En esta sección se explica cómo utilizar la función Cloud Access Security Broker (CASB) para el servicio de Cloud Web Security.

Descripción general

La función Cloud Access Security Broker (CASB) proporciona visibilidad y control sobre las actividades del usuario al acceder a las aplicaciones SaaS.

La función CASB incluye las siguientes prestaciones:

Visibilidad de aplicaciones (Application Visibility) (parte de los paquetes de Cloud Web Security Standard Edition y Advanced Edition): un cliente tiene la capacidad de ver las diferentes aplicaciones SaaS a las que acceden los usuarios dentro de su red. Para cada aplicación, un cliente que utiliza la visibilidad de aplicaciones de CASB puede observar lo siguiente:

  • La puntuación de riesgo para cada aplicación.
  • El número de veces que los usuarios han accedido a una aplicación.
  • La categoría de la aplicación.

Control de aplicaciones (Application Control) (solo parte del paquete de Cloud Web Security Advanced Edition): un cliente tiene la capacidad de controlar acciones específicas que se pueden realizar en cada aplicación SaaS.

Los controles predefinidos listos para usar están disponibles para todas las aplicaciones SaaS con controles específicos de aplicaciones proporcionados a nivel de aplicación. Estos controles pueden personalizarse y configurarse por aplicación y según el usuario y el grupo de usuarios.

Para cada aplicación, un cliente que utiliza el control de aplicaciones de CASB puede controlar:

  • El acceso inicial al sitio de la aplicación (permitirlo o bloquearlo).
  • Acciones adicionales como iniciar sesión, cargar/descargar contenido, buscar, editar, compartir, crear, eliminar, hacer "me gusta" o publicar.

Los clientes pueden ver las acciones disponibles actualmente para las aplicaciones que desean controlar.

Requisitos previos

Los usuarios necesitan lo siguiente para acceder a la función Cloud Access Security Broker (CASB) con Cloud Web Security:
  1. Una empresa de cliente en una instancia de VMware Cloud Orchestrator de producción con Cloud Web Security activado.
  2. Las Instancias de SD-WAN Edge del cliente, los PoP de SASE y Orchestrator deben utilizar la versión 4.5.0 o posterior.
  3. La visibilidad de la aplicación CASB se puede utilizar para todos los clientes de Cloud Web Security que tengan un paquete Standard o Advanced.
  4. Para acceder al control de aplicaciones CASB, un cliente debe tener un paquete de Cloud Web Security Advanced.
    Si los usuarios acceden a Cloud Web Security > Configurar (Configure) > Directivas de seguridad (Security Policies) y hacen clic en una directiva existente o crean una nueva directiva, la pestaña de CASB incluirá un icono de candado. Esto indica que solo se permite la visibilidad de CASB con la licencia Standard Edition y que para crear directivas de control CASB se requiere la licencia de Advanced Edition.
  5. Opcional: un proveedor de identidad (IdP) si el cliente tiene pensado tener reglas basadas en usuarios. Para obtener más información sobre cómo configurar Workspace ONE o Azure Active Directory (AD) como proveedor de identidad, consulte las guías respectivas en la página de las Guías de inicio de sesión (SAML).

Flujo de trabajo de configuración de CASB

Después de haber cubierto las dos prestaciones clave Visibilidad (Visibility) y Control de aplicaciones (Application Control) que componen la función CASB, esta sección abarcará el flujo de trabajo de CASB.

Crear, configurar y aplicar una directiva de seguridad

Para obtener más información sobre Crear (Creating), Configurar (Configuring) o Aplicar (Applying) una Directiva de seguridad (Security Policy) para el servicio de Cloud Web Security, consulte la documentación correspondiente en la Guía de configuración de Cloud Web Security.

Configuración de CASB: visibilidad de la aplicación

Después de asociar una directiva de seguridad a un segmento de cliente, el tráfico de los dispositivos de endpoint detrás de SD-WAN Edge o que entra a través de los clientes de Secure Access se inspecciona y supervisa si pasa a través de la directiva de Cloud Web Security.

  1. En la interfaz de usuario de VMware SASE Orchestrator, desplácese hasta Cloud Web Security > Configurar (Configure) > Configuración de directivas (Policy Settings) > CASB.
  2. La página Configuración de CASB (CASB Settings) proporciona una lista de aplicaciones que coinciden con una regla de directiva de seguridad y que están ordenadas de forma predeterminada por el número de acceso más alto (el número de veces que se ha accedido a una aplicación en particular dentro del período de tiempo especificado).
    • Cada aplicación también tendrá una puntuación de riesgo asociada: baja (1-3), media (4-6) o alta (7-9).
    • La tabla Aplicaciones (Applications) se puede ordenar por nombre de aplicación, nombre de categoría, número de veces que se accedió o puntuación de riesgo, haciendo clic en el encabezado de columna. O bien, al hacer clic en el icono para ordenar una columna, los usuarios pueden buscar un término o un número en particular en esa columna.
    • La página Configuración de CASB (CASB Settings) muestra de forma predeterminada 20 aplicaciones por página; los usuarios pueden desplazarse hasta la parte inferior de la página y especificar un máximo de 100 aplicaciones por página. Los usuarios también pueden seleccionar una nueva página de aplicaciones haciendo clic en uno de los iconos de flecha o especificando una página concreta en el cuadro de texto.
    • Cuanto más tráfico pase a través del servicio de Cloud Web Security, la lista de aplicaciones puede cambiar en función de los sitios web que se visitan. Estos cambios pueden incluir el orden de las aplicaciones, el número de aplicaciones, los eventos de acceso y la puntuación de riesgo.

Crear y aplicar una regla de control CASB

Para crear y aplicar una regla de control CASB, consulte Configurar reglas de Cloud Access Security Broker.

Comprobar que una regla CASB funciona

Después de publicar la directiva de seguridad con la regla de control CASB, vaya a un sitio web afectado por la regla y pruebe las funciones de control para confirmar que funciona según lo esperado. Para comprobar que las aplicaciones tienen configurados controles CASB, utilice la página Cloud Web Security > Supervisar (Monitor) > Registros web (Web Logs). Por ejemplo, en una instancia en la que los usuarios intentaron iniciar sesión en el sitio web WeTransfer y se bloqueó según la regla de control CASB publicada. Los registros web muestran el intento de inicio de sesión bloqueado.

Supervisar CASB

  1. Desplácese hasta Cloud Web Security > Supervisar (Monitor) > Análisis CASB (CASB Analysis).
  2. En la página Análisis CASB (CASB Analysis), los usuarios pueden ver una selección de gráficos de barras para categorías principales, aplicaciones principales, usuario principal y principales cargas por aplicación.
  3. Registros web (Web Logs): desde la página Cloud Web Security > Supervisar (Monitor) > Registros web (Web Logs), los usuarios pueden obtener muchos detalles acerca de los eventos de acceso de las aplicaciones. Para cualquier evento de aplicación CASB, el usuario puede hacer clic en la burbuja asociada con esa entrada de registro para ver los Detalles de la entrada de registro (Log Entry Details) completos.