In diesem Abschnitt wird beschrieben, wie Sie eine Sicherheitsrichtlinie für VMware Cloud Web Security konfigurieren.

Bevor Sie beginnen:

Um eine Sicherheitsrichtlinie zu konfigurieren, muss ein Benutzer zuerst eine Sicherheitsrichtlinie erstellt, konfiguriert und angewendet haben. Spezielle Anweisungen dazu finden Sie unter Erstellen einer Sicherheitsrichtlinie.

Über diese Aufgabe:

In diesem Abschnitt erfährt der Benutzer, wie er die Sicherheitsrichtlinie konfiguriert, die im Abschnitt Erstellen einer Sicherheitsrichtlinie erstellt wurde. Beim Erstellen einer Sicherheitsrichtlinie gibt es vier Regelkategorien, die ein Benutzer konfigurieren kann: SSL-Überprüfung (SSL Inspection), URL-Filterung (URL Filtering), Inhaltsfilterung (Content Filtering) und Inhaltsüberprüfung (Content Inspection).

Verfahren:

So konfigurieren Sie eine Sicherheitsrichtlinie:
  1. Doppelklicken Sie auf der Seite „Sicherheitsrichtlinien (Security Policies)“ der neuen Benutzeroberfläche des VMware SD-WAN Orchestrator auf den Namen der Sicherheitsrichtlinie, die konfiguriert werden soll. (Siehe Abbildung unten.)

    Der Bildschirm Sicherheitsrichtlinien (Security Policies) für die ausgewählte Richtlinie wird angezeigt.

  2. Auf der ausgewählten Seite der Sicherheitsrichtlinie kann ein Benutzer Regeln aus den folgenden vier Regelkategorien konfigurieren: SSL-Überprüfung (SSL Inspection), URL-Filterung (URL Filtering), Inhaltsfilterung (Content Filtering) und Inhaltsüberprüfung (Content Inspection), wie in der folgenden Abbildung dargestellt. Im Abschnitt Kategorien der Sicherheitsrichtlinien finden Sie eine vollständige Beschreibung der Konfiguration von Regeln für jede Kategorie (Kategorie SSL-Überprüfung, Kategorie URL-Filterung, Kategorie „Inhaltsfilterung“ und Kategorie „Inhaltsüberprüfung (Content Inspection)“).
    Hinweis: Standardmäßig verfügt eine Sicherheitsrichtlinie über die Regeln „Alle zulassen“ und „Alle entschlüsseln“. Durch die Konfiguration einer der vier oben aufgeführten Regelkategorien setzt ein Benutzer die Standardregeln außer Kraft und erstellt eine Richtlinie, die aus seinen eigenen Regeln besteht.

  3. Klicken Sie nach der Konfiguration der Sicherheitsrichtlinie auf die Schaltfläche Veröffentlichen (Publish), um die Sicherheitsrichtlinie zu veröffentlichen. Siehe Abbildung unten.

    Das Popup-Dialogfeld „Richtlinie veröffentlichen (Publish Policy)“ wird angezeigt, wie in der folgenden Abbildung dargestellt.

  4. Klicken Sie auf die Schaltfläche Ja (Yes) , um die Richtlinie zu veröffentlichen.

    Oben auf dem Bildschirm wird ein grünes Banner angezeigt, das darauf hinweist, dass die Sicherheitsrichtlinie veröffentlicht wird, wie in der Abbildung unten dargestellt.

    Hinweis: Eine Sicherheitsrichtlinie kann zu jedem Zeitpunkt des Konfigurationsprozesses veröffentlicht werden und bei jeder Änderung durch den Benutzer neu veröffentlicht werden.

Nächste Schritte:

Kategorien der Sicherheitsrichtlinien

In den folgenden Abschnitten werden die vier Regelkategorien, die ein Benutzer für eine ausgewählte Sicherheitsrichtlinie konfigurieren kann, detailliert beschrieben, wie in Schritt 2 im Abschnitt „Verfahren“ oben erwähnt. Durch das Konfigurieren einer dieser Kategorien setzen Benutzer die Standardregeln außer Kraft.

Hinweis: Bevor die Schritte in den einzelnen unten aufgeführten Abschnitten ausgeführt werden, muss ein Benutzer zuerst Schritt 1 abgeschlossen haben, wie im Abschnitt „Verfahren“ oben beschrieben.

Kategorie SSL-Überprüfung

Da 90 Prozent des Internetverkehrs verschlüsselt sind, muss der Datenverkehr entschlüsselt werden, um die Inhalte zu überprüfen. Standardmäßig wird der gesamte Datenverkehr SSL-entschlüsselt und dann geprüft, wodurch die Grundlage für eine höhere Sicherheit geschaffen wird.

Teile des Datenverkehrs sollten jedoch nicht über eine weitere Station (Man in the Middle) weitergeleitet werden, wie es bei der SSL-Überprüfung der Fall ist. Dazu gehört Datenverkehr, der Zertifikats-Pinning, Mutual TLS (mTLS) und einige WebSockets verwendet. Um sicherzustellen, dass Cloud Web Security diese Art von Datenverkehr nicht unterbricht, kann ein Benutzer Ausnahmen zu dieser Standardregel für die SSL-Überprüfung konfigurieren, die es dem Datenverkehr erlauben würden, die SSL-Überprüfung zu umgehen.

Hinweis: Eine Liste der Domänen, die eine Bypass-Regel benötigen, finden Sie unter Domänen, in denen eine Bypass-Regel für die SSL-Überprüfung empfohlen wird.

Sie können das SSL-Root-CA-Zertifikat herunterladen, indem Sie auf der linken Seite des Menüs „Cloud Web Security > Konfiguration (Configuration)“ auf „SSL-Beendigung (SSL Termination)“ klicken.

Auf der Seite „SSL-Beendigung (SSL Termination)“ befindet sich ein herunterladbares VMware Cloud Web Security CA-Zertifikat, das zur Durchführung der SSL-Überprüfung verwendet wird. So laden Sie das CA-Zertifikat herunter:
  1. Klicken Sie auf das Zertifikatssymbol oder den Link.
  2. Speichern Sie die Datei und notieren Sie sich den Speicherort.
  3. Notieren Sie sich den Fingerabdruck des Zertifikats für die Validierung beim Import.

Wenn ein Benutzer eine Ausnahme von der Standardregel machen und SSL-verschlüsselte Pakete nicht von Cloud Web Security entschlüsseln lassen möchte, würde der Benutzer eine Regel für diesen Datenverkehr erstellen, die entweder auf Quelle, Ziel oder Zielkategorien basiert (Abb.unten). Führen Sie die folgenden Schritte aus, um eine Ausnahme für die Standardregel zu machen.

So konfigurieren Sie eine SSL-Überprüfungsregel:
  1. Wählen Sie auf der Registerkarte „SSL-Überprüfung (SSL Inspection)“ des Bildschirms „Sicherheitsrichtlinien (Security Policies)“ die Option + REGEL HINZUFÜGEN (ADD RULE), wie in der Abbildung oben gezeigt, um die Ausnahmeregel für die SSL-Überprüfung zu konfigurieren.

    Der Bildschirm SSL-Ausnahme erstellen (Create SSL Exception) wird angezeigt. Siehe Abbildung unten.

  2. Im Bildschirm SSL-Ausnahme erstellen (Create SSL Exception) wählt der Benutzer aus, welche Art von Datenverkehr die SSL-Überprüfung umgehen soll, indem er entweder Quelle (Source), Ziel (Destination) oder Zielkategorien (Destination Categories) auswählt.

    Der Benutzer könnte beispielsweise eine Regel erstellen, die die SSL-Überprüfung für den gesamten an zoom.us gerichteten Datenverkehr umgeht, indem er die Regel als Zielregel konfiguriert und dann den Zieltyp entweder nach Ziel-IP oder Host/Domäne auswählt. Ein Beispiel hierfür ist in der Abbildung unten dargestellt.

  3. Klicken Sie auf die Schaltfläche Weiter (Next).
  4. Geben Sie im Bildschirm Name und Tags (Name and Tags) den Namen der Regel, die Tags und ggf. einen Grund an, warum die Umgehungsregel erstellt wurde, wie in der folgenden Abbildung dargestellt.

  5. Klicken Sie auf Fertigstellen (Finish).

    Die Regel wird jetzt zur Sicherheitsrichtlinie hinzugefügt.

