Αυτή η ενότητα καλύπτει τον τρόπο χρήσης της δυνατότητας Cloud Access Security Broker (CASB) για την υπηρεσία Cloud Web Security.

Επισκόπηση

Η δυνατότητα Cloud Access Security Broker (CASB) παρέχει ορατότητα και έλεγχο στις δραστηριότητες των χρηστών κατά την πρόσβαση σε εφαρμογές SaaS.

Η δυνατότητα CASB περιλαμβάνει τις ακόλουθες δυνατότητες:

Ορατότητα εφαρμογής (Application Visibility) (μέρος τόσο του πακέτου τυπικής έκδοσης όσο και του πακέτου προηγμένης έκδοσης του Cloud Web Security): Ο πελάτης έχει τη δυνατότητα να βλέπει τις διαφορετικές εφαρμογές SaaS στις οποίες έχουν πρόσβαση οι χρήστες εντός του δικτύου του. Για κάθε εφαρμογή, ένας πελάτης που χρησιμοποιεί την Ορατότητα εφαρμογής CASB μπορεί να παρατηρήσει:

  • Τη βαθμολογία κινδύνου για κάθε εφαρμογή.
  • Πόσες φορές οι χρήστες απέκτησαν πρόσβαση σε μια εφαρμογή.
  • Την κατηγορία της εφαρμογής.

Έλεγχος εφαρμογής (Application Control) (μέρος μόνο του πακέτου προηγμένης έκδοσης του Cloud Web Security): Ο πελάτης έχει τη δυνατότητα να ελέγχει συγκεκριμένες ενέργειες που μπορούν να εκτελεστούν σε κάθε εφαρμογή SaaS.

Τα έτοιμα για χρήση προκαθορισμένα στοιχεία ελέγχου είναι διαθέσιμα για όλες τις εφαρμογές SaaS με συγκεκριμένα στοιχεία ελέγχου εφαρμογής που παρέχονται σε επίπεδο ανά εφαρμογή. Αυτά τα στοιχεία ελέγχου μπορούν να προσαρμοστούν και να διαμορφωθούν ανά εφαρμογή και με βάση τον χρήστη και την ομάδα χρηστών.

Για κάθε εφαρμογή, ένας πελάτης που χρησιμοποιεί τον Έλεγχο εφαρμογής CASB μπορεί να ελέγξει:

  • Την αρχική πρόσβαση στην τοποθεσία της εφαρμογής (Αποδοχή ή Αποκλεισμός).
  • Πρόσθετες ενέργειες, όπως Σύνδεση, Αποστολή/Λήψη περιεχομένου, Αναζήτηση, Επεξεργασία, Κοινή χρήση, Δημιουργία, Διαγραφή, Μου αρέσει ή Δημοσίευση.

Οι πελάτες μπορούν να δουν τις εκάστοτε διαθέσιμες ενέργειες για τις εφαρμογές που θέλουν να ελέγξουν.

Προϋποθέσεις

Οι χρήστες χρειάζονται τα εξής για πρόσβαση στη δυνατότητα Cloud Access Security Broker (CASB) με Cloud Web Security:
  1. Μια επιχείρησης πελάτη σε VMware Cloud Orchestrator παραγωγής με ενεργοποιημένο Cloud Web Security.
  2. Τα SD-WAN Edges του πελάτη, τα SASE PoP και το Orchestrator πρέπει όλα να χρησιμοποιούν την έκδοση 4.5.0 ή μεταγενέστερη.
  3. Η Ορατότητα εφαρμογής CASB μπορεί να χρησιμοποιηθεί για όλους τους πελάτες Cloud Web Security, είτε έχουν τυπικό πακέτο είτε προηγμένο πακέτο.
  4. Για να αποκτήσει πρόσβαση στον Έλεγχο εφαρμογής CASB, ο πελάτης πρέπει να έχει ένα προηγμένο πακέτο Cloud Web Security.
    Εάν οι χρήστες μεταβούν στις επιλογές Cloud Web Security > Διαμόρφωση (Configure) > Πολιτικές ασφάλειας (Security Policies) και κάνουν κλικ σε μια υπάρχουσα πολιτική ή δημιουργήσουν μια νέα πολιτική, η καρτέλα CASB θα περιλαμβάνει ένα εικονίδιο κλειδώματος. Αυτό υποδεικνύει ότι επιτρέπεται μόνο η ορατότητα CASB με την άδεια χρήσης τυπικής έκδοσης και ότι για τη δημιουργία πολιτικών ελέγχου CASB, απαιτείται άδεια χρήσης προηγμένης έκδοσης.
  5. Προαιρετικά: Ένας πάροχος ταυτότητας (IdP), εάν ο πελάτης σχεδιάζει να έχει κανόνες βάσει χρηστών. Για περισσότερες πληροφορίες σχετικά με τη διαμόρφωση είτε του Workspace ONE είτε του Azure Active Directory (AD) ως παρόχου ταυτότητας, ανατρέξτε στους αντίστοιχους οδηγούς στη σελίδα Οδηγοί καθολικής σύνδεσης (SAML).

Ροή εργασιών διαμόρφωσης του CASB

Έχοντας καλύψει τις δύο βασικές δυνατότητες, την Ορατότητα εφαρμογής (Application Visibility) και τον Έλεγχο εφαρμογής (Application Control), που περιλαμβάνουν τη δυνατότητα CASB, αυτή η ενότητα θα καλύψει τη ροή εργασιών του CASB.

Δημιουργία, διαμόρφωση και εφαρμογή πολιτικής ασφάλειας

Για λεπτομέρειες σχετικά με τη Δημιουργία, τη Διαμόρφωση ή την Εφαρμογή μιας Πολιτικής ασφάλειας (Security Policy) για την υπηρεσία Cloud Web Security, ανατρέξτε στη σχετική τεκμηρίωση του Οδηγού διαμόρφωσης Cloud Web Security.

Ρυθμίσεις CASB - Ορατότητα εφαρμογής

Μετά τη συσχέτιση μιας Πολιτικής ασφάλειας με ένα τμήμα πελάτη, επιθεωρείται η κυκλοφορία από συσκευές τελικού σημείου πίσω από το SD-WAN Edge ή μέσω συσκευών-πελατών Secure Access και παρακολουθείται εάν διέρχεται από την πολιτική Cloud Web Security.

  1. Στο περιβάλλον εργασίας χρήστη του VMware SASE Orchestrator, μεταβείτε στις επιλογές Cloud Web Security > Διαμόρφωση (Configure) > Ρυθμίσεις πολιτικής (Policy Settings) > CASB.
  2. Η σελίδα Ρυθμίσεις CASB (CASB Settings) παρέχει μια λίστα εφαρμογών που ταιριάζουν με έναν κανόνα Πολιτικής ασφάλειας και ταξινομούνται από προεπιλογή για τον υψηλότερο αριθμό πρόσβασης (φορές πρόσβασης σε μια συγκεκριμένη εφαρμογή εντός της καθορισμένης χρονικής περιόδου).
    • Κάθε εφαρμογή θα έχει επίσης μια Βαθμολογία κινδύνου που σχετίζεται με αυτήν: Χαμηλή (1-3), Μεσαία (4-6) ή Υψηλή (7-9).
    • Ο πίνακας Εφαρμογές (Εφαρμογές) μπορεί να ταξινομηθεί κατά Όνομα εφαρμογής, Όνομα κατηγορίας, Φορές πρόσβασης ή Βαθμολογία κινδύνου, κάνοντας κλικ στην κεφαλίδα της στήλης. Ή κάνοντας κλικ στο εικονίδιο ταξινόμησης για μια στήλη, οι χρήστες μπορούν να αναζητήσουν έναν συγκεκριμένο όρο ή αριθμό σε αυτήν τη στήλη.
    • Η σελίδα Ρυθμίσεις CASB (CASB Settings) από προεπιλογή εμφανίζει 20 εφαρμογές ανά σελίδα. Οι χρήστες μπορούν να κάνουν κύλιση στο κάτω μέρος της σελίδας και να καθορίσουν έως και 100 εφαρμογές ανά σελίδα. Οι χρήστες μπορούν επίσης να επιλέξουν μια νέα σελίδα εφαρμογών, είτε κάνοντας κλικ σε ένα από τα εικονίδια βέλους είτε καθορίζοντας μια συγκεκριμένη σελίδα στο πλαίσιο κειμένου.
    • Καθώς διέρχεται περισσότερη κυκλοφορία μέσω της υπηρεσίας Cloud Web Security, η λίστα εφαρμογών ενδέχεται να αλλάξει ανάλογα με τους ιστότοπους επίσκεψης. Αυτές οι αλλαγές μπορούν να περιλαμβάνουν σειρά εφαρμογών, αριθμό εφαρμογών, συμβάντα πρόσβασης και βαθμολογία κινδύνου.

