VMware Cloud Web Security | 10 janvier 2024 Vérifiez les compléments et les mises à jour de ces notes de mise à jour. |
VMware Cloud Web Security | 10 janvier 2024 Vérifiez les compléments et les mises à jour de ces notes de mise à jour. |
VMware Cloud Web Security™ fait partie de la solution VMware SASE™ et est un service hébergé dans le cloud qui protège les utilisateurs et l'infrastructure accédant aux applications SaaS et Internet contre un environnement changeant de menaces internes et externes, offrant par là même la visibilité et le contrôle, et garantissant la conformité.
Les Notes de mise à jour de Cloud Web Security documentent les problèmes résolus et connus de Cloud Web Security , ainsi que les nouvelles fonctionnalités et améliorations. Ce contenu qui était auparavant documenté dans les Notes de mise à jour de VMware SASE le sera exclusivement ici à l'avenir. Les problèmes de Cloud Web Security incluent ceux qui ont été causés par une erreur dans l'interface utilisateur de VMware SASE Orchestrator et ceux qui ont été causés par une erreur dans le service Cloud Web Security proprement dit.
Cloud Web Security suit un système de contrôle des versions différent de celui de VMware SD-WAN et doit être considéré comme distinct de SD-WAN ou de SASE Orchestrator.
La version de Cloud Web Security pour un déploiement client est disponible sur Orchestrator, en sélectionnant d'abord l'écran Cloud Web Security, puis en cliquant sur l'icône (?) pour ouvrir le menu Aide (Help). La version de Cloud Web Security s'affiche en bas du menu Aide (Help).
La version 1.17.0 de Cloud Web Security a été publiée le 10 janvier 2024.
Cette version ajoute une nouvelle fonctionnalité et résout deux problèmes.
Ajout de la nouvelle fonctionnalité et résolution des problèmes dans la version 1.17.0 de Cloud Web Security :
Nouvelle fonctionnalité : page Présentation (Overview) imprimable
Dans la version 1.17.0, la page Présentation (Overview) a été améliorée et est automatiquement mise en forme pour l'impression.
Pour obtenir un rapport PDF de la page Présentation (Overview), lancez une opération Imprimer (Print) dans votre navigateur et sélectionnez Enregistrer au format PDF (Save as PDF) ou une option similaire selon votre navigateur et votre système d'exploitation.
Voici un exemple de rapport ouvert dans un lecteur Adobe Acrobat :
Le navigateur Mozilla Firefox peut avoir des difficultés à présenter les graphiques dans la sortie imprimée. Si vous rencontrez des problèmes, essayez d'imprimer à partir d'un autre navigateur (par exemple, Safari, Microsoft Edge, Google Chrome ou tout autre navigateur basé sur Chromium).
Problème résolu 131353 : il est possible que certains assistants ou formulaires soient envoyés plusieurs fois si vous cliquez sur le bouton Envoyer (Submit) alors qu'un envoi est en cours, ce qui peut entraîner des données de règle ou des erreurs inattendues.
Sur les assistants de règles CASB, Application Web (Web Application) et DLP et sur les pages Exceptions d'en-tête SaaS (SaaS Header Exceptions) et Adresses IP de la passerelle d'entreprise (Corporate Gateway IPs), un formulaire peut être envoyé plusieurs fois si vous cliquez rapidement sur le bouton Envoyer (Submit) alors qu'un envoi est en cours. L'effet est plus visible avec une connectivité réseau lente.
Problème résolu 134198 : lorsqu'un utilisateur tente de télécharger une description de certificat SSL, le navigateur peut lui proposer à la place un nouvel onglet qui affiche l'erreur « 401 Autorisation requise (401 Authorization Required) ».
Ce problème peut se produire lorsqu'un utilisateur accède à Cloud Web Security > Configurer (Configure) > SSL Certificate (Certificat SSL), puis clique sur l'un des boutons Télécharger le certificat (Download Certificate) sur cette page.
La version 1.16.0 de Cloud Web Security a été publiée le 14 décembre 2023.
Cette version ajoute deux nouvelles fonctionnalités et résout un problème.
Ajout de nouvelles fonctionnalités et résolution d'un problème dans la version 1.16.0 de Cloud Web Security :
Nouvelle fonctionnalité : Exportation de journaux
La fonctionnalité Exportation de journaux (Log Export) permet à un client de transférer des journaux en temps quasi réel sur les activités de Cloud Web Security vers un point de terminaison SIEM (Security Information and Event Management) contrôlé par le client à des fins de stockage et d'analyse.
Pour plus d'informations, reportez-vous à la section Exportation de journaux de la documentation Cloud Web Security.
La fonctionnalité Exportation de journaux (Log Export) est activée sur un nombre limité d'instances d'Orchestrator dans le cadre de cette version. VMware continuera à déployer cette fonctionnalité sur d'autres instances d'Orchestrator au cours des trois prochaines semaines.
Nouvelle fonctionnalité : page Présentation de la surveillance (Monitoring Overview)
Cloud Web Security propose une nouvelle page Surveiller (Monitor) > Présentation (Overview). Ce tableau de bord d'une page présente de manière plus claire et plus accessible les informations critiques, et pointe l'utilisateur vers des informations plus détaillées pour chaque catégorie de données. Les graphiques de la partie supérieure indiquent à l'utilisateur les Actions effectuées (Actions Taken) par Cloud Web Security sur la période configurée et la Distribution des règles (Rules Distribution) actuelle pour ce client.
De plus, un utilisateur peut faire défiler l'écran et accéder en un coup d'œil à des graphiques pour les catégories suivantes : Principaux sites Web visités (Top Websites Visited), Principales applications SaaS (Top SaaS Applications), Répartition des menaces (Threat Breakdown) et Répartition des utilisateurs (User Breakdown).
Problème résolu 132528 : un utilisateur qui tente de coller une liste d'éléments séparés par des virgules dans un champ d'entrée à plusieurs éléments peut observer que Cloud Web Security traite cette liste comme un élément unique et ne respecte pas les virgules de séparation.
L'ajout de listes d'éléments séparés par des virgules est une pratique courante qui permet de gagner du temps lors de la configuration de balises, de domaines, d'adresses e-mail et d'éléments similaires dans un champ d'entrée à plusieurs éléments. Le problème est que les virgules sont ignorées par l'interface utilisateur et que la liste ne génère qu'un seul élément. Par exemple, si vous collez une liste de balises pour une règle de sécurité Web, le résultat est une balise unique.
Cloud Web Security version 1.15.2 a été publié le 14 novembre 2023.
Problèmes résolus dans Cloud Web Security version 1.15.2.
Problème résolu 114373 : Les champs d'entrée à plusieurs éléments dans l'interface utilisateur de Cloud Web Security n'autorisent pas l'activation ou l'interaction du clavier.
Lors de l'ajout de sélections à diverses listes et balises dans l'interface utilisateur de CWS, les champs d'entrée à plusieurs éléments n'autorisent pas l'activation ou la manipulation du clavier. Cette fonctionnalité est souvent utilisée pour la saisie de balises, de domaines, d'adresses e-mail ou d'autres éléments semblables.
Problème résolu 114379 : Dans l'interface utilisateur de Cloud Web Security, certains champs de la liste déroulante à éléments multiples de l'assistant de règle DLP ne peuvent pas être activés et ne sont pas interactifs via le clavier.
Par exemple, sur l'écran Sélectionner des destinations (Select Destinations), la navigation dans cet écran et la sélection de plusieurs Catégories (Categories) ne peuvent pas s'effectuer à l'aide du clavier.
Problème résolu 128108 : Les règles de filtrage d'URL perdent parfois leur contenu et deviennent vierges.
Lors de la modification d'une règle de Filtrage d'URL (URL Filtering), un clic rapide sur Mettre à jour (Update) à l'étape finale plusieurs fois peut endommager le contenu de la règle. Une fois le contenu endommagé, l'utilisateur doit recréer la règle et celui-ci.
Problème résolu 128782 : L'action de stratégie dans l'assistant d'inspection du contenu revient à Marquer comme propre (Mark As Clean) lorsque les types de fichiers sélectionnés sont modifiés.
L'interface utilisateur ne doit réinitialiser l'action de stratégie que dans Inspection du contenu (Content Inspection) lorsqu'un utilisateur bascule le type de catégorie entre Type de fichier (File Type) et Hachage de fichiers (File Hash). Toutefois, si un utilisateur remplace le type de fichier par Inspecter (Inspect), l'interface utilisateur réinitialise également l'action de stratégie. L'utilisateur doit alors réinitialiser manuellement l'action de stratégie à sa valeur prévue.
Problème résolu 129269 : Le débogage détaillé SAML ne peut pas être désactivé une fois qu'il est activé.
Lorsqu'un utilisateur active le débogage détaillé SAML, il ne peut pas être désactivé. En outre, 2 heures après l'activation du débogage détaillé, l'état doit automatiquement être défini sur désactivé/Non (disabled/No) mais reste activé/oui (enabled/yes).
Problème résolu 130111 : Si un utilisateur effectue une action non valide sur l'interface utilisateur de Cloud Web Security, celle-ci ne renvoie pas de message d'erreur pour informer l'utilisateur que son action n'était pas valide.
Par exemple, si l'utilisateur tente d'ajouter la même passerelle d'entreprise une deuxième fois, cette action déclenche une erreur par l'API, mais l'interface utilisateur ne parvient pas à afficher la notification d'erreur.
Cloud Web Security version 1.15.1 a été publié le 1er novembre 2023.
Problèmes résolus dans Cloud Web Security version 1.15.1.
Problème résolu 114363 : Un utilisateur peut avoir du mal à naviguer dans l'interface utilisateur de Cloud Web Security lorsqu'il utilise uniquement la navigation au clavier.
Lorsqu'un utilisateur s'appuie sur la navigation au clavier dans l'interface utilisateur, il est difficile de porter attention au contenu du signpost qui s'affiche ou de le faire défiler.
Problème résolu 123063 : Les icônes d'application CASB ne se chargent pas dans l'interface utilisateur de VMware SASE Orchestrator.
Les icônes d'application CASB ne se chargent pas dans la boîte de dialogue Configuration des règles CASB (CASB Rule Configuration) et sur la page Applications CASB (CASB Applications) de l'interface utilisateur.
Problème résolu 123816 : Les domaines de destination ne s'affichent pas dans la grille de règles des applications Web dans l'interface utilisateur d'Orchestrator.
Les domaines de destination ne s'affichent pas dans la grille de règles des applications Web et l'utilisateur observe plutôt l'option Indifférent (Any).
Problème résolu 125526 : Lors de la création d'une règle d'application Web, le menu d'options des types de fichiers ne s'affiche pas si un utilisateur sélectionne un type de demande Téléchargement (Download).
L'utilisateur observe uniquement les menus de sélection des types de fichiers pour les options Chargements (Uploads) et Chargements et téléchargements (Uploads and Downloads), ces options de types de fichiers sont masquées pour le type Téléchargement (Download).
Problème résolu 126051 : La règle d'inspection du contenu non modifiable par défaut affiche Marquer comme propre (Mark as Clean) comme comportement par défaut.
Chaque stratégie Cloud Web Security commence par un ensemble de règles non modifiables qui indiquent le comportement par défaut. Bien qu'il s'agisse généralement de l'option Autoriser (Allow), dans le cas de l'inspection du contenu, le comportement par défaut doit être Inspecter (Inspect) et non Marquer comme propre (Mark as Clean).
Problème résolu 126264 : Les tentatives de déplacement ou de réorganisation des règles de Cloud Web Security sur la deuxième page ou une page suivante de l'interface utilisateur d'Orchestrator ne fonctionnent pas comme prévu.
Avec plus de 21 règles de stratégie ajoutées, une tentative de réorganisation des règles sur la deuxième page ou une page suivante par glisser-déposer, OU une tentative de déplacement d'une règle de la deuxième page ou d'une page suivante vers la première page échoue.
En outre, lorsqu'un utilisateur se trouve sur la deuxième page ou une page suivante de : En-tête SaaS (SaaS Header), CASB, DLP, Application Web (Web Application) ou Sécurité Web (Web Security), s'il tente de déplacer une ou plusieurs règles, ces dernières apparaissent temporairement réorganisées correctement, mais leur ordre d'origine est rétabli après l'actualisation.
Un utilisateur peut résoudre ce problème pour une règle unique qu'il souhaite déplacer vers la première page en la supprimant et en la rajoutant, en spécifiant « haut de la liste » (top of list) ou « bas de la liste » (bottom of list) sur la dernière page de l'assistant de création de règles. Pour réorganiser une liste de règles, utilisez un appel d'API plutôt que l'interface utilisateur d'Orchestrator.
Problème résolu 127646 : Lors de la sélection des contrôles CASB pour Instagram, le contrôle Rechercher (Search) peut être désactivé de manière inattendue et être difficile à restaurer.
La seule façon de restaurer le contrôle Rechercher (Search) pour les contrôles CASB consiste à sélectionner Bloquer (Block) sous Action du navigateur (Browser Action) pour désactiver toutes les options. Ensuite, activez/désactivez à nouveau Bloquer (Block) pour autoriser toutes les règles Instagram. Cela restaure le contrôle Rechercher (Search) lorsque l'activation ou la désactivation de contrôles individuels ne fonctionne pas.
Cloud Web Security version 1.14.1 a été publié le 11 juillet 2023.
Problèmes résolus dans Cloud Web Security version 1.14.1.
Problème résolu 113256 : Les éléments de plusieurs tables de règles et de configurations dans Cloud Web Security ne sont pas sélectionnables ou interactifs via la navigation au clavier.
Sur un écran des règles de stratégie de sécurité (par exemple, Inspection SSL (SSL Inspection)), lorsque vous utilisez la touche Tabulation (Tab) pour cibler le nom d'une règle existante, le focus du navigateur ignore le nom de la règle. La seule façon de sélectionner des heures consiste alors à utiliser une souris/un pavé tactile.
Problème résolu 114409 : La navigation entre les écrans de l'interface utilisateur peut s'avérer difficile en raison de l'absence d'identification explicite d'une section « principale » de la page, ce qui rend plus difficile l'accès à l'en-tête et au volet de navigation.
À l'aide d'un lecteur d'écran ou d'un outil d'accessibilité, l'utilisateur devra identifier la partie de la page avec le rôle « principal », car il n'existe ni en-tête ni bannière pour l'indiquer.
Problème résolu 114438 : La navigation dans l'interface utilisateur de Cloud Web Security à l'aide des menus latéraux est difficile via le clavier ou un lecteur d'écran. En outre, les utilisateurs ne peuvent pas ouvrir de liens à partir du menu de navigation latéral dans de nouveaux onglets ou de nouvelles fenêtres de navigateur.
Lors de l'utilisation d'un lecteur d'écran ou d'un outil d'accessibilité pour cibler les éléments dans le volet de navigation de gauche, les légendes résultantes ne sont pas claires et comportent des annonces superflues.
Cloud Web Security version 1.14.0 a été publié le 06 juin 2023.
Cette version ajoute une nouvelle fonctionnalité et résout plusieurs problèmes.
Ajout de la nouvelle fonctionnalité et résolution du problème dans Cloud Web Security version 1.14.0 :
Nouvelle fonctionnalité : Stratégies basées sur l'heure pour une règle de filtrage d'URL avec la fonctionnalité de planification.
Cloud Web Security permet désormais d'appliquer certaines règles de Filtrage d'URL (URL Filtering) uniquement dans des périodes indiquées à l'aide de la fonctionnalité Planification (Schedule). Cette fonctionnalité est ajoutée à la section Action, journal et planification (Action, Log and Schedule) lors de la configuration d'une règle de sécurité Web avec un type Filtrage d'URL (URL Filtering).
La fonctionnalité Planification (Schedule) est disponible pour les règles de Filtrage d'URL (URL Filtering) dans lesquels le type Basé sur (Based On) est Catégories de sites Web (Website Categories) ou Domaine (Domain) > Liste de domaines statiques (Static Domain List).
La fonctionnalité Planification (Schedule) n'est pas disponible pour le type Basé sur (Based On), Catégories de menaces (Threat Categories) ou Domaine (Domain) > Liste de domaines dynamiques (Dynamic Domain List), et dans ces exemples, le bouton bascule permettant d'activer cette fonctionnalité est inaccessible.
La planification propose deux options Type de planification (Schedule Type) pour une règle de filtrage d'URL : Périodique (Periodic) et Ponctuel (One-Time).
L'option Périodique (Periodic) permet de configurer une planification en rotation hebdomadaire dans les cas où votre règle de filtrage d'URL est active. Cette planification périodique est basée sur un fuseau horaire global, les jours de la semaine et une ou plusieurs périodes de début et de fin.
L'option Ponctuel (One-Time) spécifie un seul bloc de temps avec une date et une heure de début et d'expiration lorsque la règle est active, ou une date et une heure de début à partir desquelles la règle est indéfiniment active.
Pour plus d'informations, reportez-vous à la documentation Configurer la stratégie de sécurité > Configurer des règles de sécurité Web > Filtrage d'URL du Guide de Cloud Web Security
Problème résolu 105290 : Lorsque vous tentiez de publier une règle de sécurité lorsque deux règles d'inspection SSL partageaient le même domaine source ou de destination, la même adresse IP, les mêmes CIDR ou les mêmes plages d'adresses IP, une « erreur de validation de schéma » non spécifique s'affichait.
Ce problème se produisait également si deux domaines de destination étaient dupliqués dans la même règle. L'erreur est vague et ne fournit aucune aide à l'utilisateur en termes de dépannage du problème de configuration qui empêche la validation de la règle. Un utilisateur ne pouvait rechercher dans les règles d'inspection SSL que les domaines, les adresses IP, les CIDR ou les plages d'adresses IP en double (y compris le contenu des règles d'exception rapide) et les supprimer de toutes les règles sauf une. Désormais, une erreur décrira les sources ou les destinations en conflit, ou s'il existe des doublons dans une règle proprement dit.
Problème résolu 116525 : Lors de la modification ou de la création d'un filtrage d'URL, d'exceptions d'en-tête SaaS et de règles de géo-filtrage qui contiennent déjà une source personnalisée > des utilisateurs ou des groupes, la sélection de Tous les utilisateurs et groupes (All Users and Groups) dans l'onglet Source n'efface pas la liste personnalisée précédente d'utilisateurs et de groupes de la règle sous-jacente, ce qui peut entraîner des erreurs de validation lors de la publication de la stratégie de sécurité.
Cloud Web Security ne supprimait pas les utilisateurs et/ou les groupes configurés manuellement. La seule façon de corriger cela consistait à décocher Tous les utilisateurs et groupes (All Users and Groups), puis à supprimer manuellement tous les utilisateurs et groupes, puis à cocher à nouveau Tous les utilisateurs et groupes (All Users and Groups).
Cloud Web Security version 1.12.1 a été publié le 22 mai 2023.
Problèmes résolus dans Cloud Web Security version 1.12.1 :
Problème résolu 63489 : Cloud Web Security n'avertit pas un utilisateur qu'il configure une règle SSL avec un champ Adresse IP (IP address), CIDR d'adresse IP (IP CIDR) ou Domaine (Domain) non valide avant d'enregistrer la règle.
Une règle SSL avec une règle non valide est refusée lorsque l'utilisateur tente de l'enregistrer. Le problème est que l'utilisateur ne doit pas être obligé d'aller aussi loin dans le processus pour découvrir qu'une adresse IP de règle SSL, un CIDR d'adresse IP ou un domaine n'est pas valide. Orchestrator doit alerter l'utilisateur lors de l'étape de modification de la règle SSL à l'aide de l'assistant de règle SSL.
Problème résolu 98213 : Échec des tentatives de filtrage des pages du dictionnaire de protection contre la perte des données (DLP) ou de l'auditeur DLP à l'aide d'un texte localisé (autre que l'anglais).
Les filtres sur le dictionnaire DLP et les auditeurs DLP n'étaient pas localisés pour les langues autres que l'anglais. Grâce à ce correctif, les filtres de chaîne ont été mis à niveau vers des filtres de case à cocher qui non seulement corrigent les problèmes de langues de localisation, mais facilitent également le filtrage de ces deux sections.
Cloud Web Security version 1.12.0 a été publié le 05 mai 2023.
Cette version ajoute une nouvelle fonctionnalité et résout plusieurs problèmes.
Ajout de la nouvelle fonctionnalité et résolution du problème dans Cloud Web Security version 1.12.0 :
Nouvelle fonctionnalité : Filtrage d'URL à l'aide des listes de domaines dynamiques
Auparavant, lorsqu'un utilisateur configurait une règle de sécurité Web qui incluait une règle de filtrage d'URL, le client ne disposait que d'une option lorsqu'il souhaitait filtrer par domaines : une Liste de domaines statiques (Static Domain List) qu'il devait configurer et gérer manuellement sur l'interface utilisateur d'Orchestrator. Cette option n'était pas idéale dans le cas d'un grand nombre de domaines ou lorsque cette liste changeait fréquemment. À partir de la version v1.12.0, le client dispose désormais d'une option supplémentaire lors du filtrage des domaines : une Liste de domaines dynamiques (Dynamic Domain List).
Pour cette option, Cloud Web Security fait référence à une liste de domaines au format de nom de domaine complet sous forme de texte qui est stockée à distance à un emplacement choisi par le client. L'emplacement doit être accessible publiquement au service. L'avantage de cette option est que vous pouvez créer une liste de domaines comportant un grand nombre de domaines qui peut être modifiée et mise à jour facilement. Vous pouvez configurer Cloud Web Security pour vérifier la Liste de domaines dynamiques (Dynamic Domain List) à des intervalles allant de toutes les 30 secondes à toutes les 24 heures.
Alors qu'une Liste de domaines statiques (Static Domain List) autorise les domaines dans des formats variés (adresse IP, plages d'adresses IP, noms de domaine complets ou notations CIDR), la Liste de domaines dynamiques (Dynamic Domain List) présente une limitation selon laquelle elle ne peut être créée qu'avec des domaines au format de nom de domaine complet.
Pour plus d'informations, reportez-vous à la documentation pour Configuration des règles de sécurité Web > Filtrage d'URL dans le Guide de configuration de VMware Cloud Web Security.
Problème résolu 115178 : Un client Cloud Web Security disposant d'une licence standard ne peut pas accéder à la fonctionnalité Restrictions d'en-tête SaaS (SaaS Header Restrictions).
La fonctionnalité Restrictions d'en-tête SaaS (SaaS Header Restrictions) doit être utilisable par tous les clients Cloud Web Security. Toutefois, lorsqu'un utilisateur disposant d'une licence standard clique sur le lien Restrictions d'en-tête SaaS (SaaS Header Restrictions), il est dirigé vers la page Inspection du contenu (Content Inspection) plutôt que vers la page prévue. Ce problème ne se produit pas pour les utilisateurs disposant d'une licence avancée.
Problème résolu 112990 : Si un utilisateur se trouve sur la page Ports Web non standard (Non-Standard Web Ports), puis la quitte sans rien modifier, il reçoit toujours l'invite avec un écran « Voulez-vous enregistrer ? (Do you want to save?) ».
Même si rien n'a changé, l'interface utilisateur d'Orchestrator demande toujours au client d'enregistrer les modifications, ce qui peut entraîner une confusion inutile pour l'utilisateur.
Cloud Web Security version 1.11.1 a été publié le 11 avril 2023.
Cette version ajoute une nouvelle fonctionnalité et résout plusieurs problèmes.
Ajout de la nouvelle fonctionnalité et résolution du problème dans Cloud Web Security version 1.11.1 :
Nouvelle fonctionnalité : Restriction d'en-tête SaaS (SaaS Header Restriction)
Traditionnellement, les sociétés restreignent les noms de domaine ou les adresses IP lorsqu'elles souhaitent gérer l'accès. Cette approche échoue dans un monde dans lequel les applications SaaS (Software as a Service) sont hébergées dans un cloud public et s'exécutent sur des noms de domaine partagés. Par exemple, si une entreprise utilise Office 365, elle a recours à des noms de domaine, tels qu'outlook.office.com et login.microsoftonline.com. Dans l'exemple Microsoft, le blocage de ces adresses empêcherait les utilisateurs d'accéder entièrement à Outlook sur le Web, au lieu de les limiter simplement à des identités et des ressources approuvées.