  6. Der Benutzer hat folgende Möglichkeiten: eine weitere SSL-Überprüfungsregel zu konfigurieren, eine andere Sicherheitsrichtlinienkategorie zu konfigurieren oder, wenn er fertig ist, die Sicherheitsrichtlinie zu veröffentlichen, indem er auf die Schaltfläche Veröffentlichen (Publish) klickt.
  7. Nachdem die Sicherheitsrichtlinie veröffentlicht wurde, kann der Benutzer die Sicherheitsrichtlinie anwenden.

Kategorie URL-Filterung

URL-Filterung ermöglicht es dem Benutzer, Regeln zu konfigurieren, um die Benutzerinteraktion auf bestimmte Kategorien von Websites zu begrenzen.

Anwendungsfälle für URL-Filterung sind u.a.:
  • Kontrolle des Web-Browsings von Mitarbeitern mit granularen Richtlinien.
  • Melden von Websites mit hohem Risiko, nützlich bei SaaS-Anwendungen.
  • Zulassen/Blockieren basierend auf vordefinierten Kategorien.
  • Blockieren von URLs, die anstößige Inhalte hosten, mit einer Option zum Blockieren benutzerdefinierter Domänen.

Im Gegensatz zur SSL-Überprüfung, bei der die Standardregel strenge Sicherheit erzwingt, indem jedes SSL-verschlüsselte Paket überprüft wird, sind die Standardregeln für die URL-Filterung weniger streng, d. h., sie lassen standardmäßig jeglichen Datenverkehr ohne Rücksicht auf potenzielle Gefahren zu. Es obliegt dem Benutzer, das Standardverhalten zu ändern. Zum Ändern des Standardverhaltens kann der Benutzer aus drei Arten von Regeln wählen, die mittels URL-Filterung durchgesetzt werden: Kategorie (Category), Bedrohung (Threat) und Domäne (Domain). Folgen Sie den nachstehenden Schritten, um eine Sicherheitsrichtlinienregel für URL-Filterung zu konfigurieren.

So konfigurieren Sie eine URL-Filterungsregel:
  1. Klicken Sie im ausgewählten Bildschirm Sicherheitsrichtlinien (Security Policies) auf die Registerkarte URL-Filterung (URL Filtering) im oberen Bereich des Bildschirms.
  2. Wählen Sie + REGEL HINZUFÜGEN (+ ADD RULE) und klicken Sie auf Weiter (Next).

    Der Bildschirm URL-Filterung angewendet auf (URL Filtering Applied To) wird eingeblendet, auf dem im Dropdown-Menü Typ (Type) die Optionen „Web-Kategorien (Web Categories)“, „Bedrohungskategorien (Threat Categories)“ und „Domäne (Domain)“ ausgewählt werden können, wie in der Abbildung unten dargestellt.

  3. Wählen Sie im Dropdown-Menü Typ (Type) eine der drei Optionen (Websitekategorien, Bedrohungskategorien oder Domäne) aus, wie in der folgenden Abbildung dargestellt. Informationen zu den einzelnen Schritten für jede Kategorieoption finden Sie in den nachstehenden Unterschritten.

    1. Option „Websitekategorien (Website Categories)“: Der Benutzer wählt die Option Websitekategorien (Website Categories) aus, um eine Regel basierend auf vorkonfigurierten Kategorien zu konfigurieren, die eine große Anzahl von URLs umfassen. Führen Sie zum Konfigurieren mit dieser Kategorie die nachstehenden Unterschritte aus.

      Der Bildschirm Quelle und Ziel auswählen (Select Source and Destination) wird eingeblendet, wie in der Abbildung unten dargestellt.

