Dans la version 1.17.0, la page Présentation (Overview) a été améliorée et est automatiquement mise en forme pour l'impression.

Voici un exemple de rapport ouvert dans un lecteur Adobe Acrobat :

Sur les assistants de règles CASB, Application Web (Web Application) et DLP et sur les pages Exceptions d'en-tête SaaS (SaaS Header Exceptions) et Adresses IP de la passerelle d'entreprise (Corporate Gateway IPs), un formulaire peut être envoyé plusieurs fois si vous cliquez rapidement sur le bouton Envoyer (Submit) alors qu'un envoi est en cours. L'effet est plus visible avec une connectivité réseau lente.

Ce problème peut se produire lorsqu'un utilisateur accède à Cloud Web Security > Configurer (Configure) > SSL Certificate (Certificat SSL), puis clique sur l'un des boutons Télécharger le certificat (Download Certificate) sur cette page.

 La fonctionnalité Exportation de journaux (Log Export) permet à un client de transférer des journaux en temps quasi réel sur les activités de Cloud Web Security vers un point de terminaison SIEM (Security Information and Event Management) contrôlé par le client à des fins de stockage et d'analyse.

Pour plus d'informations, reportez-vous à la section Exportation de journaux de la documentation Cloud Web Security.

Cloud Web Security propose une nouvelle page Surveiller (Monitor) > Présentation (Overview). Ce tableau de bord d'une page présente de manière plus claire et plus accessible les informations critiques, et pointe l'utilisateur vers des informations plus détaillées pour chaque catégorie de données. Les graphiques de la partie supérieure indiquent à l'utilisateur les Actions effectuées (Actions Taken) par Cloud Web Security sur la période configurée et la Distribution des règles (Rules Distribution) actuelle pour ce client.

De plus, un utilisateur peut faire défiler l'écran et accéder en un coup d'œil à des graphiques pour les catégories suivantes : Principaux sites Web visités (Top Websites Visited), Principales applications SaaS (Top SaaS Applications), Répartition des menaces (Threat Breakdown) et Répartition des utilisateurs (User Breakdown).

L'ajout de listes d'éléments séparés par des virgules est une pratique courante qui permet de gagner du temps lors de la configuration de balises, de domaines, d'adresses e-mail et d'éléments similaires dans un champ d'entrée à plusieurs éléments. Le problème est que les virgules sont ignorées par l'interface utilisateur et que la liste ne génère qu'un seul élément. Par exemple, si vous collez une liste de balises pour une règle de sécurité Web, le résultat est une balise unique.

Lors de l'ajout de sélections à diverses listes et balises dans l'interface utilisateur de CWS, les champs d'entrée à plusieurs éléments n'autorisent pas l'activation ou la manipulation du clavier. Cette fonctionnalité est souvent utilisée pour la saisie de balises, de domaines, d'adresses e-mail ou d'autres éléments semblables.

Par exemple, sur l'écran Sélectionner des destinations (Select Destinations), la navigation dans cet écran et la sélection de plusieurs Catégories (Categories) ne peuvent pas s'effectuer à l'aide du clavier.

Lors de la modification d'une règle de Filtrage d'URL (URL Filtering), un clic rapide sur Mettre à jour (Update) à l'étape finale plusieurs fois peut endommager le contenu de la règle. Une fois le contenu endommagé, l'utilisateur doit recréer la règle et celui-ci.

L'interface utilisateur ne doit réinitialiser l'action de stratégie que dans Inspection du contenu (Content Inspection) lorsqu'un utilisateur bascule le type de catégorie entre Type de fichier (File Type) et Hachage de fichiers (File Hash). Toutefois, si un utilisateur remplace le type de fichier par Inspecter (Inspect), l'interface utilisateur réinitialise également l'action de stratégie. L'utilisateur doit alors réinitialiser manuellement l'action de stratégie à sa valeur prévue.

Lorsqu'un utilisateur active le débogage détaillé SAML, il ne peut pas être désactivé. En outre, 2 heures après l'activation du débogage détaillé, l'état doit automatiquement être défini sur désactivé/Non (disabled/No) mais reste activé/oui (enabled/yes).

Par exemple, si l'utilisateur tente d'ajouter la même passerelle d'entreprise une deuxième fois, cette action déclenche une erreur par l'API, mais l'interface utilisateur ne parvient pas à afficher la notification d'erreur.

Lorsqu'un utilisateur s'appuie sur la navigation au clavier dans l'interface utilisateur, il est difficile de porter attention au contenu du signpost qui s'affiche ou de le faire défiler.

Les icônes d'application CASB ne se chargent pas dans la boîte de dialogue Configuration des règles CASB (CASB Rule Configuration) et sur la page Applications CASB (CASB Applications) de l'interface utilisateur.

Les domaines de destination ne s'affichent pas dans la grille de règles des applications Web et l'utilisateur observe plutôt l'option Indifférent (Any).

L'utilisateur observe uniquement les menus de sélection des types de fichiers pour les options Chargements (Uploads) et Chargements et téléchargements (Uploads and Downloads), ces options de types de fichiers sont masquées pour le type Téléchargement (Download).

Chaque stratégie Cloud Web Security commence par un ensemble de règles non modifiables qui indiquent le comportement par défaut. Bien qu'il s'agisse généralement de l'option Autoriser (Allow), dans le cas de l'inspection du contenu, le comportement par défaut doit être Inspecter (Inspect) et non Marquer comme propre (Mark as Clean).

Avec plus de 21 règles de stratégie ajoutées, une tentative de réorganisation des règles sur la deuxième page ou une page suivante par glisser-déposer, OU une tentative de déplacement d'une règle de la deuxième page ou d'une page suivante vers la première page échoue.

En outre, lorsqu'un utilisateur se trouve sur la deuxième page ou une page suivante de : En-tête SaaS (SaaS Header), CASB, DLP, Application Web (Web Application) ou Sécurité Web (Web Security), s'il tente de déplacer une ou plusieurs règles, ces dernières apparaissent temporairement réorganisées correctement, mais leur ordre d'origine est rétabli après l'actualisation.

Un utilisateur peut résoudre ce problème pour une règle unique qu'il souhaite déplacer vers la première page en la supprimant et en la rajoutant, en spécifiant « haut de la liste » (top of list) ou « bas de la liste » (bottom of list) sur la dernière page de l'assistant de création de règles. Pour réorganiser une liste de règles, utilisez un appel d'API plutôt que l'interface utilisateur d'Orchestrator.

La seule façon de restaurer le contrôle Rechercher (Search) pour les contrôles CASB consiste à sélectionner Bloquer (Block) sous Action du navigateur (Browser Action) pour désactiver toutes les options. Ensuite, activez/désactivez à nouveau Bloquer (Block) pour autoriser toutes les règles Instagram. Cela restaure le contrôle Rechercher (Search) lorsque l'activation ou la désactivation de contrôles individuels ne fonctionne pas.

 Sur un écran des règles de stratégie de sécurité (par exemple, Inspection SSL (SSL Inspection)), lorsque vous utilisez la touche Tabulation (Tab) pour cibler le nom d'une règle existante, le focus du navigateur ignore le nom de la règle. La seule façon de sélectionner des heures consiste alors à utiliser une souris/un pavé tactile.

À l'aide d'un lecteur d'écran ou d'un outil d'accessibilité, l'utilisateur devra identifier la partie de la page avec le rôle « principal », car il n'existe ni en-tête ni bannière pour l'indiquer.

Lors de l'utilisation d'un lecteur d'écran ou d'un outil d'accessibilité pour cibler les éléments dans le volet de navigation de gauche, les légendes résultantes ne sont pas claires et comportent des annonces superflues.

Cloud Web Security permet désormais d'appliquer certaines règles de Filtrage d'URL (URL Filtering) uniquement dans des périodes indiquées à l'aide de la fonctionnalité Planification (Schedule). Cette fonctionnalité est ajoutée à la section Action, journal et planification (Action, Log and Schedule) lors de la configuration d'une règle de sécurité Web avec un type Filtrage d'URL (URL Filtering).

La planification propose deux options Type de planification (Schedule Type) pour une règle de filtrage d'URL : Périodique (Periodic) et Ponctuel (One-Time).

L'option Périodique (Periodic) permet de configurer une planification en rotation hebdomadaire dans les cas où votre règle de filtrage d'URL est active. Cette planification périodique est basée sur un fuseau horaire global, les jours de la semaine et une ou plusieurs périodes de début et de fin.

L'option Ponctuel (One-Time) spécifie un seul bloc de temps avec une date et une heure de début et d'expiration lorsque la règle est active, ou une date et une heure de début à partir desquelles la règle est indéfiniment active.

Pour plus d'informations, reportez-vous à la documentation Configurer la stratégie de sécurité > Configurer des règles de sécurité Web > Filtrage d'URL du Guide de Cloud Web Security

Ce problème se produisait également si deux domaines de destination étaient dupliqués dans la même règle. L'erreur est vague et ne fournit aucune aide à l'utilisateur en termes de dépannage du problème de configuration qui empêche la validation de la règle. Un utilisateur ne pouvait rechercher dans les règles d'inspection SSL que les domaines, les adresses IP, les CIDR ou les plages d'adresses IP en double (y compris le contenu des règles d'exception rapide) et les supprimer de toutes les règles sauf une. Désormais, une erreur décrira les sources ou les destinations en conflit, ou s'il existe des doublons dans une règle proprement dit.

Cloud Web Security ne supprimait pas les utilisateurs et/ou les groupes configurés manuellement. La seule façon de corriger cela consistait à décocher Tous les utilisateurs et groupes (All Users and Groups), puis à supprimer manuellement tous les utilisateurs et groupes, puis à cocher à nouveau Tous les utilisateurs et groupes (All Users and Groups).

Une règle SSL avec une règle non valide est refusée lorsque l'utilisateur tente de l'enregistrer. Le problème est que l'utilisateur ne doit pas être obligé d'aller aussi loin dans le processus pour découvrir qu'une adresse IP de règle SSL, un CIDR d'adresse IP ou un domaine n'est pas valide. Orchestrator doit alerter l'utilisateur lors de l'étape de modification de la règle SSL à l'aide de l'assistant de règle SSL.

Les filtres sur le dictionnaire DLP et les auditeurs DLP n'étaient pas localisés pour les langues autres que l'anglais. Grâce à ce correctif, les filtres de chaîne ont été mis à niveau vers des filtres de case à cocher qui non seulement corrigent les problèmes de langues de localisation, mais facilitent également le filtrage de ces deux sections.

Auparavant, lorsqu'un utilisateur configurait une règle de sécurité Web qui incluait une règle de filtrage d'URL, le client ne disposait que d'une option lorsqu'il souhaitait filtrer par domaines : une Liste de domaines statiques (Static Domain List) qu'il devait configurer et gérer manuellement sur l'interface utilisateur d'Orchestrator. Cette option n'était pas idéale dans le cas d'un grand nombre de domaines ou lorsque cette liste changeait fréquemment. À partir de la version v1.12.0, le client dispose désormais d'une option supplémentaire lors du filtrage des domaines : une Liste de domaines dynamiques (Dynamic Domain List).

Pour cette option, Cloud Web Security fait référence à une liste de domaines au format de nom de domaine complet sous forme de texte qui est stockée à distance à un emplacement choisi par le client. L'emplacement doit être accessible publiquement au service. L'avantage de cette option est que vous pouvez créer une liste de domaines comportant un grand nombre de domaines qui peut être modifiée et mise à jour facilement. Vous pouvez configurer Cloud Web Security pour vérifier la Liste de domaines dynamiques (Dynamic Domain List) à des intervalles allant de toutes les 30 secondes à toutes les 24 heures.

Pour plus d'informations, reportez-vous à la documentation pour Configuration des règles de sécurité Web > Filtrage d'URL dans le Guide de configuration de VMware Cloud Web Security.

La fonctionnalité Restrictions d'en-tête SaaS (SaaS Header Restrictions) doit être utilisable par tous les clients Cloud Web Security. Toutefois, lorsqu'un utilisateur disposant d'une licence standard clique sur le lien Restrictions d'en-tête SaaS (SaaS Header Restrictions), il est dirigé vers la page Inspection du contenu (Content Inspection) plutôt que vers la page prévue. Ce problème ne se produit pas pour les utilisateurs disposant d'une licence avancée.

Même si rien n'a changé, l'interface utilisateur d'Orchestrator demande toujours au client d'enregistrer les modifications, ce qui peut entraîner une confusion inutile pour l'utilisateur.

Traditionnellement, les sociétés restreignent les noms de domaine ou les adresses IP lorsqu'elles souhaitent gérer l'accès. Cette approche échoue dans un monde dans lequel les applications SaaS (Software as a Service) sont hébergées dans un cloud public et s'exécutent sur des noms de domaine partagés. Par exemple, si une entreprise utilise Office 365, elle a recours à des noms de domaine, tels qu'outlook.office.com et login.microsoftonline.com. Dans l'exemple Microsoft, le blocage de ces adresses empêcherait les utilisateurs d'accéder entièrement à Outlook sur le Web, au lieu de les limiter simplement à des identités et des ressources approuvées.

La solution à ce problème consiste à limiter l'accès des locataires, et Cloud Web Security le fait à l'aide de la fonctionnalité Restriction d'en-tête SaaS (SaaS Header Restriction). Cette fonctionnalité permet aux administrateurs d'appliquer des stratégies de restriction de locataires dans les services SaaS, tels qu'Office 365 et G Suite. Par exemple, vous souhaiterez peut-être autoriser tous les employés à accéder au compte d'entreprise Office 365, mais leur interdire d'accéder aux comptes personnels. Ces restrictions sont autorisées via l'insertion d'en-têtes HTTP qui spécifient les locataires autorisés.

Cette fonctionnalité est ajoutée à la page Cloud Web Security > Configurer (Configure) sous Paramètres d'entreprise (Enterprise Settings) :

Un client peut configurer la règle d'en-tête SaaS en sélectionnant l'une des six applications prédéfinies : Office 365 - Entreprise, Office 365 - Consommateur, G Suite, Slack, YouTube et Dropbox. Chacune de ces applications prédéfinies inclut un niveau de détail variable, comme des domaines et des en-têtes restreints. En fonction de l'application, le client devra peut-être fournir des entrées supplémentaires pour terminer la règle.

Le client peut également créer une application personnalisée en supposant que l'application prend en charge la restriction de locataires via des en-têtes.

Par exemple, le terme de menu Stratégies de sécurité (Security Policies) est traduit et s'affiche sous la forme Directivas De Seguridad lorsqu'il doit indiquer Directivas de seguridad. En effet, si un élément de menu en anglais est un seul mot et que l'élément traduit représente plusieurs mots, Orchestrator met à tort la première lettre de chaque mot supplémentaire en majuscule.

L'interface utilisateur ne prend pas en compte la hauteur des pieds de page des modifications non enregistrées et le défilement sur un navigateur Web réduit. Ce pied de page masque alors d'autres contenus sur ces pages correspondantes.

Le client peut avoir la fausse impression que le traitement DLP précède le traitement de la sécurité Web, ce qui n'est pas le cas. Dans la version corrigée, l'onglet DLP s'affiche désormais à la fin, ce qui représente sa position réelle dans le flux de traitement.

Lorsque le bouton Exception rapide (Quick Exception) de l'option Inspection SSL (SSL Inspection) est traduit dans des langues autres que l'anglais, un utilisateur peut cliquer sur les bords extérieurs du bouton et n'obtenir aucun résultat. Dans la version corrigée, vous pouvez désormais cliquer sur l'intégralité du bouton Exception rapide (Quick Exception), quelle que soit la position du curseur de la souris.

À partir de la version 11.1.1, l'interface utilisateur de Cloud Web Security apporte désormais les modifications suivantes au menu de navigation latéral :

• Nouvelle section : Paramètres de stratégie (Policy Settings)

• Options CASB et DLP déplacées vers Paramètres de stratégie (Policy Settings)

• Option Moteur d'inspection (Inspection Engine) renommée Inspection du contenu (Content Inspection) et déplacée vers Paramètres de stratégie (Policy Settings)

• Suppression de la section Certificats (Certificates)

• Option Authentification (Authentification) renommée Fournisseur d'identité (Identity Provider) et déplacée vers Paramètres d'entreprise (Enterprise Settings)

• Option Arrêt SSL (SSL Termination) renommée Certificat SSL (SSL Certificate) et déplacée vers Paramètres d'entreprise (Enterprise Settings)

• Option Passerelles d'entreprise (Corporate Gateways) renommée Adresses IP de la passerelle d'entreprise (Corporate Gateway IPs)

Un utilisateur souhaitera peut-être configurer deux autres règles de Port Web non standard (Non-Standard Web Port) dans lesquelles la valeur du port est identique, mais les adresses IP de destination sont différentes. La version 11.1.1 permet à un utilisateur de le faire.

Les clients ont désormais la possibilité de bloquer ou d'autoriser le trafic Internet en fonction de la région géographique du contenu ou de l'utilisateur. Cette fonctionnalité est ajoutée à la section Configurer (Configure) > Stratégies de sécurité (Security Policies) > Sécurité Web (Web Security) en cliquant sur l'onglet Filtrage basé sur la géolocalisation (Geo-Based Filtering).

Lors de la configuration d'un Filtrage basé sur la géolocalisation (Geo-Based Filtering), l'utilisateur peut spécifier les utilisateurs et les groupes auxquels il s'applique, puis choisir dans une liste de 251 pays/régions avec des options ajoutées pour le trafic par Pays/régions inconnus (Unknown Countries), Proxy anonyme (Anonymous Proxy) et Fournisseur de satellites (Satellite Provider) pour s'assurer que les utilisateurs ne peuvent pas contourner les règles.

Si l'utilisateur souhaite actualiser et mettre à jour les informations sur une page Surveiller (Monitor) (par exemple, journaux Web ou journaux DLP), Orchestrator inclut un bouton Actualiser (Refresh) en bas de la page.

Toutefois, si l'utilisateur clique sur Actualiser (Refresh), les données ne se mettent pas à jour en raison d'une modification sous-jacente d'un composant d'Orchestrator.

Symptôme : CASB prend uniquement en charge les options de contrôle Charger (Upload) et Télécharger (Download) pour Google Drive. Par conséquent, le contrôle de Créer (Create) est supprimé pour les versions 1.11.0 et ultérieures.

CASB ne prend plus en charge l'application Telegram et l'option de configuration d'une règle CASB qui lui est associée a été supprimée avec cette version.

Si un client dispose d'une règle CASB existante qui inclut Telegram comme Application de destination (Destination Application), il doit supprimer cette application si sa version de Cloud Web Security est mise à niveau vers la version 1.11.0 ou ultérieure, car la règle n'exécute plus cette application.

Dans une version ultérieure, Cloud Web Security supprimera automatiquement l'application Telegram de toutes les règles CASB et consignera cette action comme un événement.

VMware Cloud Web Security affiche une page de blocage de marque VMware par défaut à tous les utilisateurs lorsqu'une stratégie de sécurité empêche un utilisateur d'accéder à un site Web ou à une application cloud.

La fonctionnalité Page de blocage personnalisable (Customizable Block Page) permet aux utilisateurs de créer et de personnaliser leur propre page de blocage de marque à afficher à l'utilisateur en cas de blocage du trafic (trafic Web ou de protection contre la perte de données). À l'aide de la section Configurer (Configure) > Personnalisation de la page (Page Customization) d'Orchestrator, un administrateur Cloud Web Security peut personnaliser les éléments suivants :

• Page de blocage que VMware Cloud utilise pour répondre à une demande HTTP ou à un chargement de fichiers qui enfreint une stratégie de sécurité configurée.

• Page de blocage que VMware Cloud renvoie lorsqu'un utilisateur tente de charger un fichier qui enfreint une règle DLP configurée.

Pour plus d'informations sur la configuration d'une page de blocage personnalisée, reportez-vous à la section Personnalisation de la page.

Lors de la création d'une règle de protection contre la perte de données (DLP), un utilisateur constate des informations incorrectes pour l'info-bulle « Taille de fichier maximale » (Maximum File Size). L'info-bulle indique que « Si la taille du fichier chargé dépasse la valeur indiquée, le fichier est supprimé et l'auditeur est informé » (If the uploaded file size is more than the specified value, the file is dropped, and auditor is informed), ce qui est incorrect. Pour résoudre ce problème, reformulez l'info-bulle en « Si la taille du fichier chargé dépasse la valeur indiquée, il n'est pas inspecté par DLP et est autorisé » (If the uploaded file size is more than the specified value, the file is not inspected by DLP and is allowed through).

Les journaux Web cloud Web Security n'incluent que le Type de menace (Threat Type) et les détails du risque ne s'affichent pas. Pour améliorer la capacité d'un utilisateur à surveiller le trafic Web, les détails du risque pour les vulnérabilités doivent également s'afficher en plus du Type de menace (Threat Type) identifié.

Lors de l'inspection du trafic du navigateur sur des applications Web sans navigateur, les clients plus anciens risquent d'observer une erreur lorsqu'ils publient une règle de stratégie de sécurité d'application Web sans navigateur. Ce problème est dû au fait que la valeur par défaut n'est pas configurée pour le navigateur pris en charge. Ce problème ne s'observe pas pour les nouveaux clients.

Auparavant, un utilisateur pouvait configurer une règle de stratégie de sécurité CWS pour inspecter les applications Web avec navigateur telles que Chrome, Edge, Firefox, Safari, etc. Toutefois, la règle ne s'appliquait pas aux applications Web sans navigateur telles que Slack ou Dropbox.

À partir de la version 1.10.0, un utilisateur a la possibilité de configurer des règles pour inspecter le trafic du navigateur sur Applications Web sans navigateur (Non-Browser Web Applications).

Un utilisateur peut afficher, ajouter et supprimer des règles pour le trafic d'applications Web sans navigateur. Pour configurer les règles d'une application Web sans navigateur :

1. Accédez à Cloud Web Security > Configurer (Configure) > Stratégie de sécurité (Security Policy), puis sélectionnez une stratégie existante et cliquez sur l'onglet Applications Web (Web Applications).

   
   

2. Cliquez sur + AJOUTER UNE RÈGLE (+ ADD RULE) et entrez tous les détails requis, tels que le type de source, le type de destination, les types de demandes et de fichiers, les détails de l'action et du journal pour créer une règle d'application Web sans navigateur.

   
   

   Champ	Description
   Source	Sélectionnez la source en fonction des adresses IP/plages d'adresses IP, de l'agent utilisateur ou du navigateur. Note: Vous ne pouvez sélectionner qu'un seul type de source par règle.
   Destination	Sélectionnez la destination en fonction du domaine, des adresses IP/plages d'adresses IP, de l'URL, de la catégorie, du thread ou de la géolocalisation. Note: Vous ne pouvez sélectionner qu'un seul type de destination par règle.
   Type de demande et de fichier (Request And File Type)	Sélectionnez le type de demande (chargements, téléchargements ou les deux) et le type de fichier pour la règle à appliquer. Vous pouvez également sélectionner la méthode HTTP (POST, PUT) pour le type de demande de chargement. Vous pouvez également entrer éventuellement la taille minimale de fichier pour l'action à appliquer.
   Action et journal (Action And Log)	Sélectionnez l'action (Autoriser ou Refuser) à effectuer si les critères de règle sont remplis. Vous pouvez éventuellement collecter les journaux de cette règle en activant le bouton bascule Capturer des journaux (Capture Logs).
   Nom, motif et balises (Name, Reason and Tags)	Configurez le nom, la balise, le motif et la position pour les règles basées sur la géolocalisation. Veillez à spécifier un nom unique pour la règle. Vous pouvez éventuellement ajouter des motifs et des balises pour les règles, qui peuvent être utilisés pour le tri et le filtrage. Note: Le champ Position désigne la position de la règle sur la liste des règles d'applications Web.

3. Cliquez sur Terminer (Finish) et la règle d'application Web récemment créée s'affiche dans la liste Application Web (Web Application). 

   
   

4. Pour appliquer la nouvelle règle de stratégie de sécurité, sélectionnez la règle et cliquez sur le bouton Publier dans le coin supérieur droit de l'écran.

5. Après la publication de la stratégie de sécurité, l'utilisateur est prêt à appliquer la stratégie de sécurité.

Dans les versions précédentes, VMware Cloud Web Security pouvait inspecter le trafic sur les ports Web standard 80 et 443. La version 1.9.1 autorise l'inspection du trafic du navigateur (HTTP/HTTPS) sur les ports Web non standard.

Un utilisateur peut afficher, ajouter et supprimer des règles de ports en accédant à Cloud Web Security > Configurer (Configure) > Paramètres d'entreprise (Enterprise Settings) > Ports Web non standard (Non-Standard Web Ports).

Pour autoriser et inspecter le trafic sur des ports Web non standard, entrez le numéro du port. Cliquez sur le bouton « + » sur la ligne pour ajouter d'autres ports Web non standard.

L'utilisateur peut modifier des règles existantes ou supprimer des règles en cliquant sur le bouton « - » associé. Après la modification, cliquez sur le bouton Enregistrer les modifications (Save Changes).

Lorsqu'il existe une règle de sécurité Web pour bloquer une catégorie de menace ou une catégorie de contenu et que le domaine correspondant à ces catégories est consulté, le site Web est bloqué. Cependant, si le même domaine est consulté en tant que ressource sur une page Web (par exemple, en cliquant sur un lien qui télécharge un fichier), la demande n'est pas bloquée.

Les journaux Web qui correspondent à une règle d'inspection du contenu indiquent que la règle par défaut correspond, mais n'affichent jamais le nom réel de la règle créée et configurée sur SASE Orchestrator.

Si une règle CASB permet de bloquer ou d'autoriser les téléchargements YouTube, la règle s'applique correctement. Toutefois, les journaux Web le désignent comme un « Chargement de fichiers » (File Upload) au lieu d'un « Téléchargement de fichiers » (File download), ce qui affecte la capacité d'un administrateur à évaluer l'activité sur son réseau.

Lorsqu'une règle de filtrage de contenu bloque les chargements de tous les types de fichiers, la règle bloque la connexion aux applications Microsoft qui nécessitent une connexion à partir de https://login.microsoftonline.com/.

Les contrôles CASB pour les applications Microsoft suivantes ne fonctionnent pas comme prévu, lorsqu'un utilisateur configure une règle « Bloquer » (Block). Si l'utilisateur tente d'effectuer l'une de ces actions, aucune d'entre elles n'est bloquée et l'utilisateur peut effectuer ces actions :

• Microsoft Teams : chargement, création et suppression de fichiers

• Microsoft Outlook : chargement, téléchargement et suppression de fichiers

• Microsoft OneDrive : suppression

• Microsoft OneNote : téléchargement

Lorsqu'une stratégie Cloud Web Security est appliquée et qu'un utilisateur accède à certains sites Web, la page peut ne pas se charger en raison d'un problème de partage des ressources entre origines multiples (CORS). L'utilisateur observe une erreur semblable à « xxxx a été bloqué par la stratégie CORS : L'en-tête 'Access-Control-Allow-Origin' contient plusieurs valeurs '*' » (xxxx has been blocked by CORS policy:The 'Access-Control-Allow-Origin' header contains multiple values '*') dans les journaux de la console.

Lorsqu'une règle CASB bloque tous les contrôles d'application pour OneDrive, la règle CASB ne bloque pas les actions pour SharePoint.

Lorsque le chargement et le téléchargement sont bloqués pour Google Drive, n'importe quel utilisateur peut créer des dossiers dans Google Drive.

Dans les versions 1.9.1 et ultérieures, un utilisateur ne peut créer aucun dossier dans Google Drive par défaut et aucune option de configuration n'est requise pour cette application.

Si un utilisateur devait créer une règle pour contourner l'inspection des applications Web courantes dans les versions précédentes de Cloud Web Security, il devait créer manuellement une règle d'inspection SSL. Avec l'ajout de la fonctionnalité de contournement SSL facile, l'utilisateur peut créer rapidement ces règles d'inspection SSL.

La nouvelle fonctionnalité s'affiche sous Cloud Web Security > Configurer (Configure) > Stratégies de sécurité (Security Policies) sous l'onglet Inspection SSL (SSL Inspection) sous forme de bouton Exception rapide (Quick Exception).

Cliquez sur Ajouter une exception rapide (Add Quick Exception) pour ouvrir un écran de configuration Exceptions rapides (Quick Exceptions) dans lequel l'utilisateur sélectionne une ou plusieurs applications souhaitées, à l'exception de l'inspection SSL. Lorsqu'un utilisateur sélectionne une application, toutes les URL associées à cette application sont exclues de l'inspection SSL.

Lorsque vous utilisez l'option Exception rapide (Quick Exception), une seule règle est créée. Vous ne pouvez pas en créer d'autres. Cette règle est toujours appelée Règle d'exception rapide (Quick Exception Rule) et vous ne pouvez pas modifier le nom dans l'assistant Exception rapide (Quick Exception).

La règle est toujours la deuxième de la dernière règle de la grille et est rapidement accessible en cliquant sur le nom Règle d'exception rapide (Quick Exception Rule). Une fois la règle d'exception rapide ajoutée, l'option de menu Ajouter des exceptions rapides (Add Quick Exceptions) passe à Exception rapide (Quick Exception), indiquant qu'une Règle d'exception rapide (Quick Exception Rule) peut être modifiée et qu'aucune règle supplémentaire de ce type ne peut être ajoutée.

• Le champ Région (Region) indique quel PoP SASE était utilisé pour un événement Web, ce qui permet de localiser dans quelle partie du monde un événement s'est produit.

• Le champ Groupe d'utilisateurs (User Group) indique le groupe d'utilisateurs SAML dans lequel une configuration SAML est utilisée.

Ensemble, ces deux champs ajoutés améliorent la capacité d'un utilisateur à surveiller le trafic Web.

Dans certains cas, un utilisateur peut observer le téléchargement d'un fichier malveillant alors qu'une stratégie est configurée pour bloquer ce type de téléchargement.

Lors du téléchargement d'un fichier protégé par mot de passe depuis un site Web, l'utilisateur doit être invité à entrer un mot de passe, car il s'agit de l'action par défaut dans le filtrage de contenu. Cependant, sur OneDrive et Dropbox, le téléchargement de fichiers est bloqué sans invite de mot de passe et ne peut donc pas être effectué.

Si une règle CASB permet de bloquer ou d'autoriser les téléchargements YouTube, la règle s'applique correctement. Toutefois, les journaux Web le désignent comme un « Chargement de fichiers » (File Upload) au lieu d'un « Téléchargement de fichiers » (File download), ce qui affecte la capacité d'un administrateur à évaluer l'activité sur son réseau.

Si un utilisateur crée et applique une règle CASB qui autorise les actions du navigateur tout en bloquant tous les contrôles d'application, puis se connecte à OneDrive et tente toutes les actions qui doivent être bloquées, aucune d'entre elles n'est bloquée. Les actions qui ne sont pas bloquées incluent la création et la suppression de dossiers.

Lorsqu'une règle CASB permet à Microsoft Office 365 Outlook le blocage, la suppression, le téléchargement, le chargement ou la recherche et que l'utilisateur tente l'une de ces actions sur Microsoft Office 365 Outlook, aucune d'entre elles n'est bloquée.

Dans ce problème, les journaux affichent uniquement les en-têtes de stratégie (qui sont uniquement des codes d'identification) agissant sur une demande Web plutôt que d'indiquer explicitement l'appel de la stratégie. La seule façon pour un utilisateur de déterminer quelle stratégie était utilisée était de prendre l'en-tête de la stratégie, puis d'ouvrir l'onglet Réseau (Network) pour mapper cet en-tête de stratégie aux noms de stratégie.

Lorsqu'une règle CASB bloque les chargements et les téléchargements vers Microsoft Office 365 SharePoint ou Microsoft Word, et que l'utilisateur tente de charger ou de télécharger un fichier Word vers SharePoint ou depuis celui-ci, les actions de chargement et de téléchargement ne sont pas bloquées.

La fonctionnalité Proxy Web de VMware Cloud Web Security est conçue pour permettre l'utilisation autonome du service Cloud Web Security sans nécessiter VMware SD-WAN ou VMware Secure Access. Le trafic Web de tout périphérique disposant d'un navigateur moderne pouvant prendre en charge une configuration de proxy réseau, manuellement ou automatiquement via un fichier de configuration automatique de proxy (PAC), peut être redirigé vers le service Cloud Web Security pour l'inspection de la sécurité.

La version 1.6.1 ajoute la possibilité de cloner des stratégies de sécurité qui peuvent également être stockées comme sauvegarde.

Cette fonctionnalité inclut également des fonctionnalités de clonage pour différents types de règles dans une stratégie de sécurité, par exemple : Inspection SSL, CASB, DLP et Sécurité Web.

Lors de la création de règles de Cloud Web Security, l'utilisateur observe les catégories de fichiers, « Autres téléchargements » (Other Downloads) et « Autres documents » (Other Documents) qui ne sont pas très claires quant à leurs effets. Ce problème est résolu en réduisant l'ambiguïté en renommant « Autres téléchargements » en « Autres fichiers et documents » (Other Files and Documents) et « Autres documents » (Other Documents) en « Documents divers » (Miscellaneous Documents).

Si un utilisateur crée une règle CASB pour que l'application « Mega » bloque les chargements et les téléchargements, puis se connecte à mega.io et tente de charger ou de télécharger un fichier, l'utilisateur observe le blocage approprié des chargements de fichiers, mais pas des téléchargements.

Si une règle CASB est configurée pour bloquer ou non les téléchargements des pièces jointes de Gmail, lorsqu'un utilisateur tente de télécharger une pièce jointe Gmail simplement en cliquant sur l'icône de téléchargement de la pièce jointe, le téléchargement est bloqué, mais aucun journal n'est consigné. Ce problème ne se produit pas si l'utilisateur tente de télécharger la pièce jointe dans un nouvel onglet.

Lorsqu'une règle de filtrage de contenu bloque les chargements et les téléchargements de fichiers de logiciels malveillants, les fichiers ne sont pas tous bloqués.

Lorsqu'une règle DLP bloque l'entrée de texte qui correspond à un dictionnaire et que des messages sont envoyés sur LinkedIn qui correspond au dictionnaire, le message n'est pas bloqué.

Si un utilisateur crée une règle CASB pour bloquer les téléchargements YouTube, puis tente de télécharger une vidéo sur YouTube, le téléchargement n'est pas bloqué.

Lorsqu'une règle CASB bloque des actions telles que la recherche, la fonctionnalité de recherche de l'application est bloquée. À présent, si l'URL du navigateur contient les paramètres de recherche et que la page est actualisée, les résultats de la recherche ne sont pas bloqués.

Une règle de filtrage de contenu pour bloquer le téléchargement de « Tous les fichiers » (All Files) (qui doit inclure tous les formats d'image) ne bloque pas les téléchargements de fichiers JPEG. Sans le correctif, la solution consiste à utiliser une option Type de fichier (File type) personnalisée et à ajouter les extensions de fichiers qui doivent être bloquées (par exemple, JPEG).

Les fichiers comportant les extensions .doc, .docx, .ppt et .pptx ne sont pas bloqués sur G-Drive, même si le contenu des fichiers correspond à une règle DLP.

Un utilisateur peut configurer une règle pour bloquer toutes les catégories de menaces à l'aide d'une règle de filtrage d'URL et certains sites qui doivent être classés comme malveillants ne sont pas bloqués.

Lorsqu'une règle de sécurité doit être appliquée uniquement aux utilisateurs du groupe spécifié, elle n'est pas appliquée. Par conséquent, toutes les règles qui doivent être appliquées aux utilisateurs du groupe ne le sont pas.

Une stratégie de contrôle CASB pour autoriser l'accès à l'application Web Microsoft Teams, mais qui bloque toutes les autres actions n'empêche pas les utilisateurs de publier du contenu.

• Lors de l'application d'une règle pour bloquer« Tous les documents » (All Documents), un utilisateur observe que non seulement les chargements de documents sont bloqués, mais également les chargements de fichiers et d'archives.

• Lors de l'application d'une règle pour bloquer « Tous les fichiers » (All Files), un utilisateur observe que non seulement les chargements de fichiers sont bloqués, mais que les chargements de documents et d'archives le sont également.

L'interface utilisateur d'Orchestrator ne disposait d'aucune option permettant à l'utilisateur d'activer et de désactiver les journaux de ressources afin de pouvoir mieux identifier d'autres journaux appropriés.

Le composant d'onglet passait à un état incorrect en raison de la manière de déactivation et de masquage des onglets.

Un problème sur le serveur principal Orchestrator empêche l'interface utilisateur d'obtenir les dictionnaires prédéfinis DLP. Ce problème n'affecte pas les dictionnaires définis par le client et ils se chargent correctement.

Ce manque de visibilité pour la fonctionnalité CASB inclut les éléments suivants :

• Élément de menu et vue Configurer (Configure) > CASB. 

• Élément de menu et vue Surveiller (Monitor) > Analyse CASB (CASB Analysis).

• API utilisée par ces composants particuliers.

Problèmes qu'un utilisateur peut rencontrer lors de la configuration de Single Sing-On dans le service Cloud Web Security :

• Des erreurs de certificat s'affichent sur la page Authentification (Authentication) principale plutôt que sur la page Certificat (Certificate).

• Un utilisateur peut parfois enregistrer un certificat non valide.

• La modification d'un certificat peut parfois réinitialiser les autres valeurs sur le formulaire d'authentification.

• Les champs individuels n'affichent pas les messages de validation conformément au champ.

• Lors de l'enregistrement de la page Authentification (Authentication) d'Orchestrator, l'interface utilisateur n'affiche aucun indicateur de progression.

• • L'info-bulle Débogage détaillé (Verbose Debugging) affiche « t+2hrs » (t+2 h) plutôt que l'heure réelle. Dans certaines langues, l'étiquette de l'option Single Sign-On renvoie à plusieurs lignes.

• La disposition du pied de page Enregistrer les modifications (Save Changes) est incorrecte sur les écrans courts.

Tous les problèmes répertoriés sont résolus avec le correctif pour n° 91054.

L'assistant de configuration et l'API n'acceptent pas une adresse IP CIDR dans la source pour une règle d'inspection SSL. Le correctif corrige ce problème.

Ce problème est dû au fait que le serveur principal de Cloud Web Security rejette une valeur de configuration entrée lors de l'utilisation de l'assistant et que le bouton Terminer/Mettre à jour (Finish/Update) cesse de répondre une fois qu'il reçoit cette erreur de validation.

Les règles de filtrage de contenu remplacent le domaine configuré fourni si l'utilisateur a également sélectionné TOUS (ALL) pour Catégories (Categories). Si l'utilisateur sélectionne AUCUN (NONE) pour Catégories, l'assistant a défini cette option par défaut sur les catégories TOUTES (ALL). Par conséquent, les domaines n'ont pas été non plus respectés ici. Cela est dû à un problème dans l'API et l'assistant de filtrage de contenu. Si l'utilisateur configure au moins une catégorie, le domaine est respecté.

Sur un dispositif Orchestrator sans ce correctif, l'utilisateur doit configurer des catégories spécifiques avec des domaines, puis Orchestrator respecte les domaines dans le filtrage de contenu.

Dans Visibilité CASB (CASB Visibility), un utilisateur peut observer que l'interface utilisateur d'Orchestrator répertorie un certificat comme étant expiré lorsque le certificat est toujours valide et qu'il est renouvelé en dépit de son expiration effective. L'autre problème est que de nombreuses applications indiquent « fondées en 1970 » sous Détails de l'application (Application Details) alors que l'origine de l'application est bien plus récente.