Περιγράφει λεπτομερώς τον τρόπο διαμόρφωσης ενός κανόνα Επιθεώρησης επιπέδου ασφαλούς υποδοχής (Secure Sockets Layer - SSL) για μια επιλεγμένη Πολιτική ασφάλειας.

Προτού ξεκινήσετε

Για να διαμορφωθεί μια Πολιτική ασφάλειας, οι χρήστες πρέπει πρώτα να έχουν δημιουργήσει μια Πολιτική ασφάλειας. Για συγκεκριμένες οδηγίες σχετικά με τον τρόπο δημιουργίας μια Πολιτικής ασφάλειας, ανατρέξτε στην ενότητα Δημιουργία πολιτικής ασφάλειας.

Κατηγορία επιθεώρησης SSL

Επειδή το 90 τοις εκατό της κυκλοφορίας στο Internet είναι κρυπτογραφημένο, υπάρχει ανάγκη αποκρυπτογράφησής της, ώστε να ελεγχθεί το περιεχόμενο.
Σημείωση: Από προεπιλογή, όλη η κυκλοφορία αποκρυπτογραφείται μέσω SSL και, στη συνέχεια, επιθεωρείται, δημιουργώντας τη βάση για ισχυρότερη ασφάλεια.

Ωστόσο, σε ορισμένα είδη κυκλοφορίας δεν αρέσει να υπάρχει ένας «υποκλοπέας επικοινωνίας» για την κυκλοφορία με τον τρόπο που λειτουργεί η επιθεώρηση SSL. Αυτό περιλαμβάνει την κυκλοφορία που χρησιμοποιεί καρφίτσωμα πιστοποιητικών, αμοιβαίο TLS (mTLS) και ορισμένη κυκλοφορία που χρησιμοποιεί WebSocket. Για να διασφαλιστεί ότι το Cloud Web Security δεν θα διακόψει αυτά τα είδη κυκλοφορίας, οι χρήστες μπορούν να διαμορφώσουν εξαιρέσεις σε αυτόν τον προεπιλεγμένο κανόνα επιθεώρησης SSL, κάτι που θα επέτρεπε την παράκαμψη της επιθεώρησης SSL από την κυκλοφορία.

Συμβουλή: Για μια λίστα των τομέων που θα χρειαστούν κανόνα παράκαμψης, δείτε Τομείς και CIDR για τα οποία συνιστάται κανόνας παράκαμψης επιθεώρησης SSL.
Σημείωση: Όταν εφαρμόζεται ένας κανόνας Παράκαμψης SSL, η σύνδεση δεν έχει ακόμη αποκρυπτογραφηθεί. Δεν είναι δυνατή η επιβολή εσωτερικών δεδομένων σύνδεσης, όπως η ταυτότητα χρήστη ή το περιεχόμενο αρχείου. Οι κανόνες κατηγορίας και τομέα εφαρμόζονται, αλλά οι πολιτικές αποκλεισμού που ισχύουν για χρήστες, ομάδες και αρχεία δεν εφαρμόζονται σε συνδυασμό με αυτήν την πολιτική Παράκαμψης SSL. Ως αποτέλεσμα, το φιλτράρισμα διευθύνσεων URL υποστηρίζεται όταν χρησιμοποιείται επίσης ένας κανόνας Παράκαμψης SSL, αλλά η εφαρμογή κανόνων για συγκεκριμένους χρήστες δεν υποστηρίζεται.

Μπορείτε να κάνετε λήψη του ριζικού πιστοποιητικού αρχής έκδοσης πιστοποιητικών SSL, κάνοντας κλικ στην επιλογή Πιστοποιητικό SSL (SSL Certificate) στην αριστερή πλευρά του μενού Cloud Web Security > Διαμόρφωση (Configure) > Ρυθμίσεις επιχείρησης (Enterprise Settings).

Η σελίδα Ρυθμίσεις πιστοποιητικού SSL (SSL Certificate Settings) περιέχει ένα πιστοποιητικό CA με δυνατότητα λήψης VMware Cloud Web Security που χρησιμοποιείται για την επιθεώρηση SSL. Για λήψη του πιστοποιητικού CA:
  1. Κάντε κλικ στο εικονίδιο πιστοποιητικού ή στη σύνδεση για λήψη.
  2. Αποθηκεύστε το αρχείο και σημειώστε τη θέση.
  3. Σημειώστε την αποτύπωση πιστοποιητικού για επικύρωση κατά την εισαγωγή.

Διαμόρφωση κανόνα επιθεώρησης SSL

Εάν οι χρήστες θέλουν να κάνουν μια εξαίρεση στον προεπιλεγμένο κανόνα και δεν θέλουν το VMware Cloud Web Security να αποκρυπτογραφεί πακέτα κρυπτογραφημένα με SSL, οι χρήστες μπορούν να διαμορφώσουν έναν κανόνα επιθεώρησης SSL χρησιμοποιώντας μία από τις ακόλουθες δύο μεθόδους:

Χειροκίνητη παράκαμψη SSL

Ο χρήστης μπορεί να διαμορφώσει χειροκίνητα έναν κανόνα επιθεώρησης SSL με βάση τις κατηγορίες προέλευσης ή προορισμού, εκτελώντας τα ακόλουθα βήματα:
  1. Μεταβείτε στις επιλογές Cloud Web Security > Διαμόρφωση (Configure) > Πολιτικές ασφάλειας (Security Policies).
  2. Επιλέξτε μια πολιτική ασφάλειας για να διαμορφώσετε τον κανόνα επιθεώρησης SSL και, στη συνέχεια, κάντε κλικ στην καρτέλα Επιθεώρηση SSL (SSL Inspection).
  3. Στην καρτέλα Επιθεώρηση SSL (SSL Inspection) στην οθόνη Πολιτικές ασφάλειας (Security Policies), κάντε κλικ στην επιλογή + ΠΡΟΣΘΗΚΗ ΚΑΝΟΝΑ (+ ADD RULE), για να διαμορφώσετε έναν κανόνα εξαίρεσης επιθεώρησης SSL.

    Εμφανίζεται η οθόνη Δημιουργία εξαίρεσης SSL (Create SSL Exception).

  4. Στην οθόνη Δημιουργία εξαίρεσης SSL (Create SSL Exception), οι χρήστες μπορούν να επιλέγουν τον τύπο κυκλοφορίας που θα παρακάμπτει την επιθεώρηση SSL, επιλέγοντας Προέλευση (Source), Προορισμός (Destination) ή Κατηγορίες προορισμού (Destination Categories).

    Για παράδειγμα, οι χρήστες μπορούν να δημιουργήσουν έναν κανόνα που θα παρέκαμπτε την επιθεώρηση SSL για όλη την κυκλοφορία που προορίζεται για zoom.us, διαμορφώνοντας τον κανόνα ως κανόνα προορισμού και, στη συνέχεια, επιλέγοντας τον τύπο προορισμού είτε με IP προορισμού είτε με κεντρικό υπολογιστή/τομέα, όπως φαίνεται στο παρακάτω υπόδειγμα οθόνης.

  5. Κάντε κλικ στο κουμπί Επόμενο (Next).
  6. Στην οθόνη Όνομα και ετικέτες (Name and Tags), παράσχετε το Όνομα κανόνα, τις Ετικέτες, μια Αιτία (εάν χρειάζεται) για τον λόγο για τον οποίο δημιουργήθηκε ο κανόνας παράκαμψης, και μια θέση για τον κανόνα στη λίστα κανόνων επιθεώρησης SSL (οι επιλογές είναι είτε «Αρχή της λίστας» (Top of List) είτε «Τέλος της λίστας» (Bottom of List)).

  7. Κάντε κλικ στην επιλογή Τέλος (Finish).

    Ο κανόνας επιθεώρησης SSL έχει προστεθεί πλέον στην Πολιτική ασφάλειας.

  8. Οι χρήστες έχουν τις ακόλουθες επιλογές: να διαμορφώσουν έναν άλλο κανόνα επιθεώρησης SSL, να διαμορφώσουν μια διαφορετική κατηγορία πολιτικής ασφάλειας ή, εάν έχει ολοκληρωθεί η διαδικασία, να κάνουν κλικ στο κουμπί Δημοσίευση (Publish) για να δημοσιευτεί η πολιτική ασφάλειας.
  9. Μετά τη δημοσίευση της Πολιτικής ασφάλειας, οι χρήστες μπορούν να κάνουν Εφαρμογή της πολιτικής ασφάλειας.

Εύκολη παράκαμψη επιθεώρησης SSL/Γρήγορες εξαιρέσεις

Η δυνατότητα Εύκολης παράκαμψης SSL επιτρέπει στους χρήστες να παρακάμπτουν την επιθεώρηση SSL για εφαρμογές Web που χρησιμοποιούνται συνήθως.

Για να διαμορφώσετε έναν κανόνα Παράκαμψης SSL χρησιμοποιώντας γρήγορη εξαίρεση, εκτελέστε τα ακόλουθα βήματα:
  1. Στην καρτέλα Επιθεώρηση SSL (SSL Inspection) στην οθόνη Πολιτικές ασφάλειας (Security Policies), κάντε κλικ στην επιλογή ΠΡΟΣΘΗΚΗ ΓΡΗΓΟΡΗΣ ΕΞΑΙΡΕΣΗΣ (ADD QUICK EXCEPTION).

    Εμφανίζεται η οθόνη διαμόρφωσης Γρήγορες εξαιρέσεις (Quick Exceptions).

  2. Για να παρακάμψετε την επιθεώρηση SSL για ορισμένους τομείς ή εύρη διευθύνσεων IP υποδικτύου, στη σελίδα Επιλογή εξαιρέσεων (Select Exceptions), επιλέξτε μία ή περισσότερες εφαρμογές που ο χρήστης θέλει να εξαιρεθούν από την επιθεώρηση SSL, ενεργοποιώντας το κουμπί εναλλαγής, και κάντε κλικ στην επιλογή Επόμενο (Next). Όταν οι χρήστες επιλέγουν μια εφαρμογή, όλες οι διευθύνσεις URL που σχετίζονται με τις επιλεγμένες εφαρμογές εξαιρούνται επίσης από την επιθεώρηση SSL.
  3. Στην οθόνη Όνομα, αιτίες και ετικέτες (Name, Reasons and Tags), παράσχετε ετικέτες και μια αιτία (εάν χρειάζεται) για τον λόγο δημιουργίας του κανόνα γρήγορης εξαίρεσης και κάντε κλικ στην επιλογή Τέλος (Finish).

    Δημιουργείται ο Κανόνας γρήγορης εξαίρεσης (Quick Exception Rule) και εμφανίζεται στη σελίδα καταχώρησης Κανόνα επιθεώρησης SSL (SSL Inspection Rule), όπως φαίνεται στο παρακάτω στιγμιότυπο οθόνης.

    Σημείωση: Δημιουργείται μόνο ένας κανόνας και δεν μπορούν να δημιουργηθούν πρόσθετοι κανόνες. Αυτός ο κανόνας ονομάζεται πάντα «Κανόνας γρήγορης εξαίρεσης» (Quick Exception Rule) και δεν είναι δυνατή η αλλαγή του ονόματος στον Οδηγό γρήγορης εξαίρεσης.
    Σημείωση: Ο κανόνας θα είναι πάντα ο προτελευταίος κανόνας στη σελίδα καταχώρησης Κανόνα επιθεώρησης SSL (SSL Inspection Rule) και μπορείτε να αποκτήσετε γρήγορη πρόσβαση κάνοντας κλικ στο όνομα του Κανόνα γρήγορης εξαίρεσης (Quick Exception Rule). Μόλις προστεθεί ο Κανόνας γρήγορης εξαίρεσης, το όνομα του κουμπιού Προσθήκη γρήγορων εξαιρέσεων (Add Quick Exceptions) αλλάζει σε Γρήγορη εξαίρεση (Quick Exception), υποδεικνύοντας ότι υπάρχει ήδη ένας Κανόνας γρήγορης εξαίρεσης που μπορεί να υποβληθεί σε επεξεργασία και δεν μπορούν να προστεθούν επιπλέον κανόνες αυτού του τύπου.