      1. Aktivieren Sie im Bildschirm Quelle und Ziel auswählen (Select Source and Destination) unter Quelle (Source) das Kontrollkästchen Alle Benutzer und Gruppen (All Users and Groups), um die Regel auf alle Benutzer und Gruppen anzuwenden, oder deaktivieren Sie dieses Kontrollkästchen, um Benutzer und Gruppen anzugeben.
      2. Wählen Sie im Bildschirm Quelle und Ziel auswählen (Select Source and Destination) unter Ziele (Destinations) entweder Alle Kategorien (All Categories) oder Benutzerdefinierte Auswahl (Custom Selection) aus. Mit der Option Alle Kategorien (All Categories) werden alle verfügbaren Kategorien markiert und auf die Regel angewendet. Mit der Option Benutzerdefinierte Auswahl (Custom Selection) kann der Benutzer angeben, welche Kategorien auf die Regel angewendet werden sollen, indem er auf jede Kategorie klickt, wie in der Abbildung oben dargestellt.
      3. Klicken Sie auf die Schaltfläche Weiter (Next).
      4. Wählen Sie im Bildschirm URL-Filterungsaktion (URL Filtering Action) die Option Blockieren (Block) oder Zulassen (Allow) im Dropdown-Menü aus, um festzulegen, ob die Regel zum Blockieren oder Zulassen von URLs dienen soll. (Siehe Abbildung unten.)
      5. Klicken Sie auf die Schaltfläche Weiter (Next).

      6. Geben Sie im Bildschirm Name, Gründe und Tags (Name, Reasons, and Tags) die entsprechenden Informationen in die folgenden Felder ein: Regelname (Rule Name), Tags, Grund (Reason) und Position. HINWEIS: Das Feld „Position“ bezeichnet die Position der Regel in der Liste der URL-Filterungsregeln.

      7. Klicken Sie auf die Schaltfläche Fertig stellen (Finish), und die Regel wird in der Liste „URL-Filterung (URL Filtering)“ angezeigt. Der Hauptbildschirm URL-Filterung (URL Filtering) wird angezeigt.

      8. Der Benutzer hat folgende Möglichkeiten: eine weitere SSL-Überprüfungsregel zu konfigurieren, eine andere Sicherheitsrichtlinienkategorie zu konfigurieren oder, wenn er fertig ist, die Sicherheitsrichtlinie zu veröffentlichen, indem er auf die Schaltfläche Veröffentlichen (Publish) klickt.
      9. Nachdem die Sicherheitsrichtlinie veröffentlicht wurde, kann der Benutzer die Sicherheitsrichtlinie anwenden
    2. Option „Bedrohungskategorie (Threat Category): Der Benutzer wählt die Option „Bedrohungskategorien (Threat Categories)“ im Dropdown-Menü aus, um Bedrohungstypen anzuwenden (basierend auf aktualisierten Informationen von Cybersecurity-Firmen). Führen Sie die folgenden Unterschritte aus. Siehe Abbildung unten.
    3. Klicken Sie auf die Schaltfläche Weiter (Next).

      1. Aktivieren Sie im Bildschirm Quelle und Ziel auswählen (Select Source and Destination) unter Quelle (Source) das Kontrollkästchen Alle Benutzer und Gruppen (All Users and Groups), um die Regel auf alle Benutzer und Gruppen anzuwenden, oder deaktivieren Sie dieses Kontrollkästchen, um Benutzer und Gruppen anzugeben.

      2. Wählen Sie im Bildschirm Quelle und Ziel auswählen (Select Source and Destination) unter Ziele (Destinations) entweder Alle Kategorien (All Categories) oder Benutzerdefinierte Auswahl (Custom Selection) aus. Mit der Option Alle Kategorien (All Categories) werden alle verfügbaren Kategorien markiert und auf die Regel angewendet. Mit der Option Benutzerdefinierte Auswahl (Custom Selection) kann der Benutzer angeben, welche Kategorien auf die Regel angewendet werden sollen, indem er auf jede Kategorie klickt, wie in der Abbildung oben dargestellt.
      3. Klicken Sie auf die Schaltfläche Weiter (Next).
      4. Geben Sie im Bildschirm URL-Filterungsaktion (URL Filtering Action) an, ob die spezifischen Bedrohungen blockiert oder zugelassen werden sollen. Siehe Abbildung unten.

      5. Geben Sie im Bildschirm Name, Gründe und Tags (Name, Reasons, and Tags) die entsprechenden Informationen in die folgenden Felder ein: Regelname (Rule Name), Tags, Grund (Reason) und Position. HINWEIS: Das Feld „Position“ bezeichnet die Position der Regel in der Liste der URL-Filterungsregeln.

      6. Klicken Sie auf die Schaltfläche Fertig stellen (Finish), und die Regel wird in der Liste „URL-Filterung (URL Filtering)“ angezeigt. Der Hauptbildschirm URL-Filterung (URL Filtering) wird angezeigt.

