Cette section explique comment utiliser la fonctionnalité d'agent de sécurité des accès au cloud (CASB, Cloud Access Security Broker) pour le service Cloud Web Security.

Présentation

L'agent de sécurité des accès au cloud (CASB, Cloud Access Security Broker) fournit une visibilité et un contrôle sur les activités utilisateur tout en accédant aux applications SaaS.

La fonctionnalité CASB inclut les capacités suivantes :

Visibilité des applications (Application Visibility) (partie intégrante des modules Cloud Web Security Standard et Advanced) : un client a la possibilité d'afficher les différentes applications SaaS auxquelles accèdent les utilisateurs au sein de leur réseau. Pour chaque application, un client utilisant la visibilité sur les applications CASB peut observer ce qui suit :

  • Score de risque pour chaque application.
  • Nombre de fois où les utilisateurs ont accédé à une application.
  • Catégorie de l'application.

Contrôle d'applications (Application Control) (partie intégrante du module Cloud Web Security Advanced Edition uniquement) : un client peut contrôler des actions spécifiques pouvant être effectuées sur chaque application SaaS.

Des contrôles prédéfinis prêts à l'emploi sont disponibles pour toutes les applications SaaS avec des contrôles spécifiques aux applications fournis au niveau de chaque application. Ces contrôles peuvent être personnalisés et configurés par application et en fonction de l'utilisateur et du groupe d'utilisateurs.

Pour chaque application, un client utilisant le contrôle d'applications CASB peut contrôler ce qui suit :

  • Accès initial au site d'application [Autoriser (Allow) ou Bloquer (Block)].
  • Actions supplémentaires, notamment Connexion (Login), Charger/Télécharger du contenu (Upload/Download Content), Rechercher (Search), Modifier (Edit), Partager (Share), Créer (Create), Supprimer (Delete), Aimer (Like) ou Publier (Post).

Les clients peuvent voir les actions actuellement disponibles pour les applications qu'ils souhaitent contrôler.

Conditions préalables

Les utilisateurs ont besoin des éléments suivants pour accéder à la fonctionnalité d'agent de sécurité des accès au cloud (CASB, Cloud Access Security Broker) avec Cloud Web Security :
  1. Une entreprise cliente sur une instance de VMware Cloud Orchestrator de production avec Cloud Web Security activé.
  2. Les dispositifs Dispositifs SD-WAN Edge, les PoP SASE et l'Orchestrator du client doivent tous utiliser la version 4.5.0 ou une version ultérieure.
  3. La visibilité des applications CASB est utilisable pour tous les clients Cloud Web Security, s'il disposent d'un module Standard ou Advanced.
  4. Pour accéder au contrôle d'application CASB, un client doit disposer d'un module Cloud Web Security Advanced.
    Si les utilisateurs accèdent à Cloud Web Security > Configurer (Configure) > Stratégies de sécurité (Security Policies) et cliquent sur une stratégie existante ou créent une stratégie, l'onglet CASB inclut une icône de verrou. Cela indique que seule la visibilité CASB est autorisée avec la licence Standard Edition et que pour créer des stratégies de contrôle CASB, la licence Advanced Edition est requise.
  5. Facultatif : un fournisseur d'identité (IdP) si le client prévoit d'utiliser des règles basées sur l'utilisateur. Pour plus d'informations sur la configuration de Workspace ONE ou d'Azure Active Directory (AD) en tant que fournisseur d'identité, consultez les guides respectifs sur la page Guides Single Sign-On (SAML).

Workflow de configuration CASB

Après avoir couvert les deux fonctionnalités clés Visibilité des applications (Application Visibility) et Contrôle d'applications (Application Control) qui composent la fonctionnalité CASB, cette section couvre le workflow CASB.

Créer, configurer et appliquer une stratégie de sécurité

Pour plus d'informations sur la Création, la Configuration ou l'Application d'une Stratégie de sécurité (Security Policy) pour le service Cloud Web Security, consultez la documentation appropriée dans le Guide de configuration de Cloud Web Security.

Paramètres CASB - Visibilité des applications

Une fois que vous avez associé une stratégie de sécurité à un segment de client, le trafic provenant des périphériques de point de terminaison derrière le dispositif SD-WAN Edge ou provenant des clients Secure Access est inspecté et surveillé par la stratégie Cloud Web Security.

  1. Dans l'interface utilisateur de VMware SASE Orchestrator, accédez à Cloud Web Security > Configurer (Configure) > Paramètres de stratégie (Policy Settings) > CASB.
  2. La page Paramètres CASB (CASB Settings) fournit une liste d'applications qui correspondent à une règle de stratégie de sécurité et qui sont triées par défaut pour le nombre d'accès le plus élevé (le nombre d'accès à une application particulière dans la période spécifiée).
    • Chaque application disposera également d'un score de risque : Faible (Low) (1-3), Moyen (Medium) (4-6) ou High (Élevé) (7-9).
    • Vous pouvez trier le tableau Applications par Nom de l'application (Application Name), Nom de la catégorie (Category Name), Nombre d'accès (# of time Accessed) ou Score de risque (Risk Score) en cliquant sur l'en-tête de colonne correspondante. En cliquant sur l'icône de tri d'une colonne, les utilisateurs peuvent également rechercher un terme ou un nombre particulier dans cette colonne.
    • La page Paramètres CASB (CASB Settings) par défaut affiche 20 applications par page. Les utilisateurs peuvent faire défiler la page jusqu'en bas et spécifier jusqu'à 100 applications par page. Les utilisateurs peuvent également sélectionner une nouvelle page d'applications en cliquant sur les icônes de flèche ou en spécifiant une page spécifique dans la zone de texte.
    • Au fur et à mesure que le trafic passe par le service Cloud Web Security, la liste des applications peut changer en fonction des sites Web visités. Ces modifications peuvent inclure l'ordre des applications, le nombre d'événements d'accès et le score de risque.

Créer et appliquer une règle de contrôle CASB

Pour créer et appliquer une règle de contrôle CASB, reportez-vous à la section Configurer des règles CASB (Cloud Access Security Broker).

Vérifier qu'une règle CASB fonctionne

Une fois la stratégie de sécurité avec la règle de contrôle CASB publiée, accédez à un site Web concerné par la règle et testez les fonctionnalités de contrôle pour confirmer qu'elle fonctionne comme prévu. Pour vérifier que les contrôles CASB des applications sont configurés, utilisez la page Cloud Web Security > Surveiller (Monitor) > Journaux Web (Web Logs). Par exemple, lorsque les utilisateurs ont tenté de se connecter au site Web WeTransfer et qu'ils ont été bloqués conformément à la règle de contrôle CASB publiée. Les journaux Web indiquent la tentative de connexion bloquée.

Surveiller CASB

  1. Accédez à Cloud Web Security > Surveiller (Monitor) > Analyse CASB (CASB Analysis).
  2. Sur la page Analyse CASB (CASB Analysis), les utilisateurs peuvent afficher une sélection de graphiques à barres pour les éléments Catégories principales (Top Categories), Applications principales (Top Applications), Principaux utilisateurs (Top Users) et Principaux chargements par application (Top Uploads by Application).
  3. Journaux Web (Web Logs) : sous la page Cloud Web Security > Surveiller (Monitor) > Journaux Web (Web Logs), les utilisateurs peuvent en savoir plus sur un événement d'accès aux applications. Pour tout événement d'application CASB, l'utilisateur peut cliquer sur la bulle associée à cette entrée de journal pour afficher les Détails de l'entrée du journal (Log Entry Details).