Δημιουργία και εφαρμογή κανόνα ελέγχου CASB

Για να δημιουργήσετε και να εφαρμόσετε έναν κανόνα ελέγχου CASB, ανατρέξτε στην ενότητα Διαμόρφωση κανόνων του Cloud Access Security Broker.

Βεβαιωθείτε ότι ένας κανόνας CASB λειτουργεί

Μετά τη δημοσίευση της Πολιτικής ασφάλειας με τον κανόνα ελέγχου CASB, μεταβείτε σε έναν ιστότοπο που επηρεάζεται από τον κανόνα και δοκιμάστε τις δυνατότητες ελέγχου για να επιβεβαιώσετε ότι λειτουργεί όπως αναμένεται. Για να επαληθεύσετε ότι οι εφαρμογές έχουν διαμορφωμένα στοιχεία ελέγχου CASB, χρησιμοποιήστε τη σελίδα Cloud Web Security > Παρακολούθηση (Monitor) > Αρχεία καταγραφής Web (Web Logs). Για παράδειγμα, σε μια περίπτωση όπου οι χρήστες προσπάθησαν να συνδεθούν στον ιστότοπο WeTransfer και αποκλείστηκαν σύμφωνα με τον δημοσιευμένο κανόνα ελέγχου CASB. Τα αρχεία καταγραφής Web δείχνουν την αποκλεισμένη προσπάθεια σύνδεσης.

Παρακολούθηση CASB

  1. Μεταβείτε στις επιλογές Cloud Web Security > Παρακολούθηση (Monitor) > Ανάλυση CASB (CASB Analysis).
  2. Στη σελίδα Ανάλυση CASB (CASB Analysis), οι χρήστες μπορούν να προβάλουν μια επιλογή από γραφήματα ράβδων για Κορυφαίες κατηγορίες, Κορυφαίες εφαρμογές, Κορυφαίους χρήστες και Κορυφαίες αποστολές κατά εφαρμογή.
  3. Αρχεία καταγραφής Web (Web Logs): Cloud Web Security > Παρακολούθηση (Monitor) > Αρχεία καταγραφής Web (Web Logs), οι χρήστες της σελίδας μπορούν να μάθουν περισσότερες λεπτομέρειες σχετικά με ένα συμβάν πρόσβασης στην εφαρμογή. Για οποιοδήποτε συμβάν εφαρμογής CASB, ο χρήστης μπορεί να κάνει κλικ στη φυσαλίδα που σχετίζεται με αυτήν την καταχώρηση αρχείου καταγραφής, για να προβάλει τις πλήρεις Λεπτομέρειες καταχώρησης αρχείου καταγραφής (Log Entry Details).