Nella versione 1.17.0, la formattazione automatica della pagina Panoramica (Overview) è stata migliorata per la stampa.

Di seguito è disponibile un report di esempio aperto in un lettore Adobe Acrobat:

Nelle procedure guidate delle regole CASBApplicazione Web (Web Application) e DLP e nelle pagine Eccezioni intestazioni SaaS (SaaS Header Exceptions) e IP gateway aziendale (Corporate Gateway IPs) è possibile inviare più volte un modulo se si fa clic rapidamente sul pulsante Invia (Submit) mentre è già in corso un invio. L'effetto è più evidente se la connettività di rete lenta.

Il problema può verificarsi quando un utente passa a Cloud Web Security > Configura (Configure) > Certificato SSL (SSL Certificate) e quindi fa clic su uno dei pulsanti Scarica certificato (Download Certificate) in questa pagina.

 La funzionalità Esportazione registri (Log Export) consente a un cliente di inoltrare registri quasi in tempo reale relativi alle attività di Cloud Web Security a un endpoint SIEM (Security Information and Event Management) controllato dal cliente per l'archiviazione e l'analisi.

Per ulteriori informazioni, vedere la sezione Esportazione registri nella documentazione di Cloud Web Security.

Cloud Web Security include una nuova pagina Monitora (Monitor) > Panoramica (Overview). Questo dashboard offre una presentazione più semplice e accessibile di informazioni critiche in un'unica pagina, indicando all'utente informazioni più dettagliate per ogni categoria di dati. I grafici principali forniscono all'utente la sezione Azioni eseguite (Actions Taken) di Cloud Web Security nel periodo di tempo configurato e la sezione Distribuzione regole (Rules Distribution) per tale cliente.

L'utente può inoltre scorrere ulteriormente e visualizzare i grafici Principali siti Web visitati (Top Websites Visited), Principali applicazioni SaaS (Top SaaS Applications), Dettagli minaccia (Threat Breakdown) e Dettagli utente (User Breakdown).

L'aggiunta di elenchi separati da virgole è una pratica comune per risparmiare tempo quando si configurano tag, domini, indirizzi e-mail ed elementi simili in cui viene utilizzato un campo di input con più elementi. Quando si verifica questo problema, le virgole vengono ignorate dall'interfaccia utente e l'elenco genera un solo elemento. Ad esempio, se si incolla un elenco di tag per una regola di Web Security, il risultato è un unico tag.

Quando si aggiungono selezioni a vari elenchi e tag nell'interfaccia utente di CWS, i campi di input con più elementi non consentono lo stato attivo o la modifica tramite tastiera. La tastiera viene spesso utilizzata per l'inserimento di tag, domini, indirizzi e-mail o altri elementi simili.

Ad esempio, non è possibile navigare nella schermata Seleziona destinazioni (Select Destinations) e selezionare più Categorie (Categories) utilizzando la tastiera.

Quando si modifica una regola di Filtro URL (URL Filtering) facendo rapidamente clic più volte su Aggiorna (Update) nell'ultimo passaggio, è possibile che il contenuto della regola venga danneggiato. In questo caso, l'utente deve ricreare la regola e il suo contenuto.

L'interfaccia utente deve reimpostare l'azione del criterio in Ispezione contenuti (Content Inspection) solo quando un utente passa dal tipo di categoria Tipo di file (File Type) al tipo di categoria Hash file (File Hash). Ma l'interfaccia utente reimposta l'azione del criterio anche quando l'utente modifica il tipo di file impostandolo su Ispeziona (Inspect) e l'utente deve reimpostare manualmente l'azione del criterio sul valore previsto.

Quando un utente attiva il debug dettagliato SAML, non può disattivarlo. Inoltre, 2 ore dopo l'abilitazione del debug dettagliato, lo stato deve essere impostato automaticamente su Disabilitato/No (disabled/No) ma rimane Abilitato/sì (enabled/yes).

Ad esempio, se l'utente tenta di aggiungere lo stesso gateway aziendale una seconda volta, questa azione attiva un errore dell'API, ma nell'interfaccia utente non viene visualizzata la notifica dell'errore.

Quando si utilizza la navigazione tramite tastiera nell'interfaccia utente, è difficile focalizzare o scorrere il contenuto delle indicazioni che viene visualizzato.

Le icone dell'applicazione CASB non vengono caricate nella finestra di dialogo di configurazione della regola CASB e nella pagina delle applicazioni CASB dell'interfaccia utente.

I domini di destinazione non vengono visualizzati nella griglia delle regole delle applicazioni Web e l'utente vede "Qualsiasi (Any)".

L'utente può notare che i menu di selezione dei tipi di file sono presenti solo per le opzioni "Caricamenti (Uploads)" e "Caricamenti e download (Uploads and Downloads)". Queste opzioni dei tipi di file sono nascoste per il tipo "Scarica (Download)".

Ogni criterio di Cloud Web Security inizia con un set di regole non modificabili che mostrano il comportamento predefinito. Anche se in genere si tratta di "Consenti (Allow)", nel caso di Ispezione contenuti (Content Inspection), il comportamento predefinito deve essere "Controlla (Inspect)" e non "Segna come pulito (Mark as Clean)".

Poiché sono state aggiunte più di 21 regole dei criteri, il tentativo di riordinare le regole nella seconda pagina o in una pagina successiva tramite il trascinamento della selezione OPPURE il tentativo di spostare una regola dalla seconda pagina o da una pagina successiva alla prima pagina non riesce.

Inoltre, quando un utente si trova nella seconda pagina o in una pagina successiva delle regole Intestazione SaaS (SaaS Header), CASB, DLP, Applicazione Web (Web Application) o Sicurezza Web (Web Security), se tenta di spostare una o più regole, le regole verranno temporaneamente visualizzate nell'ordine corretto, ma avranno l'ordine originale dopo l'aggiornamento.

Un utente può risolvere questo problema per una singola regola che desidera spostare nella prima pagina eliminandola e aggiungendola nuovamente specificando "top of list" o "bottom of list" nella pagina finale della creazione guidata della regola. Oppure per riordinare un elenco di regole, utilizzare una chiamata API anziché l'interfaccia utente di Orchestrator.

L'unico modo per ripristinare il controllo Cerca (Search) per i controlli CASB consiste nel selezionare "Blocca (Block)" in "Azione browser (Browser Action)" per disattivare tutti gli interruttori. Riattivare quindi "Blocca (Block)" per consentire tutte le regole di Instagram. Questa operazione ripristinerà il controllo "Cerca (Search)" quando l'attivazione/disattivazione dei singoli controlli non funziona.

 In una schermata delle regole dei criteri di protezione (ad esempio Ispezione SSL (SSL Inspection)), quando si utilizza il tasto Tab per passare al nome di una regola esistente, lo stato attivo del browser passa sopra il nome della regola e l'unico modo per selezionare gli orari consiste nell'utilizzare il mouse o il touchpad.

Utilizzando un'utilità per la lettura dello schermo o uno strumento di accessibilità, all'utente verrà chiesto di identificare la parte della pagina da considerare come "principale" perché non sono presenti intestazioni o banner che puntano a tale parte.

Quando si utilizza un'utilità per la lettura dello schermo o uno strumento di accessibilità per passare agli elementi del pannello di navigazione a sinistra, le didascalie risultanti sono confuse e includono annunci superflui.

Cloud Web Security offre ora la possibilità di applicare alcune regole Filtro URL (URL Filtering) solo entro periodi di tempo specificati utilizzando la funzionalità Pianificazione (Schedule). Questa funzionalità viene aggiunta alla sezione Azione, registro e pianificazione (Action, Log and Schedule) quando si configura una regola di sicurezza Web di tipo Filtro URL (URL Filtering).

Pianificazione (Schedule) offre due opzioni Tipo di pianificazione (Schedule Type) per una regola Filtro URL (URL Filtering): Periodico (Periodic) e Una volta (One Time).

L'opzione Periodico (Periodic) consente di configurare una pianificazione a rotazione settimanale per i casi in cui la regola Filtro URL è attiva. Questa pianificazione periodica si basa su un fuso orario globale, sui giorni della settimana e su uno o più periodi di tempo di inizio e di fine.

L'opzione Una volta (One Time) specifica un singolo blocco di tempo con data e ora di inizio e fine quando la regola è attiva oppure data e ora da cui la regola è attiva indefinitamente.

Per ulteriori informazioni, vedere la documentazione Configurazione del criterio di protezione > Configurazione delle regole di sicurezza Web > Filtro URL nella Guida di Cloud Web Security

Questo problema si verifica anche se due domini di destinazione vengono duplicati all'interno della stessa regola. Il messaggio di errore è vago e non include alcuna indicazione che consenta all'utente di risolvere il problema di configurazione che impedisce la convalida della regola. L'utente può solo cercare nelle regole di ispezione SSL domini, IP, CIDR o intervalli di IP (incluso il contenuto delle regole di eccezione rapida) duplicati e rimuoverli da tutte le regole tranne una. Ora il messaggio di errore indica quali origini o destinazioni sono in conflitto o se sono presenti duplicati all'interno di una regola.

Cloud Web Security non cancella gli utenti e/o i gruppi configurati manualmente e l'unico modo per risolvere questo problema consiste nel deselezionare "Tutti gli utenti e i gruppi" (All Users and Groups), quindi rimuovere manualmente tutti gli utenti e i gruppi e selezionare nuovamente "Tutti gli utenti e i gruppi" (All Users and Groups).

Una regola SSL con una regola non valida viene rifiutata quando l'utente tenta di salvarla. L'utente scoprirà comunque a breve che l'indirizzo IP, il CIDR IP o il dominio della regola SSL non è valido. Orchestrator deve avvisare l'utente durante il passaggio di modifica della regola SSL utilizzando la procedura guidata della regola SSL.

I filtri del dizionario DLP e dei revisori DLP non sono stati localizzati per le lingue diverse dall'inglese. Con questa correzione, i filtri stringa sono stati convertiti in filtri caselle di controllo che non solo risolvono i problemi relativi alla lingua di localizzazione, ma rendono più semplice per gli utenti filtrare queste due sezioni.

In precedenza, quando un utente configurava una regola di sicurezza Web che includeva una regola di filtro URL, il cliente disponeva di una sola opzione per applicare il filtro in base ai domini, ovvero un elenco di domini statico che doveva configurare e gestire manualmente nell'interfaccia utente di Orchestrator. Quando il numero di domini era elevato o l'elenco veniva modificato di frequente, questa opzione non era ottimale. A partire dalla versione v1.12.0, il cliente dispone di un'opzione aggiuntiva per applicare il filtro in base ai domini, ovvero un elenco di domini dinamico.

Per questa opzione, Cloud Web Security fa riferimento a un elenco di testo dei domini formattati con nome di dominio completo che viene archiviato in remoto in una posizione scelta dal cliente. La posizione deve essere accessibile pubblicamente per il servizio. Questa opzione è vantaggiosa perché consente di creare un elenco con un grande numero di domini che può essere modificato e aggiornato facilmente. È possibile configurare Cloud Web Security in modo da controllare l'elenco di domini dinamico a intervalli che vanno da 30 secondi fino a 24 ore.

Per ulteriori informazioni, vedere la documentazione relativa a Configurazione delle regole di sicurezza Web > Filtro URL in Guida alla configurazione di VMware Cloud Web Security.

La funzionalità Limitazioni intestazione SaaS deve poter essere utilizzata da tutti i clienti di Cloud Web Security, ma quando un utente con una licenza standard fa clic sul collegamento Limitazioni intestazione SaaS (SaaS Header Restrictions), viene reindirizzato alla pagina Ispezione contenuti (Content Inspection) anziché alla pagina prevista. Questo problema non si verifica per gli utenti che dispongono di una licenza avanzata.

Anche se non è stato modificato alcun elemento, nell'interfaccia utente di Orchestrator viene comunque chiesto al cliente se desidera salvare le modifiche. Questo comportamento può confondere inutilmente l'utente.

In genere, le aziende limitano i nomi di dominio o gli indirizzi IP quando desiderano gestire gli accessi. Questo approccio non riesce in un ambiente in cui le applicazioni SaaS (Software as a Service) sono ospitate in un cloud pubblico e vengono eseguite con nomi di dominio condivisi. Ad esempio, se un'azienda utilizza Office 365, usa nomi di dominio come outlook.office.com e login.microsoftonline.com. Nell'esempio di Microsoft, il blocco di questi indirizzi impedirebbe completamente agli utenti di accedere ad Outlook sul Web, anziché consentire loro di utilizzare solo identità e risorse approvate.

La soluzione per questo problema consiste nel limitare l'accesso al tenant. Cloud Web Security esegue questa operazione utilizzando la funzionalità Limitazione intestazione SaaS. Questa funzionalità consente agli amministratori di imporre criteri di restrizione del tenant in un servizio SaaS come Office 365 e G Suite. Ad esempio, potrebbe essere necessario consentire l'accesso all'account aziendale Office 365 a tutti i dipendenti ma impedire loro di accedere agli account personali. Queste limitazioni vengono applicate tramite l'inserimento di intestazioni HTTP che specificano i tenant consentiti.

Questa funzionalità è stata aggiunta nella pagina Cloud Web Security > Configura (Configure) in Impostazioni aziendali (Enterprise Settings):

Un cliente può configurare la regola dell'intestazione SaaS selezionando una delle sei applicazioni predefinite disponibili: Office 365 - Enterprise, Office 365 - Consumer, G Suite, Slack, YouTube e Dropbox. Ciascuna di queste applicazioni predefinite include un livello di dettaglio diverso, ad esempio domini e intestazioni limitati. In base all'applicazione, il cliente potrebbe dover fornire input aggiuntivi per completare la regola.

Il cliente può anche creare un'applicazione personalizzata purché supporti la limitazione del tenant tramite intestazioni.

Ad esempio, la voce di menu Criteri di protezione (Security Policies) viene convertito e visualizzato come Criteri Di Protezione mentre dovrebbe essere visualizzato come Criteri di protezione. Di fatto, se una voce di menu in inglese è costituita da una singola parola mentre la voce tradotta è costituita da più parole, Orchestrator rende maiuscola ogni parola aggiuntiva anche se sarebbe corretto lasciarla minuscola.

L'interfaccia utente non tiene conto dell'altezza e dello scorrimento del piè di pagina che segnala le modifiche non salvate in un browser Web di dimensioni inferiori e questo piè di pagina oscura gli altri contenuti in tale pagina.

Il cliente può avere l'impressione errata che l'elaborazione di DLP preceda l'elaborazione delle regole di Sicurezza Web (Web Security), ma non è così. Nella versione corretta, la scheda DLP viene ora visualizzata alla fine, ovvero nella sua posizione effettiva nel flusso di elaborazione.

Quando il pulsante Eccezione rapida (Quick Exception) di Ispezione SSL (SSL Inspection) viene convertito in alcune lingue diverse dall'inglese, è possibile che facendo clic sui bordi esterni del pulsante l'utente non ottenga alcun risultato. Nella versione corretta, il pulsante Eccezione rapida (Quick Exception) è ora completamente funzionante indipendentemente da dove viene posizionato il cursore del mouse.

A partire dalla versione 11.1.1, l'interfaccia utente di Cloud Web Security include le seguenti modifiche del menu di navigazione laterale:

• Nuova sezione: Impostazioni criteri (Policy Settings)

• Le sezioni CASB e DLP sono state spostate in Impostazioni criteri (Policy Settings)

• La sezione Motore di ispezione (Inspection Engine) è stata rinominata Ispezione contenuti (Content Inspection) e spostata in Impostazioni criteri (Policy Settings)

• La sezione Certificati (Certificates) è stata rimossa

• La sezione Autenticazione (Authentication) è stata rinominata Provider di identità (Identity Provider) e spostata in Impostazioni aziendali (Enterprise Settings)

• La sezione Terminazione SSL (SSL Termination) è stata rinominata Certificato SSL (SSL Certificate) e spostata in Impostazioni aziendali (Enterprise Settings)

• La sezione Gateway aziendali (Corporate Gateways) è stata rinominata IP gateway aziendale (Corporate Gateway IPs)

È possibile che un utente desideri configurare due regole di porta Web non standard diverse in cui il valore della porta è lo stesso, ma gli indirizzi IP di destinazione sono diversi. A partire dalla versione 11.1.1, è possibile eseguire questa operazione.

I clienti possono ora bloccare o consentire il traffico Internet in base alla posizione geografica del contenuto o dell'utente. Questa funzionalità viene aggiunta alla sezione Configura (Configure) > Criteri di protezione (Security Policies) > Sicurezza Web (Web Security) facendo clic sulla scheda Filtro in base alla posizione geografica (Geo-Based Filtering).

Quando si configura una regola del Filtro in base alla posizione geografica (Geo-Based Filtering), l'utente può specificare a quali utenti e gruppi applicarla e può effettuare la selezione in un elenco di 251 paesi che include opzioni aggiuntive per il traffico da paesi/aree geografiche sconosciuti, proxy anonimo e provider satellitare per assicurarsi che gli utenti non possano ignorare le regole.

Se l'utente desidera aggiornare le informazioni in una pagina Monitora (Monitor), ad esempio Registri Web (Web Logs) o Registri DLP (DLP Logs), in Orchestrator è presente un pulsante Aggiorna (Refresh) nella parte inferiore della pagina.

Tuttavia, se l'utente fa clic su Aggiorna (Refresh), i dati non vengono aggiornati a causa di una modifica sottostante in un componente di Orchestrator.

Sintomo: CASB supporta solo le opzioni di controllo Carica (Upload) e Scarica (Download) per Google Drive e quindi il controllo per Crea (Create) è stato rimosso per le versioni 1.11.0 e successive.

CASB non supporta più l'applicazione Telegram e l'opzione per configurare una regola CASB per tale applicazione è stata rimossa in questa versione.

Se un cliente dispone di una regola CASB esistente che include Telegram come Applicazione di destinazione (Destination Application), deve rimuovere tale applicazione se la funzionalità Cloud Web Security viene aggiornata alla versione 1.11.0 o successiva perché la regola non imporrà più tale applicazione.

In una versione successiva, Cloud Web Security rimuoverà automaticamente l'applicazione Telegram da tutte le regole CASB e registrerà questa azione come evento.

Per impostazione predefinita, in VMware Cloud Web Security viene visualizzata per tutti gli utenti una pagina di blocco con il marchio VMware quando un criterio di sicurezza impedisce a un utente di accedere a un sito Web o un'applicazione cloud.

La funzionalità Pagina di blocco personalizzabile consente agli utenti di creare e personalizzare una pagina di blocco personalizzata con il proprio marchio da visualizzare quando il traffico (Web o DLP) è bloccato. Utilizzando la sezione Configura (Configure) > Personalizzazione pagina (Page Customization) di Orchestrator, un amministratore di Cloud Web Security può personalizzare:

• Una pagina di blocco utilizzata da VMware Cloud per rispondere a una richiesta HTTP o un caricamento di file che viola un criterio di sicurezza configurato.

• Una pagina di blocco che VMware Cloud restituisce quando un utente tenta di caricare un file che viola una regola DLP configurata.

Per ulteriori informazioni su come configurare una pagina di blocco personalizzata, vedere Personalizzazione di una pagina.

Durante la creazione di una regola DLP (Data Loss Prevention), un utente visualizza informazioni errate per la descrizione del comando "Dimensioni massime file" (Maximum File Size). La descrizione del comando indica che se le dimensioni del file caricato superano il valore specificato, il file viene eliminato e il revisore viene informato. Queste informazioni non sono corrette. Il problema è stato risolto sostituendo la descrizione del comando con un messaggio che indica che se le dimensioni del file caricato sono superiori al valore specificato, il file non viene ispezionato da DLP e viene consentito.

I registri Web di Cloud Web Security includono solo Tipo di minaccia (Threat Type) e i dettagli del rischio non vengono visualizzati. Per migliorare la capacità di un utente di monitorare il traffico Web, è necessario che vengano visualizzati anche i dettagli dei rischio per le vulnerabilità oltre al Tipo di minaccia (Threat Type) identificato.

Durante l'ispezione del traffico del browser nelle applicazioni Web non browser, è possibile che i vecchi clienti notino un errore quando pubblicano una regola del criterio di sicurezza dell'applicazione Web non browser. Il problema si verifica perché non è stato configurato il valore predefinito per il browser supportato. Questo problema non si verifica per i nuovi clienti.

In precedenza, un utente poteva configurare una regola del criterio di protezione di CWS per ispezionare le applicazioni Web basate sul browser come Chrome, Edge, Firefox, Safari e così via, ma la regola non veniva applicata alle applicazioni Web non browser come Slack o Dropbox.

A partire dalla versione 1.10.0, l'utente può configurare regole per ispezionare il traffico del browser nelle applicazioni Web non browser.

Un utente può visualizzare, aggiungere e rimuovere regole per il traffico delle applicazioni Web non browser. Per configurare regole per un'applicazione Web non browser:

1. Passare a Cloud Web Security > Configura (Configure) > Criterio di protezione (Security Policy), quindi selezionare un criterio esistente e fare clic sulla scheda Applicazioni Web (Web Applications).

   
   

2. Fare clic su + AGGIUNGI REGOLA (ADD RULE) e immettere tutti i dettagli necessari, come Tipo di origine (Source Type), Tipo di destinazione (Destination Type), Richiesta e tipo di file (Request And File Type), Azione e registro (Action And Log) per creare una nuova regola per l'applicazione Web non browser.

   
   

   Campo	Descrizione
   Origine (Source)	Selezionare l'origine in base a indirizzi IP/intervalli IP, agente utente o browser. Nota: È possibile selezionare un solo tipo di origine per regola.
   Destinazione (Destination)	Selezionare la destinazione in base a dominio, indirizzi IP/intervalli IP, URL, categoria, thread o posizione geografica. Nota: È possibile selezionare un solo tipo di destinazione per regola.
   Richiesta e tipo di file (Request And File Type)	Selezionare il tipo di richiesta (caricamenti, download o entrambi) e il tipo di file per la regola da applicare. Per il tipo di richiesta Carica (Upload) è inoltre possibile selezionare il metodo HTTP (POST, PUT). Facoltativamente, è anche possibile immettere le dimensioni minime del file per l'azione da applicare.
   Azione e registro (Action And Log)	Selezionare l'azione (Consenti (Allow) o Nega (Deny)) da eseguire quando vengono soddisfatti i criteri della regola. Facoltativamente, è possibile raccogliere i registri per questa regola attivando l'interruttore Acquisisci registri (Capture Logs).
   Nome, motivo e tag (Name, Reason and Tags)	Configurare nome, tag, motivo e posizione per le regole basate sulla posizione geografica. Assicurarsi di specificare un nome univoco per la regola. Facoltativamente, è possibile aggiungere motivi e tag per le regole, che possono essere utilizzati per l'ordinamento e il filtro. Nota: Il campo Posizione (Position) indica la posizione della regola nell'elenco delle regole dell'applicazione Web.

3. Fare clic su Fine (Finish). La regola dell'applicazione Web appena creata viene visualizzata nell'elenco Applicazione Web. 

   
   

4. Per rendere effettiva la nuova regola del criterio di protezione, selezionare la regola e fare clic sul pulsante Pubblica (Publish) nell'angolo superiore destro della schermata.

5. Dopo la pubblicazione del criterio di protezione, l'utente può applicare il criterio di protezione.

Nelle versioni precedenti, VMware Cloud Web Security può ispezionare il traffico nelle porte Web standard 80 e 443. La versione 1.9.1 consente l'ispezione del traffico del browser (HTTP/HTTPS) nelle porte Web non standard.

Un utente può visualizzare, aggiungere e rimuovere regole delle porte passando a Cloud Web Security > Configura (Configure) > Impostazioni aziendali (Enterprise Settings) > Porte Web non standard (Non-Standard Web Ports).

Per consentire e ispezionare il traffico nelle porte Web non standard, immettere il numero di porta. Fare clic sul pulsante "+" nella riga per aggiungere altre porte Web non standard.

L'utente può modificare regole esistenti o rimuovere regole facendo clic sul pulsante "-" associato. Dopo aver apportato le modifiche desiderate, fare clic sul pulsante Salva modifiche (Save Changes).

Quando è presente una regola di sicurezza Web per bloccare una categoria di minaccia o di contenuto e si accede al dominio che corrisponde a queste categorie, il sito Web viene bloccato. Tuttavia, se si accede allo stesso dominio come risorsa su una pagina Web (ad esempio, facendo clic su un link che scarica un file), la richiesta non viene bloccata.

Nei registri Web che soddisfano una regola di ispezione dei contenuti viene indicato che è stata soddisfatta la regola predefinita ma non viene mai visualizzato il nome effettivo della regola creata e configurata in SASE Orchestrator.

Se è presente una regola CASB per bloccare o consentire i download da YouTube, la regola viene applicata correttamente, ma nei registri Web l'operazione viene indicata come "Caricamento file" (File Upload) anziché come "Download file" (File Download) e questo impedisce all'amministratore di valutare correttamente le attività della rete.

Quando è presente una regola di filtro dei contenuti per bloccare i caricamenti di tutti i tipi di file, la regola blocca l'accesso alle applicazioni Microsoft che richiedono l'accesso da https://login.microsoftonline.com/.

I controlli CASB per le seguenti applicazioni Microsoft non funzionano come previsto quando un utente configura una regola "Blocca" (Block). Se l'utente tenta di eseguire queste azioni, nessuna viene bloccata e l'utente può completarle correttamente:

• Microsoft Teams - Caricamento, creazione ed eliminazione di file

• Microsoft Outlook - Caricamento, download ed eliminazione di file

• Microsoft OneDrive - Eliminazione

• Microsoft OneNote - Download

Quando viene applicato un criterio di Cloud Web Security e un utente accede a determinati siti Web, è possibile che la pagina non venga caricata a causa di un problema di Cross-Origin Resource Sharing (CORS). Viene visualizzato un messaggio di errore simile a "xxxx è stato bloccato dal criterio di CORS: L'intestazione "Access-Control-Allow-Origin" contiene più valori '*' " (xxxx has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header contains multiple values '*') nei registri della console.

Quando è presente una regola CASB per bloccare tutti i controlli delle applicazioni per OneDrive, la regola CASB non blocca le azioni per SharePoint.

Il caricamento e il download sono bloccati per Google Drive, ma chiunque può creare cartelle in Google Drive.

Nella versione 1.9.1 e successive, l'utente non può creare una cartella in Google Drive per impostazione predefinita e non è più necessaria un'opzione di configurazione per questa applicazione.

Nelle versioni precedenti di Cloud Web Security, se un utente necessita di una regola per ignorare l'ispezione delle applicazioni Web comuni, deve creare manualmente una regola di ispezione SSL. Con l'aggiunta della funzionalità Bypass SSL semplice, l'utente può creare rapidamente queste regole di ispezione SSL.

La nuova funzionalità è disponibile in Cloud Web Security > Configura (Configure) > Criteri di protezione (Security Policies) nella scheda Ispezione SSL (SSL Inspection) come pulsante Eccezione rapida (Quick Exception).

Se si fa clic su Aggiungi eccezione rapida (Add Quick Exception), viene aperta la schermata di configurazione Eccezioni rapide (Quick Exceptions) in cui è possibile selezionare una o più applicazioni che si desidera vengano escluse dall'ispezione SSL. Quando un utente seleziona un'applicazione, tutti gli URL associati a tale applicazione vengono esclusi dall'ispezione SSL.

Quando si utilizza l'opzione Eccezione rapida (Quick Exception), viene creata una singola regola e non è possibile creare regole aggiuntive. Questa regola è sempre denominata Regola eccezione rapida (Quick Exception Rule) e il nome non può essere modificato nella procedura guidata Eccezione rapida (Quick Exception).

La regola sarà sempre la penultima nella griglia e potrà essere aperta rapidamente facendo clic sul nome Regola eccezione rapida (Quick Exception Rule). Dopo l'aggiunta di una Regola eccezione rapida (Quick Exception Rule), la voce di menu Aggiungi eccezioni rapide (Add Quick Exceptions) diventa Eccezione rapida (Quick Exception) per indicare che esiste già una Regola eccezione rapida (Quick Exception Rule) che può essere modificata e non è possibile aggiungere altre regole di questo tipo.

• Il campo Regione (Region) indica quale PoP SASE è stato utilizzato per un evento Web consentendo di localizzare in quale parte del mondo si è verificato un evento.

• Il campo Gruppo di utenti (User Group) indica il gruppo di utenti SAML in cui viene utilizzata una configurazione SAML.

Insieme, questi due campi aggiuntivi migliorano la capacità dell'utente di monitorare il traffico Web.

In alcuni casi, è possibile che un utente noti che un file dannoso viene scaricato nonostante sia configurato un criterio per bloccare tale download.

Quando si scarica un file protetto da password da qualsiasi sito Web, all'utente dovrebbe essere richiesto di inserire una password perché questa è l'azione predefinita nel filtro dei contenuti. Ma in OneDrive e Dropbox, il download del file viene bloccato senza richiedere la password e il file non può essere scaricato.

Se è presente una regola CASB per bloccare o consentire i download di YouTube, la regola viene applicata correttamente, ma nei registri Web l'operazione viene indicata come "Caricamento file" (File Upload) anziché come "Download file" (File Download) e questo impedisce all'amministratore di valutare correttamente le attività della rete.

Se un utente crea e applica una regola CASB che consente azioni del browser mentre blocca tutti i controlli delle applicazioni e quindi accede a OneDrive e tenta tutte le azioni che dovrebbero essere bloccate, nessuna azione risulterà bloccata. Le azioni che non sono bloccate includono la creazione e l'eliminazione di cartelle.

Quando è presente una regola CASB per Microsoft O365 Outlook per bloccare l'eliminazione, il download, il caricamento o la ricerca e l'utente tenta di eseguire queste azioni in Microsoft O365 Outlook, nessuna azione viene bloccata.

Quando si verifica questo problema, i registri visualizzano solo le intestazioni dei criteri (che sono semplicemente codici di identificazione) che agiscono su una richiesta Web, anziché indicare esplicitamente quale criterio viene richiamato. L'unico modo in cui un utente può stabilire quale criterio viene utilizzato consiste nel prendere l'intestazione del criterio e quindi aprire la scheda Rete (Network) per mappare tale intestazione ai nomi dei criteri.

Quando è presente una regola CASB per bloccare i caricamenti e i download in Microsoft O365 SharePoint o Microsoft Word e l'utente tenta di caricare o scaricare un file di Word in o da SharePoint, le azioni di caricamento e download non vengono bloccate.

La funzionalità Proxy Web di VMware Cloud Web Security è progettata per abilitare l'utilizzo autonomo del servizio Cloud Web Security quando non si dispone di VMware SD-WAN o VMware Secure Access. In qualsiasi dispositivo con un browser moderno in grado di supportare la configurazione di un proxy di rete manuale o automatica tramite un file PAC (Proxy Auto-Configured) è possibile fare in modo che il traffico Web venga reindirizzato al servizio Cloud Web Security per l'ispezione della sicurezza.

La versione 1.6.1 consente di clonare criteri di sicurezza che possono essere archiviati anche come backup.

Questa funzionalità consente anche di clonare diversi tipi di regole all'interno di un criterio di sicurezza, ad esempio: Ispezione SSL (SSL Inspection), CASB, DLP e Sicurezza Web (Web Security).

Durante la creazione delle regole di Cloud Web Security, l'utente nota le categorie di file "Altri download" (Other Downloads) e "Altri documenti" (Other Documents) che non indicano con chiarezza a cosa si riferiscano. Il problema è stato risolto chiarendo l'ambiguità tramite l'utilizzo di "Altri file e documenti" (Other Files and Documents) al posto di "Altri download" (Other Downloads) e "Documenti vari" (Miscellaneous Documents) al posto di "Altri documenti" (Other Documents).

Se un utente crea una regola CASB per l'applicazione "Mega" per bloccare sia i caricamenti sia i download, quindi accede a mega.io e tenta di caricare o scaricare un file, nota che i caricamenti dei file sono bloccati correttamente, ma i download non lo sono.

Indipendentemente dal fatto che sia configurata o meno una regola CASB per bloccare il download degli allegati di Gmail, quando un utente tenta di scaricare un allegato di Gmail semplicemente facendo clic sull'icona di download dell'allegato, il download viene bloccato ma non viene creato alcun registro. Questo problema non si verifica se l'utente tenta di scaricare l'allegato in una nuova scheda.

Quando è presente una regola di filtro dei contenuti per bloccare i caricamenti e i download dei file malware, alcuni file vengono bloccati e altri no.

Quando è presente una regola DLP per bloccare l'input di testo corrispondente a un dizionario e su Linkedin viene inviato un messaggio che corrisponde al dizionario, il messaggio non viene bloccato.

Se un utente crea una regola CASB per bloccare i download di YouTube e quindi tenta di scaricare video su YouTube, il download non viene bloccato.

Quando è presente una regola CASB per bloccare azioni come la ricerca, la funzionalità di ricerca nell'applicazione viene bloccata. Ora, se l'URL nel browser ha i parametri di ricerca e la pagina viene aggiornata, i risultati della ricerca non vengono bloccati.

Una regola di filtro dei contenuti per bloccare il download di "Tutti i file" (All Files) (che dovrebbero includere tutti i formati di immagini) non blocca i download dei file JPEG. Senza la correzione, la soluzione consiste nell'utilizzare l'opzione relativa al tipo di file personalizzato e aggiungere le estensioni di file che devono essere bloccate (ad esempio, JPEG).

I file con estensioni .doc,.docx, .ppt e.pptx non vengono bloccati in G-Drive anche se il contenuto del file corrisponde a una regola DLP.

Un utente può configurare una regola per bloccare tutte le categorie di minacce con una regola di filtro URL e alcuni siti che devono essere classificati come dannosi non vengono bloccati.

Quando è presente una regola di sicurezza che deve essere applicata solo agli utenti del gruppo specificato, non viene applicata. Di conseguenza, tutte le regole che devono essere applicate agli utenti del gruppo non vengono applicate.

Un criterio di controllo CASB che dovrebbe consentire di navigare nell'applicazione Web Microsoft Teams bloccando tutte le altre azioni non impedisce agli utenti di pubblicare contenuti.

• Quando applica una regola per bloccare "Tutti i documenti" (All Documents), l'utente nota che non vengono bloccati solo i caricamenti dei documenti, ma anche i caricamenti di file e archivi.

• Quando applica una regola per bloccare "Tutti i file" (All Files), l'utente nota che non vengono bloccati solo i caricamenti dei file, ma anche i caricamenti di documenti e archivi.

L'interfaccia utente di Orchestrator non includeva alcuna opzione che consentisse all'utente di attivare e disattivare i registri delle risorse in modo da poter identificare meglio i registri più pertinenti.

Il componente delle schede è passato a uno stato non corretto a causa del modo in cui le schede sono state disabilitate e nascoste.

Nel back-end di Orchestrator si verifica un problema che impedisce all'interfaccia utente di ottenere i dizionari predefiniti DLP. Questo problema non influisce sui dizionari definiti dal cliente che vengono caricati correttamente.

Questa mancanza di visibilità per la funzionalità CASB include:

• La voce di menu e la vista Configura (Configure) > CASB. 

• La voce di menu e la vista Monitora (Monitor) > Analisi CASB (CASB Analysis).

• L'API utilizzata da questi componenti specifici.

I problemi che un utente può riscontrare durante la configurazione di Single Sing-On in Cloud Web Security includono:

• Errori del certificato visualizzati nella pagina di autenticazione principale anziché nella pagina Certificato (Certificate).

• Un utente può a volte salvare un certificato non valido.

• A volte la modifica di un certificato può reimpostare gli altri valori nel modulo di autenticazione.

• I singoli campi non includono i messaggi di convalida inline con il campo.

• Quando si salva la pagina Autenticazione (Authentication), nell'interfaccia utente di Orchestrator non viene visualizzata una rotellina che indica l'avanzamento.

• La descrizione dettagliata del debug indica "t+2hrs" anziché un tempo effettivo.• In alcune lingue, l'etichetta di attivazione/disattivazione di Single Sign-On occupa più di una riga.

• Il layout del piè di pagina Salva modifiche (Save Changes) non è corretto nelle schermate corte.

Tutti i problemi elencati sono stati risolti con la correzione per il problema 91054.

Sia la configurazione guidata sia l'API non accettano un IP CIDR nell'origine per una regola di ispezione SSL e la correzione risolve il problema.

Il problema si verifica perché il server back-end di Cloud Web Security rifiuta il valore di configurazione immesso durante l'utilizzo della procedura guidata e il pulsante Fine (Finish) o Aggiorna (Update) smette di rispondere dopo aver ricevuto questo errore di convalida.

Le regole di filtraggio dei contenuti sovrascrivono il dominio configurato se l'utente ha selezionato anche TUTTE per Categorie. Oppure, se l'utente seleziona NESSUNA per Categorie, la procedura guidata ha impostato questa scelta come predefinita per TUTTE le categorie, quindi anche in questo caso i domini non sono stati rispettati. Ciò è causato da un problema nella procedura guidata di filtraggio dei contenuti e nell'API. Se l'utente configura almeno una Categoria, il Dominio viene rispettato.

In un Orchestrator senza questa correzione, l'utente deve configurare categorie specifiche insieme ai domini e quindi Orchestrator rispetta i domini nel filtraggio dei contenuti.

Nella funzionalità di visibilità di CASB un utente può notare che l'interfaccia utente di Orchestrator segnala un certificato come scaduto mentre il certificato è ancora valido e verrà rinnovato quando sarà effettivamente scaduto. L'altro problema consiste nel fatto che varie applicazioni includeranno l'indicazione "Fondata nel 1970" in Dettagli applicazione (Application Details) quando l'origine dell'applicazione è chiaramente molto più recente.