In diesem Abschnitt wird detailliert beschrieben, wie Sie eine SSL-Überprüfungsregel (Secure Sockets Layer) für eine ausgewählte Sicherheitsrichtlinie konfigurieren.

Bevor Sie beginnen

Um eine Sicherheitsrichtlinie zu konfigurieren, müssen die Benutzer zunächst eine Sicherheitsrichtlinie erstellen. Spezifische Anweisungen zum Erstellen einer Sicherheitsrichtlinie finden Sie unter Erstellen einer Sicherheitsrichtlinie.

Kategorie SSL-Überprüfung

Da 90 Prozent des Internetverkehrs verschlüsselt sind, muss der Datenverkehr entschlüsselt werden, um die Inhalte zu überprüfen.
Hinweis: Standardmäßig wird der gesamte Datenverkehr SSL-entschlüsselt und dann geprüft, wodurch die Grundlage für eine höhere Sicherheit geschaffen wird.

Teile des Datenverkehrs sollten jedoch nicht über eine weitere Station (Man in the Middle) weitergeleitet werden, wie es bei der SSL-Überprüfung der Fall ist. Dazu gehört Datenverkehr, der Zertifikats-Pinning, Mutual TLS (mTLS) und einige WebSockets verwendet. Um sicherzustellen, dass Cloud Web Security diese Art von Datenverkehr nicht unterbricht, kann ein Benutzer Ausnahmen zu dieser Standardregel für die SSL-Überprüfung konfigurieren, die es dem Datenverkehr erlauben würden, die SSL-Überprüfung zu umgehen.

Tipp: Eine Liste der Domänen, die eine Bypass-Regel benötigen, finden Sie unter Domänen und CIDRs, für die eine Regel zur Umgehung der SSL-Überprüfung empfohlen wird.
Hinweis: Wenn eine SSL-Umgehungsregel erzwungen wird, ist die Verbindung noch nicht entschlüsselt. Interne Verbindungsdaten, wie z. B. Benutzeridentität oder Dateiinhalt, können nicht erzwungen werden. Kategorien- und Domänenregeln werden angewendet, aber Blockrichtlinien, die auf Benutzer, Gruppen und Dateien angewendet werden, werden in Verbindung mit dieser SSL-Umgehungsrichtlinie nicht angewendet. Daher wird die URL-Filterung auch bei Verwendung einer SSL-Umgehungsregel unterstützt, aber die Anwendung benutzerspezifischer Regeln wird nicht unterstützt.

Das SSL-Root-CA-Zertifikat kann durch Klicken auf SSL-Zertifikat (SSL Certificate) auf der linken Seite des Menüs Cloud Web Security > Konfigurieren (Configure) > Enterprise-Einstellungen (Enterprise Settings) heruntergeladen werden.

Die Seite SSL-Zertifikatseinstellungen (SSL Certificate Settings) enthält ein herunterladbares VMware Cloud Web Security CA-Zertifikat, das zur Durchführung der SSL-Überprüfung verwendet wird. So laden Sie das CA-Zertifikat herunter:
  1. Klicken Sie zum Herunterladen auf das Zertifikatsymbol oder den Link.
  2. Speichern Sie die Datei und notieren Sie sich den Speicherort.
  3. Notieren Sie sich den Fingerabdruck des Zertifikats für die Validierung beim Import.

Konfigurieren einer SSL-Überprüfungsregel

Wenn Benutzer eine Ausnahme von der Standardregel machen möchten und nicht wollen, dass VMware Cloud Web Security SSL-verschlüsselte Pakete entschlüsselt, können sie eine SSL-Überprüfungsregel mithilfe einer der beiden folgenden Methoden konfigurieren:

Manuelle SSL-Umgehung

Der Benutzer kann eine SSL-Überprüfungsregel basierend auf Quell-, Ziel- oder Zielkategorien manuell konfigurieren, indem er die folgenden Schritte ausführt:
  1. Navigieren Sie zu Cloud Web Security > Konfigurieren (Configure) > Sicherheitsrichtlinien (Security Policies).
  2. Wählen Sie eine Sicherheitsrichtlinie aus, um die SSL-Überprüfungsregel zu konfigurieren, und klicken Sie dann auf die Registerkarte SSL-Überprüfung (SSL Inspection).
  3. Klicken Sie auf der Registerkarte SSL-Überprüfung (SSL Inspection) des Bildschirms Sicherheitsrichtlinien (Security Policies) auf + REGEL HINZUFÜGEN (+ ADD RULE), um eine Ausnahmeregel für die SSL-Überprüfung zu konfigurieren.

    Der Bildschirm SSL-Ausnahme erstellen (Create SSL Exception) wird angezeigt.

  4. Im Bildschirm SSL-Ausnahme erstellen (Create SSL Exception) können Benutzer wählen, welche Art von Datenverkehr die SSL-Überprüfung umgehen soll, indem sie entweder Quelle (Source), Ziel (Destination) oder Zielkategorien (Destination Categories) auswählen.

    Beispielsweise können Benutzer eine Regel erstellen, die die SSL-Überprüfung für den gesamten für zoom.us bestimmten Datenverkehr umgeht, indem sie die Regel als Zielregel konfigurieren und dann den Zieltyp entweder nach Ziel-IP oder Host/Domäne auswählen, wie im folgenden Beispielbildschirm gezeigt.

  5. Klicken Sie auf die Schaltfläche Weiter (Next).
  6. Geben Sie im Bildschirm Name und Tags (Name and Tags) den Regelnamen, Tags, einen Grund (falls erforderlich) für die Erstellung der Umgehungsregel und eine Position für die Regel in der Liste der SSL-Überprüfungsregeln an (die Optionen sind entweder „Anfang der Liste“ oder „Ende der Liste“).

  7. Klicken Sie auf Fertigstellen (Finish).

    Die SSL-Überprüfungsregel wird jetzt zur Sicherheitsrichtlinie hinzugefügt.

  8. Die Benutzer haben folgende Möglichkeiten: eine weitere SSL-Überprüfungsregel zu konfigurieren, eine andere Kategorie der Sicherheitsrichtlinie zu konfigurieren, oder, wenn sie fertig sind, auf die Schaltfläche Veröffentlichen (Publish) klicken, um die Sicherheitsrichtlinie zu veröffentlichen.
  9. Nachdem die Sicherheitsrichtlinie veröffentlicht wurde, kann der Benutzer die Sicherheitsrichtlinie anwenden.

Einfache Umgehung der SSL-Überprüfung/schnelle Ausnahmen

Mit der Funktion „Einfache SSL-Umgehung (Easy SSL Bypass)“ können Benutzer die SSL-Überprüfung für häufig verwendete Webanwendungen umgehen.

Führen Sie die folgenden Schritte aus, um eine SSL-Umgehungsregel mithilfe von „Schnelle Ausnahme“ zu konfigurieren:
  1. Klicken Sie auf der Registerkarte SSL-Überprüfung (SSL Inspection) des Bildschirms Sicherheitsrichtlinien (Security Policies) auf SCHNELLE AUSNAHME HINZUFÜGEN (ADD QUICK EXCEPTION).

    Der Konfigurationsbildschirm Schnelle Ausnahmen (Quick Exceptions) wird angezeigt.

  2. Um die SSL-Überprüfung für bestimmte Domänen oder Subnetz-IP-Bereiche zu umgehen, wählen Sie auf der Seite Ausnahmen auswählen (Select Exceptions) eine oder mehrere Anwendungen aus, die von der SSL-Überprüfung ausgenommen werden sollen, indem Sie die Umschaltfläche aktivieren und auf Weiter (Next) klicken. Wenn Benutzer eine Anwendung auswählen, werden alle mit den ausgewählten Anwendungen verknüpften URLs ebenfalls von der SSL-Überprüfung ausgeschlossen.
  3. Geben Sie im Bildschirm Name, Gründe und Tags (Name, Reasons and Tags) Tags und einen Grund (falls erforderlich) an, warum die Regel für schnelle Ausnahmen erstellt wurde, und klicken Sie auf Fertig stellen (Finish).

    Die Regel für schnelle Ausnahmen (Quick Exception Rule) wird erstellt und auf der Seite mit der Auflistung der SSL-Überprüfungsregeln angezeigt, wie im folgenden Screenshot zu sehen ist.

    Hinweis: Es wird nur eine Regel erstellt, und es können keine zusätzlichen Regeln erstellt werden. Diese Regel wird immer als Regel für schnelle Ausnahmen (Quick Exception Rule) bezeichnet und der Name kann im Assistenten „Schnelle Ausnahme (Quick Exception)“ nicht geändert werden.
    Hinweis: Die Regel ist immer die vorletzte Regel auf der Seite mit der Auflistung der SSL-Überprüfungsregeln und kann schnell durch Klicken auf den Namen Regel für schnelle Ausnahmen (Quick Exception Rule) abgerufen werden. Sobald die Regel für schnelle Ausnahmen hinzugefügt wurde, ändert sich die Name der Schaltfläche Schnelle Ausnahme hinzufügen (Add Quick Exception) in Schnelle Ausnahme (Quick Exception), was darauf hinweist, dass eine vorhandene Regel für schnelle Ausnahmen bearbeitet werden kann, und es können keine zusätzlichen Regeln dieses Typs hinzugefügt werden.