Version 1.17.0 verbessert die Seite Ansicht (Overview), um automatisch für den Druck zu formatieren.

Nachfolgend finden Sie einen Beispielbericht, der in einem Adobe Acrobat Reader geöffnet wurde:

In den Assistenten CASB,Web-Anwendung (Web Application) und DLP und auf den Seiten SaaS-Kopfzeilen-Ausnahmen (SaaS Header Exceptions) und IPs des Unternehmens-Gateways (Corporate Gateway-IPs) kann ein Formular mehrmals gesendet werden, wenn die Schaltfläche Übermitteln (Submit) schnell geklickt wird, während eine Übermittlung bereits ausgeführt wird. Dies macht sich bei einer langsamen Netzwerkkonnektivität stärker bemerkbar.

Das Problem kann beobachtet werden, wenn ein Benutzer zu Cloud Web Security > Konfigurieren (Configure) > SSL-Zertifikat (SSL Certificate) wechselt und dann auf eine der Schaltflächen Zertifikat herunterladen (Download Certificate) auf dieser Seite klickt.

 Mit der Funktion Protokollexport (Log Export) kann ein Kunde nahezu in Echtzeit Protokolle zu Cloud Web Security-Aktivitäten zur Speicherung und Analyse an einen vom Kunden gesteuerten SIEM-Endpoint (Security Information and Event Management) weiterleiten.

Weitere Informationen finden Sie im Abschnitt Protokollexport (Log Export) in der Cloud Web Security-Dokumentation.

Cloud Web Security führt die neue Seite Überwachen (Monitor) > Übersicht (Overview) ein. Dieses Dashboard bietet eine übersichtlichere, leichter zugängliche Darstellung wichtiger Informationen auf einer einzigen Seite und verweist den Benutzer gleichzeitig auf detailliertere Informationen für jede Datenkategorie. Die oberen Diagramme zeigen einem Benutzer die Cloud Web Security-Übersicht Durchgeführte Aktionen (Actions Taken) über den konfigurierten Zeitraum und die aktuelle Regelverteilung (Rules Distribution) für diesen Kunden an.

Darüber hinaus kann ein Benutzer weiter scrollen und auf einen Blick Diagramme für Meistbesuchte Websites (Top Websites Visited), Top-SaaS-Anwendungen (Top SaaS Applications), Aufschlüsselung der Bedrohungen (Threat Breakdown) und Aufschlüsselung der Benutzer (User Breakdown) sehen.

Das Hinzufügen von kommagetrennten Listen ist eine gängige Zeitersparnis beim Konfigurieren von Tags, Domänen, E-Mail-Adressen und ähnlichen Elementen, bei denen ein Eingabefeld mit mehreren Elementen verwendet wird. Bei diesem Problem werden die Kommas von der Benutzeroberfläche ignoriert, und die Liste liefert nur ein Element. Wenn Sie beispielsweise eine Liste von Tags für eine Web Security-Regel einfügen, ist das Ergebnis nur ein einzelnes Tag.

Beim Hinzufügen von Auswahlen zu verschiedenen Listen und Tags in der CWS-Benutzeroberfläche lassen Eingabefelder mit mehreren Elementen keinen Tastaturfokus und keine Manipulation zu. Dies wird häufig für die Eingabe von Tags, Domänen, E-Mail-Adressen oder ähnlichen Elementen verwendet.

Beispiel: Auf dem Bildschirm Ziele auswählen (Select Destinations) kann die Navigation innerhalb dieses Bildschirms und die Auswahl mehrerer Kategorien (Categories) nicht über die Tastatur erfolgen.

Wenn Sie bei der Bearbeitung einer Regel für die URL-Filterung (URL Filtering) mehrmals schnell auf Aktualisieren (Update) im letzten Schritt klicken, kann dies dazu führen, dass der Inhalt der Regel beschädigt wird. Sobald sie beschädigt ist, muss der Benutzer die Regel und ihren Inhalt neu erstellen.

Die Benutzeroberfläche sollte die Richtlinienaktion in Inhaltsüberprüfung (Content Inspection) nur zurücksetzen, wenn ein Benutzer den Kategorietyp zwischen Dateityp (File Type) und Datei-Hash (File Hash) wechselt. Wenn ein Benutzer jedoch den Dateityp auf Überprüfen (Inspect) ändert, setzt die Benutzeroberfläche auch die Richtlinienaktion zurück und der Benutzer muss die Richtlinienaktion manuell wieder auf den vorgesehenen Wert zurücksetzen.

Wenn ein Benutzer das ausführliche SAML-Debugging aktiviert, kann es nicht deaktiviert werden. Außerdem sollte der Status 2 Stunden nach Aktivierung des ausführlichen Debuggings automatisch auf deaktiviert/nein (disabled/No) gesetzt werden, bleibt aber aktiviert/ja (enabled/yes).

Wenn der Benutzer beispielsweise versucht, dasselbe Unternehmens-Gateway ein zweites Mal hinzuzufügen, löst diese Aktion einen Fehler durch die API aus, aber die Benutzeroberfläche zeigt die Fehlermeldung nicht an.

Wenn sich ein Benutzer auf die Tastaturnavigation auf der Benutzeroberfläche verlässt, ist es schwierig, sich auf den angezeigten Wegweiserinhalt zu konzentrieren oder darin zu scrollen.

CASB-Anwendungssymbole werden im Konfigurationsdialogfeld der CASB-Regel und auf der Seite „CASB-Anwendungen (CASB Applications)“ der Benutzeroberfläche nicht geladen.

Zieldomänen werden im Raster „Web-Anwendungsregeln (Web Application rules)“ nicht angezeigt. Stattdessen wird dem Benutzer die Option „Beliebig (Any)“ angezeigt.

Dem Benutzer werden nur Menüs zur Auswahl von Dateitypen für die Optionen „Uploads“ und „Uploads und Downloads (Uploads and Downloads)“ angezeigt. Für den Typ „Herunterladen (Download)“ sind diese Dateitypoptionen ausgeblendet.

Jede Cloud Web Security-Richtlinie beginnt mit einem Satz nicht bearbeitbarer Regeln, die das Standardverhalten angeben. Während es sich hierbei in der Regel um das Standardverhalten „Zulassen (Allow)“ handelt, sollte „Überprüfen (Inspect)“ und nicht „Als „Bereinigt“ markieren (Mark as Clean)“ als Standardverhalten bei der Inhaltsüberprüfung festgelegt sein.

Bei mehr als 21 hinzugefügten Richtlinienregeln schlägt der Versuch, Regeln auf der zweiten oder einer nachfolgenden Seite per Drag & Drop neu anzuordnen, ODER der Versuch, eine Regel von der zweiten oder einer nachfolgenden Seite auf die erste Seite zu verschieben, fehl.

Wenn sich ein Benutzer darüber hinaus auf der zweiten oder einer nachfolgenden Seite der Regeln SaaS-Kopfzeile (SAAS Header), CASB, DLP, Webanwendung (Web Application) oder Websicherheit (Web Security) befindet und versucht, eine oder mehrere Regeln zu verschieben, werden die neu sortierten Regeln vorübergehend korrekt angezeigt. Nach der Aktualisierung wird jedoch wieder die ursprüngliche Reihenfolge angezeigt.

Ein Benutzer kann dieses Problem für eine einzelne Regel umgehen, die auf die erste Seite verschoben werden soll, indem er sie löscht und erneut hinzufügt, wobei er auf der letzten Seite des Assistenten zum Erstellen von Regeln „Anfang der Liste (Top of List)“ oder „Ende der Liste (Bottom of List)“ angibt. Alternativ kann zum Neuordnen einer Regelliste auch ein API-Aufruf anstelle der Orchestrator-Benutzeroberfläche verwendet werden.

Die einzige Möglichkeit, das Steuerelement „Suchen (Search)“ für CASB-Steuerelemente wiederherzustellen, besteht darin, unter „Browseraktion (Browser Action)“ die Option „Blockieren (Block)“ auszuwählen und alle Umschaltflächen zu deaktivieren. Schalten Sie „Blockieren (Block)“ dann erneut um, um alle Instagram-Regeln zuzulassen. Auf diese Weise wird das Steuerelement „Suchen (Search)“ wiederhergestellt, wenn das Umschalten einzelner Steuerelemente nicht funktioniert.

 Wenn auf einem Bildschirm mit Sicherheitsrichtlinienregeln (z. B. SSL-Überprüfung (SSL Inspection)) mit der Tabulatortaste der Fokus auf den Namen einer vorhandenen Regel gesetzt wird, überspringt der Browser-Fokus den Namen der Regel und die einzige Möglichkeit, Zeiten auszuwählen, ist die Verwendung einer Maus/eines Touchpads.

Bei Verwendung eines Bildschirmlesegeräts oder eines Eingabehilfen-Tools wäre es für den Benutzer schwierig, den Teil der Seite mit der Rolle „Haupt“ zu identifizieren, da es keine Überschriften oder Banner gibt, die darauf hinweisen.

Wenn ein Bildschirmlesegerät oder ein Eingabehilfen-Tool verwendet wird, um sich auf Elemente in der linken Navigation zu konzentrieren, sind die resultierenden Beschriftungen verworren und enthalten überflüssige Ankündigungen.

Cloud Web Security bietet Ihnen jetzt die Möglichkeit, einige Regeln für URL-Filterung (URL Filtering) nur innerhalb bestimmter Zeiträume anzuwenden, indem Sie die Funktion Zeitplan (Schedule) verwenden. Diese Funktion wird dem Abschnitt Aktion, Protokoll und Zeitplan (Action, Log and Schedule) hinzugefügt, wenn Sie eine Web Security-Regel mit dem Typ URL-Filterung (URL Filtering) konfigurieren.

Die Zeitplan-Funktion bietet zwei Optionen für den Zeitplantyp (Schedule Type) einer URL-Filterungsregel: Regelmäßig (Periodic) und Einmalig (One-time).

Mit der Option Regelmäßig (Periodic) können Sie einen wöchentlich rotierenden Zeitplan für die Aktivierung Ihrer URL-Filterungsregel konfigurieren. Dieser periodische Zeitplan basiert auf einer globalen Zeitzone, den Wochentagen und einem oder mehreren Start- und Endzeiträumen.

Die Option Einmalig (One-time) legt entweder einen einzelnen Zeitblock mit einem Start- und Ablaufdatum und einer Uhrzeit fest, zu der die Regel aktiv ist, oder ein Startdatum und eine Uhrzeit, ab der die Regel unbegrenzt aktiv ist.

Weitere Informationen finden Sie im Cloud Web Security-Handbuch in der Dokumentation Konfigurieren einer Sicherheitsrichtlinie > Konfigurieren von Web-Sicherheitsregeln > URL-Filterung

Dieses Problem tritt auch auf, wenn zwei Zieldomänen innerhalb derselben Regel dupliziert wurden. Der Fehler ist vage und bietet dem Benutzer keine Hilfe bei der Behebung des Konfigurationsproblems, das die Regelvalidierung verhindert. Ein Benutzer konnte nur innerhalb der SSL-Überprüfungsregeln nach doppelten Domänen, IPs, CIDRs oder IP-Bereichen (einschließlich der Inhalte von Schnellausnahmeregeln) suchen und diese aus allen Regeln bis auf eine entfernen. Jetzt wird eine Fehlermeldung angezeigt, die beschreibt, welche Quellen oder Ziele in Konflikt stehen oder ob es Duplikate in einer Regel selbst gibt.

Cloud Web Security löschte die manuell konfigurierten Benutzer und/oder Gruppen nicht, und die einzige Möglichkeit, dies zu korrigieren, bestand darin, die Option „Alle Benutzer und Gruppen (All Users and Groups)“ zu deaktivieren, dann alle Benutzer und Gruppen manuell zu entfernen und anschließend „Alle Benutzer und Gruppen (All Users and Groups)“ erneut zu aktivieren.

Eine SSL-Regel mit einer ungültigen Regel wird zurückgewiesen, wenn der Benutzer versucht, sie zu speichern. Das Problem ist, dass der Benutzer nicht so weit in den Prozess einsteigen muss, um festzustellen, dass eine SSL-Regel mit einer ungültigen IP-Adresse, IP-CIDR oder Domäne ungültig ist. Der Orchestrator sollte den Benutzer während des Bearbeitungsschritts der SSL-Regel mithilfe des SSL-Regelassistenten warnen.

Filter auf DLP-Wörterbuch- und DLP-Auditor-Seiten wurden nicht für nicht-englische Sprachen lokalisiert. Mit diesem Fix wurden die Zeichenfolgenfilter zu Kontrollkästchenfiltern aufgerüstet, die nicht nur die Sprachprobleme der Lokalisierung beheben, sondern auch die Filterung dieser beiden Abschnitte für die Benutzer erleichtern.

Wenn ein Benutzer früher eine Web Security-Regel konfigurierte, die eine URL-Filterregel enthielt, stand Kunden zum Filtern nach Domänen lediglich die Option Statische Domänenliste (Static Domain List) zur Verfügung, die auf der Orchestrator-Benutzeroberfläche manuell konfiguriert und verwaltet werden musste. Bei einer großen Anzahl an Domänen oder bei häufigen Änderungen dieser Liste erwies sich diese Option als ungeeignet. Ab Version v1.12.0 steht den Kunden nun zusätzlich die Option Dynamische Domänenliste (Dynamic Domain List) zum Filtern nach Domänen zur Verfügung.

Bei dieser Option verweist Cloud Web Security auf eine Textliste mit Domänen im FQDN-Format, die remote an einem vom Kunden festgelegten Speicherort abgelegt werden. Der Speicherort muss für den Dienst öffentlich zugänglich sein. Der Vorteil dieser Option besteht darin, dass Sie eine Domänenliste mit einer großen Anzahl an Domänen erstellen und diese einfach bearbeiten und aktualisieren können. Cloud Web Security kann so konfiguriert werden, dass die Liste der dynamischen Domänen in Abständen von 30 Sekunden bis 24 Stunden überprüft wird.

Weitere Informationen finden Sie in der Dokumentation für Konfigurieren von Web Security-Regeln > URL-Filterung im VMware Cloud Web Security-Konfigurationshandbuch.

Die Funktion SaaS-Kopfzeilen-Einschränkungen (SaaS Header Restrictions) sollte von allen Cloud Web Security-Kunden verwendet werden können. Wenn ein Benutzer mit einer Standardlizenz jedoch auf den Link SaaS-Kopfzeilen-Einschränkungen (SaaS Header Restrictions) klickt, wird er an die Seite Inhaltsüberprüfung (Content Inspection) statt an die gewünschte Seite umgeleitet. Dieses Problem tritt bei Benutzern mit einer erweiterten Lizenz nicht auf.

Obwohl keine Änderungen vorgenommen wurden, wird der Kunde auf der Orchestrator-Benutzeroberfläche dennoch zum Speichern von Änderungen aufgefordert. Dies kann zu Irritationen beim Kunden führen.

In der Regel beschränken Unternehmen Domänennamen oder IP-Adressen zur Verwaltung des Zugriffs. Dieser Ansatz scheitert in Umgebungen, in denen SaaS-Anwendungen (Software-as-a-Service) in einer Public Cloud gehostet und mit gemeinsam genutzten Domänennamen ausgeführt werden. Wird in einem Unternehmen beispielsweise Office 365 eingesetzt, werden Domänennamen wie outlook.office.com und login.microsoftonline.com verwendet. Im Beispiel von Microsoft würde das Blockieren dieser Adressen den Benutzerzugriff auf Outlook im Internet vollständig verhindern, anstatt sie lediglich auf zugelassene Identitäten und Ressourcen zu beschränken.

Die Lösung für dieses Problem besteht darin, den Mandantenzugriff zu beschränken. In Cloud Web Security wird dies mithilfe der Funktion SaaS-Kopfzeilen-Einschränkung erreicht. Mithilfe dieser Funktion können Administratoren Richtlinien zum Einschränken von Mandanten innerhalb von SaaS-Diensten wie Office 365 und G Suite erzwingen. Sie möchten beispielsweise allen Mitarbeitern Zugriff auf das Office 365-Unternehmenskonto gewähren, ihnen den Zugriff auf persönliche Konten jedoch verweigern. Diese Einschränkungen werden durch das Einfügen von HTTP-Headern ermöglicht, in denen die zulässigen Mandanten angegeben sind.

Diese Funktion wird der Seite Cloud Web Security > Konfigurieren (Cloud Web Security > Configure) unter Enterprise-Einstellungen (Enterprise Settings) hinzugefügt:

Ein Kunde kann die SaaS-Kopfzeilenregel konfigurieren und aus einer von sechs vordefinierten Anwendungen auswählen: Office 365 – Enterprise, Office 365 – Verbraucher, G Suite, Slack, YouTube und Dropbox. Jede dieser vordefinierten Anwendungen enthält unterschiedliche Details wie eingeschränkte Domänen und Header. Je nach Anwendung muss der Kunde möglicherweise zusätzliche Eingaben vornehmen, um die Regel abzuschließen.

Der Kunde kann eine benutzerdefinierte Anwendung auch unter der Voraussetzung erstellen, dass die Anwendung Mandanteneinschränkungen über Kopfzeilen unterstützt.

Beispielsweise wird für den Menübegriff Security Policies als Übersetzung Directivas De Seguridad anstelle von Directivas de seguridad angezeigt. Wenn es sich bei einem englischen Menüelement um ein einzelnes Wort handelt und das übersetzte Element aus mehreren Wörtern besteht, schreibt der Orchestrator jedes zusätzliche Wort trotz notwendiger Kleinschreibung groß.

Da die Benutzeroberfläche die Höhe dieser Fußzeile nicht berücksichtigt und in kleineren Browserfenstern der Bildlauf aktiviert wird, verdeckt die Fußzeile andere Inhalte auf den entsprechenden Seiten.

Der Kunde kann den falschen Eindruck erhalten, dass die DLP-Verarbeitung vor der Verarbeitung der Websicherheitsregeln stattfindet. In der korrigierten Version wird die Registerkarte „DLP“ jetzt am Schluss der Verarbeitung und damit an der tatsächlichen Position im Ablauf angezeigt.

Wenn die Schaltfläche Schnelle Ausnahme (Quick Exception) der SSL-Überprüfung in bestimmte nicht englische Sprachen übersetzt wird, erhält ein Benutzer beim Klicken auf die äußeren Ränder der Schaltfläche kein Ergebnis. In der korrigierten Version ist die Schaltfläche Schnelle Ausnahme (Quick Exception) jetzt unabhängig von der Position des Mauszeigers vollständig anklickbar.

Ab Version 11.1.1 weist die Cloud Web Security-Benutzeroberfläche folgende Änderungen im seitlichen Navigationsmenü auf:

• Neuer Abschnitt: Richtlinieneinstellungen

• CASB und DLP wurden zu Richtlinieneinstellungen (Policy Settings) verschoben

• Überprüfungsmodul (Inspection Engine) wurde in Inhaltsüberprüfung (Content Inspection) umbenannt und zu Richtlinieneinstellungen (Policy Settings) verschoben

• Der Abschnitt Zertifikate (Certificates) wurde entfernt

• Authentifizierung (Authentication) wurde in Identitätsanbieter (Identity Provider) umbenannt und zu Enterprise-Einstellungen (Enterprise Settings) verschoben

• SSL-Beendigung (SSL Termination) wurde in SSL-Zertifikat (SSL Certificate) umbenannt und zu Enterprise-Einstellungen (Enterprise Settings) verschoben

• Unternehmens-Gateways (Corporate Gateways) wurde in IPs des Unternehmens-Gateways (Corporate Gateway IPs) umbenannt

Ein Benutzer kann zwei verschiedene Regeln vom Typ Nicht standardmäßige Webports (Non-Standard Web Ports) mit identischem Portwert und unterschiedlichen Ziel-IP-Adressen konfigurieren. Diese Möglichkeit steht Benutzern ab Version 11.1.1 zur Verfügung.

Kunden können Internetdatenverkehr basierend auf der geografischen Region des Inhalts oder des Benutzers blockieren oder zulassen. Diese Funktion wird dem Abschnitt Konfigurieren (Configure) > Sicherheitsrichtlinien (Security Policies) > Web Security hinzugefügt, indem Sie auf die Registerkarte Geo-basiertes Filtern (Geo-Based Filtering) klicken.

Bei der Konfiguration einer Regel vom Typ Geo-basiertes Filtern (Geo-Based Filtering) kann der Benutzer die Benutzer und Gruppen angeben, für die die Regel gelten soll, und dann eine Auswahl in einer Liste mit 251 Ländern und zusätzlichen Optionen für Datenverkehr vom Typ „Unbekannte Länder (Unknown Countries)“, „Anonymer Proxy (Anonymous Proxy)“ und „Satellitenanbieter (Satellite Provider)“ treffen, um sicherzustellen, dass Benutzer die Regeln nicht umgehen können.

Zum Aktualisieren der Informationen (z. B. Web- oder DLP-Protokolle) auf einer Seite vom Typ Überwachen (Monitor) steht dem Benutzer unten auf der Seite des Orchestrators die Schaltfläche Aktualisieren (Refresh) zur Verfügung.

Wenn der Benutzer jedoch auf Aktualisieren (Refresh) klickt, werden die Daten wegen einer grundlegenden Änderung in einer Orchestrator-Komponente nicht aktualisiert.

Symptom: CASB unterstützt nur die Steuerungsoptionen Hochladen (Upload) und Herunterladen (Download) für Google Drive. Daher wird das Steuerelement für Erstellen (Create) aus Version 1.11.0 und höher entfernt.

CASB bietet keine weitere Unterstützung für die Telegram-Anwendung, und die Möglichkeit zum Konfigurieren einer CASB-Regel für diese Anwendung wird mit dieser Version entfernt.

Ein Kunde, der über eine vorhandene CASB-Regel mit Telegram als Zielanwendung verfügt, sollte diese Anwendung entfernen, wenn die entsprechende Cloud Web Security-Version auf 1.11.0 oder höher aktualisiert wird, da die Regel von der Anwendung nicht mehr durchgesetzt wird.

In einer späteren Version entfernt Cloud Web Security die Telegram-Anwendung automatisch aus allen CASB-Regeln und protokolliert diese Aktion als Ereignis.

In VMware Cloud Web Security wird allen Benutzern standardmäßig eine mit VMware gekennzeichnete Sperrseite angezeigt, wenn eine Sicherheitsrichtlinie einem Benutzer den Zugriff auf eine Website oder Cloud-Anwendung verweigert.

Mit der Funktion Anpassbare Sperrseiten (Customizable Block Page) können Benutzer Sperrseiten unter eigener Marke erstellen und anpassen, die dem Benutzer angezeigt werden, wenn der Datenverkehr (Web- oder DLP-Datenverkehr (Data Loss Prevention)) blockiert ist. Mithilfe des Abschnitts Konfigurieren > Seitenanpassung (Configure > Page Customization) des Orchestrators kann ein Cloud Web Security-Administrator Folgendes anpassen:

• Eine von VMware Cloud verwendete Sperrseite zum Antworten auf eine HTTP-Anforderung oder einen Dateiupload, der gegen eine konfigurierte Sicherheitsrichtlinie verstößt.

• Eine von VMware Cloud zurückgegebene Sperrseite, wenn ein Benutzer eine Datei hochlädt, die gegen eine konfigurierte DLP-Regel verstößt.

Weitere Informationen zum Konfigurieren einer benutzerdefinierten Sperrseite finden Sie unter Seitenanpassung.

Beim Erstellen einer DLP-Regel (Data Loss Prevention) werden einem Benutzer falsche Informationen für die QuickInfo „Maximale Dateigröße“ angezeigt. Der in der QuickInfo angegebene Hinweis „Wenn die Größe der hochgeladenen Datei den angegebenen Wert überschreitet, wird die Datei gelöscht und ein Auditor wird informiert (If the uploaded file size is more than the specified value, the file is dropped, and auditor is informed)“ ist falsch. Das Problem wurde behoben, und die QuickInfo wurde folgendermaßen geändert: Überschreitet die Größe der hochgeladenen Datei den angegebenen Wert, wird die Datei nicht von DLP geprüft und kann weitergeleitet werden (If the uploaded file size is more than the specified value, the file is not inspected by DLP and is allowed through).

Cloud Web Security-Webprotokolle enthalten nur den Bedrohungstyp (Threat Type). Die Risikodetails werden nicht angezeigt. Zur verbesserten Überwachung des Webdatenverkehrs durch einen Benutzer sollten zusätzlich zum erkannten Bedrohungstyp (Threat Type) auch die Risikodetails für Schwachstellen angezeigt werden.

Bei der Überprüfung des Browserdatenverkehrs auf Nicht-Browser-Web-Anwendungen stellen Stammkunden möglicherweise einen Fehler fest, wenn sie eine Sicherheitsrichtlinienregel für Nicht-Browser-Web-Anwendungen veröffentlichen. Das Problem ist darauf zurückzuführen, dass der Standardwert nicht für den unterstützten Browser konfiguriert wurde. Dieses Problem tritt bei neuen Kunden nicht auf.

Bisher konnte ein Benutzer eine CWS-Sicherheitsrichtlinienregel konfigurieren, um browserbasierte Webanwendungen wie Chrome, Edge, Firefox, Safari usw. zu überprüfen. Die Regel galt jedoch nicht für Nicht-Browser-Webanwendungen wie Slack oder Dropbox.

Ab Version 1.10.0 hat ein Benutzer die Möglichkeit, Regeln zum Überprüfen des Browserdatenverkehrs für Nicht-Browser-Webanwendungen zu konfigurieren.

Ein Benutzer kann Regeln für Datenverkehr von Nicht-Browser-Webanwendungen anzeigen, hinzufügen und entfernen. So konfigurieren Sie Regeln für eine Nicht-Browser-Webanwendung:

1. Navigieren Sie zu Cloud Web Security > Konfigurieren (Configure) > Sicherheitsrichtlinie (Security Policy), wählen Sie eine vorhandene Richtlinie aus und klicken Sie auf die Registerkarte Webanwendungen (Web Applications).

   
   

2. Klicken Sie auf + REGEL HINZUFÜGEN (+ ADD RULE) und geben Sie alle erforderlichen Details wie Quelltyp, Zieltyp, Anforderungs- und Dateitypen, Aktions- und Protokolldetails ein, um eine neue Nicht-Browser-Webanwendungsregel zu erstellen.

   
   

   Bereich	Beschreibung
   Quelle (Source)	Wählen Sie die Quelle basierend auf IP-Adressen/IP-Bereichen, User Agent oder Browser aus. Hinweis: Pro Regel kann nur ein Quelltyp ausgewählt werden.
   Ziel (Destination)	Wählen Sie das Ziel basierend auf Domäne, IP-Adressen/IP-Bereichen, URL, Kategorie, Thread oder Geostandort aus. Hinweis: Pro Regel kann nur ein Zieltyp ausgewählt werden.
   Anforderungs- und Dateityp (Request And File Type)	Wählen Sie den Anforderungstyp (Uploads, Downloads oder beide) und den Dateityp für die anzuwendende Regel aus. Sie können auch die HTTP-Methode (POST, PUT) für den Upload-Anforderungstyp auswählen. Optional können Sie auch die minimale Dateigröße für die anzuwendende Aktion eingeben.
   Aktion und Protokoll (Action And Log)	Wählen Sie die durchzuführende Aktion („Zulassen“ (Allow) oder „Verweigern“ (Deny)) aus, wenn die Regelkriterien erfüllt sind. Optional können Sie die Protokolle für diese Regel erfassen, indem Sie die Umschaltfläche Protokolle speichern (Capture Logs) aktivieren.
   Name, Grund und Tags (Name, Reason and Tags)	Konfigurieren Sie Name, Tag, Grund und Position für die geobasierten Regeln. Stellen Sie sicher, dass Sie einen eindeutigen Namen für die Regel angeben. Optional können Sie Gründe und Tags für die Regeln hinzufügen, die zum Sortieren und Filtern verwendet werden können. Hinweis: Das Feld Position bezeichnet die Position der Regel in der Liste der Webanwendungsregeln.

3. Klicken Sie auf Fertigstellen (Finish); die neu erstellte Webanwendungsregel wird in der Liste Webanwendung (Web Application) angezeigt. 

   
   

4. Damit die neue Sicherheitsrichtlinienregel wirksam wird, wählen Sie die Regel aus und klicken Sie oben rechts im Bildschirm auf die Schaltfläche Veröffentlichen (Publish).

5. Nachdem die Sicherheitsrichtlinie veröffentlicht wurde, kann der Benutzer die Sicherheitsrichtlinie anwenden.

In früheren Versionen konnte VMware Cloud Web Security den Datenverkehr auf den standardmäßigen Webports 80 und 443 überprüfen. Version 1.9.1 ermöglicht die Überprüfung des Browserdatenverkehrs (HTTP/HTTPS) auf nicht standardmäßigen Webports.

Ein Benutzer kann Portregeln anzeigen, hinzufügen und entfernen, indem er zu Cloud Web Security > Konfigurieren (Configure) > Enterprise-Einstellungen (Enterprise Settings) > Nicht standardmäßige Webports (Non-Standard Web Ports) navigiert.

Um Datenverkehr auf nicht standardmäßigen Webports zuzulassen und zu überprüfen, geben Sie die Portnummer ein. Klicken Sie in der Zeile auf die Schaltfläche „+“, um weitere nicht standardmäßige Webports hinzuzufügen.

Der Benutzer kann vorhandene Regeln bearbeiten oder Regeln entfernen, indem er auf die zugehörige Schaltfläche „-“ klickt. Klicken Sie nach der Bearbeitung auf die Schaltfläche Änderungen speichern (Save Changes).

Wenn es eine Web Security-Regel zum Blockieren einer Bedrohungskategorie oder einer Inhaltskategorie gibt und auf eine Domäne zugegriffen wird, die diesen Kategorien entspricht, wird die Website blockiert. Wenn jedoch auf dieselbe Domäne als Ressource auf einer Webseite zugegriffen wird (z. B. durch Klicken auf einen Link, der eine Datei herunterlädt), wird die Anforderung nicht blockiert.

Webprotokolle, die mit einer Inhaltsüberprüfungsregel übereinstimmen, zeigen an, dass die Standardregel übereinstimmt, aber nie den tatsächlichen Namen der Regel, die auf dem SASE Orchestrator erstellt und konfiguriert wurde.

Wenn eine CASB-Regel zum Blockieren oder Zulassen von YouTube-Downloads vorhanden ist, wird die Regel korrekt angewendet, dies wird jedoch in Webprotokollen als „Dateiupload“ (File Upload) anstelle von „Dateidownload“ (File download) angezeigt, was die Fähigkeit eines Administrators beeinträchtigt, die Aktivität im Unternehmensnetzwerk zu bewerten.

Wenn eine Inhaltsfilterungsregel zum Blockieren von Uploads aller Dateitypen vorhanden ist, blockiert die Regel die Anmeldung bei Microsoft-Anwendungen, für die eine Anmeldung über https://login.microsoftonline.com/ erforderlich ist.

Die CASB-Steuerelemente für die folgenden Microsoft-Anwendungen funktionieren nicht wie erwartet, wenn ein Benutzer eine „Blockieren“-Regel (Block) konfiguriert. Wenn der Benutzer eine dieser Aktionen versucht, wird keine von ihnen blockiert, und der Benutzer kann diese Aktionen erfolgreich durchführen:

• Microsoft Teams: Dateiupload, Erstellen, Löschen

• Microsoft Outlook: Dateiupload, Herunterladen, Löschen

• Microsoft OneDrive: Löschen

• Microsoft OneNote: Herunterladen

Wenn eine Cloud Web Security-Richtlinie erzwungen wird und ein Benutzer auf bestimmte Websites zugreift, wird die Seite aufgrund eines CORS-Problems (Cross-Origin Resource Sharing) möglicherweise nicht geladen. Ein Benutzer würde einen Fehler ähnlich dem folgenden in den Konsolenprotokollen feststellen: „xxxx wurde durch CORS-Richtlinie blockiert: Die Kopfzeile ‚Access-Control-Allow-Origin‘ enthält mehrere Werte ‚*‘“ ("xxxx has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header contains multiple values '*' ").

Wenn eine CASB-Regel zum Blockieren aller Anwendungssteuerelemente für OneDrive vorhanden ist, blockiert die CASB-Regel nicht die Aktionen für SharePoint.

Während Hochladen und Herunterladen für Google Drive blockiert sind, kann jeder Ordner in Google Drive erstellen.

In Version 1.9.1 und höher kann ein Benutzer standardmäßig keinen Ordner in Google Drive erstellen. Für diese Anwendung ist keine Konfigurationsoption mehr erforderlich.

Wenn ein Benutzer in früheren Versionen von Cloud Web Security eine Regel erstellen musste, um die Überprüfung allgemeiner Webanwendungen zu umgehen, musste er manuell eine SSL-Überprüfungsregel erstellen. Durch Hinzufügen der Funktion „Einfache SSL-Umgehung (Easy SSL Bypass)“ kann der Benutzer diese SSL-Überprüfungsregeln schnell erstellen.

Die neue Funktion wird unter Cloud Web Security > Konfigurieren (Configure) > Sicherheitsrichtlinien (Security Policies) auf der Registerkarte SSL-Überprüfung (SSL Inspection) als Schaltfläche Schnelle Ausnahme (Quick Exception) angezeigt.

Wenn Sie auf Schnelle Ausnahme hinzufügen (Add Quick Exception) klicken, wird der Konfigurationsbildschirm Schnelle Ausnahmen (Quick Exceptions) geöffnet, in dem der Benutzer eine oder mehrere Anwendungen auswählt, die von der SSL-Überprüfung ausgenommen werden sollen. Wenn ein Benutzer eine Anwendung auswählt, werden alle mit dieser Anwendung verknüpften URLs von der SSL-Überprüfung ausgenommen.

Wenn Sie die Option „Schnelle Ausnahme (Quick Exception)“ verwenden, wird eine einzelne Regel erstellt, und es können keine zusätzlichen Regeln erstellt werden. Diese Regel wird immer als Regel für schnelle Ausnahmen (Quick Exception Rule) bezeichnet und der Name kann im Assistenten „Schnelle Ausnahme (Quick Exception)“ nicht geändert werden.

Die Regel ist immer die zweite bis letzte Regel im Raster und kann schnell durch Klicken auf den Namen Regel für schnelle Ausnahmen (Quick Exception Rule) abgerufen werden. Sobald die Regel für schnelle Ausnahmen hinzugefügt wurde, ändert sich die Menüoption Schnelle Ausnahme hinzufügen (Add Quick Exception) in Schnelle Ausnahme (Quick Exception), was darauf hinweist, dass eine vorhandene Regel für schnelle Ausnahmen (Quick Exception Rule) bearbeitet werden kann, und es können keine zusätzlichen Regeln dieses Typs hinzugefügt werden.

• Das Feld Region gibt an, welche SASE-PoP für ein Webereignis verwendet wurde. Dadurch kann lokalisiert werden, in welchem Teil der Welt ein Ereignis aufgetreten ist.

• Das Feld Benutzergruppe (User Group) gibt die SAML-Benutzergruppe an, in der eine SAML-Konfiguration verwendet wird.

Zusammen verbessern diese beiden hinzugefügten Felder die Fähigkeit eines Benutzers, den Webdatenverkehr zu überwachen.

In einigen Fällen kann ein Benutzer feststellen, dass eine bösartige Datei heruntergeladen wird, obwohl eine Richtlinie zum Blockieren eines solchen Downloads konfiguriert wurde.

Beim Herunterladen einer kennwortgeschützten Datei von einer beliebigen Website sollte der Benutzer aufgefordert werden, ein Kennwort einzugeben, da dies die Standardaktion beim Filtern von Inhalten ist. Auf OneDrive und Dropbox wird der Dateidownload jedoch ohne Kennwortaufforderung blockiert, und die Datei kann nicht heruntergeladen werden.

Wenn eine CASB-Regel zum Blockieren oder Zulassen von YouTube-Downloads vorhanden ist, wird die Regel korrekt angewendet, dies wird jedoch als „Datei-Upload (File Upload)“ anstelle von „Dateidownload (File download)“ angezeigt, was die Fähigkeit eines Administrators beeinträchtigt, die Aktivität im Unternehmensnetzwerk zu bewerten.

Wenn ein Benutzer eine CASB-Regel erstellt und anwendet, die Browseraktionen zulässt, während alle Anwendungssteuerelemente blockiert werden, und sich dann bei OneDrive anmeldet und alle Aktionen ausprobiert, die blockiert werden sollen, wird keine von ihnen blockiert. Zu den Aktionen, die nicht blockiert werden, gehören das Erstellen und Löschen von Ordnern.

Wenn eine CASB-Regel für Microsoft O365 Outlook zum Blockieren, Löschen, Herunterladen, Hochladen oder Suchen vorhanden ist und der Benutzer versucht, eine dieser Aktionen in Microsoft O365 Outlook auszuführen, wird keine dieser Aktionen blockiert.

Bei diesem Problem zeigen die Protokolle nur Richtlinien-Header (bei denen es sich nur um Identifikationscodes handelt) an, die eine Webanforderung ausführen, anstatt explizit anzugeben, welche Richtlinie aufgerufen wird. Die einzige Möglichkeit, wie ein Benutzer ermitteln konnte, welche Richtlinie verwendet wird, bestand darin, die Richtlinienkopfzeile zu verwenden und dann die Registerkarte „Netzwerk“ zu öffnen, um diese Richtlinienkopfzeile den Richtliniennamen zuzuordnen.

Wenn eine CASB-Regel zum Blockieren von Uploads und Downloads auf Microsoft O365 SharePoint oder Microsoft Word vorhanden ist und der Benutzer versucht, eine Word-Datei in oder von SharePoint hoch- oder herunterzuladen, werden die Upload- und Download-Aktionen nicht blockiert.

Die Webproxy-Funktion von VMware Cloud Web Security wurde entwickelt, um die eigenständige Verwendung des Cloud Web Security-Diensts ohne VMware SD-WAN oder VMware Secure Access zu ermöglichen. Jedes Gerät mit einem modernen Browser, das eine Netzwerk-Proxy-Konfiguration entweder manuell oder automatisch über eine PAC-Datei (Proxy Auto-Configured) unterstützen kann, kann seinen Webdatenverkehr zur Sicherheitsüberprüfung an den Cloud Web Security-Dienst umleiten lassen.

Version 1.6.1 bietet die Möglichkeit, Sicherheitsrichtlinien zu klonen, die auch als Sicherung gespeichert werden können.

Diese Funktion umfasst auch Klonfunktionen für verschiedene Regeltypen innerhalb einer Sicherheitsrichtlinie, z. B.: SSL-Überprüfung, CASB, DLP und Websicherheit.

Beim Erstellen von Cloud Web Security-Regeln sieht der Benutzer Dateikategorien, „Weitere Downloads (Other Downloads)“ und „Andere Dokumente (Other Documents)“, die nicht klar sind, was sie betreffen. Dieses Problem wurde behoben, indem die Mehrdeutigkeit reduziert wird, indem „Weitere Downloads (Other Downloads)“ in „Andere Dateien und Dokumente (Other Files and Documents)“ und „Andere Dokumente (Other Documents)“ in „Sonstige Dokumente (Miscellaneous Documents)“ umbenannt wird.

Wenn ein Benutzer eine CASB-Regel für die Anwendung „Mega“ erstellt, um Uploads und Downloads zu blockieren, und sich dann bei mega.io anmeldet und versucht, eine Datei hoch- oder herunterzuladen, stellt der Benutzer fest, dass Datei-Uploads ordnungsgemäß blockiert werden, Downloads jedoch nicht.

Unabhängig davon, ob eine CASB-Regel zum Blockieren von Downloads von Gmail-Anhängen konfiguriert ist oder nicht, wenn ein Benutzer versucht, einen Gmail-Anhang nur durch Klicken auf das Download-Symbol für den Anhang herunterzuladen, wird der Download blockiert, aber es wird kein Protokoll aufgezeichnet. Dieses Problem tritt nicht auf, wenn der Benutzer versucht, den Anhang auf einer neuen Registerkarte herunterzuladen.

Wenn eine Regel zur Inhaltsfilterung vorliegt, um Uploads und Downloads von Malware-Dateien zu blockieren, werden einige Dateien blockiert und einige Dateien nicht blockiert.

Wenn eine DLP-Regel zum Blockieren von Texteingaben vorhanden ist, die mit einem Wörterbuch übereinstimmen, und wenn Nachrichten auf Linkedin gesendet werden, die mit dem Wörterbuch übereinstimmen, wird die Mail nicht blockiert.

Wenn ein Benutzer eine CASB-Regel erstellt, um YouTube-Downloads zu blockieren, und dann versucht, ein Video auf YouTube herunterzuladen, wird der Download nicht blockiert.

Wenn eine CASB-Regel zum Blockieren von Aktionen wie der Suche vorhanden ist, wird die Suchfunktion in der Anwendung blockiert. Wenn nun die URL im Browser die Suchparameter aufweist und die Seite aktualisiert wird, werden die Suchergebnisse nicht blockiert.

Eine Regel zur Inhaltsfilterung zum Blockieren des Downloads von „Alle Dateien (All Files)“ (die alle Bildformate enthalten sollten) blockiert JPEG-Downloads nicht. Ohne den Fix besteht die Problemumgehung darin, eine benutzerdefinierte Dateitypoption zu verwenden und die Dateierweiterungen hinzuzufügen, die blockiert werden sollen (z. B. JPEG).

Dateien mit den Erweiterungen .doc, .docx, .ppt und .pptx werden auf G-Drive nicht blockiert, selbst wenn der Dateiinhalt mit einer DLP-Regel übereinstimmt.

Ein Benutzer könnte eine Regel konfigurieren, um alle Bedrohungskategorien mit einer URL-Filterregel zu blockieren, und einige Sites, die als fehlerhaft kategorisiert werden sollten, werden nicht blockiert.

Wenn eine Sicherheitsregel vorhanden ist, die nur auf Benutzer in der angegebenen Gruppe angewendet werden soll, wird sie nicht erzwungen. Dies führt dazu, dass alle Regeln, die auf die Benutzer in der Gruppe angewendet werden sollen, nicht angewendet werden.

Die CASB-Steuerungsrichtlinie, die das Browsen zur Microsoft Teams-Webanwendung zulässt, aber die alle anderen Aktionen blockiert, hindert Benutzer nicht daran, Inhalte zu veröffentlichen.

• Bei der Anwendung einer Regel zum Blockieren von „Alle Dokumente (All Documents)“ stellt ein Benutzer fest, dass nicht nur Dokument-Uploads blockiert sind, sondern auch Datei- und Archiv-Uploads.

• Wenn eine Regel zum Blockieren von „Alle Dateien (All Files)“ angewendet wird, stellt ein Benutzer fest, dass nicht nur Datei-Uploads blockiert sind, sondern auch Dokument- und Archiv-Uploads blockiert werden.

Die Orchestrator-Benutzeroberfläche hatte keine Option, um dem Benutzer das Ein- und Ausschalten der Ressourcenprotokolle zu ermöglichen, damit er besser weitere Neuzuordnungsprotokolle identifizieren konnte.

Die Registerkartenkomponente ist aufgrund der Art und Weise, wie Registerkarten deaktiviert und ausgeblendet wurden, in einen ungültigen Zustand übergegangen.

Es gibt ein Problem im Orchestrator-Back-End, das dazu führt, dass die Benutzeroberfläche die vordefinierten DLP-Wörterbücher nicht abrufen kann. Dieses Problem wirkt sich nicht auf kundendefinierte Wörterbücher aus und wird ordnungsgemäß geladen.

Diese fehlende Transparenz für die CASB-Funktion umfasst Folgendes:

• Das Menüelement Konfigurieren (Configure) > CASB und Ansicht. 

• Das Menüelement Überwachen (Monitor) > CASB-Analyse (CASB Analysis) und Ansicht.

• Die API, die diese bestimmten Komponenten verwenden.

Zu den Problemen, auf die Benutzer beim Konfigurieren von Single Sign-On im Cloud Web Security-Dienst stoßen können, gehören:

• Zertifikatsfehler werden auf der Hauptseite „Authentifizierung (Authentication)“ statt auf der Seite „Zertifikat (Certificate)“ angezeigt.

• Ein Benutzer kann gelegentlich ein ungültiges Zertifikat speichern.

• Beim Ändern eines Zertifikats können in bestimmten Fällen die anderen Werte im Authentifizierungsformular zurückgesetzt werden.

• Bei einzelnen Feldern werden keine Validierungsnachrichten im jeweiligen Feld angezeigt.

• Beim Speichern der Seite „Authentifizierung (Authentication)“ wird auf der Orchestrator-Benutzeroberfläche kein Drehfeld zur Angabe des Fortschritts angezeigt.

• • In der QuickInfo „Ausführliches Debugging (Verbose Debugging)“ wird „t+2hrs“ anstelle der tatsächlichen Uhrzeit angezeigt. In bestimmten Sprachen wird die Bezeichnung des Single Sign-On-Umschalters in mehrere Zeilen umgebrochen.

• • Das Layout der Fußzeile Änderungen speichern (Save Changes) wird auf kleinen Bildschirmen falsch dargestellt.

Alle aufgelisteten Probleme wurden mit dem Fix für #91054 behoben.

Sowohl der Konfigurationsassistent als auch die API akzeptieren für eine SSL-Überprüfungsregel keine CIDR-IP in der Quelle, und der Fix behebt dieses Problem.

Das Problem wird dadurch verursacht, dass der Cloud Web Security-Back-End-Server einen konfigurationsbasierten Wert ablehnt, der während der Verwendung des Assistenten eingegeben wurde, und das Ergebnis ist, dass die Schaltfläche „Beenden/Aktualisieren (Finish/Update)“ nicht mehr reagiert, sobald dieser Validierungsfehler empfangen wird.

Die Regeln für die Inhaltsfilterung überschreiben die konfigurierte bereitgestellte Domäne, wenn der Benutzer auch ALLE (ALL) für Kategorien ausgewählt hat. Wenn der Benutzer alternativ KEINE (NONE) für Kategorien auswählt, wurde diese Auswahl vom Assistenten standardmäßig auf ALLE Kategorien gesetzt, weshalb die Domänen hier ebenfalls nicht berücksichtigt wurden. Dies wird durch ein Problem im Assistenten für die Inhaltsfilterung und in der API verursacht. Wenn der Benutzer mindestens eine Kategorie konfiguriert, wird die Domäne berücksichtigt.

Auf einem Orchestrator ohne diesen Fix muss der Benutzer bestimmte Kategorien zusammen mit Domänen konfigurieren, die dann vom Orchestrator bei der Inhaltsfilterung berücksichtigt werden.

Unter CASB-Sichtbarkeit kann ein Benutzer beobachten, dass die Orchestrator-Benutzeroberfläche ein Zertifikat als abgelaufen auflistet, wenn das Zertifikat noch gültig ist und erneuert wird, wenn es tatsächlich abgelaufen ist. Das andere Problem besteht darin, dass zahlreiche Anwendungen unter Anwendungsdetails (Application Details) als „Gegründet in 1970 (Founded in 1970)“ angezeigt werden, wenn die Anwendung deutlich aktueller ist.