La solution à ce problème consiste à limiter l'accès des locataires, et Cloud Web Security le fait à l'aide de la fonctionnalité Restriction d'en-tête SaaS (SaaS Header Restriction). Cette fonctionnalité permet aux administrateurs d'appliquer des stratégies de restriction de locataires dans les services SaaS, tels qu'Office 365 et G Suite. Par exemple, vous souhaiterez peut-être autoriser tous les employés à accéder au compte d'entreprise Office 365, mais leur interdire d'accéder aux comptes personnels. Ces restrictions sont autorisées via l'insertion d'en-têtes HTTP qui spécifient les locataires autorisés.
Cette fonctionnalité est ajoutée à la page Cloud Web Security > Configurer (Configure) sous Paramètres d'entreprise (Enterprise Settings) :
Un client peut configurer la règle d'en-tête SaaS en sélectionnant l'une des six applications prédéfinies : Office 365 - Entreprise, Office 365 - Consommateur, G Suite, Slack, YouTube et Dropbox. Chacune de ces applications prédéfinies inclut un niveau de détail variable, comme des domaines et des en-têtes restreints. En fonction de l'application, le client devra peut-être fournir des entrées supplémentaires pour terminer la règle.
Le client peut également créer une application personnalisée en supposant que l'application prend en charge la restriction de locataires via des en-têtes.
Problème résolu 79906 : Dans certaines langues, le panneau de navigation de gauche contient des éléments avec la première lettre des mots en majuscule erronée.
Par exemple, le terme de menu Stratégies de sécurité (Security Policies) est traduit et s'affiche sous la forme Directivas De Seguridad lorsqu'il doit indiquer Directivas de seguridad. En effet, si un élément de menu en anglais est un seul mot et que l'élément traduit représente plusieurs mots, Orchestrator met à tort la première lettre de chaque mot supplémentaire en majuscule.
Problème résolu 91672 : Lorsqu'un utilisateur effectue une modification sur les pages Configurer (Configure) > Inspection du contenu (Content Inspection) ou Configurer (Configure) > Passerelles d'entreprise (Corporate Gateways), l'invite de pied de page de modifications non enregistrées risque de masquer d'autres contenus sur la page.
L'interface utilisateur ne prend pas en compte la hauteur des pieds de page des modifications non enregistrées et le défilement sur un navigateur Web réduit. Ce pied de page masque alors d'autres contenus sur ces pages correspondantes.
Problème résolu 102793 : L'onglet DLP s'affiche à gauche de la Sécurité Web, ce qui implique que le traitement DLP se produit avant des règles de sécurité Web.
Le client peut avoir la fausse impression que le traitement DLP précède le traitement de la sécurité Web, ce qui n'est pas le cas. Dans la version corrigée, l'onglet DLP s'affiche désormais à la fin, ce qui représente sa position réelle dans le flux de traitement.
Problème résolu 104122 : Dans Inspection SSL (SSL Inspection), vous ne pouvez pas cliquer sur les parties du bouton « Exception rapide » (Quick Exception) en fonction de la langue et de la taille de l'écran.
Lorsque le bouton Exception rapide (Quick Exception) de l'option Inspection SSL (SSL Inspection) est traduit dans des langues autres que l'anglais, un utilisateur peut cliquer sur les bords extérieurs du bouton et n'obtenir aucun résultat. Dans la version corrigée, vous pouvez désormais cliquer sur l'intégralité du bouton Exception rapide (Quick Exception), quelle que soit la position du curseur de la souris.
Problème résolu 109624 : L'organisation du menu latéral de l'interface utilisateur de VMware Cloud Web Security n'est pas optimisée pour les nouvelles fonctionnalités et certains termes du menu sont vagues.
À partir de la version 11.1.1, l'interface utilisateur de Cloud Web Security apporte désormais les modifications suivantes au menu de navigation latéral :
Nouvelle section : Paramètres de stratégie (Policy Settings)
Options CASB et DLP déplacées vers Paramètres de stratégie (Policy Settings)
Option Moteur d'inspection (Inspection Engine) renommée Inspection du contenu (Content Inspection) et déplacée vers Paramètres de stratégie (Policy Settings)
Suppression de la section Certificats (Certificates)
Option Authentification (Authentification) renommée Fournisseur d'identité (Identity Provider) et déplacée vers Paramètres d'entreprise (Enterprise Settings)
Option Arrêt SSL (SSL Termination) renommée Certificat SSL (SSL Certificate) et déplacée vers Paramètres d'entreprise (Enterprise Settings)
Option Passerelles d'entreprise (Corporate Gateways) renommée Adresses IP de la passerelle d'entreprise (Corporate Gateway IPs)
Problème résolu 109687 : Lors de la configuration d'une règle de port Web non standard, un utilisateur ne peut pas spécifier une adresse IP de destination et ne peut donc pas créer plusieurs entrées à l'aide du même port.
Un utilisateur souhaitera peut-être configurer deux autres règles de Port Web non standard (Non-Standard Web Port) dans lesquelles la valeur du port est identique, mais les adresses IP de destination sont différentes. La version 11.1.1 permet à un utilisateur de le faire.
Cloud Web Security version 1.11.0 a été publié le 08 mars 2023.
Cette version ajoute une nouvelle fonctionnalité et résout un seul problème.
Ajout de la nouvelle fonctionnalité et résolution du problème dans Cloud Web Security version 1.11.0 :
Nouvelle fonctionnalité : Règles de sécurité Web basées sur une région géographique
Les clients ont désormais la possibilité de bloquer ou d'autoriser le trafic Internet en fonction de la région géographique du contenu ou de l'utilisateur. Cette fonctionnalité est ajoutée à la section Configurer (Configure) > Stratégies de sécurité (Security Policies) > Sécurité Web (Web Security) en cliquant sur l'onglet Filtrage basé sur la géolocalisation (Geo-Based Filtering).
Lors de la configuration d'un Filtrage basé sur la géolocalisation (Geo-Based Filtering), l'utilisateur peut spécifier les utilisateurs et les groupes auxquels il s'applique, puis choisir dans une liste de 251 pays/régions avec des options ajoutées pour le trafic par Pays/régions inconnus (Unknown Countries), Proxy anonyme (Anonymous Proxy) et Fournisseur de satellites (Satellite Provider) pour s'assurer que les utilisateurs ne peuvent pas contourner les règles.
Problème résolu 108990 : Le bouton Actualiser (Refresh) ne fonctionne pas pour un utilisateur Cloud Web Security sur les pages Cloud Web Security > Surveiller (Monitor) d'Orchestrator.
Si l'utilisateur souhaite actualiser et mettre à jour les informations sur une page Surveiller (Monitor) (par exemple, journaux Web ou journaux DLP), Orchestrator inclut un bouton Actualiser (Refresh) en bas de la page.
Toutefois, si l'utilisateur clique sur Actualiser (Refresh), les données ne se mettent pas à jour en raison d'une modification sous-jacente d'un composant d'Orchestrator.
Problème résolu 10900 : Si un utilisateur CASB dispose d'une règle pour Google Drive, sous Contrôles d'application (Application Controls), il peut configurer « Créer » (Create).
Symptôme : CASB prend uniquement en charge les options de contrôle Charger (Upload) et Télécharger (Download) pour Google Drive. Par conséquent, le contrôle de Créer (Create) est supprimé pour les versions 1.11.0 et ultérieures.
Problème résolu 110901 : Un utilisateur peut sélectionner et configurer Telegram comme application de destination pour une règle CASB.
CASB ne prend plus en charge l'application Telegram et l'option de configuration d'une règle CASB qui lui est associée a été supprimée avec cette version.
Si un client dispose d'une règle CASB existante qui inclut Telegram comme Application de destination (Destination Application), il doit supprimer cette application si sa version de Cloud Web Security est mise à niveau vers la version 1.11.0 ou ultérieure, car la règle n'exécute plus cette application.
Dans une version ultérieure, Cloud Web Security supprimera automatiquement l'application Telegram de toutes les règles CASB et consignera cette action comme un événement.
Cloud Web Security version 1.10.1 a été publié le 7 février 2023.
Cette version ajoute une nouvelle fonctionnalité et résout plusieurs problèmes.
