이 섹션에서는 VMware Cloud Web Security에 대한 보안 정책을 구성하는 방법을 설명합니다.

시작하기 전에 수행할 작업:

보안 정책을 구성하려면 먼저 사용자가 보안 정책을 생성해야 합니다. 보안 정책을 생성하는 방법에 대한 자세한 지침은 보안 정책 생성을 참조하십시오.

이 작업에 대한 정보:

이 섹션에서는 보안 정책 생성 섹션에서 생성한 보안 정책을 구성하는 방법을 알아봅니다. 보안 정책을 생성할 때 사용자가 구성할 수 있는 규칙 범주는 SSL(Secure Sockets Layer) 검사, CASB(Cloud Access Security Broker), DLP(데이터 손실 방지), 웹 보안 및 웹 애플리케이션입니다.

웹 보안 정책 규칙을 생성할 때 URL 필터링, 지리 기반 필터링, 컨텐츠 필터링 및 컨텐츠 검사를 구성할 수 있습니다.

참고: 사용자는 이러한 범주를 구성하여 기본 규칙을 재정의합니다.
팁: 모범 사례: QUIC 프로토콜 차단 또는 사용 안 함

Google은 HTTPS 및 HTTP(TCP 443 및 TCP 80) 연결의 성능을 향상시키기 위해 QUIC(빠른 UDP 인터넷 연결) 프로토콜을 개발했습니다. Chrome 브라우저는 2014년부터 이 기능을 실험적으로 지원했으며 Chromium(예: Microsoft Edge, Opera 및 Brave) 및 Android 디바이스에서도 사용됩니다.

QUIC 연결에는 TCP 핸드셰이크가 필요하지 않습니다. 그러나 SSL 검사에는 TCP 세션 정보가 필요하며 Cloud Web Security는 기본적으로 SSL 검사를 수행하므로(바이패스 규칙이 명시적으로 구성되어 있지 않을 경우) Cloud Web Security는 SSL 검사가 수행되는 QUIC 세션을 검사할 수 없습니다. QUIC를 활성화하고 SSL 검사를 수행하는 경우 사용자 세션 중에 정책이 적용되지 않을 수 있습니다.

Cloud Web Security 정책이 일관되게 적용되도록 하려면 브라우저에서 QUIC 프로토콜을 차단하거나 비활성화하는 것이 좋습니다.

QUIC을 차단하려면 QUIC 프로토콜이 사용하는 포트이므로 UDP 443 및 UDP 80을 차단하도록 브라우저 또는 방화벽을 구성합니다. QUIC 프로토콜이 차단되면 QUIC는 TCP로 폴백되는 페일세이프를 사용합니다. 이렇게 하면 사용자 환경에 부정적인 영향을 주지 않으면서 SSL 검사가 활성화됩니다.

Chromium 브라우저에서 QUIC을 비활성화하려면 해당 브라우저에 대한 설명서를 확인하십시오.

Chrome 브라우저에서 QUIC을 비활성화하려면 다음을 수행합니다.

  1. Chrome 열기
  2. 주소 표시줄에 chrome://flags를 입력합니다.
  3. 검색 창에 "quic"을 입력합니다.
  4. 드롭다운을 클릭하고 [사용 안 함(Disabled)]을 선택합니다.
  5. [기본값(Default)]을 선택하면 Chrome에서 QUIC을 사용하려고 시도합니다.
  6. 메시지가 표시되면 [지금 다시 시작(Relaunch Now)]을 클릭하여 Chrome을 다시 시작하고 변경 내용을 적용합니다.
Chrome에서 QUIC를 사용하지 않도록 설정하는 녹화된 데모를 보려면 QUIC를 차단하여 SSL 검사 사용을 시청하십시오.

절차:

보안 정책을 구성하려면:
  1. VMware SD-WAN Orchestrator의 새 UI에 있는 보안 정책(Security Policies) 페이지에서 구성할 정책의 보안 정책 이름을 클릭합니다.

    선택한 프로필에 대한 보안 정책(Security Policies) 화면이 나타납니다.

  2. 선택한 [보안 정책(Security Policy)] 페이지에서 사용자는 SSL 검사(SSL Inspection), CASB(Cloud Access Security Broker), 웹 보안, 웹 애플리케이션 및 DLP(데이터 손실 방지) 규칙 범주에서 규칙을 구성할 수 있습니다.
    중요: 기본적으로 보안 정책에는 "모두 허용(allow all)" 및 "모두 암호 해독(decrypt all)" 규칙이 있습니다. 위에 나열된 5가지 규칙 범주를 구성하여 사용자는 기본 규칙을 재정의하고 자신만의 규칙으로 구성된 정책을 생성합니다.

    각 범주에 대한 규칙을 구성하는 방법에 대한 전체 설명은 다음을 참조하십시오.
  3. 보안 정책을 구성한 후 게시(Publish) 버튼을 클릭하여 보안 정책을 게시합니다.
  4. 정책 게시(Publish Policy) 팝업 대화상자에서 예(Yes) 버튼을 클릭하여 정책을 게시합니다.

    보안 정책이 게시되고 있음을 나타내는 녹색 배너가 화면 상단에 나타납니다.

    참고: 보안 정책은 구성 프로세스 중 언제든지 게시할 수 있으며 사용자가 다시 구성할 때마다 다시 게시할 수 있습니다.

후속 작업: