En esta sección, se describe la forma de configurar una directiva de seguridad para VMware Cloud Web Security.
Antes de comenzar:
Para configurar una directiva de seguridad, primero los usuarios deben haber creado una directiva de seguridad. Para obtener instrucciones específicas sobre la manera de crear una directiva de seguridad, consulte Crear una directiva de seguridad.
Acerca de esta tarea:
En esta sección, los usuarios aprenderán a configurar la directiva de seguridad que se creó en la sección titulada Crear una directiva de seguridad. Al crear una directiva de seguridad, las siguientes son las categorías de reglas que los usuarios pueden configurar: inspección de capa de sockets seguros (SSL), agente de seguridad de acceso a la nube (CASB), prevención de pérdida de datos (DLP), seguridad web y aplicación web.
Al crear una regla de directiva de seguridad web, los usuarios pueden configurar: filtrado de URL y geolocalización de contenido.
Google desarrolló el protocolo QUIC (Quick UDP Internet Connections, Conexiones UDP rápidas en Internet) para aumentar el rendimiento de las conexiones HTTPS y HTTP (TCP 443 y TCP 80). Los navegadores Chrome cuentan con compatibilidad experimental desde 2014 y también se utilizan en dispositivos Chromium (por ejemplo, Microsoft Edge, Opera y Brave) y Android.
Las conexiones QUIC no requieren protocolos de enlace TCP. Sin embargo, la inspección de SSL requiere información de la sesión TCP y Cloud Web Security realiza una inspección de SSL de forma predeterminada (a menos que se configure explícitamente una regla de omisión para evitarla) y, por lo tanto, Cloud Web Security no puede examinar las sesiones QUIC en las que se lleva a cabo la inspección de SSL. En esos casos en los que QUIC está activado y se realiza la inspección de SSL, es posible que una directiva no se aplique durante una sesión de usuario.
Para garantizar que las directivas de Cloud Web Security se apliquen de forma coherente, se recomienda que el protocolo QUIC esté bloqueado o desactivado en el navegador.
Para bloquear QUIC, configure el navegador o el firewall para que bloquee UDP 443 y UDP 80, ya que estos son los puertos que utiliza el protocolo QUIC. Cuando el protocolo QUIC está bloqueado, QUIC tiene un mecanismo contra fallos para volver de nuevo a TCP. De esta forma, la inspección de SSL se activa sin afectar negativamente a la experiencia del usuario.
Para desactivar QUIC en un navegador Chromium, consulte la documentación del navegador correspondiente.
Para desactivar QUIC en un navegador Chrome:
- Abrir Chrome
- En la barra de direcciones, escriba: chrome://flags
- En la barra de búsqueda, escriba "quic".
- Haga clic en el menú desplegable y seleccione Deshabilitado (Disabled).
- Cuando Predeterminado (Default) esté seleccionado, Chrome intentará utilizar QUIC.
- Cuando se le solicite, haga clic en Volver a iniciar ahora (Relaunch Now) para reiniciar Chrome y aplicar los cambios.
Procedimiento:
- En la página Directivas de seguridad de la nueva interfaz de usuario de VMware SD-WAN Orchestrator, haga clic en el nombre de la directiva de seguridad que desea configurar.
Se mostrará la pantalla Directivas de seguridad (Security Policies) para la directiva seleccionada.
- En la página Directiva de seguridad (Security Policy) seleccionada, los usuarios pueden configurar reglas de las siguientes categorías de reglas: inspección de SSL (SSL Inspection), agente de seguridad de acceso a la nube (CASB), seguridad web, aplicación web y prevención de pérdida de datos (DLP).
Importante: De forma predeterminada, una directiva de seguridad contiene las reglas "permitir todo" y "descifrar todo". Al configurar alguna de cinco categorías de reglas mencionadas anteriormente, los usuarios anulan las reglas predeterminadas y crean una directiva compuesta por sus propias reglas.Para obtener una descripción completa de cómo configurar reglas para cada categoría, consulte:
- Después de configurar la directiva de seguridad, haga clic en Publicar (Publish) para publicar la directiva de seguridad.
- Haga clic en el botón Sí (Yes) en el cuadro de diálogo emergente Publicar directiva (Publish Policy) para publicar la directiva.
Se mostrará un banner verde en la parte superior de la pantalla para indicar que se está publicando la directiva de seguridad.
Nota: Es posible publicar una directiva de seguridad en cualquier momento del proceso de configuración y volver a publicarla cada vez que el usuario vuelva a configurarla.