릴리스 1.17.0은 개요(Overview) 페이지를 자동으로 인쇄용 형식으로 개선합니다.

다음은 Adobe Acrobat 판독기에서 열린 예제 보고서입니다.

CASB, 웹 애플리케이션(Web Application), 및 DLP 규칙 마법사의 SaaS 헤더 예외(SaaS Header Exceptions) 및 회사 게이트웨이 IP(Corporate Gateway IPs) 페이지에서 제출이 이미 진행 중인 동안 제출(Submit) 버튼을 빠르게 클릭하면 양식이 여러 번 제출될 수 있습니다. 네트워크 연결 속도가 느리면 그 효과가 더 두드러집니다.

이 문제는 사용자가 Cloud Web Security > 구성(Configure) > SSL 인증서(SSL Certificate)로 이동한 다음, 이 페이지에서 인증서 다운로드(Download Certificate) 버튼 중 하나를 클릭할 때 발생할 수 있습니다.

 로그 내보내기(Log Export) 기능을 사용하면 고객이 Cloud Web Security 활동에 대한 근 실시간 로그를 고객 제어 SIEM(보안 정보 및 이벤트 관리) 끝점으로 전달하여 보관하고 분석할 수 있습니다.

자세한 내용은 Cloud Web Security 설명서의 로그 내보내기 섹션을 참조하십시오.

Cloud Web Security에는 새로운 모니터링(Montor) > 개요(Overview) 페이지가 도입되었습니다. 이 대시보드는 각 데이터 범주에 대한 자세한 정보를 표시하면서, 액세스 가능한 중요 정보를 단일 페이지에 표시합니다. 위쪽 그래프는 구성된 기간 동안 Cloud Web Security 수행된 작업(Actions Taken) 및 해당 고객에 대한 현재 규칙 배포(Rules Distribution)를 사용자에게 제공합니다.

또한 사용자는 더 자세히 스크롤하여 상위 방문 웹 사이트(Top Websites Visited), 상위 SaaS 애플리케이션(Top SaaS Applications), 위협 분석(Threat Breakdown) 및 사용자 분석(User Breakdown)에 대한 간단한 그래프를 볼 수 있습니다.

쉼표로 구분된 목록을 추가하는 것은 다중 항목 입력 필드가 사용되는 태그, 도메인, 이메일 주소 및 유사한 항목을 구성할 때 시간을 절약하는 일반적인 방식입니다. 이 문제로 인해 UI에서 쉼표가 무시되고 목록에 항목이 하나만 생성됩니다. 예를 들어 Web Security 규칙에 대한 태그 목록에 붙여 넣는 경우 결과는 단일 태그일 뿐입니다.

CWS UI의 다양한 목록 및 태그에 선택 항목을 추가할 때 다중 항목 입력 필드에 키보드 포커스 또는 조작이 허용되지 않습니다. 이 Ui는 태그, 도메인, 이메일 주소 또는 기타 유사한 항목을 입력하는 데 자주 사용됩니다.

예를 들어 대상 선택(Select Destinations) 화면에서 이 화면으로 이동한 후 키보드를 사용하여 여러 범주(Categories)를 선택할 수 없습니다.

URL 필터링(URL Filtering) 규칙을 편집할 때 마지막 단계에서 업데이트(Update)를 여러 번 클릭하면 규칙 내용이 손상될 수 있습니다. 손상되면 사용자는 규칙 및 해당 내용을 다시 생성해야 합니다.

UI는 사용자가 범주 유형을 파일 유형(File Type)과 파일 해시(File Hash) 간을 전환할 때만 컨텐츠 검사(Content Inspection) 정책 작업을 재설정합니다. 그러나 사용자가 파일 유형을 검사(Inspect)로 변경하면 UI도 정책 작업을 재설정하고 사용자가 수동으로 정책 작업을 의도한 값으로 재설정해야 합니다.

사용자가 SAML 세부 정보 디버깅을 켜면 해제할 수 없습니다. 또한 세부 정보 표시 디버깅을 사용하도록 설정하고 2시간 후에 상태가 자동으로 사용 안 함/아니요(disabled/No)로 설정되지만 사용/예(enabled/yes) 상태로 유지됩니다.

예를 들어 사용자가 동일한 회사 게이트웨이를 한 번 더 추가하려고 하면 API에서 오류가 트리거되지만 UI가 오류 알림을 표시하지 못합니다.

사용자가 UI에서 키보드 탐색을 사용하는 경우 팝업되는 표지판 컨텐츠에 집중하거나 이러한 컨텐츠로 스크롤하기가 어렵습니다.

CASB 애플리케이션 아이콘은 [CASB 규칙 구성(CASB Rule configuration)] 대화상자 및 UI의 [CASB 애플리케이션(CASB Applications)] 페이지에서 로드되지 않습니다.

대상 도메인은 [웹 애플리케이션 규칙(Web Applications rules)] 그리드에 표시되지 않으며 대신 사용자에게 [임의(Any)]가 표시됩니다.

[업로드(Uploads)] 및 [업로드 및 다운로드(Uploads and Downloads)] 옵션에 대한 파일 유형 선택 메뉴만 표시되며, [다운로드(Download)] 유형에 대해서는 이러한 파일 유형 옵션이 숨겨집니다.

모든 Cloud Web Security 정책은 기본 동작을 표시하는 편집할 수 없는 규칙 집합으로 시작됩니다. 일반적으로 [허용(Allow)]이지만 컨텐츠 검사의 경우 기본 동작은 [클린으로 표시(Mark As Clean)]가 아닌 [검사(Inspect)]여야 합니다.

22개 이상의 정책 규칙이 추가된 경우 끌어서 놓기를 통해 두 번째 이상 페이지에서 규칙 순서를 변경하거나 두 번째 이상 페이지에서 첫 번째 페이지로 규칙을 이동하려는 시도가 실패합니다.

또한 사용자가 두 번째 이상 페이지, SaaS 헤더(SaaS Header), CASB, DLP, 웹 애플리케이션(Web Application) 또는 웹 보안(Web Security) 규칙에 있는 경우 하면 규칙 순서가 일시적으로 변경된 것으로 나타나지만 새로 고친 후에는 원래 순서가 복원됩니다.

사용자는 첫 번째 페이지로 이동하려는 단일 규칙을 삭제했다가 다시 추가하거나, [최종 규칙 생성 마법사(final rule creation wizard)] 페이지에서 [목록 맨 위(top of list)] 또는 [목록 맨 아래(bottom of list)]를 지정하여 문제를 해결할 수 있습니다. 또는 규칙 목록 순서를 다시 지정하려면 Orchestrator UI 대신 API 호출을 사용합니다.

CASB 제어에 대한 [검색(Search)] 제어를 복원하는 유일한 방법은 [브라우저 작업(Browser Action)]에서 [차단(Block)]을 선택하여 모든 토글을 끄는 것입니다. 그런 다음, 모든 Instagram 규칙을 허용하려면 [차단(Block)]을 다시 전환합니다. 이렇게 하면 개별 제어 전환이 작동하지 않을 때 [검색(Search)] 제어가 복원됩니다.

 보안 정책 규칙 화면(예: SSL 검사)에서 Tab 키를 사용하여 기존 규칙의 이름에 포커스를 가져가면 브라우저의 포커스가 규칙 이름을 건너뛰므로, 시간을 선택하는 유일한 방법은 마우스/터치패드를 사용하는 것입니다.

화면 판독기 또는 접근성 도구를 사용하면 가리키는 머리글이나 배너가 없으므로 "주" 역할로 페이지 부분을 식별해야 합니다.

화면 판독기 또는 접근성 도구를 사용하여 왼쪽 탐색 영역의 항목에 포커스를 맞추면 결과 캡션이 뒤섞여 불필요한 내용이 표시됩니다.

Cloud Web Security는 이제 스케줄 기능을 사용하여 지정된 기간 내에만 일부 URL 필터링 규칙을 적용할 수 있는 기능을 제공합니다. 이 기능은 URL 필터링 유형으로 웹 보안 규칙을 구성할 때 작업, 로그 및 스케줄 섹션에 추가됩니다.

스케줄은 URL 필터링 규칙에 대해 두 가지 스케줄 유형 옵션인 정기 및 일회성을 제공합니다.

정기 옵션을 사용하면 URL 필터링 규칙이 활성 상태가 되는 주별 순환 스케줄을 구성할 수 있습니다. 이 정기 스케줄은 글로벌 표준 시간대, 요일 및 하나 이상의 시작 및 종료 기간을 기준으로 합니다.

일회성 옵션은 규칙이 활성 상태인 시작 및 만료 날짜와 시간이 포함된 단일 시간 블록을 지정하거나, 규칙이 무기한 활성 상태인 시작 날짜 및 시간을 지정합니다.

자세한 내용은 Cloud Web Security 가이드의 보안 정책 구성> 웹 보안 규칙 구성 > URL 필터링 설명서를 참조하십시오.

이 문제는 두 대상 도메인이 동일한 규칙 내에 중복된 경우에도 발생합니다. 이 오류는 모호하며 규칙 검증을 방해하는 구성 문제를 해결하는 측면에서 사용자에게 아무런 도움이 되지 않습니다. 사용자는 중복된 도메인, IP, CIDR 또는 IP 범위(빠른 예외 규칙의 컨텐츠 포함)에 대한 SSL 검사 규칙 내부만 살펴보고 하나의 규칙을 제외한 모든 규칙에서 제거할 수 있습니다. 이제 오류는 충돌하는 소스 또는 대상을 설명하거나 규칙 자체 내에 중복이 있는지 여부를 설명합니다.

Cloud Web Security는 수동으로 구성된 사용자 및/또는 그룹을 지우지 않으며 이를 해결하는 유일한 방법은 [모든 사용자 및 그룹]의 선택을 취소한 다음, 모든 사용자 및 그룹을 수동으로 제거하고 [모든 사용자 및 그룹]을 다시 선택하는 것이었습니다.

잘못된 규칙이 있는 SSL 규칙은 사용자가 저장하려고 하면 거부됩니다. 이 문제는 사용자가 SSL 규칙 IP 주소, IP CIDR 또는 도메인이 올바르지 않은지를 검색하는 프로세스까지 진행하는 결과를 가져온다는 것입니다. Orchestrator는 SSL 규칙 마법사를 사용하여 SSL 규칙 편집 단계 중에 사용자에게 경고해야 합니다.

DLP 사전 및 DLP 감사자에 대한 필터가 영어가 아닌 언어에 대해 지역화되지 않았습니다. 이 버그 수정을 사용하면 지역화 언어 문제를 해결할 뿐만 아니라 사용자가 이 두 섹션을 더 쉽게 필터링할 수 있도록 하는 확인란 필터로 문자열 필터가 업그레이드됩니다.

이전에는 사용자가 URL 필터링 규칙이 포함된 웹 보안 규칙을 구성할 때 고객이 도메인별로 필터링하려는 경우 Orchestrator UI에서 수동으로 구성하고 유지 관리해야 하는 고정 도메인 목록(Static Domain List) 옵션 하나만 사용할 수 있었습니다. 도메인이 많거나 해당 목록이 자주 변경되는 경우 이 옵션이 적합하지 않았습니다. 릴리스 v1.12.0부터 고객은 이제 도메인을 필터링할 때 추가 옵션인 동적 도메인 목록(Dynamic Domain List)을 사용할 수 있습니다.

이 옵션의 경우 Cloud Web Security는 고객이 선택한 위치에 원격으로 저장되는 FQDN 형식의 도메인 텍스트 목록을 참조합니다. 이 위치는 서비스에서 공개적으로 액세스할 수 있어야 합니다. 이 옵션의 장점은 많은 수의 도메인이 포함된 도메인 목록을 만들 수 있으며 쉽게 편집 및 업데이트할 수 있다는 것입니다. Cloud Web Security는 동적 도메인 목록을 24시간까지 30초 간격으로 확인하도록 구성할 수 있습니다.

자세한 내용은 VMware Cloud Web Security 구성 가이드에서 웹 보안 규칙 구성 > URL 필터링에 대한 문서를 참조하십시오.

SaaS 머리글 제한(SaaS Header Restrictions) 기능은 모든 Cloud Web Security 고객이 사용할 수 있어야 하지만 [표준 라이센스(Standard License)] 아래의 사용자가 SaaS 머리글 제한(SaaS Header Restrictions) 링크를 클릭하면 의도한 페이지 대신 컨텐츠 검사(Content Inspection) 페이지로 연결됩니다. 이 문제는 고급 라이센스에 있는 사용자에게는 발생하지 않습니다.

