Detailně popisuje konfiguraci pravidla kontroly SSL (Secure Sockets Layer) pro vybrané zásady zabezpečení.

Než začnete

Pro konfiguraci Zásad zabezpečení musí uživatelé nejdříve vytvořit zásady zabezpečení. Konkrétní instrukce o tom, jak vytvořit zásady zabezpečení, naleznete v tématu Vytváření zásad zabezpečení.

Kategorie Kontrola SSL

Protože je zašifrováno 90 procent internetového provozu, je třeba dešifrovat provoz, aby bylo možné zkontrolovat, co je uvnitř.
Poznámka: Z výchozího nastavení je veškerý provoz dešifrován z SSL a poté zkontrolován, což je podkladem pro silnější zabezpečení.

Některé provozy ale nemají rády „prostředníka“ ve svém provozu tak, jak funguje Kontrola SSL. Patří sem provoz využívající připnutí certifikátu, vzájemný TLS (mTLS) a některé využívající WebSockets. Pro zajištění, že služba Cloud Web Security nepřerušuje tento druh provozu, mohou uživatelé nakonfigurovat výjimky pro toto výchozí pravidlo Kontroly SSL, které by povolilo provozu obejít Kontrolu SSL.

Tip: Seznam domén, které budou potřebovat pravidlo pro obejití, naleznete v části Domény a směrování CIDR, u kterých je doporučeno pravidlo pro obejití kontroly SSL.
Poznámka: Když je vynuceno pravidlo pro obejití SSL, připojení ještě není dešifrováno. Data interního připojení, jako je identita uživatele nebo obsah souboru, nelze vynutit. Jsou použita pravidla kategorií a domény, ale zásady blokování platné pro uživatele, skupiny a soubory se nepoužívají ve spojení s touto zásadou obejití SSL. Filtrování adres URL je proto podporováno při použití pravidla pro obejití SSL, ale použití pravidel specifických pro uživatele není podporováno.

Certifikát kořenové certifikační autority (CA) SSL si můžete stáhnout kliknutím na Certifikát SSL (SSL Certificate) na levé straně nabídky Webové zabezpečení cloudu (Cloud Web Security) > Konfigurovat (Configure) > Podniková nastavení (Enterprise Settings).

Stránka Nastavení certifikátu SSL (SSL Certificate Settings)obsahuje certifikát CA pro službu VMware Cloud Web Security ke stažení používaný k provedení kontroly SSL. Pro stažení certifikátu CA:
  1. Klikněte na ikonu certifikátu nebo na odkaz pro stažení.
  2. Uložte soubor a poznamenejte si umístění.
  3. Poznamenejte si kryptografický otisk certifikátu k ověření při importu.

Konfigurace pravidla kontroly SSL

Pokud chtějí uživatelé vytvořit výjimku z výchozího pravidla a nechtějí, aby služba VMware Cloud Web Security dešifrovala pakety zašifrované protokolem SSL, mohou nakonfigurovat pravidlo kontroly SSL pomocí jedné z následujících dvou metod:

Ruční obejití SSL

Uživatel může ručně nakonfigurovat pravidlo kontroly SSL na základě zdroje, cíle nebo kategorií cílů provedením následujících kroků:
  1. Přejděte na Webové zabezpečení cloudu (Cloud Web Security) > Konfigurovat (Configure) > Zásady zabezpečení (Security Policies).
  2. Vyberte zásady zabezpečení pro konfiguraci pravidla kontroly SSL a poté klikněte na kartu Kontrola SSL (SSL Inspection).
  3. Na kartě Kontrola SSL (SSL Inspection) na obrazovce Zásady zabezpečení (Security Policies) klikněte na možnost + PŘIDAT PRAVIDLO (+ ADD RULE) pro konfiguraci pravidla výjimky kontroly SSL.

    Zobrazí se stránka Vytvořit výjimku SSL (Create SSL Exception).

