Tato část popisuje, jak používat funkci Zprostředkovatel Cloud Access Security (CASB – Cloud Access Security Broker) pro službu Cloud Web Security.

Obecné

Funkce Zprostředkovatel Cloud Access Security (CASB) poskytuje viditelnost a kontrolu nad aktivitami uživatelů při přístupu k aplikacím SaaS.

Funkce CASB obsahuje následující vlastnosti:

Viditelnost aplikací (Application Visibility) (součást obou balíčků Cloud Web Security edice Standard a Advanced): Zákazník má možnost zobrazit různé aplikace SaaS, ke kterým uživatelé v rámci své sítě přistupují. U každé aplikace může zákazník používající funkci Viditelnost aplikace CASB sledovat:

  • Hodnocení rizika pro každou aplikaci.
  • Kolikrát uživatelé zpřístupnili aplikaci.
  • Kategorii aplikace.

Řízení aplikace (Application Control) (pouze součást rozšířené ho balíčku Cloud Web Security v edici Advanced): zákazník má možnost řídit specifické akce, které mohou být prováděny u každé aplikace SaaS.

Připravené předdefinované řízení je k dispozici pro všechny aplikace SaaS s ovládáním specifickým pro jednotlivé aplikace, které jsou poskytovány na úrovni jednotlivých aplikací. Tyto ovládací prvky mohou být upraveny a nakonfigurovány dle aplikace a na základě uživatele a uživatelské skupiny.

U každé aplikace může zákazník používající řízení aplikace CASB řídit:

  • Počáteční přístup ke stránce aplikace [Povolit (Allow) nebo Blokovat (Block)].
  • Další akce, jako je přihlášení, nahrávání/stahování obsahu, hledání, úpravy, sdílení, vytvoření, vymazání, akce Líbí se mi nebo publikování.

Zákazníci si mohou prohlédnout aktuálně dostupné akce u aplikací, které chtějí řídit.

Předpoklady

Pro přístup k funkci CASB (Zprostředkovatel Cloud Access Security) pomocí Cloud Web Security uživatelé potřebují následující:
  1. Podnik zákazníka v produkčním prostředí VMware Cloud Orchestrator s aktivovanou službou Cloud Web Security.
  2. Zařízení Zařízení SD-WAN Edge zákazníka, body PoP SASE a systém Orchestrator musí všechny používat verzi 4.5.0 nebo novější.
  3. Viditelnost aplikace CASB je použitelná pro všechny zákazníky Cloud Web Security, ať už mají standardní (Standard) nebo rozšířený (Advanced) balíček.
  4. Pro přístup k řízení aplikace CASB musí mít zákazník Cloud Web Security rozšířený (Advanced) balíček.
    Pokud uživatel přejde do části Webové zabezpečení cloudu (Cloud Web Security) > Konfigurovat (Configure) > Zásady zabezpečení (Security Policies) a klikne na existující zásady nebo vytvoří nové zásady, záložka CASB bude obsahovat ikonu zámku. To znamená, že u licence standardní edice (Standard) je povolena pouze viditelnost CASB (CASB Visibility) a že k vytvoření zásad řízení CASB je vyžadována licence rozšířené edice (Advanced).
  5. Volitelně: Poskytovatel identity (IdP), pokud zákazník plánuje mít pravidla založená na uživateli. Další informace o konfiguraci služby Workspace ONE nebo Azure Active Directory (AD) jako poskytovatele identity naleznete v příslušných průvodcích na stránce Průvodci jednotným přihlašováním (SAML).

Pracovní konfigurační postup CASB

Po pokrytí dvou klíčových funkcí – Viditelnost aplikace (Application Visibility)Řízení aplikace (Application Control), které tvoří funkci CASB, se bude tento oddíl zabývat pracovním postupem CASB.

Vytváření, konfigurace a použití zásad zabezpečení

Pro další informace o vytváření, konfiguraci nebo použití zásad zabezpečení pro službu Cloud Web Security si prostudujte relevantní dokumentaci v Průvodci konfigurací služby Cloud Web Security.

