Αυτή η ενότητα περιγράφει τον τρόπο διαμόρφωσης μιας πολιτικής ασφάλειας για το VMware Cloud Web Security.

Πριν να ξεκινήσετε:

Για να διαμορφωθεί μια Πολιτική ασφάλειας, οι χρήστες πρέπει πρώτα να έχουν δημιουργήσει μια Πολιτική ασφάλειας. Για συγκεκριμένες οδηγίες σχετικά με τον τρόπο δημιουργίας μια Πολιτικής ασφάλειας, ανατρέξτε στην ενότητα Δημιουργία πολιτικής ασφάλειας.

Σχετικά με αυτήν την εργασία:

Σε αυτήν την ενότητα, οι χρήστες θα μάθουν πώς να διαμορφώνουν την Πολιτική ασφάλειας που δημιουργήθηκε στην ενότητα με τίτλο Δημιουργία μιας πολιτικής ασφάλειας. Κατά τη δημιουργία μιας Πολιτικής ασφάλειας, ακολουθούν οι κατηγορίες κανόνων που μπορούν να διαμορφώσουν οι χρήστες: Επιθεώρηση επιπέδου ασφαλούς υποδοχής (SSL), Cloud Access Security Broker (CASB), Πρόληψη απώλειας δεδομένων (Data Loss Prevention - DLP), Ασφάλεια Web και Εφαρμογή Web.

Κατά τη δημιουργία ενός κανόνα πολιτικής Ασφάλειας Web, οι χρήστες μπορούν να διαμορφώσουν τα εξής: Φιλτράρισμα διευθύνσεων URL (URL Filtering), Φιλτράρισμα με βάση τη γεωγραφική τοποθεσία (Geo-Based Filtering), Φιλτράρισμα περιεχομένου (Content Filtering) και Επιθεώρηση περιεχομένου (Content Inspection).

Σημείωση: Με τη διαμόρφωση οποιασδήποτε από αυτές τις κατηγορίες, οι χρήστες παρακάμπτουν τους προεπιλεγμένους κανόνες.
Συμβουλή: Βέλτιστη πρακτική: Αποκλεισμός ή απενεργοποίηση του πρωτοκόλλου QUIC

Η Google ανέπτυξε το πρωτόκολλο QUIC (Quick UDP Internet Connections, γρήγορες συνδέσεις Internet UDP) για να αυξήσει την απόδοση των συνδέσεων HTTPS και HTTP (TCP 443 και TCP 80). Τα προγράμματα περιήγησης Chrome έχουν πειραματική υποστήριξη για αυτό από το 2014 και χρησιμοποιούνται επίσης σε συσκευές Chromium (για παράδειγμα, Microsoft Edge, Opera και Brave) και Android.

Οι συνδέσεις QUIC δεν απαιτούν χειραψίες TCP. Ωστόσο, η επιθεώρηση SSL απαιτεί πληροφορίες περιόδου λειτουργίας TCP και το Cloud Web Security εκτελεί επιθεώρηση SSL από προεπιλογή (εκτός εάν έχει ρυθμιστεί ρητά ένας κανόνας παράκαμψης που το αποτρέπει αυτό) και έτσι το Cloud Web Security δεν μπορεί να εξετάσει τις περιόδους λειτουργίας QUIC όπου γίνεται επιθεώρηση SSL. Σε τέτοιες περιπτώσεις όπου το QUIC είναι ενεργοποιημένο και εκτελείται επιθεώρηση SSL, αυτό μπορεί να έχει ως αποτέλεσμα να μην εφαρμοστεί μια πολιτική κατά τη διάρκεια μιας περιόδου λειτουργίας χρήστη.

Για να διασφαλίσετε ότι οι πολιτικές Cloud Web Security εφαρμόζονται με συνέπεια, συνιστάται είτε να αποκλειστεί είτε να απενεργοποιηθεί το πρωτόκολλο QUIC στο πρόγραμμα περιήγησης.

Για να αποκλείσετε το QUIC, διαμορφώστε το πρόγραμμα περιήγησης ή το τείχος προστασίας, για να αποκλείσετε το UDP 443 και το UDP 80, καθώς αυτές είναι οι θύρες που χρησιμοποιεί το πρωτόκολλο QUIC. Όταν το πρωτόκολλο QUIC είναι αποκλεισμένο, το QUIC έχει μια ασφαλή λειτουργία που το επαναφέρει στο TCP. Αυτό ενεργοποιεί την επιθεώρηση SSL χωρίς να επηρεάζει αρνητικά την εμπειρία του χρήστη.

Για να απενεργοποιήσετε το QUIC σε ένα πρόγραμμα περιήγησης Chromium, ελέγξτε την τεκμηρίωση για το αντίστοιχο πρόγραμμα περιήγησης.

Για να απενεργοποιήσετε το QUIC σε ένα πρόγραμμα περιήγησης Chrome:

  1. Ανοίξτε το Chrome
  2. Στη γραμμή διεύθυνσης πληκτρολογήστε: chrome://flags
  3. Στη γραμμή αναζήτησης, πληκτρολογήστε «quic».
  4. Κάντε κλικ στο αναπτυσσόμενο μενού και επιλέξτε Απενεργοποιημένο (Disabled).
  5. Όταν επιλέγεται το στοιχείο Προεπιλογή (Default), το Chrome θα προσπαθήσει να χρησιμοποιήσει το QUIC.
  6. Όταν σας ζητηθεί, κάντε κλικ στην επιλογή Επανεκκίνηση τώρα (Relaunch Now) για να επανεκκινήσετε το Chrome και να εφαρμόσετε τις αλλαγές σας.
Για μια καταγεγραμμένη επίδειξη απενεργοποίησης του QUIC στο Chrome, παρακολουθήστε το βίντεο Αποκλεισμός QUIC για την ενεργοποίηση της επιθεώρησης SSL (Blocking QUIC to Enable SSL Inspection).

Διαδικασία:

Για τη διαμόρφωση μιας πολιτικής ασφάλειας:
  1. Στη σελίδα Πολιτικές ασφάλειας (Security Policies) του νέου περιβάλλοντος εργασίας χρήστη του VMware SD-WAN Orchestrator, κάντε κλικ στο όνομα της Πολιτικής ασφάλειας που πρόκειται να διαμορφώσετε.

    Εμφανίζεται η οθόνη Πολιτικές ασφάλειας (Security Policies) για την επιλεγμένη πολιτική.

  2. Από την επιλεγμένη σελίδα Πολιτικής ασφάλειας (Security Policy), οι χρήστες μπορούν να διαμορφώσουν κανόνες από τις ακόλουθες κατηγορίες κανόνων: Επιθεώρηση SSL (SSL Inspection), Cloud Access Security Broker (CASB), Ασφάλεια Web (Web Security), Εφαρμογή Web (Web Application) και Πρόληψη απώλειας δεδομένων (Data Loss Prevention - DLP).
    Σημαντικό: Από προεπιλογή, μια πολιτική ασφάλειας έχει κανόνες για «να επιτρέπονται όλα» και για «αποκρυπτογράφηση όλων». Με τη διαμόρφωση οποιασδήποτε από τις πέντε κατηγορίες κανόνων που αναφέρονται παραπάνω, οι χρήστες παρακάμπτουν τους προεπιλεγμένους κανόνες και δημιουργούν μια πολιτική που αποτελείται από τους δικούς τους κανόνες.

    Για μια πλήρη περιγραφή του τρόπου διαμόρφωσης των κανόνων για κάθε κατηγορία, ανατρέξτε στην ενότητα:
  3. Αφού διαμορφώσετε την πολιτική ασφάλειας, κάντε κλικ στο κουμπί Δημοσίευση (Publish), για να δημοσιεύσετε την πολιτική ασφάλειας.
  4. Κάντε κλικ στο κουμπί Ναι (Yes) στο αναδυόμενο παράθυρο διαλόγου Δημοσίευση πολιτικής (Publish Policy), για να δημοσιεύσετε την πολιτική.

    Στο επάνω μέρος της οθόνης εμφανίζεται ένα πράσινο πλαίσιο που υποδεικνύει ότι δημοσιεύεται η Πολιτική ασφάλειας.

    Σημείωση: Μια Πολιτική ασφάλειας μπορεί να δημοσιευτεί ανά πάσα στιγμή στη διάρκεια της διαδικασίας διαμόρφωσης και να αναδημοσιεύεται κάθε φορά που ο χρήστης την αναδιαμορφώνει.

Τι να κάνετε στη συνέχεια: