In diesem Abschnitt wird beschrieben, wie Sie die CASB-Funktion (Cloud Access Security Broker) für den Cloud Web Security-Dienst verwenden.

Übersicht

Die Funktion Cloud Access Security Broker (CASB) bietet Transparenz und Kontrolle über Benutzeraktivitäten beim Zugriff auf SaaS-Anwendungen.

Die CASB-Funktion umfasst die folgenden Funktionen:

Application Visibility (Teil der Pakete Cloud Web Security Standard und Advanced Edition): Ein Kunde hat die Möglichkeit, die verschiedenen SaaS-Anwendungen anzuzeigen, auf die die Benutzer in seinem Netzwerk zugreifen. Für jede Anwendung kann ein Kunde, der CASB Application Visibility verwendet, Folgendes beobachten:

  • Die Risikobewertung für jede Anwendung.
  • Die Anzahl der Benutzer, die auf eine Anwendung zugegriffen haben.
  • Die Kategorie der Anwendung.

Application Control (nur Teil des Cloud Web Security Advanced Edition-Pakets): Ein Kunde hat die Möglichkeit, bestimmte Aktionen zu steuern, die in jeder SaaS-Anwendung ausgeführt werden können.

Einsatzbereite, vordefinierte Steuerelemente sind für alle SaaS-Anwendungen verfügbar, wobei anwendungsspezifische Steuerelemente auf der Ebene der einzelnen Anwendungen bereitgestellt werden. Diese Steuerelemente können pro Anwendung und basierend auf Benutzer und Benutzergruppe angepasst und konfiguriert werden.

Für jede Anwendung kann ein Kunde, der CASB Application Control verwendet, die folgenden Aktionen steuern:

  • Erstzugriff auf die Anwendungssite (zulassen oder sperren).
  • Zusätzliche Aktionen wie Anmeldung, Upload/Download von Inhalten, Suchen, Bearbeiten, Freigeben, Erstellen, Löschen, Liken oder Posten.

Kunden können die derzeit verfügbaren Aktionen für die Anwendungen sehen, die sie steuern möchten.

Voraussetzungen

Für den Zugriff auf die Funktion Cloud Access Security Broker (CASB) mit Cloud Web Security benötigen Benutzer Folgendes:
  1. Ein Kundenunternehmen auf einem VMware Cloud Orchestrator in der Produktionsumgebung mit aktivierter Cloud Web Security.
  2. Die SD-WAN Edges des Kunden, die SASE PoPs und der Orchestrator müssen alle Version 4.5.0 oder höher verwenden.
  3. CASB Application Visibility kann von allen Cloud Web Security-Kunden genutzt werden, unabhängig davon, ob sie über ein Standard- oder Advanced-Paket verfügen.
  4. Für den Zugriff auf CASB Application Control muss ein Kunde über ein Cloud Web Security Advanced-Paket verfügen.
    Wenn Benutzer zu Cloud Web Security > Konfigurieren (Configure) > Sicherheitsrichtlinien (Security Policies) navigieren und auf eine vorhandene Richtlinie klicken oder eine neue Richtlinie erstellen, wird auf der CASB-Registerkarte ein Schlosssymbol angezeigt. Dies bedeutet, dass nur CASB Visibility mit der Standard Edition-Lizenz erlaubt ist und dass zum Erstellen von CASB Control Policies die Advanced Edition-Lizenz erforderlich ist.
  5. Optional: Ein Identitätsanbieter (IdP), wenn der Kunde benutzerbasierte Regeln haben möchte. Weitere Informationen zur Konfiguration von Workspace ONE oder Azure Active Directory (AD) als Identitätsanbieter finden Sie in den jeweiligen Handbüchern auf der Seite Single Sign-On Guides (SAML).

CASB-Konfigurations-Workflow

Nachdem die beiden wichtigsten Funktionen Application Visibility und Application Control behandelt wurden, aus denen sich die CASB-Funktion zusammensetzt, geht es in diesem Abschnitt um den CASB-Workflow.

Erstellen, Konfigurieren und Anwenden einer Sicherheitsrichtlinie

Weitere Informationen zum Erstellen, Konfigurieren oder Anwenden einer Sicherheitsrichtlinie für den Cloud Web Security-Dienst finden Sie in der entsprechenden Dokumentation im Konfigurationshandbuch für Cloud Web Security.

CASB-Einstellungen – Application Visibility

Nachdem eine Sicherheitsrichtlinie mit einem Kundensegment verknüpft wurde, wird der Datenverkehr von Endpointgeräten hinter dem SD-WAN Edge oder über Secure Access-Clients geprüft und überwacht, wenn er die Cloud Web Security-Richtlinie durchläuft.

  1. Navigieren Sie in der Benutzeroberfläche von VMware SASE Orchestrator zu Cloud Web Security > Konfigurieren (Configure) > Richtlinieneinstellungen (Policy Settings) > CASB.
  2. Die Seite CASB-Einstellungen enthält eine Liste der Anwendungen, die einer Sicherheitsrichtlinienregel entsprechen und standardmäßig nach der höchsten Zugriffszahl sortiert sind (die Anzahl der Zugriffe auf eine bestimmte Anwendung innerhalb des angegebenen Zeitraums).
    • Jeder Anwendung wird auch eine Risikobewertung zugeordnet: Niedrig (1-3), Mittel (4-6) oder Hoch (7-9).
    • Die Tabelle Anwendungen (Applications) kann nach Anwendungsname, Kategoriename, Anzahl der Zugriffe oder Risikobewertung sortiert werden, indem Sie auf die Spaltenüberschrift klicken. Durch Klicken auf das Sortiersymbol für eine Spalte können Benutzer auch nach einem bestimmten Begriff oder einer bestimmten Zahl in dieser Spalte suchen.
    • Auf der Seite mit den CASB-Einstellungen werden standardmäßig 20 Anwendungen pro Seite angezeigt. Die Benutzer können bis zum Ende der Seite scrollen und bis zu 100 Anwendungen pro Seite angeben. Die Benutzer können auch eine neue Seite mit Anwendungen auswählen, indem sie entweder auf eines der Pfeilsymbole klicken oder eine bestimmte Seite im Textfeld angeben.
    • Wenn mehr Datenverkehr über den Cloud Web Security-Dienst läuft, kann sich die Anwendungsliste ändern, je nachdem, welche Websites besucht werden. Diese Änderungen können die Reihenfolge der Anwendungen, die Anzahl der Anwendungen, die Zugriffsereignisse und die Risikobewertung betreffen.

Erstellen und Anwenden einer CASB-Steuerungsregel

Informationen zum Erstellen und Anwenden einer CASB-Steuerungsregel finden Sie unter Konfigurieren von Cloud Access Security-Broker-Regeln.

Überprüfen der Funktionsfähigkeit einer CASB-Regel

Rufen Sie nach der Veröffentlichung der Sicherheitsrichtlinie mit der CASB-Steuerungsregel eine von der Regel betroffene Website auf und testen Sie die Steuerungsfunktionen, um sicherzustellen, dass sie wie erwartet funktionieren. Um sicherzustellen, dass für die Anwendungen CASB-Steuerelemente konfiguriert sind, verwenden Sie die Seite Cloud Web Security > Überwachen (Monitor) > Webprotokolle (Web Logs). Ein Beispiel: Ein Benutzer hat versucht, sich bei der WeTransfer-Website anzumelden, und wurde gemäß der veröffentlichten CASB-Steuerungsregel blockiert. Die Webprotokolle zeigen den blockierten Anmeldeversuch an.

Überwachen von CASB

  1. Navigieren Sie zu Cloud Web Security > Konfigurieren (Configure) > CASB-Analyse (CASB Analysis).
  2. Auf der Seite CASB-Analyse (CASB Analysis) können Benutzer eine Auswahl von Balkendiagrammen für Top-Kategorien, Top-Anwendungen, Top-Benutzer und Top-Uploads nach Anwendung anzeigen.
  3. Webprotokolle (Web Logs): Auf der Seite Cloud Web Security > Überwachen (Monitor) > Webprotokolle (Web Logs) können Benutzer weitere Details über ein Anwendungszugriffsereignis erfahren. Bei jedem CASB-Anwendungsereignis kann der Benutzer auf die mit diesem Protokolleintrag verknüpfte Blase klicken, um die vollständigen Protokolleintragsdetails anzuzeigen.