  4. Na obrazovce Vytvořit výjimku SSL (Create SSL Exception) uživatelé vyberou, který typ provozu má obejít Kontrolu SSL, výběrem možnosti Zdroj (Source), Cíl (Destination) nebo Kategorie cílů (Destination Categories).

    Uživatelé například mohou vytvořit pravidlo, které obejde kontrolu SSL pro veškerý provoz určený pro zoom.us, a to nakonfigurováním pravidla jako pravidla cíle a poté výběrem typu cíle podle cílové IP adresy nebo hostitele/domény, jak je znázorněno na následující ukázkové obrazovce.

  5. Klikněte na tlačítko Další (Next).
  6. Na obrazovce Název a značky (Name and Tags) zadejte název pravidla, značky, důvod (pokud je třeba) , proč bylo pravidlo obejití vytvořeno a pozici pro pravidlo na seznamu pravidel kontroly SSL (možnosti jsou buď „Nahoře v seznamu“ nebo „Dole v seznamu“).

  7. Klepněte na možnost Dokončit (Finish).

    Pravidlo kontroly SSL je nyní přidáno do Zásad zabezpečení.

  8. Uživatelé mají následující možnosti: konfigurovat jiné pravidlo kontroly SSL, konfigurovat jinou kategorii zásad zabezpečení nebo pokud je hotovo, kliknout na tlačítko Publikovat (Publish) pro publikování zásady zabezpečení.
  9. Po publikování zásad zabezpečení mohou uživatelé Použít zásady zabezpečení (Apply the Security Policy).

Snadné obejití kontroly SSL / Rychlé výjimky

Funkce snadného obejití SSL umožňuje uživatelům obejít kontrolu SSL u běžně používaných webových aplikací.

Chcete-li nakonfigurovat pravidlo pro obejití kontroly SSL pomocí rychlé výjimky, proveďte následující kroky.
  1. Na kartě Kontrola SSL (SSL Inspection) na obrazovce Zásady zabezpečení (Security Policies) klikněte na možnost PŘIDAT RYCHLOU VÝJIMKU (ADD QUICK EXCEPTION).

    Otevře se obrazovka konfigurace Rychlé výjimky (Quick Exceptions).

  2. Chcete-li obejít kontrolu SSL pro určité domény nebo rozsahy IP podsítí, na stránce Vyberte výjimky (Select Exceptions) vyberte zapnutím přepínacího tlačítka jednu nebo více aplikací, které chce uživatel vyjmout z kontroly SSL, a klikněte na možnost Další (Next). Když uživatelé vyberou aplikaci, všechny adresy URL spojené s vybranými aplikacemi jsou také vyloučeny z kontroly SSL.
  3. Na obrazovce Název, důvody a značky (Name, Reasons and Tags) zadejte značky a důvod (pokud je to nutné) pro vytvoření pravidla výjimky a klikněte na možnost Dokončit (Finish).

    Je vytvořeno Pravidlo rychlé výjimky (Quick Exception Rule) a zobrazí se na stránce seznamu Pravidlo kontroly SSL (SSL Inspection Rule), jak je znázorněno na následujícím snímku obrazovky.

    Poznámka: Je vytvořeno pouze jedno pravidlo a nelze vytvořit žádná další pravidla. Toto pravidlo se vždy nazývá „Pravidlo rychlé výjimky“ (Quick Exception Rule) a název nelze v Průvodci rychlou výjimkou změnit.
    Poznámka: Pravidlo bude vždy předposlední pravidlo na stránce se seznamem Pravidlo kontroly SSL a lze k němu rychle získat přístup kliknutím na název pravidla rychlé výjimky (Quick Exception Rule). Jakmile je přidáno pravidlo rychlé výjimky, název tlačítka Přidat rychlé výjimky (Add Quick Exceptions) se změní na Rychlá výjimka (Quick Exception), což odkazuje na upravitelné existující Pravidlo rychlé výjimky (Quick Exception Rule), přičemž nelze přidávat žádná další pravidla tohoto typu.