선택한 보안 정책에 대해 SSL(Secure Sockets Layer) 검사 규칙을 구성하는 방법을 자세히 설명합니다.

시작하기 전에

보안 정책을 구성하려면 먼저 사용자가 보안 정책을 생성해야 합니다. 보안 정책을 생성하는 방법에 대한 자세한 지침은 보안 정책 생성을 참조하십시오.

SSL 검사 범주

90%의 인터넷 트래픽이 암호화되어 있으므로 내부에 있는 트래픽을 검사하기 위해 트래픽의 암호를 해독해야 합니다.
참고: 기본적으로 모든 트래픽은 SSL 암호 해독 후 검사되므로 보안 강화의 토대가 됩니다.

그러나 일부 트래픽은 SSL 검사가 작동하는 도중에 해당 트래픽에 대해 "트래픽 가로채기(Man in the Middle)"를 수행하지 않으려고 합니다. 여기에는 인증서 고정, mTLS(상호 TLS) 및 WebSocket을 사용하는 일부 트래픽이 포함됩니다. Cloud Web Security가 이러한 유형의 트래픽을 중단하지 않도록 하기 위해 사용자는 이 기본 SSL 검사 규칙에 대한 예외를 구성하여 해당 트래픽이 SSL 검사를 우회하도록 할 수 있습니다.

팁: 바이패스 규칙이 필요한 도메인 목록은 SSL 검사 바이패스 규칙 구성을 권장하는 도메인 및 CIDR 주소를 참조하십시오.
참고: SSL 바이패스 규칙이 적용될 때 연결의 암호가 아직 해독되지는 않습니다. 사용자 ID 또는 파일 컨텐츠와 같은 내부 연결 데이터를 적용할 수 없습니다. 범주 및 도메인 규칙이 적용되지만 사용자, 그룹 및 파일에 적용되는 차단 정책은 이 SSL 바이패스 정책과 함께 적용되지 않습니다. 따라서 SSL 바이패스 규칙을 사용할 때 URL 필터링이 지원되지만 사용자별 규칙 적용은 지원되지 않습니다.

SSL 루트 CA 인증서는 Cloud Web Security > 구성(Configuration) > 엔터프라이즈 설정(Enterprise Settings) 메뉴의 왼쪽에 있는 SSL 인증서(SSL Certificate)를 클릭하여 다운로드할 수 있습니다.

SSL 인증서 설정(SSL Certificate Settings) 페이지에는 SSL 검사를 수행하는 데 사용되는 다운로드 가능한 VMware Cloud Web Security CA 인증서가 포함되어 있습니다. CA 인증서를 다운로드하려면:
  1. 인증서 아이콘 또는 링크를 클릭하여 다운로드합니다.
  2. 파일 및 메모 위치를 저장합니다.
  3. 가져올 때 유효성 검사를 위해 인증서 지문을 참고합니다.

SSL 검사 규칙 구성

사용자가 기본 규칙에 대한 예외를 만들려고 하며 VMware Cloud Web Security에서 SSL 암호화 패킷의 암호를 해독하지 않도록 하려는 경우 다음 두 가지 방법 중 하나를 사용하여 SSL 검사 규칙을 구성할 수 있습니다.

수동 SSL 바이패스(Manual SSL Bypass)

다음 단계를 수행하여 소스, 대상 또는 대상 범주를 기준으로 SSL 검사 규칙을 수동으로 구성할 수 있습니다.
  1. Cloud Web Security > 구성(Configure) > 보안 정책(Security Policies)으로 이동합니다.
  2. SSL 검사 규칙을 구성할 보안 정책을 선택한 다음, SSL 검사(SSL Inspection) 탭을 클릭합니다.
  3. 보안 정책(Security Policies) 화면의 SSL 검사(SSL Inspection) 탭에서 + 규칙 추가(+ ADD RULE)를 클릭하여 SSL 검사 예외 규칙을 구성합니다.

    SSL 예외 생성(Create SSL Exception) 화면이 나타납니다.

  4. SSL 예외 생성(Create SSL Exception) 화면에서 소스(Source), 대상(Destination) 또는 대상 범주(Destination Categories)를 선택하여 SSL 검사를 우회할 트래픽 유형을 선택할 수 있습니다.

    예를 들어 다음 샘플 화면과 같이 규칙을 대상 규칙으로 구성한 다음, 대상 IP 또는 호스트/도메인별로 대상 유형을 선택하여 zoom.us의 대상이 되는 모든 트래픽에 대해 SSL 검사를 우회하는 규칙을 생성할 수 있습니다.

  5. 다음(Next) 버튼을 클릭합니다.
  6. 이름 및 태그(Name and Tags) 화면에서 규칙 이름, 태그, 바이패스 규칙이 왜 생성되었는지를 나타내는 이유(필요한 경우) 및 SSL 검사 규칙 목록에서의 규칙 위치를 제공합니다(옵션은 '목록 맨 위(Top of List)' 또는 '목록 맨 아래(Bottom of List)').

  7. 완료(Finish)를 클릭합니다.

    이제 SSL 검사 규칙이 보안 정책에 추가됩니다.

  8. 다른 SSL 검사 규칙 구성, 다른 보안 정책 범주 구성 등의 옵션을 사용할 수 있으며 완료되면 게시(Publish) 버튼을 클릭하여 보안 정책을 게시합니다.
  9. 보안 정책을 게시한 후 보안 정책을 적용할 수 있습니다.

간편한 SSL 검사 바이패스/빠른 예외(Easy SSL Inspection Bypass/Quick Exceptions)

간편한 SSL 바이패스(Easy SSL Bypass) 기능을 사용하면 일반적으로 사용되는 Web 애플리케이션에 대한 SSL 검사를 우회할 수 있습니다.

빠른 예외(Quick Exceptions)를 사용하여 SSL 바이패스 규칙을 구성하려면 다음 단계를 수행합니다.
  1. 보안 정책(Security Policies) 화면의 SSL 검사(SSL Inspection) 탭에서 빠른 예외 추가(ADD QUICK EXCEPTION)를 클릭합니다.

    빠른 예외(Quick Exceptions) 구성 화면이 나타납니다.

  2. 특정 도메인 또는 서브넷 IP 범위에 대한 SSL 검사를 우회하려면 예외 선택(Select Exceptions) 페이지에서 전환 버튼을 켜서 SSL 검사에서 제외하려는 하나 이상의 애플리케이션을 선택하고 다음(Next)을 클릭합니다. 애플리케이션을 선택하면 선택한 애플리케이션과 연결된 모든 URL이 SSL 검사에서 제외됩니다.
  3. 이름, 이유 및 태그(Name, Reasons and Tags) 화면에서 태그, 빠른 예외 규칙이 왜 생성되었는지를 나타내는 이유(필요한 경우)를 제공하고 완료(Finish)를 클릭합니다.

    빠른 예외 규칙(Quick Exception Rule)이 생성되고 다음 스크린샷과 같이 SSL 검사 규칙 목록 페이지에 표시됩니다.

    참고: 하나의 규칙만 생성되며 추가 규칙은 생성할 수 없습니다. 이 규칙을 항상 [빠른 예외 규칙(Quick Exception Rule)]이라고 하며 해당 이름을 [빠른 예외(Quick Exception)] 마법사에서 변경할 수 없습니다.
    참고: 해당 규칙은 항상 SSL 검사 규칙 목록 페이지에서 마지막에서 두 번째 규칙이 되며 빠른 예외 규칙(Quick Exception Rule) 이름을 클릭하여 빠르게 액세스할 수 있습니다. [빠른 예외 규칙(Quick Exception Rule)]이 추가되면 빠른 예외 추가(Add Quick Exceptions) 버튼 이름이 빠른 예외(Quick Exception)로 변경되어 편집할 수 있는 기존 빠른 예외 규칙(Quick Exception Rule)이 있으며 이 유형의 규칙을 더 이상 추가할 수 없음을 나타냅니다.