Αυτή η ενότητα περιγράφει τον τρόπο διαμόρφωσης μιας πολιτικής ασφάλειας για το VMware Cloud Web Security.

Πριν να ξεκινήσετε:

Για να διαμορφωθεί μια πολιτική ασφάλειας, ο χρήστης πρέπει πρώτα να έχει δημιουργήσει, να έχει διαμορφώσει και να έχει εφαρμόσει μια πολιτική ασφάλειας. Για συγκεκριμένες οδηγίες σχετικά με τον τρόπο εκτέλεσης αυτών, ανατρέξτε στο θέμα Δημιουργία μιας πολιτικής ασφάλειας.

Σχετικά με αυτήν την εργασία:

Σε αυτήν την ενότητα, ο χρήστης θα μάθει πώς να διαμορφώνει την πολιτική ασφάλειας που δημιουργήθηκε στην ενότητα με τίτλο Δημιουργία μιας πολιτικής ασφάλειας. Κατά τη δημιουργία μιας πολιτικής ασφάλειας, ο χρήστης μπορεί να διαμορφώσει τέσσερις κατηγορίες κανόνων: Επιθεώρηση SSL (SSL Inspection), Φιλτράρισμα διευθύνσεων URL (URL Filtering), Φιλτράρισμα περιεχομένου (Content Filtering) και Επιθεώρηση περιεχομένου (Content Inspection).

Σημείωση: Βέλτιστη πρακτική: Αποκλεισμός ή απενεργοποίηση του πρωτοκόλλου QUIC

Η Google ανέπτυξε το πρωτόκολλο QUIC (Quick UDP Internet Connections, γρήγορες συνδέσεις Internet UDP) για να αυξήσει την απόδοση των συνδέσεων HTTPS και HTTP (TCP 443 και TCP 80). Τα προγράμματα περιήγησης Chrome έχουν πειραματική υποστήριξη για αυτό από το 2014 και χρησιμοποιούνται επίσης σε συσκευές Chromium (για παράδειγμα, Microsoft Edge, Opera και Brave) και Android.

Οι συνδέσεις QUIC δεν απαιτούν χειραψίες TCP. Ωστόσο, η επιθεώρηση SSL απαιτεί πληροφορίες περιόδου λειτουργίας TCP και το VMware Cloud Web Security εκτελεί επιθεώρηση SSL από προεπιλογή (εκτός εάν έχει ρυθμιστεί ρητά ένας κανόνας παράκαμψης που το αποτρέπει αυτό) και έτσι το Cloud Web Security δεν μπορεί να εξετάσει τις περιόδους λειτουργίας QUIC όπου γίνεται επιθεώρηση SSL. Σε τέτοιες περιπτώσεις όπου το QUIC είναι ενεργοποιημένο και εκτελείται επιθεώρηση SSL, αυτό μπορεί να έχει ως αποτέλεσμα να μην εφαρμοστεί μια πολιτική κατά τη διάρκεια μιας περιόδου λειτουργίας χρήστη.

Για να διασφαλίσετε ότι οι πολιτικές Cloud Web Security εφαρμόζονται με συνέπεια, συνιστάται είτε να αποκλειστεί είτε να απενεργοποιηθεί το πρωτόκολλο QUIC στο πρόγραμμα περιήγησης.

Για να αποκλείσετε το QUIC, ρυθμίστε τις παραμέτρους ενός κανόνα Cloud Web Security που αποκλείει το UDP 443 και το UDP 80, καθώς αυτές είναι οι θύρες που χρησιμοποιεί το πρωτόκολλο QUIC. Όταν το πρωτόκολλο QUIC είναι αποκλεισμένο, το QUIC έχει μια ασφαλή λειτουργία που το επαναφέρει στο TCP. Αυτό επιτρέπει την επιθεώρηση SSL χωρίς να επηρεάζει αρνητικά την εμπειρία του χρήστη.

Για να απενεργοποιήσετε το QUIC σε ένα πρόγραμμα περιήγησης Chromium, ελέγξτε την τεκμηρίωση για το αντίστοιχο πρόγραμμα περιήγησης.

Για να απενεργοποιήσετε το QUIC σε ένα πρόγραμμα περιήγησης Chrome:

  1. Ανοίξτε το Chrome
  2. Στη γραμμή διεύθυνσης πληκτρολογήστε: chrome://flags
  3. Στη γραμμή αναζήτησης, πληκτρολογήστε «quic».
  4. Κάντε κλικ στο αναπτυσσόμενο μενού και επιλέξτε Απενεργοποιημένο (Disabled).
  5. Όταν επιλέγεται το στοιχείο Προεπιλογή (Default), το Chrome θα προσπαθήσει να χρησιμοποιήσει το QUIC.
  6. Όταν σας ζητηθεί, κάντε κλικ στην επιλογή Επανεκκίνηση τώρα (Relaunch Now) για να επανεκκινήσετε το Chrome και να εφαρμόσετε τις αλλαγές σας.

Διαδικασία:

Για τη διαμόρφωση μιας πολιτικής ασφάλειας:
  1. Στη σελίδα Πολιτικές ασφάλειας (Security Policies) του νέου περιβάλλοντος εργασίας χρήστη του VMware SD-WAN Orchestrator, κάντε διπλό κλικ στο όνομα της πολιτικής ασφάλειας που πρόκειται να ρυθμίσετε. (Ανατρέξτε στην παρακάτω εικόνα).

    Εμφανίζεται η οθόνη Πολιτικές ασφάλειας (Security Policies) για την επιλεγμένη πολιτική.

  2. Από την επιλεγμένη σελίδα πολιτικής ασφάλειας, ο χρήστης μπορεί να ρυθμίσει κανόνες από τις ακόλουθες τέσσερις κατηγορίες κανόνων: Επιθεώρηση SSL (SSL Inspection), Φιλτράρισμα διευθύνσεων URL (URL Filtering), Φιλτράρισμα περιεχομένου (Content Filtering) και Επιθεώρηση περιεχομένου (Content Inspection), όπως φαίνεται στην παρακάτω εικόνα. Ανατρέξτε στην ενότητα Κατηγορίες πολιτικής ασφάλειας για μια πλήρη περιγραφή του τρόπου διαμόρφωσης των κανόνων για κάθε κατηγορία (Κατηγορία επιθεώρησης SSL, Κατηγορία φιλτραρίσματος διευθύνσεων URL, Κατηγορία Φιλτράρισμα περιεχομένου και Κατηγορία Επιθεώρηση περιεχομένου).
    Σημείωση: Από προεπιλογή, μια πολιτική ασφάλειας έχει κανόνες για «να επιτρέπονται όλα» και για «αποκρυπτογράφηση όλων». Με τη διαμόρφωση οποιασδήποτε από τις τέσσερις κατηγορίες κανόνων που αναφέρονται παραπάνω, ο χρήστης παρακάμπτει τους προεπιλεγμένους κανόνες και δημιουργεί μια πολιτική που αποτελείται από τους δικούς του κανόνες.

  3. Αφού διαμορφώσετε την πολιτική ασφάλειας, κάντε κλικ στο κουμπί Δημοσίευση (Publish), για να δημοσιεύσετε την πολιτική ασφάλειας. Ανατρέξτε στην παρακάτω εικόνα.

    Εμφανίζεται το αναδυόμενο παράθυρο διαλόγου Δημοσίευση πολιτικής (Publish Policy), όπως φαίνεται στην παρακάτω εικόνα.

  4. Κάντε κλικ στο κουμπί Ναι (Yes), για να δημοσιεύσετε την πολιτική.

    Στο επάνω μέρος της οθόνης εμφανίζεται ένα πράσινο πλαίσιο που υποδεικνύει ότι δημοσιεύεται η πολιτική ασφάλειας, όπως φαίνεται στην παρακάτω εικόνα.

    Σημείωση: Μια πολιτική ασφάλειας μπορεί να δημοσιευτεί ανά πάσα στιγμή στη διάρκεια της διαδικασίας διαμόρφωσης και να αναδημοσιεύεται κάθε φορά που ο χρήστης την αναθεωρεί.

Τι να κάνετε στη συνέχεια:

Κατηγορίες πολιτικής ασφάλειας

Οι παρακάτω ενότητες περιγράφουν λεπτομερώς τις τέσσερις κατηγορίες κανόνων που μπορεί να ρυθμίσει ο χρήστης για μια επιλεγμένη πολιτική ασφάλειας, όπως αναφέρεται στο Βήμα 2 της ενότητας «Διαδικασία» παραπάνω. Με τη διαμόρφωση οποιασδήποτε από αυτές τις κατηγορίες, ο χρήστης παρακάμπτει τους προεπιλεγμένους κανόνες.

Σημείωση: Πριν από την εκτέλεση των βημάτων στις επιμέρους ενότητες που αναφέρονται παρακάτω, ο χρήστης πρέπει πρώτα να έχει ολοκληρώσει το Βήμα 1, όπως περιγράφεται στην ενότητα «Διαδικασία» παραπάνω.

Κατηγορία επιθεώρησης SSL

Επειδή το 90 τοις εκατό της κυκλοφορίας στο Internet είναι κρυπτογραφημένο, υπάρχει ανάγκη αποκρυπτογράφησής της, ώστε να ελεγχθεί το περιεχόμενο. Από προεπιλογή, όλη η κυκλοφορία αποκρυπτογραφείται μέσω SSL και, στη συνέχεια, επιθεωρείται, δημιουργώντας τη βάση για ισχυρότερη ασφάλεια.

Ωστόσο, σε ορισμένα είδη κυκλοφορίας δεν αρέσει να υπάρχει ένας «υποκλοπέας επικοινωνίας» για την κυκλοφορία με τον τρόπο που λειτουργεί η επιθεώρηση SSL. Αυτό περιλαμβάνει την κυκλοφορία που χρησιμοποιεί καρφίτσωμα πιστοποιητικών, αμοιβαίο TLS (mTLS) και ορισμένη κυκλοφορία που χρησιμοποιεί WebSocket. Για να διασφαλιστεί ότι το Cloud Web Security δεν θα διακόψει αυτά τα είδη κυκλοφορίας, ο χρήστης μπορεί να διαμορφώσει εξαιρέσεις σε αυτόν τον προεπιλεγμένο κανόνα επιθεώρησης SSL, κάτι που θα επέτρεπε την παράκαμψη της επιθεώρησης SSL από την κυκλοφορία.

Σημείωση: Για μια λίστα των τομέων που θα χρειαστούν κανόνα παράκαμψης, δείτε Τομείς για τους οποίους συνιστάται κανόνας παράκαμψης επιθεώρησης SSL.

Μπορείτε να κάνετε λήψη του ριζικού πιστοποιητικού αρχής έκδοσης πιστοποιητικών SSL, κάνοντας κλικ στην επιλογή Τερματισμός SSL (SSL Termination) στην αριστερή πλευρά του μενού Cloud Web Security > Διαμόρφωση (Configure).

Στη σελίδα Τερματισμός SSL (SSL Termination) υπάρχει ένα πιστοποιητικό VMware Cloud Web Security CA με δυνατότητα λήψης που χρησιμοποιείται για την επιθεώρηση SSL. Για λήψη του πιστοποιητικού CA:
  1. Κάντε κλικ στο εικονίδιο πιστοποιητικού ή στη σύνδεση για λήψη
  2. Αποθηκεύστε το αρχείο και σημειώστε τη θέση
  3. Σημειώστε την αποτύπωση πιστοποιητικού για επικύρωση κατά την εισαγωγή

Εάν ο χρήστης θέλει να κάνει μια εξαίρεση στον προεπιλεγμένο κανόνα και δεν θέλει το Cloud Web Security να αποκρυπτογραφεί τα πακέτα που είναι κρυπτογραφημένα με SSL, μπορεί να δημιουργήσει έναν κανόνα για αυτήν την κυκλοφορία με βάση την προέλευση, τον προορισμό ή τις κατηγορίες προορισμού (εικόνα παρακάτω). Ακολουθήστε τα παρακάτω βήματα για να δημιουργήσετε μια εξαίρεση στον προεπιλεγμένο κανόνα.

Για τη διαμόρφωση ενός κανόνα επιθεώρησης SSL:
  1. Στην καρτέλα Επιθεώρηση SSL (SSL Inspection) της οθόνης Πολιτικές ασφάλειας (Security Policies), επιλέξτε + ΠΡΟΣΘΗΚΗ ΚΑΝΟΝΑ (+ ADD RULE), όπως φαίνεται στην παραπάνω εικόνα, για να διαμορφώσετε τον κανόνα εξαίρεσης επιθεώρησης SSL.

    Εμφανίζεται η οθόνη Δημιουργία εξαίρεσης SSL (Create SSL Exception). Ανατρέξτε στην παρακάτω εικόνα.

  2. Στην οθόνη Δημιουργία εξαίρεσης SSL (Create SSL Exception), ο χρήστης επιλέγει τον τύπο κυκλοφορίας που θα παρακάμπτει την επιθεώρηση SSL, επιλέγοντας Προέλευση (Source), Προορισμός (Destination) ή Κατηγορίες προορισμού (Destination Categories).

    Για παράδειγμα, ο χρήστης θα μπορούσε να δημιουργήσει έναν κανόνα που θα παρέκαμπτε την επιθεώρηση SSL για όλη την κυκλοφορία που προορίζεται για zoom.us, διαμορφώνοντας τον κανόνα ως κανόνα προορισμού και, στη συνέχεια, επιλέγοντας τον τύπο προορισμού είτε με IP προορισμού είτε με κεντρικό υπολογιστή/τομέα. Ανατρέξτε στην παρακάτω εικόνα για μια απεικόνιση αυτού του παραδείγματος.

  3. Κάντε κλικ στο κουμπί Επόμενο (Next).
  4. Στην οθόνη Όνομα και ετικέτες (Name and Tags), υποδείξτε το Όνομα κανόνα (Rule Name), τις Ετικέτες (Tags) και, εάν είναι απαραίτητο, την Αιτία (Reason) δημιουργίας του κανόνα παράκαμψης, όπως φαίνεται στην παρακάτω εικόνα.

  5. Κάντε κλικ στην επιλογή Τέλος (Finish).

    Ο κανόνας έχει προστεθεί πλέον στην πολιτική ασφάλειας.

  6. Ο χρήστης έχει τις ακόλουθες επιλογές: να διαμορφώσει έναν άλλο κανόνα επιθεώρησης SSL, να διαμορφώσει μια διαφορετική κατηγορία πολιτικής ασφάλειας ή, εάν έχει ολοκληρωθεί η διαδικασία, να κάνει κλικ στο κουμπί Δημοσίευση (Publish) για να δημοσιευτεί η πολιτική ασφάλειας.
  7. Μετά τη δημοσίευση της πολιτικής ασφάλειας, ο χρήστης είναι έτοιμος για Εφαρμογή της πολιτικής ασφάλειας.

Κατηγορία φιλτραρίσματος διευθύνσεων URL

Το φιλτράρισμα διευθύνσεων URL επιτρέπει στον χρήστη να διαμορφώσει κανόνες για τον περιορισμό της αλληλεπίδρασης του χρήστη σε συγκεκριμένες κατηγορίες τοποθεσιών Web.

Στις περιπτώσεις χρήσης φιλτραρίσματος διευθύνσεων URL περιλαμβάνονται τα εξής:
  • Έλεγχος της περιήγησης των υπαλλήλων στο web με λεπτομερείς πολιτικές.
  • Αναφορά τοποθεσιών υψηλού κινδύνου, χρήσιμη με εφαρμογές SaaS.
  • Αποδοχή/Αποκλεισμός με βάση προκαθορισμένες κατηγορίες.
  • Αποκλεισμός διευθύνσεων URL που φιλοξενούν ανάρμοστο περιεχόμενο με δυνατότητα αποκλεισμού προσαρμοσμένων τομέων.

Σε αντίθεση με την επιθεώρηση SSL, όπου ο προεπιλεγμένος κανόνας επιβάλλει αυστηρή ασφάλεια ελέγχοντας κάθε πακέτο με κρυπτογράφηση SSL, οι προεπιλεγμένοι κανόνες για το φιλτράρισμα διευθύνσεων URL είναι χαλαροί, επιτρέποντας όλη την κυκλοφορία από προεπιλογή, ανεξάρτητα από τον πιθανό κίνδυνο. Εναπόκειται στον χρήστη να αλλάξει την προεπιλεγμένη συμπεριφορά. Για να αλλάξει ο χρήστης την προεπιλεγμένη συμπεριφορά, μπορεί να επιλέξει μεταξύ τριών ειδών κανόνων που επιβάλλει το φιλτράρισμα διευθύνσεων URL: κατηγορίας, απειλών και τομέα. Ανατρέξτε στα παρακάτω βήματα για να διαμορφώσετε έναν κανόνα πολιτικής ασφάλειας για φιλτράρισμα διευθύνσεων URL.

Για τη διαμόρφωση ενός κανόνα φιλτραρίσματος διευθύνσεων URL:
  1. Στην επιλεγμένη οθόνη Πολιτικές ασφάλειας (Security Policies), κάντε κλικ στην καρτέλα Φιλτράρισμα διευθύνσεων URL (URL Filtering), που βρίσκεται στο επάνω μέρος της οθόνης.
  2. Επιλέξτε + ΠΡΟΣΘΗΚΗ ΚΑΝΟΝΑ (+ ADD RULE) και κάντε κλικ στο κουμπί Επόμενο (Next).

    Εμφανίζεται η οθόνη Φιλτράρισμα διευθύνσεων URL Εφαρμόζεται σε (URL Filtering Applied To), από την οποία μπορείτε να επιλέξετε μεταξύ τριών επιλογών [Κατηγορίες τοποθεσίας web (Website Categories), Κατηγορίες απειλών (Threat Categories) και Τομέας (Domain)] από το αναπτυσσόμενο μενού Τύπος (Type), όπως φαίνεται στην παρακάτω εικόνα.

  3. Στο αναπτυσσόμενο μενού Τύπος (Type), επιλέξτε μία από τις τρεις επιλογές [Κατηγορίες τοποθεσίας web (Website Categories), Κατηγορίες απειλών (Threat Categories) και Τομέας (Domain)], όπως φαίνεται στην παρακάτω εικόνα. Ανατρέξτε στα παρακάτω επιμέρους βήματα για να δείτε τα συγκεκριμένα βήματα που πρέπει να ακολουθήσετε για κάθε επιλογή κατηγορίας.

    1. Επιλογή Κατηγορίες τοποθεσίας web: ο χρήστης επιλέγει το στοιχείο Κατηγορίες τοποθεσίας web (Website Categories) για να διαμορφώσει έναν κανόνα με βάση προδιαμορφωμένες κατηγορίες που περιλαμβάνουν μεγάλο αριθμό διευθύνσεων URL. Ακολουθήστε τα παρακάτω επιμέρους βήματα, για τη διαμόρφωση χρησιμοποιώντας αυτήν την κατηγορία.

      Εμφανίζεται η οθόνη Επιλογή προέλευσης και προορισμού (Select Source and Destination), όπως φαίνεται στην παρακάτω εικόνα.

      1. Στην οθόνη Επιλογή προέλευσης και προορισμού (Select Source and Destination), στην περιοχή Προέλευση (Source), επιλέξτε το πλαίσιο ελέγχου Όλοι οι χρήστες και οι ομάδες (All Users and Groups) για να εφαρμοστεί ο κανόνας σε όλους τους χρήστες και τις ομάδες, ή καταργήστε την επιλογή από αυτό το πλαίσιο ελέγχου για να καθορίσετε χρήστες και ομάδες.
      2. Στην οθόνη Επιλογή προέλευσης και προορισμού (Select Source and Destination), στην περιοχή Προορισμοί (Destinations), επιλέξτε Όλες οι κατηγορίες (All Categories) ή Προσαρμοσμένη επιλογή (Custom Selection). Η επιλογή Όλες οι κατηγορίες (All Categories) επισημαίνει όλες τις διαθέσιμες κατηγορίες και τις εφαρμόζει στον κανόνα. Η επιλογή Προσαρμοσμένη επιλογή (Custom Selection) επιτρέπει στον χρήστη να καθορίσει ποιες κατηγορίες θα εφαρμοστούν στον κανόνα, κάνοντας κλικ σε κάθε κατηγορία, όπως φαίνεται στην παραπάνω εικόνα.
      3. Κάντε κλικ στο κουμπί Επόμενο (Next).
      4. Στην οθόνη Φιλτράρισμα διευθύνσεων URL Ενέργεια (URL Filtering Action), επιλέξτε Αποκλεισμός (Block) ή Αποδοχή (Allow) από το αναπτυσσόμενο μενού, για να προσδιορίσετε αν ο κανόνας προορίζεται για τον αποκλεισμό ή την αποδοχή διευθύνσεων URL. (Ανατρέξτε στην παρακάτω εικόνα).
      5. Κάντε κλικ στο κουμπί Επόμενο (Next).

      6. Στην οθόνη Όνομα, αιτίες και ετικέτες (Name, Reasons, and Tags), εισαγάγετε πληροφορίες στα ακόλουθα πεδία: Όνομα κανόνα (Rule Name), Ετικέτες (Tags), Αιτία (Reason) και Θέση (Position). ΣΗΜΕΙΩΣΗ: Το πεδίο Θέση (Position) ορίζει τη θέση του κανόνα στη λίστα των κανόνων φιλτραρίσματος διευθύνσεων URL.

      7. Κάντε κλικ στο κουμπί Τέλος (Finish) και ο κανόνας θα καταχωρηθεί στη λίστα φιλτραρίσματος διευθύνσεων URL. Εμφανίζεται η κύρια οθόνη Φιλτράρισμα διευθύνσεων URL (URL Filtering).

      8. Ο χρήστης έχει τις ακόλουθες επιλογές: να διαμορφώσει έναν άλλο κανόνα επιθεώρησης SSL, να διαμορφώσει μια διαφορετική κατηγορία πολιτικής ασφάλειας ή, εάν έχει ολοκληρωθεί η διαδικασία, να κάνει κλικ στο κουμπί Δημοσίευση (Publish) για να δημοσιευτεί η πολιτική ασφάλειας.
      9. Μετά τη δημοσίευση της πολιτικής ασφάλειας, ο χρήστης είναι έτοιμος για Εφαρμογή της πολιτικής ασφάλειας
    2. Επιλογή Κατηγορίες απειλών: ο χρήστης επιλέγει την επιλογή Κατηγορίες απειλών (Threat Categories) από το αναπτυσσόμενο μενού για να εφαρμόσει τύπους απειλών (με βάση ενημερωμένες πληροφορίες από εταιρείες κυβερνοασφάλειας), ακολουθώντας τα παρακάτω βήματα. Ανατρέξτε στην παρακάτω εικόνα.
    3. Κάντε κλικ στο κουμπί Επόμενο (Next).

      1. Στην οθόνη Επιλογή προέλευσης και προορισμού (Select Source and Destination), στην περιοχή Προέλευση (Source), επιλέξτε το πλαίσιο ελέγχου Όλοι οι χρήστες και οι ομάδες (All Users and Groups) για να εφαρμοστεί ο κανόνας σε όλους τους χρήστες και τις ομάδες, ή καταργήστε την επιλογή από αυτό το πλαίσιο ελέγχου για να καθορίσετε χρήστες και ομάδες.

      2. Στην οθόνη Επιλογή προέλευσης και προορισμού (Select Source and Destination), στην περιοχή Προορισμοί (Destinations), επιλέξτε Όλες οι κατηγορίες (All Categories) ή Προσαρμοσμένη επιλογή (Custom Selection). Η επιλογή Όλες οι κατηγορίες (All Categories) επισημαίνει όλες τις διαθέσιμες κατηγορίες και τις εφαρμόζει στον κανόνα. Η επιλογή Προσαρμοσμένη επιλογή (Custom Selection) επιτρέπει στον χρήστη να καθορίσει ποιες κατηγορίες θα εφαρμοστούν στον κανόνα, κάνοντας κλικ σε κάθε κατηγορία, όπως φαίνεται στην παραπάνω εικόνα.
      3. Κάντε κλικ στο κουμπί Επόμενο (Next).
      4. Στην οθόνη Φιλτράρισμα διευθύνσεων URL Ενέργεια (URL Filtering Action), καθορίστε εάν οι συγκεκριμένες απειλές θα αποκλείονται ή θα επιτρέπονται. Ανατρέξτε στην παρακάτω εικόνα.

      5. Στην οθόνη Όνομα, αιτίες και ετικέτες (Name, Reasons and Tags), εισαγάγετε πληροφορίες στα ακόλουθα πεδία: Όνομα κανόνα (Rule Name), Ετικέτες (Tags), Αιτία (Reason) και Θέση (Position). ΣΗΜΕΙΩΣΗ: Το πεδίο Θέση (Position) ορίζει τη θέση του κανόνα στη λίστα των κανόνων φιλτραρίσματος διευθύνσεων URL.

      6. Κάντε κλικ στο κουμπί Τέλος (Finish) και ο κανόνας θα καταχωρηθεί στη λίστα φιλτραρίσματος διευθύνσεων URL. Εμφανίζεται η κύρια οθόνη Φιλτράρισμα διευθύνσεων URL (URL Filtering).

      7. Ο χρήστης έχει τις ακόλουθες επιλογές: να διαμορφώσει έναν άλλο κανόνα επιθεώρησης SSL, να διαμορφώσει μια διαφορετική κατηγορία πολιτικής ασφάλειας ή, εάν έχει ολοκληρωθεί η διαδικασία, να κάνει κλικ στο κουμπί Δημοσίευση (Publish) για να δημοσιευτεί η πολιτική ασφάλειας.
      8. Μετά τη δημοσίευση της πολιτικής ασφάλειας, ο χρήστης είναι έτοιμος για Εφαρμογή της πολιτικής ασφάλειας
    4. Επιλογή Τομέας: ο χρήστης επιλέγει την επιλογή Τομέας (Domain) από το αναπτυσσόμενο μενού για να διαμορφώσει τους τομείς, τις διευθύνσεις IP, τις περιοχές IP και τα CIDR που θα φιλτράρονται σύμφωνα με τον κανόνα. (Ανατρέξτε στην παρακάτω εικόνα).

      Σημείωση: Ο χρήστης μπορεί να καθορίσει πολλούς τομείς ανά κανόνα, διαχωρίζοντας κάθε τομέα με κόμμα.

      Κάντε κλικ στο κουμπί Επόμενο (Next).

      Εμφανίζεται η οθόνη Επιλογή προέλευσης και προορισμού (Select Source and Destination), όπως φαίνεται στην παρακάτω εικόνα.

      Ακολουθήστε τα παρακάτω επιμέρους βήματα, για να διαμορφώσετε την επιλογή Τομέας (Domain).
      1. Στην οθόνη Επιλογή προέλευσης και προορισμού (Select Source and Destination), στην περιοχή Προέλευση (Source), επιλέξτε το πλαίσιο ελέγχου Όλοι οι χρήστες και οι ομάδες (All Users and Groups) για να εφαρμοστεί ο κανόνας σε όλους τους χρήστες και τις ομάδες, ή καταργήστε την επιλογή από αυτό το πλαίσιο ελέγχου για να καθορίσετε χρήστες και ομάδες.
      2. Κάντε κλικ στο κουμπί Επόμενο (Next).
      3. Στην περιοχή Προορισμοί (Destinations), εισαγάγετε τους τομείς στο πεδίο κειμένου Καθορισμός τομέων (Specify Domains) (π.χ. google.com). Ο χρήστης καθορίζει τους τομείς που θα φιλτραριστούν σύμφωνα με τον κανόνα. Ο χρήστης μπορεί να καθορίσει πολλούς τομείς ανά κανόνα, διαχωρίζοντας κάθε τομέα με κόμμα.
      4. Κάντε κλικ στο κουμπί Επόμενο (Next).
      5. Στην οθόνη Φιλτράρισμα διευθύνσεων URL Ενέργεια (URL Filtering Action), καθορίστε αν αυτή η εξαίρεση κανόνα αφορά τον αποκλεισμό ή την αποδοχή της κυκλοφορίας και, στη συνέχεια, κάντε κλικ στο κουμπί Επόμενο (Next).

      6. Κάντε κλικ στο κουμπί Επόμενο (Next).
      7. Στην οθόνη Όνομα, αιτίες και ετικέτες (Name, Reasons and Tags), εισαγάγετε πληροφορίες στα ακόλουθα πεδία: Όνομα κανόνα (Rule Name), Ετικέτες (Tags), Αιτία (Reason) και Θέση (Position). ΣΗΜΕΙΩΣΗ: Το πεδίο Θέση (Position) ορίζει τη θέση του κανόνα στη λίστα των κανόνων φιλτραρίσματος διευθύνσεων URL.
      8. Κάντε κλικ στην επιλογή Τέλος (Finish).
      9. Αφού ολοκληρωθούν όλοι οι κανόνες φιλτραρίσματος διευθύνσεων URL, ο χρήστης μπορεί να προβάλει την πλήρη λίστα.

      10. Κάντε κλικ στο κουμπί Τέλος (Finish) και ο κανόνας θα καταχωρηθεί στη λίστα φιλτραρίσματος διευθύνσεων URL. Εμφανίζεται η κύρια οθόνη Φιλτράρισμα διευθύνσεων URL (URL Filtering).
      11. Ο χρήστης έχει τις ακόλουθες επιλογές: να διαμορφώσει έναν άλλο κανόνα για φιλτράρισμα διευθύνσεων URL, να διαμορφώσει μια διαφορετική κατηγορία πολιτικής ασφάλειας ή, εάν έχει ολοκληρωθεί η διαδικασία, να κάνει κλικ στο κουμπί Δημοσίευση (Publish) για να δημοσιευτεί η πολιτική ασφάλειας.
      12. Μετά τη δημοσίευση της πολιτικής ασφάλειας, ο χρήστης είναι έτοιμος για Εφαρμογή της πολιτικής ασφάλειας

Κατηγορία Φιλτράρισμα περιεχομένου

Οι κανόνες φιλτραρίσματος περιεχομένου επιτρέπουν σε έναν διαχειριστή να:
  • Μειώσει την επιφάνεια επίθεσης, επιτρέποντας μόνο τους απαιτούμενους τύπους περιεχομένου.
  • Ελέγξει το περιεχόμενο τόσο για αποστολές όσο και για λήψεις.

    Υποστηρίζονται οι ακόλουθοι τύποι εγγράφων και αρχείων.

    Οι προεπιλεγμένοι κανόνες για το φιλτράρισμα περιεχομένου είναι:
    • Επιτρέπονται όλες οι λήψεις, αλλά πρώτα υποβάλλονται σε σάρωση ιών για επιβλαβές περιεχόμενο.
    • Επιτρέπονται όλες οι αποστολές χωρίς επιθεώρηση.
Για τη διαμόρφωση του φιλτραρίσματος περιεχομένου:
  1. Στην επιλεγμένη οθόνη Πολιτικές ασφάλειας (Security Policies), κάντε κλικ στην καρτέλα Φιλτράρισμα περιεχομένου (Content Filtering), που βρίσκεται στο επάνω μέρος της οθόνης.
  2. Επιλέξτε + ΠΡΟΣΘΗΚΗ ΚΑΝΟΝΑ (ADD RULE).

    Εμφανίζεται η οθόνη Φιλτράρισμα περιεχομένου Εφαρμόζεται σε (Content Filtering Applied To).

  3. Στην περιοχή Τύπος μεταφοράς (Transfer Type), επιλέξτε είτε το κουμπί επιλογής Λήψη (Download) είτε το κουμπί επιλογής Αποστολή (Upload). Ο χρήστης δεν μπορεί να επιλέξει και τα δύο. Εάν ο χρήστης θέλει και κανόνα λήψης και κανόνα αποστολής, πρέπει να δημιουργηθούν δύο ξεχωριστοί κανόνες.
  4. Στην περιοχή Τύπος αρχείου (File Type), επιλέξτε μια κατηγορία από το αναπτυσσόμενο μενού, όπως φαίνεται στην παρακάτω εικόνα.

  5. Κάντε κλικ στο κουμπί Επόμενο (Next).

    Εμφανίζεται η οθόνη Επιλογή προέλευσης και προορισμού (Select Source and Destination), όπως φαίνεται στην παρακάτω εικόνα.

  6. Στην οθόνη Επιλογή προέλευσης και προορισμού (Select Source and Destination), στην περιοχή Προέλευση (Source), ο χρήστης μπορεί να επιλέξει το πλαίσιο ελέγχου Όλοι οι χρήστες και οι ομάδες (All Users and Groups) για να εφαρμοστεί ο κανόνας σε όλους τους χρήστες και τις ομάδες, ή να καταργήσει την επιλογή από αυτό το πλαίσιο ελέγχου για να καθορίσει χρήστες και ομάδες.
  7. Στην περιοχή Προορισμοί (Destinations), ο χρήστης μπορεί να επιλέξει το πλαίσιο ελέγχου Όλοι οι τομείς/όλες οι κατηγορίες (All Domains/Categories) για να εφαρμοστεί ο κανόνας σε όλους τους τομείς και τις κατηγορίες, ή να καταργήσει την επιλογή από το πλαίσιο ελέγχου για να διαμορφώσει μεμονωμένους τομείς ή να καθορίσει κατηγορίες web από ένα αναπτυσσόμενο μενού.
  8. Κάντε κλικ στο κουμπί Επόμενο (Next).
  9. Στην οθόνη Φιλτράρισμα περιεχομένου Ενέργεια (Content Filtering Action), επιλέξτε Αποκλεισμός (Block) ή Αποδοχή (Allow) από το αναπτυσσόμενο μενού, για να προσδιορίσετε αν ο κανόνας προορίζεται για τον αποκλεισμό ή την αποδοχή διευθύνσεων URL, όπως περιγράφεται στα παρακάτω επιμέρους βήματα.
    1. Εάν επιλεγεί Αποκλεισμός (Block), τότε οποιοσδήποτε από τους καθορισμένους τύπους αρχείων με αντίστοιχο τομέα/αντίστοιχες κατηγορίες θα αποκλειστεί για τους καθορισμένους χρήστες/καθορισμένες ομάδες, όπως φαίνεται στην παρακάτω εικόνα.

    2. Εάν επιλεγεί Αποδοχή (Allow), το περιεχόμενο είναι αποδεκτό στο δίκτυο.

    3. Κάντε κλικ στο κουμπί Επόμενο (Next).
  10. Στην οθόνη Φιλτράρισμα περιεχομένου Όνομα, αιτίες και ετικέτες (Content Filtering Name, Reasons, and Tags), εισαγάγετε πληροφορίες για τα ακόλουθα πεδία κειμένου: Όνομα κανόνα (Rule Name), Ετικέτες (Tags) και Αιτία (Reason). Για το πεδίο κειμένου Θέση (Position), υποδείξτε πού πρέπει να τοποθετηθεί ο κανόνας στη λίστα κανόνων φιλτραρίσματος περιεχομένου.

  11. Κάντε κλικ στην επιλογή Τέλος (Finish).

    Ο κανόνας έχει προστεθεί πλέον στην πολιτική ασφάλειας και ο χρήστης μπορεί να συνεχίσει με τη δυνατότητα ασφάλειας.

  12. Ο χρήστης έχει τις ακόλουθες επιλογές: να διαμορφώσει έναν άλλο κανόνα στην περιοχή φιλτραρίσματος περιεχομένου, να διαμορφώσει μια διαφορετική κατηγορία πολιτικής ασφάλειας ή, εάν έχει ολοκληρωθεί η διαδικασία, να κάνει κλικ στο κουμπί Δημοσίευση (Publish) για να δημοσιευτεί η πολιτική ασφάλειας.
  13. Μετά τη δημοσίευση της πολιτικής ασφάλειας, ο χρήστης είναι έτοιμος για Εφαρμογή της πολιτικής ασφάλειας

Κατηγορία Επιθεώρηση περιεχομένου

Η επιθεώρηση περιεχομένου παρέχει προστασία από ενεργές τοποθεσίες με περιεχόμενο λογισμικού κακόβουλης λειτουργίας, καθώς και προστασία από γνωστές απειλές και απειλές «ημέρας μηδέν». Το περιεχόμενο που έχει αποδεχθεί ο χρήστης μέχρι στιγμής μπορεί να ελεγχθεί για να διαπιστωθεί αν είναι επιβλαβές.

Υπάρχουν τρεις επιλογές για την επιθεώρηση περιεχομένου:
  • Έλεγχος κατακερματισμού αρχείου (File Hash Check): το αρχείο σαρώνεται για να διαπιστωθεί αν ταιριάζει με κάποιον γνωστό κατακερματισμό αρχείου αποθηκευμένο στη βάση δεδομένων του Cloud Web Security. Ένας κατακερματισμός αρχείου είναι μια μοναδική τιμή και συγκρίνεται με τα αποτελέσματα από περισσότερες από 50 μηχανές AV. Το αποτέλεσμα ενός ελέγχου κατακερματισμού μπορεί να είναι καθαρό (clean), κακόβουλο (malicious) ή άγνωστο (unknown). Εάν είναι καθαρό, το αρχείο γίνεται αποδεκτό στο δίκτυο. Εάν είναι κακόβουλο, το αρχείο απορρίπτεται. Εάν είναι άγνωστο, το αρχείο είτε θα απορριφθεί είτε θα σταλεί στη σάρωση για ιούς, ανάλογα με τις επιλογές που έχουν γίνει.
  • Σάρωση για ιούς (Anti-Virus Scan): το αρχείο σαρώνεται από την εφαρμογή προστασίας από ιούς του Cloud Web Security που ελέγχει για γνωστούς ιούς και υπογραφές λογισμικού κακόβουλης λειτουργίας. Εάν το αρχείο ταιριάζει με γνωστό ιό ή λογισμικό κακόβουλης λειτουργίας, το αρχείο απορρίπτεται. Εάν το αρχείο δεν ταιριάζει με γνωστό ιό/λογισμικό κακόβουλης λειτουργίας, είτε απορρίπτεται είτε αποστέλλεται στο περιβάλλον προστατευμένης εκτέλεσης, ανάλογα με τις επιλογές που έχουν γίνει.
  • Περιβάλλον προστατευμένης εκτέλεσης (Sandbox): το περιβάλλον προστατευμένης εκτέλεσης είναι ένα κλειστό περιβάλλον όπου ένα αρχείο μπορεί να αναλυθεί με ασφάλεια με δύο τρόπους:
    • Στατική ανάλυση (Static Analysis): επιθεωρεί το αρχείο για βιβλιοθήκες, λειτουργίες που εισάγονται, σαρώνει τον κώδικα για συμβολοσειρές, μεθόδους σύνδεσης που χρησιμοποιούνται κ.λπ.
    • Δυναμική ανάλυση (Dynamic Analysis): εκτελεί το αρχείο σε κλειστό περιβάλλον και προσδιορίζει εάν το αρχείο έχει προσβληθεί με βάση τη συμπεριφορά. Για τη διεκπεραίωση της δυναμικής ανάλυσης χρειάζεται πολύ περισσότερος χρόνος.
Σημείωση: Ο προεπιλεγμένος κανόνας επιθεώρησης περιεχομένου για όλους τους τύπους αρχείων και όλες τις προελεύσεις και προορισμούς είναι να επισημαίνονται ως καθαροί και να γίνονται αποδεκτοί στο δίκτυο.
Για τη διαμόρφωση της επιθεώρησης περιεχομένου:
  1. Στην επιλεγμένη οθόνη Πολιτικές ασφάλειας (Security Policies), κάντε κλικ στην καρτέλα Επιθεώρηση περιεχομένου (Content Inspection), που βρίσκεται στο επάνω μέρος της οθόνης, όπως φαίνεται στην εικόνα παρακάτω.

  2. Επιλέξτε + ΠΡΟΣΘΗΚΗ ΚΑΝΟΝΑ (ADD RULE).

    Εμφανίζεται η οθόνη Επιθεώρηση περιεχομένου Εφαρμόζεται σε (Applied To Content Inspection).

  3. Στην περιοχή Τύπος μεταφοράς (Transfer Type), επιλέξτε είτε το κουμπί επιλογής Λήψη (Download) είτε το κουμπί επιλογής Αποστολή (Upload) ή επιλέξτε και τους δύο τύπους.

  4. Στην περιοχή Βάσει (Based on), επιλέξτε Τύπος αρχείου (File Type) ή Κατακερματισμός αρχείου (File Hash), το οποίο υποδεικνύει εάν η επιθεώρηση θα αναζητήσει αρχεία με βάση τον τύπο αρχείου ή τον κατακερματισμό αρχείου. (Ο χρήστης δεν μπορεί να επιλέξει και τα δύο).
    1. Εάν επιλέξετε Τύπος αρχείου (File Type), επιλέξτε μια κατηγορία από το αναπτυσσόμενο μενού, όπως φαίνεται στην παραπάνω εικόνα. Για παράδειγμα, όπως φαίνεται στην παρακάτω εικόνα, ο χρήστης μπορεί να διαμορφώσει έναν κανόνα για την επιθεώρηση των αρχείων που έχουν ληφθεί και ταιριάζουν με τους τύπους αρχείων επεξεργαστή κειμένου που παρατίθενται: Word, XPS, OpenOffice Text και Word Perfect.

