VMware Cloud Web Security zobrazí všem uživatelům ve výchozím nastavení stránku blokování se značkou VMware, když zásady zabezpečení uživatelům zabrání v přístupu na webovou stránku nebo do cloudové aplikace.

Funkce Přizpůsobitelná stránka blokování (Customizable Block Page) umožňuje uživatelům vytvořit a přizpůsobit jejich vlastní stránku blokování s označením, která se zobrazí uživateli, když je zablokován jejich provoz (web nebo provoz prevence ztráty dat). Pomocí části Konfigurace > Vlastní nastavení stránky (Configure > Page Customization) v aplikaci Orchestrator může administrátor služby Cloud Web Security upravovat následující:

• Stránka blokování, kterou služba VMware Cloud používá k odpovědi na požadavek HTTP nebo nahrání souboru, který porušuje nakonfigurované zásady zabezpečení.

• Stránka blokování, kterou služba VMware Cloud vrátí, když se uživatel pokouší nahrát soubor, který porušuje nakonfigurované pravidlo DLP.

Další informace o konfiguraci vlastní stránky blokování naleznete v tématu Vlastní nastavení stránky.

Při vytváření pravidla prevence ztráty dat (DLP) se uživateli zobrazí nesprávné informace pro popisek „Maximální velikost souboru“. Popis tlačítka uvádí, že „Pokud je nahraný soubor větší než zadaná hodnota, soubor bude zahozen a bude informován auditor,“ což je nesprávná informace. Problém je vyřešen přeformulováním popisku na: „Pokud je nahraný soubor větší než zadaná hodnota, DLP soubor nezkontroluje a povolí jeho průchod.“

Webové protokoly Cloud Web Security zahrnují pouze typ Typ hrozby (Threat Type) a nezobrazují se ani podrobnosti o riziku. Aby se zlepšila schopnost uživatele monitorovat webový provoz, měly by se kromě identifikovaného parametru Typ hrozby (Threat Type) zobrazit také podrobnosti o riziku pro slabá místa zabezpečení.

Při kontrole provozu pro webové aplikace, které nejsou v prohlížeči, mohou starší zákazníci zaznamenat chybu při publikování pravidla zásad zabezpečení pro webové aplikace, které nejsou v prohlížeči. Tento problém je výsledkem toho, že pro podporovaný prohlížeč není nakonfigurována výchozí hodnota. Tento problém nebyl zaznamenán u nových zákazníků.

Dříve uživatel mohl nakonfigurovat pravidlo zásad zabezpečení CWS pro kontrolu webových aplikací prohlížeče, jako jsou Chrome, Edge, Firefox, Safari atd. Ale pravidlo neplatilo pro webové aplikace mimo prohlížeč, jako je Slack nebo Dropbox.

Od verze 1.10.0 má uživatel možnost nakonfigurovat pravidla pro kontrolu provozu prohlížeče u webové aplikace mimo prohlížeč.

Uživatel může prohlížet, přidávat a odstraňovat pravidla pro provoz webových aplikací jiných než prohlížečů. Postup konfigurace pravidel webových aplikací mimo prohlížeč:

1. Přejděte do nabídky Cloud Web Security > Konfigurace (Configure) > Zásady zabezpečení (Security Policy), poté vyberte existující zásadu a klikněte na kartu Webové aplikace (Web Applications).

   

2. Klikněte na možnost + PŘIDAT PRAVIDLO (+ ADD RULE) a zadejte všechny požadované údaje, jako je typ zdroje, typ cíle, typ požadavku a souboru, akce a údaje protokolu pro vytvoření nového pravidla webové aplikace mimo prohlížeč.

   

   Pole	Popis
   Zdroj (Source)	Vyberte zdroj na základě IP adres / rozsahů IP, uživatelského agenta nebo prohlížeče. Poznámka: Pro každé pravidlo lze vybrat pouze jeden typ zdroje.
   Cíl (Destination)	Vyberte cíl na základě domény, IP adres / rozsahů IP, adresy URL, kategorie, podprocesu nebo zeměpisného umístění. Poznámka: Pro každé pravidlo lze vybrat pouze jeden typ cíle.
   Požadavek a druh souboru	Zvolte typ požadavku (nahrávání, stahování nebo obojí) a typ souboru, pro který bude pravidlo aplikováno. Můžete také vybrat metodu HTTP (POST, PUT) pro typ požadavku nahrávání. Volitelně můžete také zadat minimální velikost souboru, aby se akce použila.
   Akce a protokol	Vyberte akci (povolit, nebo zakázat), která se má provést, pokud jsou kritéria pravidla splněna. Volitelně můžete shromažďovat protokoly pro toto pravidlo zapnutím přepínacího tlačítka Ukládat protokoly (Capture Logs).
   Název, důvod a značky	Konfigurujte název, značku, důvod a pozici pro zeměpisná pravidla. Zajistěte, aby byl název pravidla jedinečný. Volitelně můžete přidat příčiny a značky pro pravidla, které mohou být použity při řazení a filtrování. Poznámka: Pole Pozice (Position) určí pozici pravidla na seznamu pravidel webové aplikace.

3. Klikněte na tlačítko Dokončit (Finish) a v seznamu Webová aplikace (Web Application) se zobrazí nově vytvořené pravidlo webové aplikace. 

   

4. Aby se nové pravidlo zásad zabezpečení projevilo, vyberte ho a klikněte na tlačítko Publikovat (Publish) v pravém horním rohu obrazovky.

5. Po publikování zásad zabezpečení je uživatel připraven k použití zásad zabezpečení.

V předchozích verzích mohl nástroj VMware Cloud Web Security kontrolovat provoz na standardních webových portech 80 a 443. Verze 1.9.1 umožňuje kontrolu provozu prohlížeče (HTTP/HTTPS) na nestandardních webových portech.

Uživatel může zobrazit, přidat a odebrat pravidla portu tak, že přejde do nabídky Cloud Web Security > Konfigurace (Configure) > Podniková nastavení (Enterprise Settings) > Nestandardní webové porty (Non-Standard Web Ports).

Pokud chcete povolit a zkontrolovat provoz na nestandardních webových portech, zadejte číslo portu. Chcete-li přidat další nestandardní webové porty, klikněte na tlačítko „+“ v řádku.

Uživatel může upravit existující pravidla nebo je odstranit kliknutím na přidružené tlačítko „-“. Po dokončení úprav klikněte na tlačítko Uložit změny (Save Changes).

Webové protokoly, které odpovídají pravidlu kontroly obsahu, ukazují, že se výchozí pravidlo shoduje, ale nikdy nezobrazují skutečný název pravidla vytvořeného a nakonfigurovaného v systému SASE Orchestrator.

Jestliže existuje zásada CASB pro blokování nebo povolení stahování videí z YouTube, aplikuje se správně, ale webové protokoly zobrazují tuto akci jako „nahrávání souboru“ namísto „stahování souboru“, což znemožňuje správci vyhodnotit aktivitu v síti.

Pokud existuje pravidlo filtrování obsahu, které blokuje nahrávání všech typů souborů, pravidlo blokuje přihlášení do aplikací Microsoft, které vyžadují přihlášení z webu https://login.microsoftonline.com/.

Ovládací prvky CASB pro následující aplikace Microsoft nefungují podle očekávání, když uživatel nakonfiguruje pravidlo „blokovat“. Pokud se uživatel pokusí o některou z těchto akcí, žádná z nich není zablokována a uživatel může tyto akce úspěšně provést:

• Microsoft Teams – nahrání, vytvoření, odstranění souboru

• Microsoft Outlook – nahrání, stažení, odstranění souboru

• Microsoft OneDrive – odstranění

• Microsoft OneNote – stažení

Když jsou vynucovány zásady Cloud Web Security a uživatel přistupuje k určitým webovým stránkám, stránka se nemusí načíst v důsledku problému s technologií CORS (Cross-Origin Resource Sharing). Uživatel uvidí chybu podobnou „xxxx bylo zablokováno zásadou CORS: Hlavička „Access-Control-Allow-Origin“ obsahuje více hodnot *“ v protokolech konzole.

Pokud existuje pravidlo CASB pro blokování všech ovládacích prvků aplikace pro OneDrive, nezablokuje pravidlo CASB akce pro SharePoint.

I když je nahrávání a stahování pro Disk Google blokováno, může kdokoli na Disku Google vytvářet složky.

Ve verzi 1.9.1 a novější nemůže uživatel ve výchozím nastavení vytvořit složku na Disku Google a pro tuto aplikaci již není vyžadována možnost konfigurace.

Pokud uživatel potřeboval vytvořit pravidlo pro obcházení kontroly běžných webových aplikací v předchozích verzích aplikace Cloud Web Security, musel vytvořit pravidlo kontroly SSL ručně. S přidáním funkce snadného obejití SSL může uživatel rychle vytvořit pravidla kontroly SSL.

Nová funkce se zobrazí v části Cloud Web Security > Konfigurovat > Zásady zabezpečení (Cloud Web Security > Configure > Security Policies) na kartě Kontrola SSL (SSL Inspection) jako tlačítko Rychlá výjimka (Quick Exception).

Kliknutím na možnost Přidat rychlou výjimku (Add Quick Exception) se otevře obrazovka konfigurace Rychlé výjimky (Quick Exceptions), kde uživatel vybere jednu nebo více aplikací, u nichž požaduje výjimku z kontroly SSL. Když uživatel vybere aplikaci, všechny adresy URL přiřazené k dané aplikaci jsou výjimkou z kontroly SSL.

Při použití možnosti Rychlá výjimka je vytvořeno jedno pravidlo a nelze vytvořit žádná další pravidla. Toto pravidlo se vždy nazývá Pravidlo rychlé výjimky (Quick Exception Rule) a název nelze v Průvodci rychlou výjimkou změnit.

Pravidlo bude vždy předposlední pravidlo v mřížce a lze k němu rychle získat přístup kliknutím na název pravidla rychlé výjimky (Quick Exception Rule). Jakmile je přidáno pravidlo rychlé výjimky, možnost nabídky Přidat rychlé výjimky (Add Quick Exceptions) se změní na Rychlá výjimka (Quick Exception), což odkazuje na upravitelné existující Pravidlo rychlé výjimky (Quick Exception Rule), přičemž nelze přidávat žádná další pravidla tohoto typu.

• Pole Oblast (Region) značí, který SASE PoP byl pro webovou událost použit, což pomáhá lokalizovat, ve které části světa k události došlo.

• Pole User group (Uživatelské skupina) indikuje uživatelskou skupinu SAML, kde se používá konfigurace SAML.

Společně tato dvě přidaná pole zvyšují možnosti uživatele při monitorování webového provozu.

V některých případech se uživatel může setkat se stahováním škodlivého souboru, přestože má nakonfigurováno pravidlo, které takové stahování blokuje.

Při stahování souboru chráněného heslem z libovolné webové stránky by se měla uživateli zobrazit výzva k zadání hesla, protože se jedná o výchozí akci v rámci filtrování obsahu. Ve službách OneDrive a Dropbox se stahování souboru zablokuje bez zobrazení výzvy k zadání hesla a soubor nelze stáhnout.

Jestliže existuje zásada CASB pro blokování nebo povolení stahování videí z YouTube, aplikuje se správně, ale webové protokoly zobrazují tuto akci jako „nahrávání souboru“ namísto „stahování souboru“, což znemožňuje správci vyhodnotit aktivitu v síti.

Jestliže uživatel vytvoří a použije zásadu CASB, která povolí akce prohlížeče během blokování všech ovládacích prvků aplikace, a poté se přihlásí k OneDrive a pokusí se provést všechny akce, které by měly být blokovány, žádná z nich nebude blokována. Neblokované akce zahrnují vytváření a odstraňování složek.

Jestliže existuje zásada CASB pro Microsoft O365 Outlook na blokování, odstraňování, stahování, nahrávání nebo vyhledávání a uživatel se pokusí jakoukoli z těchto akcí provést v prostředí Microsoft O365 Outlook, žádná z nich se nezablokuje.

Kvůli tomuto problému zobrazují protokoly pouze záhlaví pravidel (což jsou pouze identifikační kódy) pro webový požadavek a neuvádějí explicitně volané pravidlo. Jediný způsob, jak uživatel mohl určit použitá pravidla, bylo vzít záhlaví pravidel, otevřít kartu Síť a přiřadit záhlaví k názvům pravidel.

Když existuje zásada CASB pro blokování nahrávání a stahování do prostředí Microsoft O365 SharePoint nebo Microsoft Word a uživatel se pokusí nahrát nebo stáhnout soubor Word do prostředí SharePoint nebo z něj, nahrávání a stahování nejsou blokovány.

Funkce webového serveru proxy VMware Cloud Web Security je navržena tak, aby umožnila samostatné použití služby Cloud Web Security bez potřeby produktů VMware SD-WAN a VMware Secure Access. Každé zařízení s moderním prohlížečem, který dokáže podporovat konfiguraci síťového serveru proxy, buď manuálně, nebo automaticky prostřednictvím automaticky konfigurovaného souboru proxy (PAC), může mít webový provoz přesměrovaný do služby Cloud Web Security za účelem kontroly zabezpečení.

Verze 1.6.1 zavádí možnost klonovat pravidla zabezpečení. Je také možné je uložit jako zálohu.

Tato funkce také zahrnuje možnosti klonování pro různé typy zásad v rámci pravidla zabezpečení, například: Kontrola SSL, CASB, DLP a zabezpečení webu.

Při vytváření zásad pro službu Cloud Web Security uživatel vidí kategorie souborů „Ostatní stahování“ a „Ostatní dokumenty“, u nichž není příliš jasné, k čemu se vztahují. Problém nejednoznačnosti je vyřešen přejmenováním kategorie „Ostatní stahování“ na „Ostatní soubory a dokumenty“ a „Ostatní dokumenty“ na „Různé dokumenty“.

Jestliže uživatel vytvoří pro aplikaci „Mega“ zásadu CASB pro blokování nahrávání i stahování a poté se přihlásí do mega.io a pokusí se nahrát nebo stáhnout soubor, zjistí, že nahrávání souborů je správně blokováno, ale stahování ne.

Ať už je zásada CASB nakonfigurována na blokování stahování příloh Gmail nebo ne, jestliže se uživatel pokusí stáhnout přílohu Gmail pouze kliknutím na ikonu stahování přílohy, stahování se zablokuje, ale do protokolu se nic nezapíše. K tomuto problému nedochází, jestliže se uživatel pokusí stáhnout přílohu na nové kartě.

Jestliže existuje zásada filtrování obsahu pro blokování nahrávání a stahování souborů malware, některé soubory jsou zablokovány a některé soubory nikoli.

Když existuje pravidlo DLP pro blokování vstupního textu, který se shoduje se slovníkem, a zprávy se zasílají v Linkedin podle slovníku, zpráva se nezablokuje.

Jestliže uživatel vytvoří zásadu CASB pro blokování stahování videí z YouTube a poté se pokusí stáhnout z YouTube nějaké video, stahování se nezablokuje.

Když existuje zásada CASB například pro blokování vyhledávání, funkce vyhledávání se v aplikaci zablokuje. Pokud má nyní adresa URL v prohlížeči vyhledávací parametry a dojde k obnovení stránky, výsledky vyhledávání nejsou blokované.

Pravidlo filtrování obsahu pro blokování stahování „všech souborů“ (což by mělo zahrnovat všechny formáty obrázků) neblokuje stahování souborů JPEG. Bez opravy lze jako řešení používat vlastní typ souboru a přidat přípony souborů, které je třeba blokovat (například JPEG).

Soubory s koncovkami .doc, .docx, .ppt a .pptx nejsou na disku G-Drive blokovány, i když obsah souboru odpovídá zásadě DLP.

Uživatel může nakonfigurovat zásadu tak, aby blokovala všechny kategorie hrozeb pomocí zásady filtrování pro adresu URL, a některé stránky, které by měly být hodnoceny jako škodlivé, nejsou blokovány.

Existuje-li zásada zabezpečení, která by měla platit pouze pro uživatele v konkrétní skupině, neprobíhá její nucené prosazování. Výsledkem je, že všechny zásady, které by se měly používat na uživatele ve skupině, se nepoužijí.

Pravidlo řízení CASB umožňující přejít k webové aplikaci Microsoft Teams, která však blokuje všechny ostatní akce, nezabrání uživatelům v publikování obsahu.

• Při použití zásady blokování „všech dokumentů“ uživatel uvidí, že se zablokuje nejen nahrávání dokumentů, ale také nahrávání souborů a archivů.

• Když aplikujete zásadu blokování „všech souborů“, uživatel uvidí, že se zablokuje nejen nahrávání souborů, ale také dokumentů a archivů.

Uživatelské rozhraní nástroje Orchestrator neumožňovalo uživatelům zapnout či vypnout protokoly podle zdroje, aby mohli lépe identifikovat více relevantních protokolů.

Komponenta karet přešla do špatného stavu kvůli způsobu deaktivace a skrývání karet.

Problém v backendu nástroje Orchestrator, kvůli němuž nedokáže uživatelské rozhraní získat předdefinované slovníky DLP. Tento problém nemá vliv na zákaznicky definované slovníky. Ty se načítají správně.

Tato snížená viditelnost funkce CASB zahrnuje:

• Položku Konfigurace > CASB v nabídce a náhled. 

• Položku v nabídce Monitor > Analýza CASB a náhled.

• Rozhraní API pro tyto konkrétní nástroje.

Problémy, se kterými se uživatel může setkat během konfigurace jednotného přihlašování ve službě Cloud Web Security, zahrnují:

• Chyby certifikátu se zobrazují na hlavní stránce autentizace namísto na stránce certifikátu.

• Uživatel někdy může uložit neplatný certifikát.

• Změna certifikátu někdy může resetovat ostatní hodnoty ve formuláři autentizace.

• Jednotlivá pole nezobrazují ověřovací zprávy souběžně s polem.

• Při ukládání stránky autentizace uživatelské rozhraní nástroje Orchestrator nezobrazuje rotující indikátor průběhu.

• Podrobný popisek ladění zobrazuje „t + 2 hodiny“ namísto skutečného času.• V některých jazycích se přepínací popisek jednotného přihlášení rozbalí na více než jeden řádek.

• Rozložení zápatí Uložit změny (Save Changes) je na krátkých obrazovkách nesprávné.

Všechny uvedené problémy řeší oprava #91054.

Průvodce konfigurací i rozhraní API neakceptují adresu CIDR IP ve zdroji pro pravidlo kontroly SSL. Oprava tento problém řeší.

Problém je způsoben tím, že back-endový server služby Cloud Web Security během používání průvodce zamítne hodnotu konfigurace a tlačítko Dokončit/Aktualizovat přestane reagovat, jakmile obdrží tuto ověřovací chybu.

Pravidla filtrování obsahu přepíší nakonfigurovanou doménu, která je k dispozici, pokud uživatel vybere také VŠECHNO u kategorií. Nebo, pokud uživatel pro kategorie vybere možnost ŽÁDNÉ, průvodce tuto volbu přednastavil na VŠECHNY kategorie, takže domény zde také nebyly respektovány. Příčinou je problém v průvodci filtrování obsahu a rozhraní API. Pokud uživatel nakonfiguruje alespoň jednu kategorii, bude doména dodržena.

V nástroji Orchestrator bez této opravy by uživatel musel nakonfigurovat konkrétní kategorie společně s doménami a poté by nástroj Orchestrator při filtrování obsahu respektoval domény.

Ve viditelnosti CASB uživatel uvidí v uživatelském rozhraní nástroje Orchestrator certifikát s ukončenou platností, i když je certifikát stále platný a bude obnoven, až platnost skutečně skončí. Další problém je, že existuje mnoho aplikací, u nichž se v sekci Podrobnosti o aplikaci zobrazí údaj „založeno v roce 1970“, i když je aplikace očividně výrazně novější.