      7. Der Benutzer hat folgende Möglichkeiten: eine weitere SSL-Überprüfungsregel zu konfigurieren, eine andere Sicherheitsrichtlinienkategorie zu konfigurieren oder, wenn er fertig ist, die Sicherheitsrichtlinie zu veröffentlichen, indem er auf die Schaltfläche Veröffentlichen (Publish) klickt.
      8. Nachdem die Sicherheitsrichtlinie veröffentlicht wurde, kann der Benutzer die Sicherheitsrichtlinie anwenden
    4. Option „Domäne (Domain)“: Der Benutzer wählt die Option „Domäne (Domain)“ im Dropdown-Menü aus, um Domäne bzw. Domänen, IP-Adressen, IP-Bereiche und CIDRs zu konfigurieren, die nach der Regel gefiltert werden sollen. (Siehe Abbildung unten.)

      Hinweis: Ein Benutzer kann mehrere Domänen pro Regel angeben, indem er jede Domäne durch ein Komma trennt.

      Klicken Sie auf die Schaltfläche Weiter (Next).

      Der Bildschirm Quelle und Ziel auswählen (Select Source and Destination) wird eingeblendet, wie in der Abbildung unten dargestellt.

      Führen Sie die folgenden Unterschritte aus, um die Option „Domäne (Domain)“ zu konfigurieren.
      1. Aktivieren Sie im Bildschirm Quelle und Ziel auswählen (Select Source and Destination) unter Quelle (Source) das Kontrollkästchen Alle Benutzer und Gruppen (All Users and Groups), um die Regel auf alle Benutzer und Gruppen anzuwenden, oder deaktivieren Sie dieses Kontrollkästchen, um Benutzer und Gruppen anzugeben.
      2. Klicken Sie auf die Schaltfläche Weiter (Next).
      3. Geben Sie unter Ziele (Destinations) die Domänen im Textfeld Domänen angeben (Specify Domains) ein ( z. B. google.com). Der Benutzer gibt an, welche Domäne bzw. Domänen per Regel gefiltert werden sollen. Ein Benutzer kann mehrere Domänen pro Regel angeben, indem er jede Domäne durch ein Komma trennt.
      4. Klicken Sie auf Weiter (Next).
      5. Geben Sie im Bildschirm URL-Filterungsaktion (URL Filtering Action) an, ob diese Regelausnahme den Datenverkehr blockieren oder zulassen soll, und klicken Sie anschließend auf die Schaltfläche Weiter (Next).

      6. Klicken Sie auf Weiter (Next).
      7. Geben Sie im Bildschirm Name, Gründe und Tags (Name, Reasons, and Tags) die entsprechenden Informationen in die folgenden Felder ein: Regelname (Rule Name), Tags, Grund (Reason) und Position. HINWEIS: Das Feld „Position“ bezeichnet die Position der Regel in der Liste der URL-Filterungsregeln.
      8. Klicken Sie auf Fertigstellen (Finish).
      9. Nachdem alle Regeln für die URL-Filterung eingegeben sind, kann ein Benutzer die vollständige Liste anzeigen.

      10. Klicken Sie auf die Schaltfläche Fertig stellen (Finish), und die Regel wird in der Liste „URL-Filterung (URL Filtering)“ angezeigt. Der Hauptbildschirm URL-Filterung (URL Filtering) wird angezeigt.
      11. Der Benutzer hat folgende Möglichkeiten: eine weitere URL-Filterungsregel zu konfigurieren, eine andere Sicherheitsrichtlinienkategorie zu konfigurieren oder, wenn er fertig ist, die Sicherheitsrichtlinie zu veröffentlichen, indem er auf die Schaltfläche Veröffentlichen (Publish) klickt.
      12. Nachdem die Sicherheitsrichtlinie veröffentlicht wurde, kann der Benutzer die Sicherheitsrichtlinie anwenden

Kategorie „Inhaltsfilterung“

Regeln zur Inhaltsfilterung ermöglichen es einem Administrator:
  • Die Angriffsfläche zu reduzieren, indem nur erforderliche Arten von Inhalten zugelassen werden.
  • Inhalte sowohl für Uploads als auch für Downloads zu kontrollieren.

    Die folgenden Dokument- und Dateitypen werden unterstützt:

    Die Standardregeln für die Inhaltsfilterung lauten wie folgt:
    • Alle Downloads sind erlaubt, werden aber zuerst einem Virenscan auf schädliche Inhalte unterzogen.
    • Alle Uploads sind ohne Überprüfung erlaubt.
So konfigurieren Sie die Inhaltsfilterung:
  1. Klicken Sie im ausgewählten Bildschirm Sicherheitsrichtlinien (Security Policies) auf die Registerkarte Inhaltsfilterung (Content Filtering) im oberen Bereich des Bildschirms.
  2. Wählen Sie die Option + REGEL HINZUFÜGEN (+ ADD RULE) aus.

    Der Bildschirm Inhaltsfilterung angewendet auf (Content Filtering Applied To) wird angezeigt.

  3. Wählen Sie unter Übertragungstyp (Transfer Type) entweder das Optionsfeld Download oder Upload aus. Der Benutzer kann nicht beide Optionen auswählen. Benötigt der Benutzer eine Regel sowohl für den Download als auch für den Upload, sind zwei separate Regeln erforderlich.
  4. Wählen Sie unter Dateityp (File Type) eine Kategorie im Dropdown-Menü aus, wie in der folgenden Abbildung dargestellt.

  5. Klicken Sie auf Weiter (Next).

    Der Bildschirm Quelle und Ziel auswählen (Select Source and Destination) wird angezeigt, wie in der Abbildung unten dargestellt.

  6. Im Bildschirm Quelle und Ziel auswählen (Select Source and Destination) kann ein Benutzer unter der Option Quelle (Source) das Kontrollkästchen Alle Benutzer und Gruppen (All Users and Groups) aktivieren, um die Regel auf alle Benutzer und Gruppen anzuwenden, oder dieses Kontrollkästchen deaktivieren, um Benutzer und Gruppen anzugeben.
  7. Unter Ziele (Destinations) kann ein Benutzer das Kontrollkästchen Alle Domänen/Kategorien (All Domains/Categories) aktivieren, um die Regel auf alle Domänen und Kategorien anzuwenden, oder das Kontrollkästchen deaktivieren, um einzelne Domänen zu konfigurieren oder Webkategorien in einem Dropdown-Menü anzugeben.
  8. Klicken Sie auf Weiter (Next).
  9. Wählen Sie im Bildschirm Inhaltsfilterung-Aktion (Content Filtering Action) die Option Blockieren (Block) oder Zulassen (Allow) im Dropdown-Menü aus, um festzulegen, ob die Regel URLs blockieren oder zulassen soll, wie in den Unterschritten unten beschrieben.
    1. Wenn Sie Blockieren (Block) auswählen, wird jeder der angegebenen Dateitypen mit passender Domäne/Kategorie für die angegebenen Benutzer/Gruppen blockiert, wie in der folgenden Abbildung dargestellt.

    2. Wenn Sie Zulassen (Allow) auswählen, wird der Inhalt im Netzwerk zugelassen.

    3. Klicken Sie auf die Schaltfläche Weiter (Next).
  10. Geben Sie im Bildschirm Inhaltsfilterung Name, Gründe und Tags (Content Filtering Name, Reasons, and Tags) Informationen für die folgenden Textfelder ein: Regelname (Rule Name), Tags und Grund (Reason). Geben Sie im Textfeld Position an, wo die Regel in der Liste der Regeln für die Inhaltsfilterung platziert werden soll.

  11. Klicken Sie auf Fertigstellen (Finish).

    Die Regel wird jetzt zur Sicherheitsrichtlinie hinzugefügt, und der Benutzer kann die Sicherheitsfunktion fortsetzen.

  12. Der Benutzer hat folgende Möglichkeiten: eine weitere Regel unter „Inhaltsfilterung (Content Filtering)“ zu konfigurieren, eine andere Kategorie der Sicherheitsrichtlinie zu konfigurieren, oder, wenn er fertig ist, die Sicherheitsrichtlinie zu veröffentlichen, indem er auf die Schaltfläche Veröffentlichen (Publish) klickt.
  13. Nachdem die Sicherheitsrichtlinie veröffentlicht wurde, kann der Benutzer die Sicherheitsrichtlinie anwenden

Kategorie „Inhaltsüberprüfung (Content Inspection)“

Die Inhaltsüberprüfung bietet Schutz vor aktiven Websites mit Malware-Inhalten sowie Schutz vor bekannten und sogenannten „Zero-Day-Bedrohungen“. Inhalte, die der Benutzer bisher zugelassen hat, können auf ihre Schädlichkeit hin überprüft werden.

