Describe en detalle cómo configurar una regla de inspección de capa de sockets seguros (SSL) para una directiva de seguridad seleccionada.

Antes de empezar

Para configurar una directiva de seguridad, primero los usuarios deben haber creado una directiva de seguridad. Para obtener instrucciones específicas sobre la manera de crear una directiva de seguridad, consulte Crear una directiva de seguridad.

Categoría Inspección de SSL

Debido a que el 90% del tráfico de Internet se cifra, es necesario descifrar el tráfico para inspeccionar lo que hay dentro.
Nota: De forma predeterminada, todo el tráfico se descifra con SSL y, a continuación, se inspecciona para formar la base de una seguridad optimizada.

Sin embargo, una parte del tráfico no admite un intermediario en su tráfico de la manera en que se ejecuta la inspección de SSL. Esto incluye el tráfico donde se utiliza la asignación de certificados, la seguridad de la capa de transporte mutua (Mutual TLS, mTLS) y WebSockets. Para asegurarse de que Cloud Web Security no interrumpa estos tipos de tráfico, los usuarios puede configurar excepciones a esta regla de inspección de SSL predeterminada para que el tráfico omita la inspección de SSL.

Sugerencia: Para obtener una lista de dominios que necesitarán una regla de omisión, consulte Dominios y CIDR en los que se recomienda una regla de omisión de inspección de SSL.
Nota: Cuando se aplica una regla de omisión de SSL, la conexión aún no está descifrada. No se pueden aplicar los datos de conexión interna, como la identidad del usuario o el contenido del archivo. Se aplican las reglas de categoría y dominio, pero las directivas de bloque que se aplican a usuarios, grupos y archivos no se aplican junto con esta directiva de omisión de SSL. Como resultado, se admite el filtrado de URL cuando también se utiliza una regla de omisión de SSL, pero no se admite la aplicación de reglas específicas del usuario.

Para descargar el certificado de CA raíz de SSL, haga clic en Certificado SSL (SSL Termination) en el lado izquierdo del menú Seguridad web de nube (Cloud Web Security) > Configurar (Configure) > Configuración empresarial (Enterprise Settings).

La página Configuración del certificado SSL (SSL Certificate Settings) contiene un certificado de CA de VMware Cloud Web Security descargable que se utiliza para realizar la inspección de SSL. Para descargar el certificado de CA:
  1. Haga clic en el icono del certificado o en el vínculo para la descarga.
  2. Guarde el archivo y anote la ubicación.
  3. Anote la huella digital del certificado, para su validación al importar.

Configurar una regla de inspección de SSL

Si los usuarios desean hacer una excepción a la regla predeterminada y no desean que VMware Cloud Web Security descifre paquetes cifrados con SSL, pueden configurar una regla de inspección de SSL mediante uno de los dos métodos siguientes:

Omisión de SSL manual

El usuario puede configurar manualmente una regla de inspección de SSL basada en el origen, el destino o las categorías de destino realizando los siguientes pasos:
  1. Desplácese hasta Cloud Web Security > Configurar (Configure) > Directivas de seguridad (Security Policies).
  2. Seleccione una directiva de seguridad para configurar la regla de inspección de SSL y, a continuación, haga clic en la pestaña Inspección SSL (SSL Inspection).
  3. En la pestaña Inspección SSL (SSL Inspection) de la pantalla Directivas de seguridad (Security Policies), haga clic en + AGREGAR REGLA (+ ADD RULE) para configurar una regla de excepción de inspección de SSL.

    Se mostrará la pantalla Crear excepción de SSL (Create SSL Exception).

  4. En la pantalla Crear excepción de SSL (Create SSL Exception), los usuarios pueden seleccionar Origen (Source), Destino (Destination) o Categorías de destino (Destination Categories) para elegir el tipo de tráfico que debe omitir la inspección de SSL.

    Por ejemplo, los usuarios puede crear una regla que omita la inspección de SSL en todo el tráfico destinado a zoom.us. Para ello, debe configurar la regla como una regla de destino y, a continuación, elegir el tipo de destino con el host/dominio o la IP de destino, como se muestra en la siguiente pantalla de ejemplo.

  5. Haga clic en el botón Siguiente (Next).
  6. En la pantalla Nombre y etiquetas (Name and Tags), proporcione el nombre de la regla, las etiquetas, un motivo (si es necesario) por el que se creó la regla de omisión y una posición para la regla en la lista de reglas de inspección de SSL (las opciones son "Parte superior de la lista" (Top of List) o "Parte inferior de la lista" (Bottom of List)).

  7. Haga clic en Finalizar (Finish).

    La regla de inspección de SSL se agregará a la directiva de seguridad.

  8. Los usuarios tienen las siguientes opciones: configurar otra regla de inspección de SSL, configurar una categoría de directiva de seguridad diferente o, si completó el proceso, hacer clic en el botón Publicar (Publish) para publicar la directiva de seguridad.
  9. Después de publicar la directiva de seguridad, los usuarios pueden Aplicar la directiva de seguridad.

Excepciones rápidas/Omisión de inspección de SSL sencilla

La función Omisión sencilla de SSL (Easy SSL Bypass) permite a los usuarios omitir la inspección de SSL para las aplicaciones web más utilizadas.

Para configurar una regla de omisión de SSL mediante una Excepción rápida (Quick Exception), realice los siguientes pasos:
  1. En la pestaña Inspección de SSL (SSL Inspection) de la pantalla Directivas de seguridad (Security Policies), haga clic en AGREGAR EXCEPCIÓN RÁPIDA (ADD QUICK EXCEPTION).

    Aparece la pantalla de configuración de Excepciones rápidas (Quick Exceptions).

  2. Para omitir la inspección de SSL en ciertos dominios o rangos de IP de subred, en la página Seleccionar excepciones (Select Exceptions), seleccione una o varias aplicaciones que el usuario desee exceptuar de la inspección de SSL activando el botón de opción y haga clic en Siguiente (Next). Cuando los usuarios seleccionan una aplicación, todas las URL asociadas a las aplicaciones seleccionadas se excluyen de la inspección de SSL.
  3. En la pantalla Nombre, motivos y etiquetas (Name, Reasons and Tags), proporcione etiquetas y un motivo (si es necesario) por el que se creó la regla de excepción rápida y haga clic en Finalizar (Finish).

    Se crea la Regla de excepción rápida (Quick Exception Rule) y aparece en la página de lista de Regla de inspección de SSL (SSL Inspection Rule), como se muestra en la siguiente captura de pantalla.

    Nota: Solo se crea una regla y no se pueden crear reglas adicionales. Esta regla siempre se denomina "Regla de excepción rápida" (Quick Exception Rule) y no se puede cambiar su nombre en el asistente de excepciones rápidas.
    Nota: La regla siempre será de la segunda a la última regla de la página de lista de Regla de inspección de SSL (SSL Inspection Rule) y se puede acceder rápidamente a ella haciendo clic en el nombre de la Regla de excepción rápida (Quick Exception Rule). Una vez que se agrega la regla de excepción rápida, el nombre del botón Agregar excepciones rápidas (Add Quick Exceptions) cambia a Excepción rápida (Quick Exception), lo cual indica que existe una Regla de excepción rápida (Quick Exception Rule) que se puede editar, y no se pueden agregar reglas adicionales de este tipo.