Tato část popisuje, jak nakonfigurovat Zásady zabezpečení pro VMware Cloud Web Security.
Než začnete:
Pro konfiguraci Zásad zabezpečení musí uživatelé nejdříve vytvořit zásady zabezpečení. Konkrétní instrukce o tom, jak vytvořit zásady zabezpečení, naleznete v tématu Vytváření zásad zabezpečení.
O této úloze:
V této sekci uživatelé zjistí, jak nakonfigurovat Zásady zabezpečení, které byly vytvořeny v sekci s názvem Vytváření zásad zabezpečení. Při vytváření zásad zabezpečení mohou uživatelé konfigurovat následující kategorie pravidel: Kontrola SSL (Secure socket layer), CASB (Zprostředkovatel Cloud Access Security), Prevence ztráty dat (DLP, Data Loss Prevention), Webové zabezpečení (Web Security) a Webová aplikace (Web Application).
Když vytváříte pravidlo zásad webového zabezpečení, uživatelé mohou nakonfigurovat: Filtrování adres URL (URL Filtering), Filtrování na základě geolokace (Geo-Based Filtering), Filtrování obsahu (Content Filtering) a Kontrola obsahu (Content Inspection).
Společnost Google vyvinula protokol QUIC (rychlé UDP internetová připojení) pro zvýšení výkonu připojení HTTPS a HTTP (TCP 443 a TCP 80). Prohlížeče Chrome jej mají od roku 2014 experimentální podporu. K dispozici je také v Chromiu (např. Microsoft Edge, Opera a Brave) a v zařízeních Android.
Připojení QUIC nevyžadují metody TCP handshakes. Kontrola SSL však vyžaduje informace o relaci TCP a Cloud Web Security provádí ve výchozím nastavení kontrolu SSL (pokud není pravidlo pro obejití explicitně nakonfigurováno tak, aby se tomu zabránilo), a Cloud Web Security proto nemůže prohlížet relace QUIC, kde je prováděna kontrola SSL. V případech, kdy je povoleno QUIC a provádí se kontrola SSL, mohou mít za následek, že během relace uživatele nebudou uplatněny zásady.
Abyste zajistili, že jsou zásady služby Cloud Web Security konzistentně aplikovány, doporučujeme, aby byl protokol QUIC v prohlížeči buď zablokován, nebo deaktivován.
Chcete-li blokovat QUIC, nakonfigurujte váš prohlížeč nebo bránu firewall tak, aby blokovaly porty UDP 443 a UDP 80, protože to jsou porty, které protokol QUIC používá. Pokud je protokol QUIC blokován, QUIC může být bezpečný při poruše na TCP. To aktivuje kontrolu SSL bez negativního dopadu na uživatelskou zkušenost.
Chcete-li deaktivovat QUIC v prohlížeči Chromium, zkontrolujte dokumentaci pro příslušný prohlížeč.
Deaktivování QUIC v prohlížeči Chrome:
- Otevřete Chrome
- Do adresního řádku zadejte: chrome://flags
- Do panelu vyhledávání zadejte „quic“.
- Klikněte na rozevírací nabídku a vyberte možnost Deaktivováno (Disabled).
- Pokud je vybrána výchozí hodnota, Chrome se pokusí použít QUIC.
- Jakmile budete vyzváni, klikněte na Znovu spustit (Relaunch Now), restartujte systém Chrome a použijte změny.
Postup:
- Na stránce Zásady zabezpečení v novém uživatelském rozhraní (UI) aplikace VMware SD-WAN Orchestrator klikněte na název Zásady zabezpečení u zásady, kterou chcete konfigurovat.
Zobrazí se obrazovka Zásady zabezpečení (Security Policies) pro vybranou zásadu.
- Z vybrané stránky Zásady zabezpečení (Security Policy) mohou uživatelé konfigurovat pravidla z následujících kategorií pravidel: Kontrola SSL, CASB (Zprostředkovatel Cloud Access Security), Webové zabezpečení, Webová aplikace a Prevence ztráty dat (DLP).
Důležité: Z výchozího nastavení mají Zásady zabezpečení nastavena pravidla „povolit vše“ a „dešifrovat vše“. Konfigurací kterékoliv z pěti výše uvedených kategorií pravidel uživatel přepíše výchozí pravidla a vytvoří zásady, které se skládají z jeho/jejích vlastních pravidel.
Kompletní popis konfigurace pravidel pro každou kategorii naleznete zde:
- Po konfiguraci Zásad zabezpečení klikněte na tlačítko Publikovat (Publish) a publikujte Zásady zabezpečení.
- Klikněte na tlačítko Ano (Yes) ve vyskakovacím okně Publikovat zásady (Publish Policy) a zásady publikujte.
V horní části obrazovky se zobrazí zelený nápis, který indikuje zveřejnění Zásad zabezpečení.
Poznámka: Zásady zabezpečení mohou být zveřejněny kdykoliv během konfiguračního procesu a mohou být znovu publikovány, kdykoliv je uživatel znovu nakonfiguruje.
