In diesem Abschnitt wird beschrieben, wie Sie eine Sicherheitsrichtlinie für VMware Cloud Web Security konfigurieren.

Bevor Sie beginnen:

Um eine Sicherheitsrichtlinie zu konfigurieren, müssen die Benutzer zunächst eine Sicherheitsrichtlinie erstellen. Spezifische Anweisungen zum Erstellen einer Sicherheitsrichtlinie finden Sie unter Erstellen einer Sicherheitsrichtlinie.

Über diese Aufgabe:

In diesem Abschnitt erfahren die Benutzer, wie sie die Sicherheitsrichtlinie konfigurieren, die im Abschnitt Erstellen einer Sicherheitsrichtlinie erstellt wurde. Beim Erstellen einer Sicherheitsrichtlinie können die Benutzer die folgenden Regelkategorien konfigurieren: Secure Sockets Layer (SSL)-Überprüfung, Cloud Access Security Broker (CASB), Verhinderung von Datenverlust (Data Loss Prevention, DLP), Websicherheit und Webanwendung.

Beim Erstellen einer Regel für die Web-Sicherheitsrichtlinie können Benutzer Folgendes konfigurieren: URL-Filterung, Geo-basiertes Filtern, Inhaltsfilterung und Inhaltsüberprüfung.

Hinweis: Durch das Konfigurieren einer dieser Kategorien setzen Benutzer die Standardregeln außer Kraft.
Tipp: Best Practice: Blockieren oder Deaktivieren des QUIC-Protokolls

Google hat das QUIC-Protokoll (Quick UDP Internet Connections) entwickelt, um die Leistung von HTTPS- und HTTP-Verbindungen (TCP 443 und TCP 80) zu erhöhen. Chrome-Browser verfügen seit 2014 über experimentelle Unterstützung für dieses Protokoll, das auch von Chromium-basierten Browsern (z. B. Microsoft Edge, Opera und Brave) unterstützt und auf Android-Geräten verwendet wird.

QUIC-Verbindungen erfordern keine TCP-Handshakes. Für die SSL-Überprüfung sind jedoch TCP-Sitzungsinformationen erforderlich, und Cloud Web Security führt standardmäßig eine SSL-Überprüfung durch (sofern nicht explizit eine Umgehungsregel konfiguriert wurde, um dies zu verhindern). Cloud Web Security kann daher keine QUIC-Sitzungen überprüfen, in denen eine SSL-Überprüfung durchgeführt wird. In solchen Fällen, in denen QUIC aktiviert ist und eine SSL-Überprüfung durchgeführt wird, kann dies dazu führen, dass eine Richtlinie während einer Benutzersitzung nicht angewendet wird.

Es wird empfohlen, das QUIC-Protokoll für den Browser entweder zu blockieren oder zu deaktivieren, um sicherzustellen, dass Cloud Web Security-Richtlinien durchgängig angewendet werden.

Wenn Sie QUIC blockieren möchten, konfigurieren Sie Ihren Browser oder Ihre Firewall so, dass UDP 443 und UDP 80 blockiert werden, da diese Ports vom QUIC-Protokoll verwendet werden. Wenn das QUIC-Protokoll blockiert wird, kann QUIC als Ausfallsicherung auf TCP zurückgreifen. Dies aktiviert eine SSL-Überprüfung, ohne die Benutzererfahrung negativ zu beeinträchtigen.

Wenn Sie QUIC in einem Chromium-Browser deaktivieren möchten, lesen Sie die Dokumentation für den entsprechenden Browser.

So deaktivieren Sie QUIC in einem Chrome-Browser:

  1. Öffnen Sie Chrome.
  2. Geben Sie in die Adressleiste die Zeichenfolge „chrome://flags“ ein.
  3. Geben Sie in die Suchleiste die Zeichenfolge „quic“ ein.
  4. Klicken Sie auf das Dropdown-Menü und wählen Sie „Deaktiviert“ (Disabled) aus.
  5. Wenn „Standard“ (Default) ausgewählt ist, versucht Chrome QUIC zu verwenden.
  6. Wenn Sie dazu aufgefordert werden, klicken Sie auf „Jetzt neu starten“ (Relaunch Now), um Chrome neu zu starten und Ihre Änderungen zu übernehmen.
Eine aufgezeichnete Demonstration der Deaktivierung von QUIC in Chrome finden Sie in dem Video Blockieren von QUIC zur Aktivierung der SSL-Überprüfung (Blocking QUIC to Enable SSL Inspection).

Verfahren:

So konfigurieren Sie eine Sicherheitsrichtlinie:
  1. Klicken Sie auf der Seite „Sicherheitsrichtlinien (Security Policies)“ der neuen Benutzeroberfläche des VMware SD-WAN Orchestrator auf den Namen der Sicherheitsrichtlinie, die konfiguriert werden soll.

    Der Bildschirm Sicherheitsrichtlinien (Security Policies) für die ausgewählte Richtlinie wird angezeigt.

  2. Auf der Seite mit den ausgewählten Sicherheitsrichtlinien können Benutzer Regeln aus den folgenden Regelkategorien konfigurieren: SSL-Überprüfung, Cloud Access Security Broker (CASB), Websicherheit, Webanwendung und Verhinderung von Datenverlust (Data Loss Prevention, DLP).
    Wichtig: Standardmäßig verfügt eine Sicherheitsrichtlinie über die Regeln „Alle zulassen“ und „Alle entschlüsseln“. Durch die Konfiguration einer der fünf oben aufgeführten Regelkategorien setzen die Benutzer die Standardregeln außer Kraft und erstellen eine Richtlinie, die aus ihren eigenen Regeln besteht.

    Eine vollständige Beschreibung der Konfiguration von Regeln für jede Kategorie finden Sie unter:
  3. Klicken Sie nach der Konfiguration der Sicherheitsrichtlinie auf die Schaltfläche Veröffentlichen (Publish), um die Sicherheitsrichtlinie zu veröffentlichen.
  4. Klicken Sie im Popup-Dialog Richtlinie veröffentlichen (Publish Policy) auf die Schaltfläche Ja (Yes), um die Richtlinie zu veröffentlichen.

    Oben auf dem Bildschirm wird ein grünes Banner angezeigt, das darauf hinweist, dass die Sicherheitsrichtlinie veröffentlicht wird.

    Hinweis: Eine Sicherheitsrichtlinie kann jederzeit während des Konfigurationsvorgangs veröffentlicht werden und wird jedes Mal neu veröffentlicht, wenn der Benutzer sie neu konfiguriert.

Nächste Schritte: