Qui viene descritto dettagliatamente come configurare una regola di ispezione Secure Sockets Layer (SSL) per un criterio di protezione selezionato.

Prima di iniziare

Per configurare un criterio di protezione, è innanzitutto necessario aver creato un criterio di protezione. Per istruzioni specifiche su come creare un criterio di protezione, vedere Creazione di un criterio di protezione.

Categoria Ispezione SSL (SSL Inspection)

Poiché il 90% del traffico Internet è crittografato, è necessario decrittografare il traffico per ispezionare ciò che contiene.
Nota: Per impostazione predefinita, tutto il traffico viene decrittografato tramite SSL e quindi ispezionato in modo da applicare una maggiore sicurezza.

Tuttavia, alcuni tipi di traffico non gradiscono una presenza di tipo "man-in-the-middle", che è il modo in cui funziona l'ispezione SSL. Tali tipi includono il traffico che utilizza l'associazione del certificato, Mutual TLS (mTLS) e alcuni che utilizzano WebSocket. Per assicurarsi che Cloud Web Security non interrompa questi tipi di traffico, è possibile configurare eccezioni a questa regola di ispezione SSL predefinita, che consentano di ignorare l'ispezione SSL.

Suggerimento: Per un elenco dei domini che richiedono una regola di bypass, vedere Domini e CIDR in cui è consigliata una regola di bypass di ispezione SSL.
Nota: Quando viene applicata una regola di bypass SSL, la connessione non è ancora decrittografata. Non è possibile applicare regole ai dati interni della connessione, come l'identità dell'utente o il contenuto del file. Vengono applicate le regole di categoria e dominio, ma i criteri di blocco che si applicano a utenti e file non vengono applicati in combinazione con questo criterio di bypass SSL. Di conseguenza, il filtro URL è supportato quando si utilizza anche una regola di bypass SSL, ma l'applicazione di regole specifiche dell'utente non è supportata.

Il certificato CA root SSL può essere scaricato facendo clic su Certificato SSL (SSL Certificate) sul lato sinistro del menu Cloud Web Security > Configurazione (Configure) > Impostazioni aziendali (Enterprise Settings).

La pagina Impostazioni certificato SSL (SSL Certificate Settings) contiene un certificato CA VMware Cloud Web Security scaricabile utilizzato per eseguire l'ispezione SSL. Per scaricare il certificato CA:
  1. Fare clic sull'icona o sul link del certificato per scaricarlo.
  2. Salvare il file e prendere nota della posizione.
  3. Prendere nota dell'identificazione personale del certificato per la convalida durante l'importazione.

Configurazione di una regola di ispezione SSL

Se gli utenti desiderano creare un'eccezione alla regola predefinita e non desiderano che VMware Cloud Web Security decrittografi i pacchetti crittografati tramite SSL, possono configurare una regola di ispezione SSL con uno dei due metodi seguenti:

Bypass SSL manuale

L'utente può configurare manualmente una regola di ispezione SSL in base a origine, destinazione o categoria di destinazione eseguendo i passaggi seguenti:
  1. Passare a Cloud Web Security > Configurazione (Configure) > Criteri di protezione (Security Policies).
  2. Selezionare un criterio di protezione per configurare la regola di ispezione SSL e fare clic sulla scheda Ispezione SSL (SSL Inspection).
  3. Nella scheda Ispezione SSL (SSL Inspection) della schermata Criteri di protezione (Security Policies) fare clic su +AGGIUNGI REGOLA (+ADD RULE) per configurare una regola di eccezione dell'ispezione SSL.

    Viene visualizzata la schermata Crea eccezione SSL (Create SSL Exception).

  4. Nella schermata Crea eccezione SSL (Create SSL Exception), scegliere il tipo di traffico per cui ignorare l'ispezione SSL selezionando Origine (Source), Destinazione (Destination) o Categorie di destinazione (Destination Categories).

    È ad esempio possibile creare una regola che ignori l'ispezione SSL per tutto il traffico destinato a zoom.us configurando la regola come regola di destinazione e quindi scegliendo il tipo di destinazione in base all'IP o all'host/dominio della destinazione, come illustrato nella seguente schermata di esempio.

  5. Fare clic sul pulsante Avanti (Next).
  6. Nella schermata Nome e tag (Name and Tags), configurare un Nome regola (Rule Name), Tag (Tags), Motivo (Reason) (se necessario) per la creazione della regola di bypass, e una posizione per la regola nell'elenco delle regole di ispezione SSL (le opzioni sono "Inizio elenco (Top of List)" o "In fondo all'elenco ("Bottom of List")).

  7. Fare clic su Fine (Finish).

    La regola di ispezione SSL viene aggiunta al criterio di protezione.

  8. È quindi possibile configurare un'altra regola di ispezione SSL, configurare un'altra categoria del criterio di protezione o, se si è terminato, fare clic sul pulsante Pubblica (Publish) per pubblicare il criterio di protezione.
  9. Dopo aver pubblicato il criterio di protezione, gli utenti possono Applicare il criterio di protezione.

Bypass semplificato dell'ispezione SSL/eccezioni rapide

La funzionalità di bypass SSL semplificato consente agli utenti di ignorare l'ispezione SSL per le applicazioni Web più utilizzate.

Per configurare una regola di bypass SSL utilizzando le eccezioni rapide, eseguire i passaggi seguenti:
  1. Nella scheda Ispezione SSL (SSL Inspection) della schermata Criteri di protezione (Security Policies) fare clic su AGGIUNGI ECCEZIONE RAPIDA (ADD QUICK EXCEPTION).

    Viene visualizzata la schermata di configurazione Eccezioni rapide (Quick Exceptions).

  2. Per ignorare l'ispezione SSL per determinati domini o intervalli IP di sottorete, nella pagina Seleziona eccezioni (Select Exceptions), selezionare una o più applicazioni che l'utente desidera escludere dall'ispezione SSL attivando l'interruttore e fare clic su Avanti (Next). Quando un utente seleziona un'applicazione, tutti gli URL associati alle applicazioni selezionate vengono esclusi anche dall'ispezione SSL.
  3. Nella schermata Nome, motivi e tag (Name, Reasons and Tags) specificare Tag (Tags) e un Motivo (Reason) (se necessario) per cui è stata creata la regola dell'eccezione rapida e fare clic su Fine (Finish).

    Viene creata la Regola di eccezione rapida (Quick Exception Rule) che viene visualizzata nella pagina dell'elenco delle regole di ispezione SSL, come illustrato nella schermata seguente.

    Nota: Viene creata una sola regola e non è possibile creare regole aggiuntive. Questa regola è sempre denominata "Regola eccezione rapida (Quick Exception Rule)" e il nome non può essere modificato nella procedura guidata Eccezione rapida (Quick Exception).
    Nota: La regola sarà sempre la penultima nella pagina di elenco Regola di ispezione SSL (SSL Inspection Rule) e potrà essere aperta rapidamente facendo clic sul nome Regola eccezione rapida (Quick Exception Rule). Dopo l'aggiunta di una Regola eccezione rapida (Quick Exception Rule), il nome del pulsante Aggiungi eccezioni rapide (Add Quick Exceptions) diventa Eccezione rapida (Quick Exception) per indicare che esiste già una Regola eccezione rapida (Quick Exception Rule) che può essere modificata e non è possibile aggiungere altre regole di questo tipo.