아무것도 변경되지 않았지만 Orchestrator UI는 변경 내용을 저장할지를 고객에게 계속 표시하므로 사용자에게 불필요한 혼란을 야기할 수 있습니다.

일반적으로 기업은 액세스를 관리하려 할 때 도메인 이름이나 IP 주소를 제한합니다. 이러한 접근 방식은 SaaS(Software as a Service) 애플리케이션이 공용 클라우드에서 호스팅되고 공유 도메인 이름에서 실행되는 환경에서 실패합니다. 예를 들어 비즈니스에서 Office 365를 사용하는 경우 outlook.office.com 및 login.microsoftonline.com과 같은 도메인 이름을 사용할 수 있습니다. Microsoft 예에서 이러한 주소를 차단하면 사용자가 승인된 ID 및 리소스로만 제한되는 것이 아니라 전체적으로 웹에서 Outlook에 액세스하지 못하게 됩니다.

이 문제의 해결 방법은 테넌트 액세스를 제한하는 것이며, Cloud Web Security는 SaaS 헤더 제한 기능을 사용하여 이 작업을 수행합니다. 이 기능을 통해 관리자는 Office 365 및 G Suite와 같은 SaaS 서비스 내에서 테넌트 제한 정책을 적용할 수 있습니다. 예를 들어 모든 직원에 대해 Office 365 회사 계정에 대한 액세스는 허용하지만 개인 계정에는 액세스하지 못하게 하려 한다고 가정해 봅시다. 이러한 제한은 허용된 테넌트를 지정하는 HTTP 헤더의 삽입을 통해 허용됩니다.

이 기능은 Cloud Web Security > 구성 페이지의 엔터프라이즈 설정 아래에 추가되었습니다.

고객은 미리 정의된 여섯 개의 애플리케이션, Office 365 - Enterprise, Office 365 - Consumer, G Suite, Slack, YouTube 및 Dropbox 중 하나를 선택하여 SaaS 헤더 규칙을 구성할 수 있습니다. 이와 같은 미리 정의된 각 애플리케이션에는 제한된 도메인 및 헤더와 같은 다양한 수준의 세부 정보가 포함됩니다. 애플리케이션에 따라 고객은 규칙을 완료하기 위해 추가 입력 사항을 제공해야 할 수 있습니다.

또한 고객은 애플리케이션이 헤더를 통해 테넌트 제한을 지원하는 사용자 지정 애플리케이션을 생성할 수도 있습니다.

예를 들어 메뉴 항목 보안 정책이 Directivas de seguridad로 표시되어야 하는데 Directivas De Seguridad로 번역되어 표시됩니다. 실제로 영어 메뉴 항목은 한 단어인데 번역된 항목은 여러 단어로 이루어진 경우, 추가 단어를 대문자로 두지 않아야 올바른 경우인데도 Orchestrator가 각 추가 단어를 대문자로 표시합니다.

UI는 저장하지 않은 변경 내용 바닥글 높이를 고려하지 않고 더 작은 웹 브라우저에서 스크롤되며 이러한 바닥글이 해당 페이지의 다른 컨텐츠를 가리게 됩니다.

고객은 DLP 처리가 Web Security 규칙 처리보다 우선한다는 잘못된 인상을 받을 수 있지만 그렇지 않습니다. 수정된 버전에서는 DLP 탭이 끝에 표시되어 처리 흐름의 실제 위치를 나타냅니다.

SSL 검사의 빠른 예외 버튼이 영어가 아닌 언어로 번역되면 사용자가 버튼의 외부 모서리를 클릭할 수 있지만 결과는 얻을 수 없습니다. 수정된 버전에서는 마우스 커서가 놓인 위치와 관계없이 빠른 예외 버튼을 전체적으로 클릭할 수 있습니다.

버전 11.1.1부터 Cloud Web Security UI의 사이드 탐색 메뉴가 다음과 같이 변경되었습니다.

• 새 섹션: 정책 설정

• CASB 및 DLP가 정책 설정으로 이동되었습니다.

• 검사 엔진 이름이 컨텐츠 검사로 바뀌었으며 정책 설정으로 이동되었습니다.

• 인증서 섹션이 제거되었습니다.

• 인증 이름이 ID 제공자로 바뀌었으며 엔터프라이즈 설정으로 이동되었습니다.

• SSL 종료 이름이 SSL 인증서로 바뀌었으며 엔터프라이즈 설정으로 이동되었습니다.

• 회사 게이트웨이 이름이 회사 게이트웨이 IP로 바뀌었습니다.

포트 값은 동일하지만 대상 IP 주소가 다른 경우, 사용자는 각기 다른 두 가지 비표준 웹 포트 규칙을 구성하려고 할 수 있습니다. 릴리스 11.1.1에서는 이 작업이 가능합니다.

이제 고객은 Content 또는 사용자의 지리적 영역을 기준으로 인터넷 트래픽을 차단하거나 허용할 수 있습니다. 이 기능은 [지리 기반 필터링(Geo-Based Filtering)] 탭을 클릭하여 [구성(Configure)] > [보안 정책(Security Policies)] > [웹 보안 규칙(Web Security Rule)] 섹션에 추가됩니다.

[지리 기반 필터링(Geo-Based Filtering)] 규칙을 구성할 때 사용자는 해당 규칙이 적용되는 사용자와 그룹을 지정한 다음, [알 수 없는 국가(Unknown Countries)], [익명 프록시(Anonymous Proxy)], [위성 제공자(Satellite Provider)] 트래픽에 대한 추가 옵션이 있는 251개 국가 목록 중에서 선택하여 사용자가 규칙을 우회할 수 없게 할 수 있습니다.

사용자가 [모니터링(Monitor)] 페이지에서 정보(예: 웹 로그[(Web Logs)] 또는 [DLP 로그(DLP Logs)])를 새로 고침하고 업데이트하려는 경우 Orchestrator의 페이지 하단에 [새로 고침(Refresh)] 버튼이 표시됩니다.

그러나 사용자가 [새로 고침(Refresh)]을 클릭하면 Orchestrator 구성 요소의 기본 변경으로 인해 데이터가 업데이트되지 않습니다.

증상: CASB는 Google Drive에 대해 업로드 및 다운로드 제어 옵션만 지원하므로 버전 1.11.0 이상에서는 생성에 대한 제어가 제거됩니다.

CASB는 더 이상 Telegram 애플리케이션을 지원하지 않으며 이에 대한 CASB 규칙을 구성하는 옵션은 이 릴리스에서 제거되었습니다.

Telegram을 대상 애플리케이션으로 포함하는 기존 CASB 규칙이 있는 고객은 Cloud Web Security 버전을 1.11.0 이상으로 업그레이드한 경우 규칙이 해당 애플리케이션에 더 이상 적용되지 않으므로 해당 애플리케이션을 제거해야 합니다.

이후 릴리스에서 Cloud Web Security는 모든 CASB 규칙에서 Telegram 애플리케이션을 자동으로 제거하고 이 작업을 이벤트로 기록합니다.

VMware Cloud Web Security는 보안 정책이 사용자가 웹 사이트 또는 클라우드 애플리케이션에 액세스하지 못하도록 차단할 때 기본적으로 모든 사용자에게 VMware 브랜드 블록 페이지를 표시합니다.

사용할 수 있는 블록 페이지 기능을 사용하면 사용자는 트래픽(웹 또는 데이터 손실 방지 트래픽)이 차단될 때 사용자에게 표시할 고유한 브랜드 블록 페이지를 생성하고 사용자 지정할 수 있습니다. Cloud Web Security 관리자는 Orchestrator의 구성 > 페이지 사용자 지정 섹션을 사용하여 다음을 사용자 지정할 수 있습니다.

• VMware Cloud가 구성된 보안 정책을 위반하는 HTTP 요청 또는 파일 업로드에 응답하는 데 사용하는 블록 페이지입니다.

• 사용자가 구성된 DLP 규칙을 위반하는 파일을 업로드하려고 하면 VMware Cloud가 반환하는 블록 페이지가 나타납니다.

사용자 지정 블록 페이지를 구성하는 방법에 대한 자세한 내용은 페이지 사용자 지정을 참조하십시오.

DLP(데이터 손실 방지) 규칙을 생성하는 동안 사용자에게 "최대 파일 크기" 도구 설명에 대한 잘못된 정보가 표시됩니다. 도구 설명에 "업로드된 파일 크기가 지정된 값보다 클 경우 파일이 삭제되고 감사자에게 알림이 전송됩니다."라는 잘못된 내용이 표시됩니다. 이 문제는 도구 설명을 "업로드된 파일 크기가 지정된 값보다 클 경우 파일은 DLP에서 검사되지 않으며 통과하도록 허용됩니다."로 변경하면 해결됩니다.