Ajout de la nouvelle fonctionnalité et résolution des problèmes dans Cloud Web Security version 1.10.1 :
Nouvelle fonctionnalité : Pages de blocs personnalisables utilisant l'option Personnalisation de la page (Page Customization).
VMware Cloud Web Security affiche une page de blocage de marque VMware par défaut à tous les utilisateurs lorsqu'une stratégie de sécurité empêche un utilisateur d'accéder à un site Web ou à une application cloud.
La fonctionnalité Page de blocage personnalisable (Customizable Block Page) permet aux utilisateurs de créer et de personnaliser leur propre page de blocage de marque à afficher à l'utilisateur en cas de blocage du trafic (trafic Web ou de protection contre la perte de données). À l'aide de la section Configurer (Configure) > Personnalisation de la page (Page Customization) d'Orchestrator, un administrateur Cloud Web Security peut personnaliser les éléments suivants :
Page de blocage que VMware Cloud utilise pour répondre à une demande HTTP ou à un chargement de fichiers qui enfreint une stratégie de sécurité configurée.
Page de blocage que VMware Cloud renvoie lorsqu'un utilisateur tente de charger un fichier qui enfreint une règle DLP configurée.
Pour plus d'informations sur la configuration d'une page de blocage personnalisée, reportez-vous à la section Personnalisation de la page.
Problème résolu 96370 : Lors de la création d'une règle de protection contre la perte de données (DLP), des informations incorrectes s'affichent dans l'interface utilisateur pour l'info-bulle « Taille de fichier maximale » (Maximum File Size).
Lors de la création d'une règle de protection contre la perte de données (DLP), un utilisateur constate des informations incorrectes pour l'info-bulle « Taille de fichier maximale » (Maximum File Size). L'info-bulle indique que « Si la taille du fichier chargé dépasse la valeur indiquée, le fichier est supprimé et l'auditeur est informé » (If the uploaded file size is more than the specified value, the file is dropped, and auditor is informed), ce qui est incorrect. Pour résoudre ce problème, reformulez l'info-bulle en « Si la taille du fichier chargé dépasse la valeur indiquée, il n'est pas inspecté par DLP et est autorisé » (If the uploaded file size is more than the specified value, the file is not inspected by DLP and is allowed through).
Problème résolu 99511 : Les journaux Web Cloud Web Security incluent uniquement « Type de menace » (Threat Type) sans détails du thread.
Les journaux Web cloud Web Security n'incluent que le Type de menace (Threat Type) et les détails du risque ne s'affichent pas. Pour améliorer la capacité d'un utilisateur à surveiller le trafic Web, les détails du risque pour les vulnérabilités doivent également s'afficher en plus du Type de menace (Threat Type) identifié.
Problème résolu 106671 : Une erreur risque de s'afficher pour certains clients lorsqu'ils publient une règle d'application Web sans navigateur.
Lors de l'inspection du trafic du navigateur sur des applications Web sans navigateur, les clients plus anciens risquent d'observer une erreur lorsqu'ils publient une règle de stratégie de sécurité d'application Web sans navigateur. Ce problème est dû au fait que la valeur par défaut n'est pas configurée pour le navigateur pris en charge. Ce problème ne s'observe pas pour les nouveaux clients.
Solution : Le support peut créer un ticket à l'intention de l'équipe Cloud Web Security demandant d'ajouter manuellement le navigateur pris en charge par défaut pour le client.
Cloud Web Security version 1.10.0 a été publié le 24 janvier 2023.
Cette version ajoute une nouvelle fonctionnalité :
Nouvelle fonctionnalité : Configurer des règles pour le trafic d'applications Web sans navigateur
Auparavant, un utilisateur pouvait configurer une règle de stratégie de sécurité CWS pour inspecter les applications Web avec navigateur telles que Chrome, Edge, Firefox, Safari, etc. Toutefois, la règle ne s'appliquait pas aux applications Web sans navigateur telles que Slack ou Dropbox.
À partir de la version 1.10.0, un utilisateur a la possibilité de configurer des règles pour inspecter le trafic du navigateur sur Applications Web sans navigateur (Non-Browser Web Applications).
Un utilisateur peut afficher, ajouter et supprimer des règles pour le trafic d'applications Web sans navigateur. Pour configurer les règles d'une application Web sans navigateur :
Accédez à Cloud Web Security > Configurer (Configure) > Stratégie de sécurité (Security Policy), puis sélectionnez une stratégie existante et cliquez sur l'onglet Applications Web (Web Applications).
Cliquez sur + AJOUTER UNE RÈGLE (+ ADD RULE) et entrez tous les détails requis, tels que le type de source, le type de destination, les types de demandes et de fichiers, les détails de l'action et du journal pour créer une règle d'application Web sans navigateur.
Champ |
Description |
Source |
Sélectionnez la source en fonction des adresses IP/plages d'adresses IP, de l'agent utilisateur ou du navigateur.
Note:
Vous ne pouvez sélectionner qu'un seul type de source par règle. |
Destination |
Sélectionnez la destination en fonction du domaine, des adresses IP/plages d'adresses IP, de l'URL, de la catégorie, du thread ou de la géolocalisation.
Note:
Vous ne pouvez sélectionner qu'un seul type de destination par règle. |
Type de demande et de fichier (Request And File Type) |
Sélectionnez le type de demande (chargements, téléchargements ou les deux) et le type de fichier pour la règle à appliquer. Vous pouvez également sélectionner la méthode HTTP (POST, PUT) pour le type de demande de chargement. Vous pouvez également entrer éventuellement la taille minimale de fichier pour l'action à appliquer. |
Action et journal (Action And Log) |
Sélectionnez l'action (Autoriser ou Refuser) à effectuer si les critères de règle sont remplis. Vous pouvez éventuellement collecter les journaux de cette règle en activant le bouton bascule Capturer des journaux (Capture Logs). |
Nom, motif et balises (Name, Reason and Tags) |
Configurez le nom, la balise, le motif et la position pour les règles basées sur la géolocalisation. Veillez à spécifier un nom unique pour la règle. Vous pouvez éventuellement ajouter des motifs et des balises pour les règles, qui peuvent être utilisés pour le tri et le filtrage.
Note:
Le champ Position désigne la position de la règle sur la liste des règles d'applications Web. |
Cliquez sur Terminer (Finish) et la règle d'application Web récemment créée s'affiche dans la liste Application Web (Web Application).
Pour appliquer la nouvelle règle de stratégie de sécurité, sélectionnez la règle et cliquez sur le bouton Publier dans le coin supérieur droit de l'écran.
Après la publication de la stratégie de sécurité, l'utilisateur est prêt à appliquer la stratégie de sécurité.
Cloud Web Security version 1.9.1 a été publié le 17 janvier 2023.
Cette version ajoute une nouvelle fonctionnalité et résout plusieurs problèmes.
Ajout de la nouvelle fonctionnalité et résolution des problèmes dans Cloud Web Security version 1.9.1 :
Nouvelle fonctionnalité : Configurer des règles des ports Web non standard
Dans les versions précédentes, VMware Cloud Web Security pouvait inspecter le trafic sur les ports Web standard 80 et 443. La version 1.9.1 autorise l'inspection du trafic du navigateur (HTTP/HTTPS) sur les ports Web non standard.
Un utilisateur peut afficher, ajouter et supprimer des règles de ports en accédant à Cloud Web Security > Configurer (Configure) > Paramètres d'entreprise (Enterprise Settings) > Ports Web non standard (Non-Standard Web Ports).
Pour autoriser et inspecter le trafic sur des ports Web non standard, entrez le numéro du port. Cliquez sur le bouton « + » sur la ligne pour ajouter d'autres ports Web non standard.
L'utilisateur peut modifier des règles existantes ou supprimer des règles en cliquant sur le bouton « - » associé. Après la modification, cliquez sur le bouton Enregistrer les modifications (Save Changes).
Problème résolu 93272 : les demandes de ressources qui correspondent à une catégorie de menace ou à une catégorie de contenu ne sont pas bloquées.
Lorsqu'il existe une règle de sécurité Web pour bloquer une catégorie de menace ou une catégorie de contenu et que le domaine correspondant à ces catégories est consulté, le site Web est bloqué. Cependant, si le même domaine est consulté en tant que ressource sur une page Web (par exemple, en cliquant sur un lien qui télécharge un fichier), la demande n'est pas bloquée.
