选和内容检查规则时,单击“完成”(Finish)/“更新”(Update) 按钮后,向导停止响应,并且用户无法完成规则配置。
出现该问题的原因是,Cloud Web Security 后端服务器拒绝在使用向导时输入的配置值,从而导致“完成”(Finish)/“更新”(Update) 按钮在收到此验证错误后停止响应。
修复的问题 92082:对于使用 VMware Cloud Web Security 的客户,客户可能会观察到内容筛选规则不接受配置的域。
如果用户同时为“类别”(Categories) 选择了“所有”(ALL),则内容筛选规则将覆盖所提供的配置域。或者,如果用户为“类别”(Categories) 选择“无”(NONE),向导会将此选项默认为“所有”(ALL) 类别,因此,此处也不接受这些域。这是由于内容筛选向导和 API 中存在的问题所致。如果用户至少配置了一个类别,则 Orchestrator 会接受域。
在未进行此修复的 Orchestrator 上,用户将需要配置特定类别以及域,然后 Orchestrator 才会在内容筛选中接受域。
修复的问题 93341:使用 CASB 可见性功能时,用户将发现证书和“公司成立”日期存在问题。
在 CASB 可见性中,用户可能会发现,如果证书仍然有效并将在实际过期时续订,Orchestrator UI 会将该证书列为已过期。另一个问题是,许多应用程序将在应用程序详细信息 (Application Details) 下显示“成立于 1970 年”(Founded in 1970),而该应用程序的起源时间显然更近。
问题 93202:在 CASB 控制规则中阻止 Google Drive 创建操作不会阻止创建文件夹。
如果用户配置 CASB 控制规则以阻止 Google Drive 创建操作,则不会阻止创建文件夹。但是,CASB 规则会阻止创建新的 Google Docs、Sheets 和其他 Google 应用程序。换言之,访问 Google Drive 的用户会获得一个文件夹,但该文件夹中不会包含任何实际内容。
解决办法:该问题没有解决办法;用户需要注意,这种行为存在于影响 Google Drive 的 CASB 规则中。
问题 96847:CASB 规则不会应用于基于个人帐户的 Microsoft 应用程序。
如果用户配置 CASB 规则以阻止 Microsoft 应用程序(Teams、OneDrive、Sharepoint 等)操作,则当 Microsoft 应用程序基于公司/企业帐户时,用户会发现这些规则可以正确应用。但是,如果 Microsoft 应用程序基于个人帐户,则不会阻止任何操作。这包括发布、点赞、上载、下载和删除等操作。
解决办法:如果将 CASB 规则用于 Microsoft 应用程序,请确保没有用户使用个人帐户。
问题 96848:OneDrive 上载将用户显示为“未知用户”(unknown user)。
由于未指定用户,此问题会影响管理员为 OneDrive 上载配置基于用户的规则的能力。
此问题是由于 OneDrive 使用不同的域 (api.onedrive.com) 进行上载,而不是使用浏览器中加载的实际域 (onedrive.live.com) 所致。由于所有 Web 浏览器共有的限制,live.com 的 Cloud Web Security 用户身份验证 Cookie 不会传递到 onedrive.com,并且无法识别 OneDrive 用户。
问题 111002:客户无法发布包含 CASB 规则(使用 Telegram、Jira 或 Confluence 应用程序)的安全策略。
Cloud Web Security 从 CASB 应用程序列表中删除了 Telegram、Jira 和 Confluence。因此,使用这些应用程序配置的任何 CASB 规则会在发布时失效。
解决办法:删除使用上述任何应用程序的每个 CASB 安全规则,然后创建不使用这些应用程序的新规则并进行发布。