Cloud Web Security 웹 로그에는 위협 유형만 포함되며 위험 세부 정보는 표시되지 않습니다. 사용자가 웹 트래픽을 모니터링하는 기능을 향상하려면 식별된 위협 유형 외에 취약성에 대한 위험 세부 정보도 표시해야 합니다.

비 브라우저 웹 애플리케이션에서 브라우저 트래픽을 검사하는 동안 이전 고객이 비 브라우저 웹 애플리케이션 보안 정책 규칙을 게시할 때 오류가 발생할 수 있습니다. 이 문제는 지원되는 브라우저에 대해 기본값이 구성되지 않았기 때문에 발생합니다. 이 문제는 새 고객에게는 확인되지 않습니다.

이전에는 사용자가 Chrome, Edge, Firefox, Safari 등과 같은 브라우저 기반 웹 애플리케이션을 검사하도록 CWS 보안 정책 규칙을 구성할 수 있었지만 Slack 또는 Dropbox와 같은 비브라우저 웹 애플리케이션에는 해당 규칙이 적용되지 않았습니다.

릴리스 1.10.0부터 사용자는 비브라우저 웹 애플리케이션에서 브라우저 트래픽을 검사하도록 규칙을 구성할 수 있습니다.

사용자는 비브라우저 웹 애플리케이션 트래픽에 대한 규칙을 보고, 추가하고, 제거할 수 있습니다. 비브라우저 웹 애플리케이션에 대한 규칙을 구성하려면 다음을 수행합니다.

1. Cloud Web Security > 구성 > 보안 정책으로 이동한 다음, 기존 정책을 선택하고 웹 애플리케이션 탭을 클릭합니다.

   
   

2. + 규칙 추가를 클릭하고 소스 유형, 대상 유형, 요청 및 파일 유형, 작업 및 로그 세부 정보와 같은 모든 필수 세부 정보를 입력하여 새로운 비브라우저 웹 애플리케이션 규칙을 생성합니다.

   
   

   필드	설명
   소스(Source)	IP 주소/IP 범위, 사용자 에이전트 또는 브라우저를 기준으로 소스를 선택합니다. 참고: 규칙당 하나의 소스 유형만 선택할 수 있습니다.
   대상(Destination)	도메인, IP 주소/IP 범위, URL, 범주, 스레드 또는 지리적 위치를 기준으로 대상을 선택합니다. 참고: 규칙당 하나의 대상 유형만 선택할 수 있습니다.
   요청 및 파일 유형	규칙을 적용할 요청 유형(업로드, 다운로드 또는 둘 다) 및 파일 유형(파일 유형)을 선택합니다. 업로드 요청 유형에 대해 HTTP 메서드(POST, PUT)를 선택할 수도 있습니다. 필요한 경우 적용할 작업의 최소 파일 크기를 입력할 수도 있습니다.
   작업 및 로그	규칙 조건이 충족되면 수행할 작업(허용 또는 거부)을 선택합니다. 필요한 경우 로그 캡처 토글 버튼을 켜서 이 규칙에 대한 로그를 수집할 수 있습니다.
   이름, 이유 및 태그	지리적 기반 규칙에 대한 이름, 태그, 이유 및 위치를 구성합니다. 규칙의 고유한 이름을 지정해야 합니다. 필요한 경우 정렬 및 필터링에 사용할 수 있는 규칙에 대한 이유 및 태그를 추가할 수 있습니다. 참고: 위치 필드는 웹 애플리케이션 규칙 목록의 규칙 위치를 지정합니다.

3. 마침을 클릭하면 새로 생성된 웹 애플리케이션 규칙이 웹 애플리케이션 목록에 나타납니다. 

   
   

4. 새 보안 정책 규칙을 적용하려면 규칙을 선택하고 화면의 오른쪽 상단 모서리에 있는 게시 버튼을 클릭합니다.

5. 보안 정책을 게시하면 보안 정책을 적용할 준비가 된 것입니다.