Problème résolu 93278 : Les journaux Web qui correspondent à une règle d'inspection du contenu risquent d'afficher une correspondance incorrecte de règle.
Les journaux Web qui correspondent à une règle d'inspection du contenu indiquent que la règle par défaut correspond, mais n'affichent jamais le nom réel de la règle créée et configurée sur SASE Orchestrator.
Problème résolu 95190 : Les téléchargements YouTube sont classés par erreur comme « Chargement de fichiers » (File Upload) dans les journaux Web.
Si une règle CASB permet de bloquer ou d'autoriser les téléchargements YouTube, la règle s'applique correctement. Toutefois, les journaux Web le désignent comme un « Chargement de fichiers » (File Upload) au lieu d'un « Téléchargement de fichiers » (File download), ce qui affecte la capacité d'un administrateur à évaluer l'activité sur son réseau.
Problème résolu 96794 : Une règle de filtrage de contenu pour bloquer les chargements de tous les types de fichiers bloque la connexion aux applications Microsoft.
Lorsqu'une règle de filtrage de contenu bloque les chargements de tous les types de fichiers, la règle bloque la connexion aux applications Microsoft qui nécessitent une connexion à partir de https://login.microsoftonline.com/.
Problème résolu 99661 : Les contrôles CASB de certaines applications Microsoft d'entreprise ne fonctionnent pas comme prévu.
Les contrôles CASB pour les applications Microsoft suivantes ne fonctionnent pas comme prévu, lorsqu'un utilisateur configure une règle « Bloquer » (Block). Si l'utilisateur tente d'effectuer l'une de ces actions, aucune d'entre elles n'est bloquée et l'utilisateur peut effectuer ces actions :
Microsoft Teams : chargement, création et suppression de fichiers
Microsoft Outlook : chargement, téléchargement et suppression de fichiers
Microsoft OneDrive : suppression
Microsoft OneNote : téléchargement
Problème résolu 104945 : Certains sites Web peuvent ne pas se charger en raison d'un problème de partage des ressources entre origines multiples (CORS, Cross-Origin Resource Sharing).
Lorsqu'une stratégie Cloud Web Security est appliquée et qu'un utilisateur accède à certains sites Web, la page peut ne pas se charger en raison d'un problème de partage des ressources entre origines multiples (CORS). L'utilisateur observe une erreur semblable à « xxxx a été bloqué par la stratégie CORS : L'en-tête 'Access-Control-Allow-Origin' contient plusieurs valeurs '*' » (xxxx has been blocked by CORS policy:The 'Access-Control-Allow-Origin' header contains multiple values '*') dans les journaux de la console.
Problème résolu 104948 : Les règles CASB pour OneDrive ne fonctionnent pas sur SharePoint et OneDrive.
Lorsqu'une règle CASB bloque tous les contrôles d'application pour OneDrive, la règle CASB ne bloque pas les actions pour SharePoint.
Problème résolu 104949 : Si un utilisateur crée une règle CASB pour Google Drive, cette dernière ne bloque pas la création de dossiers.
Lorsque le chargement et le téléchargement sont bloqués pour Google Drive, n'importe quel utilisateur peut créer des dossiers dans Google Drive.
Dans les versions 1.9.1 et ultérieures, un utilisateur ne peut créer aucun dossier dans Google Drive par défaut et aucune option de configuration n'est requise pour cette application.
Cloud Web Security version 1.8.0 a été publié le 28 novembre 2022.
Cette version ajoute une nouvelle fonctionnalité :
Nouvelle fonctionnalité : Contournement SSL facile utilisant une exception rapide
Si un utilisateur devait créer une règle pour contourner l'inspection des applications Web courantes dans les versions précédentes de Cloud Web Security, il devait créer manuellement une règle d'inspection SSL. Avec l'ajout de la fonctionnalité de contournement SSL facile, l'utilisateur peut créer rapidement ces règles d'inspection SSL.
La nouvelle fonctionnalité s'affiche sous Cloud Web Security > Configurer (Configure) > Stratégies de sécurité (Security Policies) sous l'onglet Inspection SSL (SSL Inspection) sous forme de bouton Exception rapide (Quick Exception).
Cliquez sur Ajouter une exception rapide (Add Quick Exception) pour ouvrir un écran de configuration Exceptions rapides (Quick Exceptions) dans lequel l'utilisateur sélectionne une ou plusieurs applications souhaitées, à l'exception de l'inspection SSL. Lorsqu'un utilisateur sélectionne une application, toutes les URL associées à cette application sont exclues de l'inspection SSL.
Lorsque vous utilisez l'option Exception rapide (Quick Exception), une seule règle est créée. Vous ne pouvez pas en créer d'autres. Cette règle est toujours appelée Règle d'exception rapide (Quick Exception Rule) et vous ne pouvez pas modifier le nom dans l'assistant Exception rapide (Quick Exception).
La règle est toujours la deuxième de la dernière règle de la grille et est rapidement accessible en cliquant sur le nom Règle d'exception rapide (Quick Exception Rule). Une fois la règle d'exception rapide ajoutée, l'option de menu Ajouter des exceptions rapides (Add Quick Exceptions) passe à Exception rapide (Quick Exception), indiquant qu'une Règle d'exception rapide (Quick Exception Rule) peut être modifiée et qu'aucune règle supplémentaire de ce type ne peut être ajoutée.
Cloud Web Security version 1.7.0 a été publié le 1er novembre 2022.
Cette version ajoute une nouvelle fonctionnalité et résout plusieurs problèmes.
Ajout de la nouvelle fonctionnalité et résolution des problèmes dans Cloud Web Security version 1.7.0 :
Nouvelle fonctionnalité : Les journaux Web incluent désormais un champ Région (Region) et un champ Groupe d'utilisateurs (User Group) pour une surveillance améliorée.
Le champ Région (Region) indique quel PoP SASE était utilisé pour un événement Web, ce qui permet de localiser dans quelle partie du monde un événement s'est produit.
Le champ Groupe d'utilisateurs (User Group) indique le groupe d'utilisateurs SAML dans lequel une configuration SAML est utilisée.
Ensemble, ces deux champs ajoutés améliorent la capacité d'un utilisateur à surveiller le trafic Web.
Problème résolu 93269 : Une stratégie Web de Cloud Web Security ne bloque pas le téléchargement de fichiers malveillants.
Dans certains cas, un utilisateur peut observer le téléchargement d'un fichier malveillant alors qu'une stratégie est configurée pour bloquer ce type de téléchargement.
Problème résolu 94168 : Lors du téléchargement d'un fichier protégé par mot de passe depuis OneDrive ou Dropbox, aucune invite ne permet d'entrer le mot de passe. L'utilisateur ne peut alors pas télécharger le fichier.
Lors du téléchargement d'un fichier protégé par mot de passe depuis un site Web, l'utilisateur doit être invité à entrer un mot de passe, car il s'agit de l'action par défaut dans le filtrage de contenu. Cependant, sur OneDrive et Dropbox, le téléchargement de fichiers est bloqué sans invite de mot de passe et ne peut donc pas être effectué.
Problème résolu 95190 : Un administrateur observe dans les journaux Web de son entreprise que les téléchargements YouTube sont classés par erreur comme chargements.
Si une règle CASB permet de bloquer ou d'autoriser les téléchargements YouTube, la règle s'applique correctement. Toutefois, les journaux Web le désignent comme un « Chargement de fichiers » (File Upload) au lieu d'un « Téléchargement de fichiers » (File download), ce qui affecte la capacité d'un administrateur à évaluer l'activité sur son réseau.
Problème résolu 95998 : Les règles CASB pour OneDrive ne fonctionnent pas.
Si un utilisateur crée et applique une règle CASB qui autorise les actions du navigateur tout en bloquant tous les contrôles d'application, puis se connecte à OneDrive et tente toutes les actions qui doivent être bloquées, aucune d'entre elles n'est bloquée. Les actions qui ne sont pas bloquées incluent la création et la suppression de dossiers.
Problème résolu 96274 : Certains contrôles CASB pour Microsoft Office 365 Outlook ne fonctionnent pas comme prévu.
Lorsqu'une règle CASB permet à Microsoft Office 365 Outlook le blocage, la suppression, le téléchargement, le chargement ou la recherche et que l'utilisateur tente l'une de ces actions sur Microsoft Office 365 Outlook, aucune d'entre elles n'est bloquée.
Problème résolu 96790 : L'utilisateur ne parvient pas à déterminer la stratégie de sécurité exacte qui a été mise en œuvre dans une demande Web en raison d'un manque de clarté dans les journaux.
Dans ce problème, les journaux affichent uniquement les en-têtes de stratégie (qui sont uniquement des codes d'identification) agissant sur une demande Web plutôt que d'indiquer explicitement l'appel de la stratégie. La seule façon pour un utilisateur de déterminer quelle stratégie était utilisée était de prendre l'en-tête de la stratégie, puis d'ouvrir l'onglet Réseau (Network) pour mapper cet en-tête de stratégie aux noms de stratégie.
Problème résolu 98047 : Règle CASB pour bloquer les chargements et les téléchargements de fichiers vers Microsoft SharePoint et Microsoft Word. Cloud Web Security ne bloque pas les chargements et les téléchargements de fichiers.
Lorsqu'une règle CASB bloque les chargements et les téléchargements vers Microsoft Office 365 SharePoint ou Microsoft Word, et que l'utilisateur tente de charger ou de télécharger un fichier Word vers SharePoint ou depuis celui-ci, les actions de chargement et de téléchargement ne sont pas bloquées.
Cloud Web Security version 1.6.1 a été publié le 15 septembre 2022.
Les fonctionnalités suivantes sont ajoutées dans Cloud Web Security version 1.6.1
Nouvelle fonctionnalité : Proxy Web
La fonctionnalité Proxy Web de VMware Cloud Web Security est conçue pour permettre l'utilisation autonome du service Cloud Web Security sans nécessiter VMware SD-WAN ou VMware Secure Access. Le trafic Web de tout périphérique disposant d'un navigateur moderne pouvant prendre en charge une configuration de proxy réseau, manuellement ou automatiquement via un fichier de configuration automatique de proxy (PAC), peut être redirigé vers le service Cloud Web Security pour l'inspection de la sécurité.
Nouvelle fonctionnalité : Clonage d'une stratégie de sécurité.
La version 1.6.1 ajoute la possibilité de cloner des stratégies de sécurité qui peuvent également être stockées comme sauvegarde.
Cette fonctionnalité inclut également des fonctionnalités de clonage pour différents types de règles dans une stratégie de sécurité, par exemple : Inspection SSL, CASB, DLP et Sécurité Web.
Cloud Web Security version 1.5.2 a été publié le 03 septembre 2022.
Problèmes résolus dans Cloud Web Security version 1.5.2.
Problème résolu 94734 : Un utilisateur observe des catégories de fichiers peu claires avec de vagues noms « Autres téléchargements » (Other Downloads) et « Autres documents » (Other Documents).
Lors de la création de règles de Cloud Web Security, l'utilisateur observe les catégories de fichiers, « Autres téléchargements » (Other Downloads) et « Autres documents » (Other Documents) qui ne sont pas très claires quant à leurs effets. Ce problème est résolu en réduisant l'ambiguïté en renommant « Autres téléchargements » en « Autres fichiers et documents » (Other Files and Documents) et « Autres documents » (Other Documents) en « Documents divers » (Miscellaneous Documents).
Cloud Web Security version 1.5.1 a été publié le 30 août 2022.
Problèmes résolus dans Cloud Web Security version 1.5.1.
Problème résolu 93206 : Les téléchargements MEGA ne sont pas bloqués par une règle CASB configurée pour les bloquer.
Si un utilisateur crée une règle CASB pour que l'application « Mega » bloque les chargements et les téléchargements, puis se connecte à mega.io et tente de charger ou de télécharger un fichier, l'utilisateur observe le blocage approprié des chargements de fichiers, mais pas des téléchargements.
Problème résolu 93208 : Les téléchargements des pièces jointes de Gmail sont bloqués, qu'il existe une règle ou non. Aucun journal n'est alors généré pour l'événement.
Si une règle CASB est configurée pour bloquer ou non les téléchargements des pièces jointes de Gmail, lorsqu'un utilisateur tente de télécharger une pièce jointe Gmail simplement en cliquant sur l'icône de téléchargement de la pièce jointe, le téléchargement est bloqué, mais aucun journal n'est consigné. Ce problème ne se produit pas si l'utilisateur tente de télécharger la pièce jointe dans un nouvel onglet.
Problème résolu 93209 : Certains fichiers identifiés comme des logiciels malveillants ne sont pas bloqués par une règle de filtrage de contenu configurée pour les bloquer.
Lorsqu'une règle de filtrage de contenu bloque les chargements et les téléchargements de fichiers de logiciels malveillants, les fichiers ne sont pas tous bloqués.
Problème résolu 93210 : Une règle DLP pour bloquer l'entrée de texte correspondant à un dictionnaire n'est pas appliquée aux messages LinkedIn.
Lorsqu'une règle DLP bloque l'entrée de texte qui correspond à un dictionnaire et que des messages sont envoyés sur LinkedIn qui correspond au dictionnaire, le message n'est pas bloqué.
Problème résolu 93211 : Les téléchargements YouTube ne sont pas bloqués par une règle CASB configurée pour les bloquer.
Si un utilisateur crée une règle CASB pour bloquer les téléchargements YouTube, puis tente de télécharger une vidéo sur YouTube, le téléchargement n'est pas bloqué.
Problème résolu 93213 : Les règles CASB qui fonctionnent au début peuvent ne pas fonctionner lors de l'actualisation de la page du navigateur.
Lorsqu'une règle CASB bloque des actions telles que la recherche, la fonctionnalité de recherche de l'application est bloquée. À présent, si l'URL du navigateur contient les paramètres de recherche et que la page est actualisée, les résultats de la recherche ne sont pas bloqués.
Problème résolu 93214 : Une règle de filtrage de contenu configurée pour bloquer le téléchargement de Tous les fichiers (All Files) ne bloque pas les téléchargements de fichiers JPEG.
Une règle de filtrage de contenu pour bloquer le téléchargement de « Tous les fichiers » (All Files) (qui doit inclure tous les formats d'image) ne bloque pas les téléchargements de fichiers JPEG. Sans le correctif, la solution consiste à utiliser une option Type de fichier (File type) personnalisée et à ajouter les extensions de fichiers qui doivent être bloquées (par exemple, JPEG).
Problème résolu 93217 : Le chargement de certains types de fichiers n'est pas bloqué sur Google Drive (G-Drive), même si le contenu des fichiers correspond à une règle DLP.
Les fichiers comportant les extensions .doc, .docx, .ppt et .pptx ne sont pas bloqués sur G-Drive, même si le contenu des fichiers correspond à une règle DLP.
Problème résolu 93225 : Cloud Web Security peut ne pas faire correspondre un site Web à la catégorie de menace appropriée, ce qui empêche le blocage du site Web.
Un utilisateur peut configurer une règle pour bloquer toutes les catégories de menaces à l'aide d'une règle de filtrage d'URL et certains sites qui doivent être classés comme malveillants ne sont pas bloqués.
Problème résolu 93262 : Une règle de Cloud Web Security configurée pour s'appliquer à un groupe d'utilisateurs spécifique n'est pas appliquée.
Lorsqu'une règle de sécurité doit être appliquée uniquement aux utilisateurs du groupe spécifié, elle n'est pas appliquée. Par conséquent, toutes les règles qui doivent être appliquées aux utilisateurs du groupe ne le sont pas.
Problème résolu 93268 : Règles de contrôle CASB non appliquées à Microsoft Teams.
Une stratégie de contrôle CASB pour autoriser l'accès à l'application Web Microsoft Teams, mais qui bloque toutes les autres actions n'empêche pas les utilisateurs de publier du contenu.
Problème résolu 94369 : Lorsqu'un utilisateur configure une règle pour bloquer « Tous les documents » (All Documents) ou « Tous les fichiers » (All Files), l'utilisateur observe le blocage des chargements qui ne correspondent pas à la règle correspondante.
Lors de l'application d'une règle pour bloquer« Tous les documents » (All Documents), un utilisateur observe que non seulement les chargements de documents sont bloqués, mais également les chargements de fichiers et d'archives.
Lors de l'application d'une règle pour bloquer « Tous les fichiers » (All Files), un utilisateur observe que non seulement les chargements de fichiers sont bloqués, mais que les chargements de documents et d'archives le sont également.
Cloud Web Security version 1.5.0 a été publié le 10 août 2022.
Problèmes résolus dans Cloud Web Security version 1.5.0.
Problème résolu 87027 : Les journaux de Cloud Web Security incluent des journaux resource-type, qui peuvent encombrer la vue Journaux (Logs).
L'interface utilisateur d'Orchestrator ne disposait d'aucune option permettant à l'utilisateur d'activer et de désactiver les journaux de ressources afin de pouvoir mieux identifier d'autres journaux appropriés.
Problème résolu 88813 : Le composant de l'onglet Stratégies Web de sécurité (Security Web Policies) affiche simultanément deux onglets sélectionnés lorsque CASB n'est pas sous licence.
Le composant d'onglet passait à un état incorrect en raison de la manière de déactivation et de masquage des onglets.
Problème résolu 89718 : VMware SASE Orchestrator ne peut pas charger les dictionnaires prédéfinis DLP.
Un problème sur le serveur principal Orchestrator empêche l'interface utilisateur d'obtenir les dictionnaires prédéfinis DLP. Ce problème n'affecte pas les dictionnaires définis par le client et ils se chargent correctement.
Problème résolu 89752 : Pour un client Cloud Web Security utilisant une licence standard, la fonctionnalité CASB n'est pas entièrement visible dans l'interface utilisateur de VMware SASE Orchestrator.
Ce manque de visibilité pour la fonctionnalité CASB inclut les éléments suivants :
Élément de menu et vue Configurer (Configure) > CASB.
Élément de menu et vue Surveiller (Monitor) > Analyse CASB (CASB Analysis).
API utilisée par ces composants particuliers.
Problème résolu 91054 : Pour un client utilisant VMware Cloud Web Security, un utilisateur peut rencontrer plusieurs problèmes d'utilisation sur l'interface utilisateur de VMware SASE Orchestrator lors de la tentative de configuration de l'authentification Single Sign-On (SAML).
Problèmes qu'un utilisateur peut rencontrer lors de la configuration de Single Sing-On dans le service Cloud Web Security :
Des erreurs de certificat s'affichent sur la page Authentification (Authentication) principale plutôt que sur la page Certificat (Certificate).
Un utilisateur peut parfois enregistrer un certificat non valide.
La modification d'un certificat peut parfois réinitialiser les autres valeurs sur le formulaire d'authentification.
Les champs individuels n'affichent pas les messages de validation conformément au champ.
Lors de l'enregistrement de la page Authentification (Authentication) d'Orchestrator, l'interface utilisateur n'affiche aucun indicateur de progression.
• L'info-bulle Débogage détaillé (Verbose Debugging) affiche « t+2hrs » (t+2 h) plutôt que l'heure réelle. Dans certaines langues, l'étiquette de l'option Single Sign-On renvoie à plusieurs lignes.
La disposition du pied de page Enregistrer les modifications (Save Changes) est incorrecte sur les écrans courts.
Tous les problèmes répertoriés sont résolus avec le correctif pour n° 91054.
Problème résolu 91683 : Un utilisateur ne peut pas ajouter une adresse IP CIDR à la source de la règle d'inspection SSL dans Cloud Web Security.
L'assistant de configuration et l'API n'acceptent pas une adresse IP CIDR dans la source pour une règle d'inspection SSL. Le correctif corrige ce problème.
Problème résolu 91697 : Lorsque vous utilisez un assistant de Cloud Web Security pour configurer une inspection SSL, le filtrage d'URL, le filtrage de contenu et une règle d'inspection du contenu, l'assistant cesse de répondre et l'utilisateur ne peut pas terminer la configuration de la règle lorsque vous cliquez sur le bouton Terminer/Mettre à jour (Finish/Update).
Ce problème est dû au fait que le serveur principal de Cloud Web Security rejette une valeur de configuration entrée lors de l'utilisation de l'assistant et que le bouton Terminer/Mettre à jour (Finish/Update) cesse de répondre une fois qu'il reçoit cette erreur de validation.
Problème résolu 92082 : Un client utilisant VMware Cloud Web Security, peut constater que les règles de filtrage de contenu ne respectent pas le domaine configuré.
Les règles de filtrage de contenu remplacent le domaine configuré fourni si l'utilisateur a également sélectionné TOUS (ALL) pour Catégories (Categories). Si l'utilisateur sélectionne AUCUN (NONE) pour Catégories, l'assistant a défini cette option par défaut sur les catégories TOUTES (ALL). Par conséquent, les domaines n'ont pas été non plus respectés ici. Cela est dû à un problème dans l'API et l'assistant de filtrage de contenu. Si l'utilisateur configure au moins une catégorie, le domaine est respecté.
Sur un dispositif Orchestrator sans ce correctif, l'utilisateur doit configurer des catégories spécifiques avec des domaines, puis Orchestrator respecte les domaines dans le filtrage de contenu.
Problème résolu 93341 : Lors de l'utilisation de la fonctionnalité de visibilité CASB, un utilisateur observe les problèmes liés aux certificats et à la date « de fondation de la société » (Company Founded).
Dans Visibilité CASB (CASB Visibility), un utilisateur peut observer que l'interface utilisateur d'Orchestrator répertorie un certificat comme étant expiré lorsque le certificat est toujours valide et qu'il est renouvelé en dépit de son expiration effective. L'autre problème est que de nombreuses applications indiquent « fondées en 1970 » sous Détails de l'application (Application Details) alors que l'origine de l'application est bien plus récente.
Problème 93202 : Le blocage de la création de Google Drive dans la règle de contrôle CASB ne bloque pas la création de dossiers.
Si un utilisateur configure une règle de contrôle CASB pour bloquer la création de Google Drive, il ne bloque pas la création d'un dossier. Toutefois, la règle CASB bloque la création de Google Docs, Sheets et autres applications Google. En d'autres termes, un utilisateur qui accède à Google Drive obtient un dossier, mais sans aucun contenu réel à l'intérieur.
Solution : Il n'existe aucune solution à ce problème et l'utilisateur doit être informé de l'existence de ce comportement pour une règle CASB qui affecte Google Drive.
Problème 96847 : Les règles CASB ne sont pas appliquées aux applications Microsoft qui sont basées sur un compte personnel.
Si un utilisateur configure une règle CASB pour bloquer une action pour une application Microsoft (Teams, OneDrive, SharePoint, etc.), un utilisateur observe la mise en œuvre appropriée des règles si l'application Microsoft est basée sur un compte d'entreprise/professionnel. Cependant, si l'application Microsoft est basée sur un compte personnel, aucune des actions n'est bloquée. Cela inclut des actions telles que la publication, le chargement, le téléchargement et la suppression.
Solution : Assurez-vous qu'aucun utilisateur n'utilise de comptes personnels en cas d'utilisation de règles CASB pour les applications Microsoft.
Problème 96848 : Les chargements d'OneDrive indiquent que l'utilisateur est « inconnu ».
Ce problème a une incidence sur la capacité d'un administrateur à configurer des règles basées sur l'utilisateur pour les chargements d'OneDrive, car l'utilisateur n'est pas spécifié.
Ce problème est dû à l'utilisation par OneDrive d'un autre domaine pour les chargements (api.onedrive.com) par rapport au domaine réel chargé dans le navigateur (onedrive.live.com). Le cookie d'authentification utilisateur Cloud Web Security pour live.com n'est pas transmis à onedrive.com en raison de restrictions communes à tous les navigateurs Web. L'utilisateur OneDrive ne peut alors pas être identifié.
Problème 111002 : Les clients ne peuvent pas publier une stratégie de sécurité qui contient des règles CASB qui incluent les applications Telegram, Jira ou Confluence.
Cloud Web Security a supprimé Telegram, Jira et Confluence de la liste des applications CASB. Par conséquent, toutes les règles CASB configurées avec ces applications deviennent non valides lorsqu'elles sont publiées.
Solution : Supprimez chaque règle de sécurité CASB qui utilise l'une des applications mentionnées ci-dessus et créez des règles sans ces applications et publiez-les.