Nastavení CASB – viditelnost aplikace

Po přidružení zásad zabezpečení k segmentu zákazníka je provoz ze zařízení s koncovým bodem za zařízením SD-WAN Edge nebo přicházejícím přes klienty se zabezpečeným přístupem Secure Access kontrolován a monitorován, pokud prochází zásadami Cloud Web Security.

  1. V uživatelském rozhraní systému VMware SASE Orchestrator přejděte do části Webové zabezpečení cloudu (Cloud Web Security) > Konfigurovat (Configure) > Nastavení zásad (Policy Settings) > CASB (CASB).
  2. Stránka Nastavení CASB (CASB Settings) obsahuje seznam aplikací, které odpovídají pravidlům zásad zabezpečení a jsou ve výchozím nastavení seřazeny podle nejvyššího počtu přístupů (počet přístupů ke konkrétní aplikaci během zadaného časového období).
    • Každá aplikace bude mít také přiřazené hodnocení rizika: Nízké (1–3), Střední (4–6) nebo Vysoké (7–9).
    • Tabulku Aplikace (Applications) lze seřadit podle názvu aplikace, názvu kategorie, počtu přístupů nebo podle hodnocení rizika kliknutím na záhlaví sloupce. Případně kliknutím na ikonu řazení u sloupce mohou uživatelé vyhledávat konkrétní výraz nebo číslo v daném sloupci.
    • Stránka nastavení CASB ve výchozím nastavení zobrazuje 20 aplikací na stránku, uživatelé mohou přejít do spodní části stránky a specifikovat až 100 aplikací na stránku. Uživatelé mohou také vybrat novou stránku aplikací buď kliknutím na ikonu šipky nebo určením specifické stránky v textovém poli.
    • S tím, jak přes službu Cloud Web Security prochází větší provoz, seznam aplikací se může změnit v závislosti na tom, které webové stránky jsou právě vyhledány. Tyto změny mohou zahrnovat pořadí aplikací, počet aplikací, události přístupu a hodnocení rizika.

Vytvoření a použití pravidla řízení CASB

Chcete-li vytvořit a použít pravidlo řízení CASB, nahlédněte do tématu Konfigurace pravidel zprostředkovatele služby Cloud Access Security.

Ověření funkčnosti pravidla CASB

Po publikování zásad zabezpečení s pravidlem řízení CASB přejděte na webovou stránku ovlivněnou pravidlem a otestujte funkce řízení a ověřte, že fungují podle očekávání. Chcete-li ověřit, zda mají aplikace nakonfigurovány ovládací prvky řízení CASB, použijte stránku Webové zabezpečení cloudu (Cloud Web Security) > Monitorování (Monitor) > Webové protokoly (Web Logs). Například v případě, kdy se uživatelé pokusili přihlásit do webu WeTransfer, který byl zablokován podle publikovaného pravidla řízení CASB. Webové protokoly zobrazí blokovaný pokus o přihlášení.

Monitorování CASB

  1. Přejděte do části Webové zabezpečení cloudu (Cloud Web Security) > Monitorování (Monitor) > Analýza CASB (CASB Analysis).
  2. Na stránce Analýza CASB (CASB Analysis) mohou uživatelé zobrazit výběr pruhových grafů pro Nejčastější kategorie, Nejčastější aplikace, Nejčastější uživatele a Nejčastější nahrávání podle aplikace.
  3. Na stránkách Webové protokoly (Web Logs): Webové zabezpečení cloudu (Cloud Web Security) > Monitorování (Monitor) > Webové protokoly (Web Logs) se uživatelé mohou dovědět více podrobností o událostech přístupu k aplikaci. U kterékoliv události aplikace CASB může uživatel kliknout na bublinu spojenou s tímto záznamem protokolu a zobrazit úplné Detaily zadání protokolu (Log Entry Details).