In diesem Abschnitt wird detailliert beschrieben, wie Sie eine SSL-Überprüfungsregel (Secure Sockets Layer) für eine ausgewählte Sicherheitsrichtlinie konfigurieren.
Bevor Sie beginnen
Um eine Sicherheitsrichtlinie zu konfigurieren, müssen die Benutzer zunächst eine Sicherheitsrichtlinie erstellen. Spezifische Anweisungen zum Erstellen einer Sicherheitsrichtlinie finden Sie unter Erstellen einer Sicherheitsrichtlinie.
Kategorie SSL-Überprüfung
Teile des Datenverkehrs sollten jedoch nicht über eine weitere Station (Man in the Middle) weitergeleitet werden, wie es bei der SSL-Überprüfung der Fall ist. Dazu gehört Datenverkehr, der Zertifikats-Pinning, Mutual TLS (mTLS) und einige WebSockets verwendet. Um sicherzustellen, dass Cloud Web Security diese Art von Datenverkehr nicht unterbricht, kann ein Benutzer Ausnahmen zu dieser Standardregel für die SSL-Überprüfung konfigurieren, die es dem Datenverkehr erlauben würden, die SSL-Überprüfung zu umgehen.
Das SSL-Root-CA-Zertifikat kann durch Klicken auf SSL-Zertifikat (SSL Certificate) auf der linken Seite des Menüs Cloud Web Security > Konfigurieren (Configure) > Enterprise-Einstellungen (Enterprise Settings) heruntergeladen werden.
- Klicken Sie zum Herunterladen auf das Zertifikatsymbol oder den Link.
- Speichern Sie die Datei und notieren Sie sich den Speicherort.
- Notieren Sie sich den Fingerabdruck des Zertifikats für die Validierung beim Import.
Konfigurieren einer SSL-Überprüfungsregel
Manuelle SSL-Umgehung
- Navigieren Sie zu .
- Wählen Sie eine Sicherheitsrichtlinie aus, um die SSL-Überprüfungsregel zu konfigurieren, und klicken Sie dann auf die Registerkarte SSL-Überprüfung (SSL Inspection).
- Klicken Sie auf der Registerkarte SSL-Überprüfung (SSL Inspection) des Bildschirms Sicherheitsrichtlinien (Security Policies) auf + REGEL HINZUFÜGEN (+ ADD RULE), um eine Ausnahmeregel für die SSL-Überprüfung zu konfigurieren.
Der Bildschirm SSL-Ausnahme erstellen (Create SSL Exception) wird angezeigt.
- Im Bildschirm SSL-Ausnahme erstellen (Create SSL Exception) können Benutzer wählen, welche Art von Datenverkehr die SSL-Überprüfung umgehen soll, indem sie entweder Quelle (Source), Ziel (Destination) oder Zielkategorien (Destination Categories) auswählen.
Beispielsweise können Benutzer eine Regel erstellen, die die SSL-Überprüfung für den gesamten für zoom.us bestimmten Datenverkehr umgeht, indem sie die Regel als Zielregel konfigurieren und dann den Zieltyp entweder nach Ziel-IP oder Host/Domäne auswählen, wie im folgenden Beispielbildschirm gezeigt.
- Klicken Sie auf die Schaltfläche Weiter (Next).
- Geben Sie im Bildschirm Name und Tags (Name and Tags) den Regelnamen, Tags, einen Grund (falls erforderlich) für die Erstellung der Umgehungsregel und eine Position für die Regel in der Liste der SSL-Überprüfungsregeln an (die Optionen sind entweder „Anfang der Liste“ oder „Ende der Liste“).
- Klicken Sie auf Fertigstellen (Finish).
Die SSL-Überprüfungsregel wird jetzt zur Sicherheitsrichtlinie hinzugefügt.
- Die Benutzer haben folgende Möglichkeiten: eine weitere SSL-Überprüfungsregel zu konfigurieren, eine andere Kategorie der Sicherheitsrichtlinie zu konfigurieren, oder, wenn sie fertig sind, auf die Schaltfläche Veröffentlichen (Publish) klicken, um die Sicherheitsrichtlinie zu veröffentlichen.
- Nachdem die Sicherheitsrichtlinie veröffentlicht wurde, kann der Benutzer die Sicherheitsrichtlinie anwenden.
Einfache Umgehung der SSL-Überprüfung/schnelle Ausnahmen
Mit der Funktion „Einfache SSL-Umgehung (Easy SSL Bypass)“ können Benutzer die SSL-Überprüfung für häufig verwendete Webanwendungen umgehen.
- Klicken Sie auf der Registerkarte SSL-Überprüfung (SSL Inspection) des Bildschirms Sicherheitsrichtlinien (Security Policies) auf SCHNELLE AUSNAHME HINZUFÜGEN (ADD QUICK EXCEPTION).
Der Konfigurationsbildschirm Schnelle Ausnahmen (Quick Exceptions) wird angezeigt.
- Um die SSL-Überprüfung für bestimmte Domänen oder Subnetz-IP-Bereiche zu umgehen, wählen Sie auf der Seite Ausnahmen auswählen (Select Exceptions) eine oder mehrere Anwendungen aus, die von der SSL-Überprüfung ausgenommen werden sollen, indem Sie die Umschaltfläche aktivieren und auf Weiter (Next) klicken. Wenn Benutzer eine Anwendung auswählen, werden alle mit den ausgewählten Anwendungen verknüpften URLs ebenfalls von der SSL-Überprüfung ausgeschlossen.
- Geben Sie im Bildschirm Name, Gründe und Tags (Name, Reasons and Tags) Tags und einen Grund (falls erforderlich) an, warum die Regel für schnelle Ausnahmen erstellt wurde, und klicken Sie auf Fertig stellen (Finish).
Die Regel für schnelle Ausnahmen (Quick Exception Rule) wird erstellt und auf der Seite mit der Auflistung der SSL-Überprüfungsregeln angezeigt, wie im folgenden Screenshot zu sehen ist.
Hinweis: Es wird nur eine Regel erstellt, und es können keine zusätzlichen Regeln erstellt werden. Diese Regel wird immer als Regel für schnelle Ausnahmen (Quick Exception Rule) bezeichnet und der Name kann im Assistenten „Schnelle Ausnahme (Quick Exception)“ nicht geändert werden.Hinweis: Die Regel ist immer die vorletzte Regel auf der Seite mit der Auflistung der SSL-Überprüfungsregeln und kann schnell durch Klicken auf den Namen Regel für schnelle Ausnahmen (Quick Exception Rule) abgerufen werden. Sobald die Regel für schnelle Ausnahmen hinzugefügt wurde, ändert sich die Name der Schaltfläche Schnelle Ausnahme hinzufügen (Add Quick Exception) in Schnelle Ausnahme (Quick Exception), was darauf hinweist, dass eine vorhandene Regel für schnelle Ausnahmen bearbeitet werden kann, und es können keine zusätzlichen Regeln dieses Typs hinzugefügt werden.