Die Inhaltsüberprüfung kann auf drei Arten erfolgen:
  • Überprüfung des Dateihashs: Die Datei wird daraufhin überprüft, ob sie mit einem bekannten Datei-Hash übereinstimmt, der in der Cloud Web Security-Datenbank gespeichert ist. Ein Datei-Hash ist ein eindeutiger Wert und wird mit Ergebnissen von mehr als 50 AV-Engines verglichen. Das Ergebnis einer Hash-Überprüfung kann „Bereinigt (clean)“, „Bösartig (malicious)“ oder „Unbekannt (unknown)“ sein. Wenn das Ergebnis „Bereinigt“ lautet, wird die Datei für das Netzwerk zugelassen. Bei „Bösartig“, wird die Datei verworfen. Bei „Unbekannt“ wird die Datei entweder verworfen oder an den Virenschutzscan gesendet, je nachdem, welche Optionen ausgewählt wurden.
  • Virenschutzscan: Die Datei wird von der Cloud Web Security-Virenschutzanwendung gescannt und auf bekannte Viren- und Malwaresignaturen überprüft. Entspricht die Datei einem bekannten Virus oder Malware, wird sie verworfen. Entspricht die Datei keinem bekannten Virus/keiner Malware, wird sie entweder verworfen oder an die Sandbox gesendet, je nachdem, welche Optionen ausgewählt wurden.
  • Sandbox: Die Sandbox ist eine geschlossene Umgebung, in der eine Datei auf zwei Arten sicher analysiert werden kann:
    • Statische Analyse: überprüft die Datei auf Bibliotheken, importierte Funktionen, durchsucht den Code auf Zeichenketten, angewandte Verknüpfungsmethoden, usw.
    • Dynamische Analyse: Führt die Datei in einer eingeschlossenen Umgebung aus und bestimmt anhand des Verhaltens, ob die Datei infiziert ist. Dynamische Analyse benötigt viel mehr Zeit für die Verarbeitung.
Hinweis: Für alle Dateitypen und alle Quellen und Ziele gilt als Standardregel für die Inhaltsüberprüfung, dass sie als „Bereinigt“ markiert und für das Netzwerk zugelassen werden.
So konfigurieren Sie die Inhaltsüberprüfung:
  1. Klicken Sie im ausgewählten Bildschirm Sicherheitsrichtlinien (Security Policies) auf die Registerkarte Inhaltsüberprüfung (Content Inspection) am oberen Rand des Bildschirms, wie in der folgenden Abbildung dargestellt.

  2. Wählen Sie die Option + REGEL HINZUFÜGEN (+ ADD RULE) aus.

    Der Bildschirm Angewendet auf Inhaltsüberprüfung (Applied To Content Inspection) wird angezeigt.

  3. Wählen Sie unter Übertragungstyp (Transfer Type) entweder das Optionsfeld Download oder Upload oder wählen Sie beide Typen aus.

  4. Wählen Sie unter Basierend auf (Based on) entweder Dateityp (File Type) oder Datei-Hash (File Hash) aus, um festzulegen, ob bei der Überprüfung nach Dateien basierend auf dem Dateityp oder dem Datei-Hash gesucht werden soll. (Ein Benutzer kann nicht beide Optionen wählen).
    1. Wählt der Benutzer die Option Dateityp (File Type), wählen Sie eine Kategorie im Dropdown-Menü aus, wie in der Abbildung oben gezeigt. Wie in der Abbildung unten gezeigt, kann ein Benutzer beispielsweise eine Regel konfigurieren, um heruntergeladene Dateien zu überprüfen, die den aufgelisteten Dateitypen der Textverarbeitungsprogramme entsprechen, z. B. Word, XPS, OpenOffice Text und Word Perfect.

    2. Wählt ein Benutzer Datei-Hash (File Hash) aus, geben Sie einen SHA-256-Hash im entsprechenden Textfeld ein.
  5. Klicken Sie auf die Schaltfläche Weiter (Next).

    Der Bildschirm Inhaltsüberprüfung Quelle und Ziel (Content Inspection Source and Destination) wird angezeigt, wie in der folgenden Abbildung dargestellt.

  6. Im Bildschirm Quelle und Ziel auswählen (Select Source and Destination) kann ein Benutzer unter der Option Quelle (Source) das Kontrollkästchen Alle Benutzer und Gruppen (All Users and Groups) aktivieren, um die Regel auf alle Benutzer und Gruppen anzuwenden, oder dieses Kontrollkästchen deaktivieren, um Benutzer und Gruppen anzugeben.
  7. Geben Sie unter Ziele (Destinations) die Domänen im Textfeld Domänen angeben (Specify Domains) ein ( z. B. google.com). Der Benutzer gibt an, welche Domäne bzw. Domänen per Regel gefiltert werden sollen. Ein Benutzer kann mehrere Domänen pro Regel angeben, indem er jede Domäne durch ein Komma trennt.
  8. Klicken Sie auf die Schaltfläche Weiter (Next).
  9. Wählen Sie im Bildschirm Inhaltsüberprüfungsaktion (Content Inspection Action) eine Aktion aus dem Dropdown-Menü Richtlinienaktion (Policy Action) („Als Bereinigt markieren (Mark as Clean)“, „Als Infiziert markieren (Mark as Infected)“ oder „Überprüfen (Inspect)“). In der folgenden Tabelle finden Sie eine Beschreibung dieser Richtlinienaktionen und in den Unterschritten unten eine Beschreibung der einzelnen Richtlinienaktionen.
    1. Wählt der Benutzer entweder die Richtlinien Als „Bereinigt“ markieren (Mark As Clean) oder Als „Infiziert“ markieren (Mark As Infected), sind die Überprüfungsoptionen (Alle Prüfungen (All Checks), Überprüfung des Dateihashs (File Hash Check), Vollständiger Datei-Scan (File Full Scan), Sandbox-Überprüfung (Sandbox Inspection)) nicht verfügbar.

    2. Wählt der Benutzer die Richtlinienaktion Überprüfen (Inspect) aus, kann er bis zu drei Überprüfungsoptionen auswählen (Alle Prüfungen (All Checks), Überprüfung des Dateihashs (File Hash Check), Vollständiger Datei-Scan (File Full Scan), Sandbox-Überprüfung (Sandbox Inspection)). HINWEIS: Die Option Alle Prüfungen (All Checks) bedeutet, dass alle drei Optionen ausgewählt sind.

      Tabelle 1. Beschreibung der Richtlinienaktion
      Richtlinienaktion Beschreibung
      Als „Bereinigt“ markieren Die Dateien werden automatisch und ohne Überprüfung für das Netzwerk zugelassen.
      Als „Infiziert“ markieren Die Dateien werden automatisch als gefährlich eingestuft, verworfen und nicht für das Netzwerk zugelassen.
      Überprüfen Die übereinstimmenden Dateien werden bis zu drei verschiedenen Überprüfungen unterzogen. Wenn eine Datei die Überprüfung nicht besteht, wird sie verworfen.
  10. Klicken Sie auf Weiter (Next).
  11. Geben Sie im Bildschirm Inhaltsüberprüfung Name, Gründe und Tags (Content Inspection Name, Reasons and Tags) Informationen für die folgenden Textfelder ein: Regelname (Rule Name), Tags und Grund (Reason). Geben Sie im Textfeld Position an, wo die Regel in der Liste der Regeln für die Inhaltsfilterung platziert werden soll.

  12. Klicken Sie auf Fertigstellen (Finish).

    Die Regel wird jetzt zur Sicherheitsrichtlinie hinzugefügt, und der Benutzer kann die Sicherheitsfunktion fortsetzen.

  13. Der Benutzer hat folgende Möglichkeiten: eine weitere Regel unter „Inhaltsüberprüfung (Content Inspection)“ zu konfigurieren, eine andere Kategorie der Sicherheitsrichtlinie zu konfigurieren, oder, wenn er fertig ist, die Sicherheitsrichtlinie zu veröffentlichen, indem er auf die Schaltfläche Veröffentlichen (Publish) klickt.
  14. Nachdem die Sicherheitsrichtlinie veröffentlicht wurde, kann der Benutzer die Sicherheitsrichtlinie anwenden