このセクションでは、VMware Cloud Web Security のセキュリティ ポリシーを設定する方法について説明します。

開始する前に:

セキュリティ ポリシーを設定するには、最初にセキュリティ ポリシーを作成する必要があります。セキュリティ ポリシーを作成する具体的な手順については、セキュリティ ポリシーの作成を参照してください。

このタスクについて:

このセクションでは、セキュリティ ポリシーの作成セクションで作成したセキュリティ ポリシーの設定方法を学びます。セキュリティ ポリシーを作成する場合、設定できるルール カテゴリは、Secure Sockets Layer (SSL) インスペクション、Cloud Access Security Broker (CASB)、データ漏洩防止 (DLP)、Web セキュリティ、および Web アプリケーションです。

Web セキュリティ ポリシー ルールを作成するときに、URL フィルタリング、地理ベースのフィルタリング、コンテンツ フィルタリング、コンテンツ インスペクションを設定できます。

注: これらのカテゴリを設定することで、デフォルト ルールを上書きします。
ヒント: [ベスト プラクティス:QUIC プロトコルのブロックまたは無効化]

Google 社は、HTTPS および HTTP(TCP 443 および TCP 80)接続のパフォーマンスを向上させる QUIC (Quick UDP Internet Connections) プロトコルを開発しました。Chrome ブラウザは 2014 年から試験的にサポートされ、Chromium(Microsoft Edge、Opera、Brave など)や Android デバイスでも使用されています。

QUIC 接続では、TCP ハンドシェイクは必要ありません。ただし、SSL インスペクションには TCP セッション情報が必要であり、Cloud Web Security はデフォルトで SSL インスペクションを実行します(回避されるようにバイパス ルールが明示的に設定されている場合を除く)。このため、Cloud Web Security は SSL インスペクションが実行されている QUIC セッションを調べることができません。QUIC が有効で、SSL インスペクションが実行されているこのような場合には、ユーザー セッション中にポリシーが適用されない可能性があります。

Cloud Web Security ポリシーが一貫して適用されるようにするには、ブラウザで QUIC プロトコルをブロックするか、無効にすることをお勧めします。

QUIC をブロックするには、QUIC プロトコルが使用するポートである UDP 443 および UDP 80 をブロックするようにブラウザまたはファイアウォールを設定します。QUIC プロトコルがブロックされている場合、QUIC には TCP にフォールバックするためのフェイルセーフがあります。これにより、ユーザー エクスペリエンスに悪影響を与えずに SSL インスペクションが有効になります。

Chromium ブラウザで QUIC を無効にするには、それぞれのブラウザのドキュメントを確認してください。

Chrome ブラウザで QUIC を無効にするには、次の手順を実行します。

  1. Chrome を開きます
  2. アドレス バーに、chrome://flags と入力します。
  3. 検索バーに「quic」と入力します。
  4. ドロップダウンをクリックし、[無効 (Disabled)] を選択します。
  5. [デフォルト (Default)] を選択すると、Chrome は QUIC の使用を試みます。
  6. プロンプトが表示されたら、[今すぐ再起動 (Relaunch Now)] をクリックして Chrome を再起動し、変更を適用します。
Chrome で QUIC を無効にするデモについては、 QUIC をブロックして SSL インスペクションを有効にするをご覧ください。

手順:

セキュリティ ポリシーを設定するには、次の手順を実行します。
  1. VMware SD-WAN Orchestrator の新しい UI の [セキュリティ ポリシー (Security Policies)] ページで、設定するポリシーのセキュリティ ポリシー名をクリックします。

    選択したポリシーの [セキュリティ ポリシー (Security Policies)] 画面が表示されます。

  2. 選択した [セキュリティ ポリシー (Security Policy)] ページから、SSL インスペクション、Cloud Access Security Broker (CASB)、Web セキュリティ、Web アプリケーション、およびデータ漏洩防止 (DLP) のルール カテゴリからルールを設定できます。
    重要: デフォルトでは、セキュリティ ポリシーには「すべて許可 (allow all)」ルールと「すべて復号化 (decrypt all)」ルールがあります。上記の 5 つのルール カテゴリを設定することで、デフォルト ルールを上書きし、自分のルールで設定されるポリシーを作成します。

    各カテゴリのルールを設定する方法の詳細については、以下を参照してください。
  3. セキュリティ ポリシーを設定したら、[公開 (Publish)] ボタンをクリックして、セキュリティ ポリシーを公開します。
  4. [ポリシーの公開 (Publish Policy)] ポップアップ ダイアログの [はい (Yes)] ボタンをクリックしてポリシーを公開します。

    セキュリティ ポリシーが公開中であることを示す緑色のバナーが画面の上部に表示されます。

    注: セキュリティ ポリシーは、設定プロセスでいつでも公開することができ、さらにユーザーが再設定するたびに再公開できます。

次の手順: