Verze 1.17.0 vylepšuje stránku Přehled (Overview) pro automatické formátování pro tisk.

Níže je uveden příklad zprávy otevřené ve čtečce Adobe Acrobat:

U průvodců pravidly CASB, webové aplikace a DLP; a na stránkách Výjimky záhlaví SaaS a IP adresy podnikových bran lze formulář odeslat vícekrát, pokud se staně, že tlačítko Odeslat (Submit) je rychle stisknuto vícekrát za sebou ve chvíli, kdy již probíhá odesílání. Dopad je citelnější při pomalém připojení k síti.

Problém lze zaznamenat, když uživatel přejde do části Cloud Web Security > Konfigurovat > SSL certifikát (Cloud Web Security > Configure > SSL Certificate) a poté klikne na některé z tlačítek Stáhnout certifikát (Download Certificate) na této stránce.

 Funkce Export protokolů (Log Export) umožňuje zákazníkovi předávat protokoly o aktivitách služby Cloud Web Security téměř v reálném čase na koncový bod SIEM (Správa bezpečnostních informací a událostí) řízeného zákazníkem za účelem uložení a analýzy.

Další informace naleznete v části Export protokolů (Log Export) v dokumentaci ke službě Cloud Web Security.

Cloud Web Security představuje novou stránku Monitorování > Přehled (Monitor > Overview). Tento řídicí panel představuje přehlednější a dostupnější prezentaci důležitých informací na jedné stránce a uživatele upozorňuje na detailnější informace pro každou kategorii dat. Horní grafy poskytují uživateli služby Cloud Web Security provedené akce (Actions taken) za nakonfigurované časové období a aktuální distribuci pravidel (Rules Distribution) pro daného zákazníka.

Kromě toho může uživatel sjet dolů a prohlížet podrobné grafy pro Hlavní navštívené stránky (Top Websites Visited), Hlavní aplikace SaaS (Top SaaS Applications), Rozpis hrozeb (Threat Breakdown) a Rozpis uživatelů (User Breakdown).

Přidávání seznamů oddělených čárkami je běžnou metodou, která šetří čas při konfiguraci štítků, domén, e-mailových adres a podobných položek, kde se používá vstupní pole více položek. V případě tohoto problému jsou čárky uživatelským rozhraním ignorovány a seznam vrací pouze jednu položku. Pokud například vložíte seznam štítků pro pravidlo webového zabezpečení, výsledkem je pouze jeden štítek.

Když přidáváte výběry k různým seznamům a tagům v uživatelském rozhraní služby CWS, vstupní pole více položek neumožňují zaměření klávesnice nebo manipulaci. Jsou tak často zadávány štítky, domény, e-mailové adresy a další podobné položky.

Například na obrazovce Vyberte cíle (Select Destinations) nelze provést výběr možnosti Kategorie (Categories) přes klávesnici.

Když upravujete pravidlo Filtrování adres URL (URL Filtering), rychlé opakované kliknutí na možnost Aktualizovat (Update) v rámci koncového kroku může mít za následek poškození obsahu pravidla. Po poškození bude uživatel muset pravidlo a jeho obsah znovu vytvořit.

Uživatelské rozhraní by mělo resetovat akci zásad v kontrole obsahu (Content Inspection), když uživatel přepíná mezi typem kategorie Typ souboru (File Type) a Hashová hodnota souboru (File Hash). Pokud ale uživatel změní typ souborů na Zkontrolovat (Inspect), uživatelské rozhraní znovu nastaví akci zásad a uživatel musí znovu ručně nastavit akci zásady zpět na zamýšlenou hodnotu.

Pokud uživatel zapne podrobné ladění SAML, nelze jej vypnout. Kromě toho by se po 2 hodinách po aktivaci podrobného ladění měl stav automaticky nastavit na zakázáno/Ne (disabled/No), ale zůstává povoleno/Ano (enabled/Yes).

Pokud se například uživatel pokusí podruhé přidat stejnou podnikovou bránu, vyvolá tato akce chybu rozhraní API, ale uživatelské rozhraní nezobrazí oznámení o chybě.

Když se uživatel spoléhá na navigaci pomocí klávesnice v uživatelském rozhraní, je obtížné zaměřit se nebo posouvat obsah rozcestníku.

Ikony aplikace CASB se nenačítají v dialogovém okně konfigurace pravidla CASB a na stránce Aplikace CASB (CASB Applications) uživatelského rozhraní.

Cílové domény nejsou zobrazeny v mřížce pravidel webové aplikace a namísto toho uživatel vidí možnost „Libovolné“ (Any).

Uživatel sleduje pouze nabídky výběru typů souborů u možností „Nahrávání“ (Uploads) a „Nahrávání a stahování“ (Uploads and Downloads), možnosti těchto typů souborů jsou skryté pro typ „Stahování“ (Download).

Všechny zásady služby Cloud Web Security začínají sadou pravidel, která nelze upravit, a která zobrazují výchozí chování. Ačkoli se obvykle jedná o možnost „Povolit“ (Allow), v případě kontroly obsahu by mělo být výchozí chování „Zkontrolovat“ (Inspect), nikoli „Označit jako čisté“ (Mark as Clean).

Po přidání více než 21 pravidel zásad se nezdaří pokus o přeuspořádaní pravidel na druhé nebo další stránce pomocí přetažení nebo pokus o přesunutí pravidla z druhé nebo další stránky na první stránku.

Navíc pokud uživatel pracuje na druhé nebo vyšší stránce: Záhlaví SaaS (SaaS Header), CASB (CASB), DLP, Webová aplikace (Web Application) nebo Pravidla webového zabezpečení (Web Security Rules), pokud se pokusí přesunout jedno nebo více pravidel, pravidla budou dočasně správně přeskupena, ale po obnovení budou mít původní pořadí.

Uživatel může tento problém vyřešit pro jediné pravidlo, které si přeje přesunout na první stránku, jeho odstraněním a opětovným přidáním, přičemž na stránce průvodce vytvořením konečného pravidla zadá „horní část seznamu“ nebo „spodní část seznamu“; nebo pro změnu pořadí seznamu pravidel použijte volání rozhraní API místo uživatelského rozhraní nástroje Orchestrator.

Jediným způsobem, jak obnovit ovládací prvek „Vyhledávání“ pro prvky řízení CASB, je vybrat možnost „Blokovat“ (Block) v části „Akce prohlížeče“ (Browser Action) pro přepnutí všech přepínačů. Poté znovu přepněte na možnost „Blokovat“ (Block) a povolte všechna pravidla služby Instagram. Tím se obnoví prvek řízení „Vyhledávání“ (Search), když přepnutí jednotlivých prvků řízení nefunguje.

 Na obrazovce pravidel zásad zabezpečení, například Kontrola SSL (SSL Inspection), při použití klávesy Tab pro zaměření názvu existujícího pravidla přeskakuje zaměření prohlížeče přes název pravidla a jediný způsob, jak vybrat časy, je použití myši/touchpadu.

Pomocí nástroje pro čtení obrazovky nebo nástroje usnadnění přístupu by byl uživatel vyzván k identifikaci části stránky s „hlavní“ (main) rolí, protože na ni neodkazují žádná záhlaví ani bannery.

Při použití čtečky obrazovky nebo nástroje pro usnadnění přístupu k zaostření na položky na levé straně navigace jsou výsledné popisky nepřehledné a obsahují nadbytečná oznámení.

Služba Cloud Web Security nyní nabízí možnost použít vybraná pravidla Filtrování adresy URL (URL Filtering) pouze v určitém časovém období pomocí funkce Plán (Schedule). Tato funkce je přidána do části Akce, protokol a plán (Action, Log and Schedule) při konfiguraci pravidla webového zabezpečení typu Filtrování adresy URL (URL Filtering).

Plán nabízí dvě možnosti Typu plánu (Schedule Type) pro pravidlo filtrování adres URL: Pravidelně (Periodic) a Jednorázově (One Time).

Možnost Pravidelně (Periodic) umožňuje konfigurovat týdenní rotující plán pro dobu, kdy je vaše pravidlo filtrování adres URL aktivní. Tento periodický plán je založen na globálním časovém pásmu, dnech v týdnu a na jednom či více počátečních a koncových období.

Možnost Jednorázově (One Time) určuje buď jeden časový úsek s datem a časem vypršení, když je pravidlo aktivní, nebo počáteční datum a čas, od kterého je pravidlo aktivní neurčitou dobu.

Další informace naleznete v dokumentu Konfigurace zásad zabezpečení > Konfigurace pravidel zabezpečení webu > Filtrování adres URL (Configure Security Policy > Configure Web Security Rules > URL Filtering) v průvodci službou Cloud Web Security.

K tomuto problému dochází také tehdy, pokud byly dvě cílové domény duplikovány v rámci stejného pravidla. Chyba je nekonkrétní a neposkytuje uživateli žádnou nápovědu při řešení problému s konfigurací, který brání ověření pravidla. Uživatel může pouze nahlédnout do pravidel kontroly SSL pro duplicitní domény, IP adresy, CIDR nebo IP rozsahy (včetně obsahu pravidel rychlé výjimky) a odstranit je ze všech pravidel kromě jednoho. Nyní se zobrazí chyba s popisem konfliktních zdrojů či cílů nebo existujících duplikátů v rámci samotného pravidla.

Služba Cloud Web Security neodstranila ručně nakonfigurované uživatele nebo skupiny, a jediným způsobem, jak toto chování opravit, bylo zrušit zaškrtnutí možnosti „Všichni uživatelé a skupiny“ (All Users and Groups) a poté ručně odebrat všechny uživatele a skupiny a znovu zaškrtnout možnost „Všichni uživatelé a skupiny“ (All Users and Groups).

Pravidlo SSL s neplatným pravidlem je odmítnuto, když se jej uživatel pokusí uložit. Problém spočívá v tom, že uživatel by neměl absolvovat proces tak dlouho, jen aby zjistil, že IP adresa, IP CIDR nebo doména pravidla SSL jsou neplatné. Systém Orchestrator by měl upozornit uživatele během kroku úpravy pravidla SSL za použití Průvodce pravidlem SSL.

Filtry slovníku DLP a auditorů DLP nebyly lokalizovány pro jiné než anglické jazyky. Díky této opravě byly filtry řetězců aktualizovány tak, aby filtry zaškrtávacího políčka opravovaly nejen problémy s lokalizací, ale navíc usnadňovaly uživatelům filtrování těchto dvou sekcí.

Když dříve uživatel nakonfiguroval pravidlo zabezpečení webu, které zahrnovalo pravidlo filtrování adres URL, zákazník měl při přání filtrovat podle domén pouze jednu možnost: Statický seznam domén (Static Domain List), který musel ručně nakonfigurovat a udržovat v uživatelském rozhraní nástroje Orchestrator. V případě velkého počtu domén nebo tam, kde se seznam často mění, nebyla tato možnost ideální. Od verze 1.12.0 má zákazník při filtrování domén další možnost: Dynamický seznam domén (Dynamic Domain List).

U této možnosti Cloud Web Security odkazuje na textový seznam domén ve formátu FQDN, které jsou uloženy na dálku v místě, které si zákazník zvolí. Umístění musí být službě veřejně přístupně. Výhodou této možnosti je, že můžete vytvořit seznam domén s velkým počtem domén, který lze snadno upravovat a aktualizovat. Službu Cloud Web Security lze nakonfigurovat tak, aby kontrolovala dynamický seznam domén v intervalech od každých 30 sekund až každých 24 hodin.

Další informace naleznete v dokumentaci pro konfiguraci pravidel zabezpečení webu > filtrování adres URL v průvodci konfigurací VMware Cloud Web Security.

Funkce Omezení záhlaví SaaS by měla být použitelná všemi zákazníky služby Cloud Web Security, ale pokud uživatel se standardní licencí klikne na odkaz Omezení záhlaví SaaS (SaaS Header Restrictions), bude přesměrován na stránku Kontrola obsahu (Content Inspection) namísto zamýšlené stránky. K tomuto problému nedochází u uživatelů v rámci rozšířené licence.

I když se nic nezměnilo, uživatelské rozhraní nástroje Orchestrator stále zákazníka vyzve, zda chce uložit změny, což může vést ke zbytečnému zmatení uživatele.

Když společnosti chtějí spravovat přístup, tradičně omezují názvy domén nebo IP adresy. Tento přístup selhává ve světě, kdy jsou aplikace SaaS hostovány ve veřejném cloudu a běží na sdílených názvech domén. Pokud například společnost používá Office 365, bude pracovat s názvy domén, jako je outlook.office.com a login.microsoftonline.com. V případě Microsoftu by blokování těchto adres uživatelům zcela zabránilo přístupu k Outlooku na webu namísto omezení pouze na schválené identity a zdroje.

Řešením tohoto problému je omezení přístupu klienta. Služba pro zabezpečení cloudu (Cloud Web Security) toho dosahuje pomocí funkce Omezení záhlaví SaaS (SaaS Header Restriction). Tato funkce umožňuje správcům vynucovat zásady omezení klienta v rámci služeb SaaS, jako jsou Office 365 a G Suite. Například můžete povolit všem zaměstnancům přístup k podnikovému účtu aplikace Office 365, ale zakázat jim přístup k osobním účtům. Tato omezení jsou povolena prostřednictvím vkládání záhlaví HTTP, která určují povolené klienty.

Tato funkce je přidána na stránku Služba pro zabezpečení cloudu > Konfigurovat (Cloud Web Security > Configure) v části Podniková nastavení (Enterprise Settings):

Zákazník může konfigurovat pravidlo záhlaví SaaS výběrem z jedné ze šesti předdefinovaných aplikací: Office 365 – Enterprise, Office 365 – spotřebitel, G Suite, Slack, YouTube a Dropbox. Každá z těchto předem definovaných aplikací má různou úroveň podrobností, jako jsou zakázané domény a záhlaví. V závislosti na aplikaci musí zákazník za účelem dokončení pravidla zadat další vstupy.

Zákazník může také vytvořit vlastní aplikaci za předpokladu, že aplikace podporuje omezení klienta prostřednictvím záhlaví.

Například termín nabídky Zásady zabezpečení (Security Policies) pro španělskou lokalizaci je přeložen a zobrazen jako Directivas De Seguridad, když má být zobrazen jako Directivas de seguridad. V důsledku toho dochází k tomu, že když položka nabídky v anglické lokalizaci je jediné slovo a přeložená položka obsahuje více slov, nástroj Orchestrator zapíše každé další slovo s velkým prvním písmenem, třebaže správně by měla další slova začínat malým písmenem.

Uživatelské rozhraní nebere v úvahu neuložené změny výšky zápatí a posouvání na menším webovém prohlížeči, přičemž toto zápatí zakrývá ostatní obsah na příslušných stránkách.

Zákazník může nabýt chybného dojmu, že zpracování DLP předchází zpracování pravidla webového zabezpečení, což není pravda. V opravené verzi se nyní na konci zobrazí karta DLP, která znázorňuje skutečné místo v toku zpracování.

Pokud je tlačítko Rychlá výjimka (Quick Exception) kontroly SSL přeloženo do jiných než anglických jazyků, uživatel může kliknout na vnější okraje tlačítka bez výsledku. V opravené verzi lze nyní plně kliknout na tlačítko Rychlá výjimka (Quick Exception) bez ohledu na to, kde je umístěn kurzor myši.

Od verze 11.1.1 obsahuje uživatelské rozhraní služby Cloud Web Security následující změny v navigační nabídce:

• Nová sekce: Nastavení zásad

• CASB (CASB) a DLP (DLP) přesunuty do Nastavení zásad (Policy Settings)

• Modul kontroly (Inspection Engine) a Kontrola obsahu (Content Inspection) přesunuty do Nastavení zásad (Policy Settings)

• Odstraněna sekce Certifikáty (Certificates)

• Autentizace (Authentication) byla přejmenována na Poskytovatel identity (Identity Provider) a přesunuta do Podniková nastavení (Enterprise Settings)

• Ukončení protokolu SSL (SSL Termination) přejmenováno na Certifikát SSL (SSL Certificate) a přesunuto do části Podniková nastavení (Enterprise Settings)

• Podnikové brány (Corporate Gateways) přejmenovány na IP adresy podnikové brány (Corporate Gateway IPs)

Uživatel může chtít nakonfigurovat dvě různá pravidla nestandardního webového portu (Non-Standard Web Port), kde je hodnota portu stejná, ale cílové IP adresy se liší. Ve verzi 11.1.1 to může uživatel provést.

Zákazníci nyní mohou blokovat nebo povolit internetový provoz na základě geografické oblasti obsahu nebo uživatele. Tato funkce je přidána do části Konfigurovat > Zásady zabezpečení > Webové zabezpečení (Configure > Security Policies > Web Security) kliknutím na kartu Filtrování podle geografie (Geo-Based Filtering).

Když konfigurujete pravidlo Filtrování podle geografie (Geo-Based Filtering), uživatel může specifikovat, na které uživatele se vztahuje, a poté si může vybrat ze seznamu 251 zemí s přidanými možnostmi pro neznámé země, anonymní proxy a provoz satelitního poskytovatele, aby se zajistilo, že uživatelé nemohou pravidla obejít.

Pokud si uživatel přeje obnovit a aktualizovat informace na stránce Monitor (Monitorování) (například webové protokoly nebo protokoly DLP), nástroj Orchestrator v dolní části stránky nabízí tlačítko Obnovit (Refresh).

Pokud však uživatel klikne na tlačítko Obnovit (Refresh), data se neaktualizují z důvodu změny v komponentě nástroje Orchestrator.

Symptom (Symptom): CASB pro Google Drive podporuje pouze možnosti řízení Nahrát (Upload) a Stáhnout (Download). Proto je pro verzi 1.11.0 a novější odebrán ovládací prvek pro možnost Vytvořit (Create).

CASB již nepodporuje aplikaci Telegram a možnost konfigurace pravidla CASB pro tuto aplikaci je s touto verzí odebrána.

Pokud má zákazník existující pravidlo CASB, které zahrnuje aplikaci Telegram jako Cílovou aplikaci (Destination Application), měl by tuto aplikaci odstranit, pokud je jeho verze služby pro zabezpečení cloudu (Cloud Web Security) upgradována na verzi 1.11.0 nebo novější, protože pravidlo již tuto aplikaci nevynutí.

Služba pro zabezpečení cloudu (Cloud Web Security) v novější verzi automaticky odstraní aplikaci Telegram ze všech pravidel CASB a zaprotokoluje tuto akci jako událost.

VMware Cloud Web Security zobrazí všem uživatelům ve výchozím nastavení stránku blokování se značkou VMware, když zásady zabezpečení uživatelům zabrání v přístupu na webovou stránku nebo do cloudové aplikace.

Funkce Přizpůsobitelná stránka blokování (Customizable Block Page) umožňuje uživatelům vytvořit a přizpůsobit jejich vlastní stránku blokování s označením, která se zobrazí uživateli, když je zablokován jejich provoz (web nebo provoz prevence ztráty dat). Pomocí části Konfigurace > Vlastní nastavení stránky (Configure > Page Customization) v aplikaci Orchestrator může administrátor služby Cloud Web Security upravovat následující:

• Stránka blokování, kterou služba VMware Cloud používá k odpovědi na požadavek HTTP nebo nahrání souboru, který porušuje nakonfigurované zásady zabezpečení.

• Stránka blokování, kterou služba VMware Cloud vrátí, když se uživatel pokouší nahrát soubor, který porušuje nakonfigurované pravidlo DLP.

Další informace o konfiguraci vlastní stránky blokování naleznete v tématu Vlastní nastavení stránky.

Při vytváření pravidla prevence ztráty dat (DLP) se uživateli zobrazí nesprávné informace pro popisek „Maximální velikost souboru“. Popis tlačítka uvádí, že „Pokud je nahraný soubor větší než zadaná hodnota, soubor bude zahozen a bude informován auditor,“ což je nesprávná informace. Problém je vyřešen přeformulováním popisku na: „Pokud je nahraný soubor větší než zadaná hodnota, DLP soubor nezkontroluje a povolí jeho průchod.“

Webové protokoly Cloud Web Security zahrnují pouze typ Typ hrozby (Threat Type) a nezobrazují se ani podrobnosti o riziku. Aby se zlepšila schopnost uživatele monitorovat webový provoz, měly by se kromě identifikovaného parametru Typ hrozby (Threat Type) zobrazit také podrobnosti o riziku pro slabá místa zabezpečení.

Při kontrole provozu pro webové aplikace, které nejsou v prohlížeči, mohou starší zákazníci zaznamenat chybu při publikování pravidla zásad zabezpečení pro webové aplikace, které nejsou v prohlížeči. Tento problém je výsledkem toho, že pro podporovaný prohlížeč není nakonfigurována výchozí hodnota. Tento problém nebyl zaznamenán u nových zákazníků.

Dříve uživatel mohl nakonfigurovat pravidlo zásad zabezpečení CWS pro kontrolu webových aplikací prohlížeče, jako jsou Chrome, Edge, Firefox, Safari atd. Ale pravidlo neplatilo pro webové aplikace mimo prohlížeč, jako je Slack nebo Dropbox.

Od verze 1.10.0 má uživatel možnost nakonfigurovat pravidla pro kontrolu provozu prohlížeče u webové aplikace mimo prohlížeč.

Uživatel může prohlížet, přidávat a odstraňovat pravidla pro provoz webových aplikací jiných než prohlížečů. Postup konfigurace pravidel webových aplikací mimo prohlížeč:

1. Přejděte do nabídky Cloud Web Security > Konfigurace (Configure) > Zásady zabezpečení (Security Policy), poté vyberte existující zásadu a klikněte na kartu Webové aplikace (Web Applications).

   
   

2. Klikněte na možnost + PŘIDAT PRAVIDLO (+ ADD RULE) a zadejte všechny požadované údaje, jako je typ zdroje, typ cíle, typ požadavku a souboru, akce a údaje protokolu pro vytvoření nového pravidla webové aplikace mimo prohlížeč.

   
   

   Pole	Popis
   Zdroj (Source)	Vyberte zdroj na základě IP adres / rozsahů IP, uživatelského agenta nebo prohlížeče. Poznámka: Pro každé pravidlo lze vybrat pouze jeden typ zdroje.
   Cíl (Destination)	Vyberte cíl na základě domény, IP adres / rozsahů IP, adresy URL, kategorie, podprocesu nebo zeměpisného umístění. Poznámka: Pro každé pravidlo lze vybrat pouze jeden typ cíle.
   Požadavek a druh souboru	Zvolte typ požadavku (nahrávání, stahování nebo obojí) a typ souboru, pro který bude pravidlo aplikováno. Můžete také vybrat metodu HTTP (POST, PUT) pro typ požadavku nahrávání. Volitelně můžete také zadat minimální velikost souboru, aby se akce použila.
   Akce a protokol	Vyberte akci (povolit, nebo zakázat), která se má provést, pokud jsou kritéria pravidla splněna. Volitelně můžete shromažďovat protokoly pro toto pravidlo zapnutím přepínacího tlačítka Ukládat protokoly (Capture Logs).
   Název, důvod a značky	Konfigurujte název, značku, důvod a pozici pro zeměpisná pravidla. Zajistěte, aby byl název pravidla jedinečný. Volitelně můžete přidat příčiny a značky pro pravidla, které mohou být použity při řazení a filtrování. Poznámka: Pole Pozice (Position) určí pozici pravidla na seznamu pravidel webové aplikace.

3. Klikněte na tlačítko Dokončit (Finish) a v seznamu Webová aplikace (Web Application) se zobrazí nově vytvořené pravidlo webové aplikace. 

   
   

4. Aby se nové pravidlo zásad zabezpečení projevilo, vyberte ho a klikněte na tlačítko Publikovat (Publish) v pravém horním rohu obrazovky.

5. Po publikování zásad zabezpečení je uživatel připraven k použití zásad zabezpečení.

V předchozích verzích mohl nástroj VMware Cloud Web Security kontrolovat provoz na standardních webových portech 80 a 443. Verze 1.9.1 umožňuje kontrolu provozu prohlížeče (HTTP/HTTPS) na nestandardních webových portech.

Uživatel může zobrazit, přidat a odebrat pravidla portu tak, že přejde do nabídky Cloud Web Security > Konfigurace (Configure) > Podniková nastavení (Enterprise Settings) > Nestandardní webové porty (Non-Standard Web Ports).

Pokud chcete povolit a zkontrolovat provoz na nestandardních webových portech, zadejte číslo portu. Chcete-li přidat další nestandardní webové porty, klikněte na tlačítko „+“ v řádku.

Uživatel může upravit existující pravidla nebo je odstranit kliknutím na přidružené tlačítko „-“. Po dokončení úprav klikněte na tlačítko Uložit změny (Save Changes).

Pokud existuje pravidlo webového zabezpečení, které blokuje kategorii hrozby nebo kategorii obsahu a dojde k přístupu k doméně odpovídající těmto kategoriím, je webová stránka zablokována. Pokud je ale ke stejné doméně přistupováno jako ke zdroji na webové stránce (například po kliknutí na odkaz, který stáhne soubor), požadavek není zablokován.

Webové protokoly, které odpovídají pravidlu kontroly obsahu, ukazují, že se výchozí pravidlo shoduje, ale nikdy nezobrazují skutečný název pravidla vytvořeného a nakonfigurovaného v systému SASE Orchestrator.

Jestliže existuje zásada CASB pro blokování nebo povolení stahování videí z YouTube, aplikuje se správně, ale webové protokoly zobrazují tuto akci jako „nahrávání souboru“ namísto „stahování souboru“, což znemožňuje správci vyhodnotit aktivitu v síti.

Pokud existuje pravidlo filtrování obsahu, které blokuje nahrávání všech typů souborů, pravidlo blokuje přihlášení do aplikací Microsoft, které vyžadují přihlášení z webu https://login.microsoftonline.com/.

Ovládací prvky CASB pro následující aplikace Microsoft nefungují podle očekávání, když uživatel nakonfiguruje pravidlo „blokovat“. Pokud se uživatel pokusí o některou z těchto akcí, žádná z nich není zablokována a uživatel může tyto akce úspěšně provést:

• Microsoft Teams – nahrání, vytvoření, odstranění souboru

• Microsoft Outlook – nahrání, stažení, odstranění souboru

• Microsoft OneDrive – odstranění

• Microsoft OneNote – stažení

Když jsou vynucovány zásady Cloud Web Security a uživatel přistupuje k určitým webovým stránkám, stránka se nemusí načíst v důsledku problému s technologií CORS (Cross-Origin Resource Sharing). Uživatel uvidí chybu podobnou „xxxx bylo zablokováno zásadou CORS: Hlavička „Access-Control-Allow-Origin“ obsahuje více hodnot *“ v protokolech konzole.

Pokud existuje pravidlo CASB pro blokování všech ovládacích prvků aplikace pro OneDrive, nezablokuje pravidlo CASB akce pro SharePoint.

I když je nahrávání a stahování pro Disk Google blokováno, může kdokoli na Disku Google vytvářet složky.

Ve verzi 1.9.1 a novější nemůže uživatel ve výchozím nastavení vytvořit složku na Disku Google a pro tuto aplikaci již není vyžadována možnost konfigurace.

Pokud uživatel potřeboval vytvořit pravidlo pro obcházení kontroly běžných webových aplikací v předchozích verzích aplikace Cloud Web Security, musel vytvořit pravidlo kontroly SSL ručně. S přidáním funkce snadného obejití SSL může uživatel rychle vytvořit pravidla kontroly SSL.

Nová funkce se zobrazí v části Cloud Web Security > Konfigurovat > Zásady zabezpečení (Cloud Web Security > Configure > Security Policies) na kartě Kontrola SSL (SSL Inspection) jako tlačítko Rychlá výjimka (Quick Exception).

Kliknutím na možnost Přidat rychlou výjimku (Add Quick Exception) se otevře obrazovka konfigurace Rychlé výjimky (Quick Exceptions), kde uživatel vybere jednu nebo více aplikací, u nichž požaduje výjimku z kontroly SSL. Když uživatel vybere aplikaci, všechny adresy URL přiřazené k dané aplikaci jsou výjimkou z kontroly SSL.

Při použití možnosti Rychlá výjimka je vytvořeno jedno pravidlo a nelze vytvořit žádná další pravidla. Toto pravidlo se vždy nazývá Pravidlo rychlé výjimky (Quick Exception Rule) a název nelze v Průvodci rychlou výjimkou změnit.

Pravidlo bude vždy předposlední pravidlo v mřížce a lze k němu rychle získat přístup kliknutím na název pravidla rychlé výjimky (Quick Exception Rule). Jakmile je přidáno pravidlo rychlé výjimky, možnost nabídky Přidat rychlé výjimky (Add Quick Exceptions) se změní na Rychlá výjimka (Quick Exception), což odkazuje na upravitelné existující Pravidlo rychlé výjimky (Quick Exception Rule), přičemž nelze přidávat žádná další pravidla tohoto typu.

• Pole Oblast (Region) značí, který SASE PoP byl pro webovou událost použit, což pomáhá lokalizovat, ve které části světa k události došlo.

• Pole User group (Uživatelské skupina) indikuje uživatelskou skupinu SAML, kde se používá konfigurace SAML.

Společně tato dvě přidaná pole zvyšují možnosti uživatele při monitorování webového provozu.

V některých případech se uživatel může setkat se stahováním škodlivého souboru, přestože má nakonfigurováno pravidlo, které takové stahování blokuje.

Při stahování souboru chráněného heslem z libovolné webové stránky by se měla uživateli zobrazit výzva k zadání hesla, protože se jedná o výchozí akci v rámci filtrování obsahu. Ve službách OneDrive a Dropbox se stahování souboru zablokuje bez zobrazení výzvy k zadání hesla a soubor nelze stáhnout.

Jestliže existuje zásada CASB pro blokování nebo povolení stahování videí z YouTube, aplikuje se správně, ale webové protokoly zobrazují tuto akci jako „nahrávání souboru“ namísto „stahování souboru“, což znemožňuje správci vyhodnotit aktivitu v síti.

Jestliže uživatel vytvoří a použije zásadu CASB, která povolí akce prohlížeče během blokování všech ovládacích prvků aplikace, a poté se přihlásí k OneDrive a pokusí se provést všechny akce, které by měly být blokovány, žádná z nich nebude blokována. Neblokované akce zahrnují vytváření a odstraňování složek.

Jestliže existuje zásada CASB pro Microsoft O365 Outlook na blokování, odstraňování, stahování, nahrávání nebo vyhledávání a uživatel se pokusí jakoukoli z těchto akcí provést v prostředí Microsoft O365 Outlook, žádná z nich se nezablokuje.

Kvůli tomuto problému zobrazují protokoly pouze záhlaví pravidel (což jsou pouze identifikační kódy) pro webový požadavek a neuvádějí explicitně volané pravidlo. Jediný způsob, jak uživatel mohl určit použitá pravidla, bylo vzít záhlaví pravidel, otevřít kartu Síť a přiřadit záhlaví k názvům pravidel.

Když existuje zásada CASB pro blokování nahrávání a stahování do prostředí Microsoft O365 SharePoint nebo Microsoft Word a uživatel se pokusí nahrát nebo stáhnout soubor Word do prostředí SharePoint nebo z něj, nahrávání a stahování nejsou blokovány.

Funkce webového serveru proxy VMware Cloud Web Security je navržena tak, aby umožnila samostatné použití služby Cloud Web Security bez potřeby produktů VMware SD-WAN a VMware Secure Access. Každé zařízení s moderním prohlížečem, který dokáže podporovat konfiguraci síťového serveru proxy, buď manuálně, nebo automaticky prostřednictvím automaticky konfigurovaného souboru proxy (PAC), může mít webový provoz přesměrovaný do služby Cloud Web Security za účelem kontroly zabezpečení.

Verze 1.6.1 zavádí možnost klonovat pravidla zabezpečení. Je také možné je uložit jako zálohu.

Tato funkce také zahrnuje možnosti klonování pro různé typy zásad v rámci pravidla zabezpečení, například: Kontrola SSL, CASB, DLP a zabezpečení webu.

Při vytváření zásad pro službu Cloud Web Security uživatel vidí kategorie souborů „Ostatní stahování“ a „Ostatní dokumenty“, u nichž není příliš jasné, k čemu se vztahují. Problém nejednoznačnosti je vyřešen přejmenováním kategorie „Ostatní stahování“ na „Ostatní soubory a dokumenty“ a „Ostatní dokumenty“ na „Různé dokumenty“.

Jestliže uživatel vytvoří pro aplikaci „Mega“ zásadu CASB pro blokování nahrávání i stahování a poté se přihlásí do mega.io a pokusí se nahrát nebo stáhnout soubor, zjistí, že nahrávání souborů je správně blokováno, ale stahování ne.

Ať už je zásada CASB nakonfigurována na blokování stahování příloh Gmail nebo ne, jestliže se uživatel pokusí stáhnout přílohu Gmail pouze kliknutím na ikonu stahování přílohy, stahování se zablokuje, ale do protokolu se nic nezapíše. K tomuto problému nedochází, jestliže se uživatel pokusí stáhnout přílohu na nové kartě.

Jestliže existuje zásada filtrování obsahu pro blokování nahrávání a stahování souborů malware, některé soubory jsou zablokovány a některé soubory nikoli.

Když existuje pravidlo DLP pro blokování vstupního textu, který se shoduje se slovníkem, a zprávy se zasílají v Linkedin podle slovníku, zpráva se nezablokuje.

Jestliže uživatel vytvoří zásadu CASB pro blokování stahování videí z YouTube a poté se pokusí stáhnout z YouTube nějaké video, stahování se nezablokuje.

Když existuje zásada CASB například pro blokování vyhledávání, funkce vyhledávání se v aplikaci zablokuje. Pokud má nyní adresa URL v prohlížeči vyhledávací parametry a dojde k obnovení stránky, výsledky vyhledávání nejsou blokované.

Pravidlo filtrování obsahu pro blokování stahování „všech souborů“ (což by mělo zahrnovat všechny formáty obrázků) neblokuje stahování souborů JPEG. Bez opravy lze jako řešení používat vlastní typ souboru a přidat přípony souborů, které je třeba blokovat (například JPEG).

Soubory s koncovkami .doc, .docx, .ppt a .pptx nejsou na disku G-Drive blokovány, i když obsah souboru odpovídá zásadě DLP.

Uživatel může nakonfigurovat zásadu tak, aby blokovala všechny kategorie hrozeb pomocí zásady filtrování pro adresu URL, a některé stránky, které by měly být hodnoceny jako škodlivé, nejsou blokovány.

Existuje-li zásada zabezpečení, která by měla platit pouze pro uživatele v konkrétní skupině, neprobíhá její nucené prosazování. Výsledkem je, že všechny zásady, které by se měly používat na uživatele ve skupině, se nepoužijí.

Pravidlo řízení CASB umožňující přejít k webové aplikaci Microsoft Teams, která však blokuje všechny ostatní akce, nezabrání uživatelům v publikování obsahu.

• Při použití zásady blokování „všech dokumentů“ uživatel uvidí, že se zablokuje nejen nahrávání dokumentů, ale také nahrávání souborů a archivů.

• Když aplikujete zásadu blokování „všech souborů“, uživatel uvidí, že se zablokuje nejen nahrávání souborů, ale také dokumentů a archivů.

Uživatelské rozhraní nástroje Orchestrator neumožňovalo uživatelům zapnout či vypnout protokoly podle zdroje, aby mohli lépe identifikovat více relevantních protokolů.

Komponenta karet přešla do špatného stavu kvůli způsobu deaktivace a skrývání karet.

Problém v backendu nástroje Orchestrator, kvůli němuž nedokáže uživatelské rozhraní získat předdefinované slovníky DLP. Tento problém nemá vliv na zákaznicky definované slovníky. Ty se načítají správně.

Tato snížená viditelnost funkce CASB zahrnuje:

• Položku Konfigurace > CASB v nabídce a náhled. 

• Položku v nabídce Monitor > Analýza CASB a náhled.

• Rozhraní API pro tyto konkrétní nástroje.

Problémy, se kterými se uživatel může setkat během konfigurace jednotného přihlašování ve službě Cloud Web Security, zahrnují:

• Chyby certifikátu se zobrazují na hlavní stránce autentizace namísto na stránce certifikátu.

• Uživatel někdy může uložit neplatný certifikát.

• Změna certifikátu někdy může resetovat ostatní hodnoty ve formuláři autentizace.

• Jednotlivá pole nezobrazují ověřovací zprávy souběžně s polem.

• Při ukládání stránky autentizace uživatelské rozhraní nástroje Orchestrator nezobrazuje rotující indikátor průběhu.

• Podrobný popisek ladění zobrazuje „t + 2 hodiny“ namísto skutečného času.• V některých jazycích se přepínací popisek jednotného přihlášení rozbalí na více než jeden řádek.

• Rozložení zápatí Uložit změny (Save Changes) je na krátkých obrazovkách nesprávné.

Všechny uvedené problémy řeší oprava #91054.

Průvodce konfigurací i rozhraní API neakceptují adresu CIDR IP ve zdroji pro pravidlo kontroly SSL. Oprava tento problém řeší.

Problém je způsoben tím, že back-endový server služby Cloud Web Security během používání průvodce zamítne hodnotu konfigurace a tlačítko Dokončit/Aktualizovat přestane reagovat, jakmile obdrží tuto ověřovací chybu.

Pravidla filtrování obsahu přepíší nakonfigurovanou doménu, která je k dispozici, pokud uživatel vybere také VŠECHNO u kategorií. Nebo, pokud uživatel pro kategorie vybere možnost ŽÁDNÉ, průvodce tuto volbu přednastavil na VŠECHNY kategorie, takže domény zde také nebyly respektovány. Příčinou je problém v průvodci filtrování obsahu a rozhraní API. Pokud uživatel nakonfiguruje alespoň jednu kategorii, bude doména dodržena.

V nástroji Orchestrator bez této opravy by uživatel musel nakonfigurovat konkrétní kategorie společně s doménami a poté by nástroj Orchestrator při filtrování obsahu respektoval domény.

Ve viditelnosti CASB uživatel uvidí v uživatelském rozhraní nástroje Orchestrator certifikát s ukončenou platností, i když je certifikát stále platný a bude obnoven, až platnost skutečně skončí. Další problém je, že existuje mnoho aplikací, u nichž se v sekci Podrobnosti o aplikaci zobrazí údaj „založeno v roce 1970“, i když je aplikace očividně výrazně novější.