    2. Εάν επιλέξετε Κατακερματισμός αρχείου (File Hash), εισαγάγετε έναν κατακερματισμό SHA-256 στο κατάλληλο πλαίσιο κειμένου.
  5. Κάντε κλικ στο κουμπί Επόμενο (Next).

    Εμφανίζεται η οθόνη Επιθεώρηση περιεχομένου Επιλογή προέλευσης και προορισμού (Content Inspection Select Source and Destination), όπως φαίνεται στην παρακάτω εικόνα.

  6. Στην οθόνη Επιλογή προέλευσης και προορισμού (Select Source and Destination), στην περιοχή Προέλευση (Source), ο χρήστης μπορεί να επιλέξει το πλαίσιο ελέγχου Όλοι οι χρήστες και οι ομάδες (All Users and Groups) για να εφαρμοστεί ο κανόνας σε όλους τους χρήστες και τις ομάδες, ή να καταργήσει την επιλογή από αυτό το πλαίσιο ελέγχου για να καθορίσει χρήστες και ομάδες.
  7. Στην περιοχή Προορισμοί (Destinations), εισαγάγετε τους τομείς στο πεδίο κειμένου Καθορισμός τομέων (Specify Domains) (π.χ. google.com). Ο χρήστης καθορίζει τους τομείς που θα φιλτραριστούν σύμφωνα με τον κανόνα. Ο χρήστης μπορεί να καθορίσει πολλούς τομείς ανά κανόνα, διαχωρίζοντας κάθε τομέα με κόμμα.
  8. Κάντε κλικ στο κουμπί Επόμενο (Next).
  9. Στην οθόνη Επιθεώρηση περιεχομένου Ενέργεια (Content Inspection Action), επιλέξτε μια ενέργεια από το αναπτυσσόμενο μενού Ενέργεια πολιτικής (Policy Action) [Επισήμανση ως καθαρού (Mark as Clean), Επισήμανση ως μολυσμένου (Mark as Infected) ή Επιθεώρηση (Inspect)]. Ανατρέξτε στον παρακάτω πίνακα για μια περιγραφή αυτών των ενεργειών πολιτικής και ανατρέξτε στα παρακάτω επιμέρους βήματα για μια περιγραφή κάθε ενέργειας πολιτικής.
    1. Εάν ο χρήστης επιλέξει την πολιτική Επισήμανση ως καθαρού (Mark As Clean) ή την πολιτική Επισήμανση ως μολυσμένου (Mark As Infected), δεν είναι διαθέσιμες οι επιλογές επιθεώρησης [Όλοι οι έλεγχοι (All Checks), Έλεγχος κατακερματισμού αρχείου (File Hash Check), Πλήρης σάρωση αρχείων (File Full Scan), Επιθεώρηση περιβάλλοντος προστατευμένης εκτέλεσης (Sandbox Inspection)].

    2. Εάν ο χρήστης επιλέξει την ενέργεια πολιτικής Επιθεώρηση (Inspect), μπορεί να επιλέξει έως και τρεις επιλογές επιθεώρησης [Όλοι οι έλεγχοι (All Checks), Έλεγχος κατακερματισμού αρχείου (File Hash Check), Πλήρης σάρωση αρχείων (File Full Scan), Επιθεώρηση περιβάλλοντος προστατευμένης εκτέλεσης (Sandbox Inspection)]. ΣΗΜΕΙΩΣΗ: Η επιλογή Όλοι οι έλεγχοι (All Checks) σημαίνει ότι θα επιλεγούν και οι τρεις επιλογές.

      Πίνακας 1. Περιγραφή ενέργειας πολιτικής
      Ενέργεια πολιτικής Περιγραφή
      Επισήμανση ως καθαρού (Mark as Clean) Τα αρχεία γίνονται αυτομάτως αποδεκτά στο δίκτυο χωρίς επιθεώρηση.
      Επισήμανση ως μολυσμένου (Mark as Infected) Τα αρχεία θεωρούνται αυτομάτως επικίνδυνα και απορρίπτονται και δεν είναι αποδεκτά στο δίκτυο.
      Επιθεώρηση (Inspect) Τα αρχεία που ταιριάζουν υπόκεινται σε τρεις διαφορετικές επιλογές επιθεώρησης και εάν το αρχείο αποτύχει στην επιθεώρηση, απορρίπτεται.
  10. Κάντε κλικ στο κουμπί Επόμενο (Next).
  11. Στην οθόνη Επιθεώρηση περιεχομένου Όνομα, αιτίες και ετικέτες (Content Inspection Name, Reasons and Tags), εισαγάγετε πληροφορίες για τα ακόλουθα πεδία κειμένου: Όνομα κανόνα (Rule Name), Ετικέτες (Tags) και Αιτία (Reason). Για το πεδίο κειμένου Θέση (Position), υποδείξτε πού πρέπει να τοποθετηθεί ο κανόνας στη λίστα κανόνων φιλτραρίσματος περιεχομένου.

  12. Κάντε κλικ στην επιλογή Τέλος (Finish).

    Ο κανόνας έχει προστεθεί πλέον στην πολιτική ασφάλειας και ο χρήστης μπορεί να συνεχίσει με τη δυνατότητα ασφάλειας.

  13. Ο χρήστης έχει τις ακόλουθες επιλογές: να διαμορφώσει έναν άλλο κανόνα στην περιοχή επιθεώρησης περιεχομένου, να διαμορφώσει μια διαφορετική κατηγορία πολιτικής ασφάλειας ή, εάν έχει ολοκληρωθεί η διαδικασία, να κάνει κλικ στο κουμπί Δημοσίευση (Publish) για να δημοσιευτεί η πολιτική ασφάλειας.
  14. Μετά τη δημοσίευση της πολιτικής ασφάλειας, ο χρήστης είναι έτοιμος για Εφαρμογή της πολιτικής ασφάλειας