이전 버전에서 VMware Cloud Web Security는 표준 웹 포트 80 및 443에서 트래픽을 검사할 수 있었습니다. 릴리스 1.9.1을 사용하면 비표준 웹 포트에서 브라우저 트래픽(HTTP/HTTPS)을 검사할 수 있습니다.

사용자는 Cloud Web Security > 구성 > 엔터프라이즈 설정 > 비표준 웹 포트로 이동하여 포트 규칙을 보고, 추가하고, 제거할 수 있습니다.

비표준 웹 포트에서 트래픽을 허용하고 검사하려면 포트 번호를 입력합니다. 비표준 웹 포트를 더 추가하려면 행에서 "+" 버튼을 클릭합니다.

사용자는 연결된 "-" 버튼을 클릭하여 기존 규칙을 편집하거나 규칙을 제거할 수 있습니다. 편집한 후 변경 내용 저장 버튼을 클릭합니다.

위협 범주 또는 컨텐츠 범주를 차단하는 Web Security 규칙이 있고 이러한 범주와 일치하는 도메인에 액세스하면 웹 사이트가 차단됩니다. 그러나 동일한 도메인이 웹 페이지의 리소스로 액세스되는 경우(예: 파일을 다운로드하는 링크 클릭) 요청이 차단되지 않습니다.

컨텐츠 검사 규칙과 일치하는 웹 로그에는 일치하는 기본 규칙이 있다고 표시되지만 SASE Orchestrator에서 생성 및 구성된 규칙의 실제 이름은 표시되지 않습니다.

YouTube 다운로드를 차단하거나 허용하는 CASB 규칙이 있는 경우 규칙이 올바르게 적용되지만 웹로그에서는 이를 [파일 다운로드] 대신 [파일 업로드]로 표시하며, 이로 인해 관리자가 네트워크에서 활동을 평가하는 데 방해가 됩니다.

모든 파일 유형의 업로드를 차단하는 컨텐츠 필터링 규칙이 있는 경우 규칙은 https://login.microsoftonline.com/에서 로그인해야 하는 Microsoft 애플리케이션에 대한 로그인을 차단합니다.

사용자가 “차단" 규칙을 구성할 때 다음 Microsoft 애플리케이션에 대한 CASB 제어가 예상대로 작동하지 않습니다. 사용자가 이러한 작업을 시도할 경우 차단되지 않으며 사용자는 다음 작업을 성공적으로 완료할 수 있습니다.

• Microsoft Teams - 파일 업로드, 생성, 삭제

• Microsoft Outlook - 파일 업로드, 다운로드, 삭제

• Microsoft OneDrive - 삭제

• Microsoft OneNote - 다운로드

Cloud Web Security 정책이 적용되고 사용자가 특정 웹 사이트에 액세스하는 경우 CORS(원본 간 리소스 공유) 문제로 인해 페이지가 로드되지 않을 수 있습니다. 콘솔 로그에 "CORS 정책에 의해 xxxx가 차단됨:‘Access-Control-Allow-Origin' 헤더에 여러 개의 값 '*' 이 있음"과 유사한 오류가 표시됩니다.

OneDrive에 대한 모든 애플리케이션 제어를 차단하는 CASB 규칙이 있는 경우 CASB 규칙이 SharePoint에 대한 작업을 차단하지 않습니다.

Google Drive에 대해 업로드 및 다운로드가 차단되지만 누구나 Google Drive에서 폴더를 생성할 수 있습니다.

릴리스 1.9.1 이상에서는 사용자가 Google Drive에서 기본적으로 폴더를 생성할 수 없으며 이 애플리케이션에 더 이상 구성 옵션이 필요하지 않습니다.

이전 버전의 Cloud Web Security에서는 공통 웹 애플리케이션의 검사를 바이패스하는 규칙을 생성해야 하는 경우 SSL 검사 규칙을 수동으로 생성해야 했습니다. 간편한 SSL 바이패스 기능을 추가하면 사용자는 이러한 SSL 검사 규칙을 빠르게 생성할 수 있습니다.

새로운 기능은 SSL 검사(SSL Inspection) 탭 아래에 있는 Cloud Web Security > 구성(Configure) > 보안 정책(Security Policies) 아래에 빠른 예외(Quick Exception) 버튼으로 나타납니다.

빠른 예외 추가(Add Quick Exception)를 클릭하면 사용자가 SSL 검사에서 제외하려는 하나 이상의 애플리케이션을 선택하는 빠른 예외(Quick Exceptions) 구성 화면이 열립니다. 사용자가 애플리케이션을 선택하면 해당 애플리케이션과 연결된 모든 URL이 SSL 검사에서 제외됩니다.

[빠른 예외(Quick Exception)] 옵션을 사용하는 경우 하나의 규칙이 생성되며 추가 규칙을 생성할 수 없습니다. 이 규칙은 항상 빠른 예외 규칙(Quick Exception Rule)이라고 하며 해당 이름을 [빠른 예외(Quick Exception)] 마법사에서 변경할 수 없습니다.

해당 규칙은 항상 그리드에서 마지막에서 두 번째 규칙이 되며 빠른 예외 규칙(Quick Exception Rule) 이름을 클릭하여 빠르게 액세스할 수 있습니다. [빠른 예외 규칙(Quick Exception Rule)]이 추가되면 빠른 예외 추가(Add Quick Exceptions) 메뉴 옵션이 빠른 예외(Quick Exception)로 변경되어 편집할 수 있는 기존 빠른 예외 규칙(Quick Exception Rule)이 있으며 이 유형의 규칙을 더 이상 추가할 수 없음을 나타냅니다.

• 지역(Region) 필드에는 이벤트가 발생한 지역을 현지화하는 데 도움이 되는 웹 이벤트에 사용되는 SASE PoP를 나타냅니다.

• 사용자 그룹(User Group) 필드에는 SAML 구성이 사용되는 SAML 사용자 그룹이 표시됩니다.

이러한 두 개의 추가된 필드를 통해 사용자의 웹 트래픽 모니터링이 향상됩니다.

경우에 따라 이러한 다운로드를 차단하도록 구성된 정책이 있음에도 불구하고 악성 파일이 다운로드되는 것을 확인할 수 있습니다.

웹 사이트에서 암호로 보호된 파일을 다운로드하는 경우 컨텐츠 필터링의 기본 작업으로 암호를 입력하라는 프롬프트가 표시됩니다. 하지만 OneDrive 및 Dropbox에서는 암호를 입력하라는 프롬프트 없이 파일 다운로드가 차단되고 파일을 다운로드할 수 없습니다.

YouTube 다운로드를 차단하거나 허용하는 CASB 규칙이 있는 경우 규칙이 올바르게 적용되지만 웹로그에서는 이를 [파일 다운로드] 대신 [파일 업로드]로 표시하며, 이로 인해 관리자가 네트워크에서 활동을 평가하는 데 방해가 됩니다.

사용자가 모든 애플리케이션 제어를 차단하면서 브라우저 작업을 허용하는 CASB 규칙을 생성하고 적용한 다음, OneDrive에 로그인하고 차단되어야 하는 모든 작업을 시도할 때 어떠한 작업도 차단되지 않습니다. 차단되지 않은 작업에는 폴더 생성 및 삭제가 포함됩니다.

Microsoft O365 Outlook에 차단, 삭제, 다운로드, 업로드 또는 검색에 대한 CASB 규칙이 있는 경우 사용자가 Microsoft O365 Outlook에서 이러한 작업을 시도할 때 차단되지 않습니다.

이 문제에서 로그는 호출되는 정책을 명시적으로 나타내지 않고 웹 요청에 대해 작동하는 정책 헤더(식별 코드)만 표시합니다. 사용자가 사용 중인 정책을 확인할 수 있는 유일한 방법은 정책 헤더를 생성한 다음 [네트워크(Network)] 탭을 열어 정책 헤더를 정책 이름에 매핑하는 것이었습니다.

Microsoft O365 SharePoint 또는 Microsoft Word에 대한 업로드 및 다운로드를 차단하는 CASB 규칙이 있는 경우 사용자가 Word 파일을 SharePoint에서 다운로드하거나 SharePoint로 업로드할 때 업로드 및 다운로드 작업이 차단되지 않습니다.

VMware Cloud Web Security 기능 웹 프록시는 VMware SD-WAN 또는 VMware Secure Access 필요 없이 Cloud Web Security 서비스를 독립 실행형으로 사용할 수 있도록 설계되었습니다. PAC(프록시 자동 구성) 파일을 통해 수동으로 또는 자동으로 네트워크 프록시 구성을 지원할 수 있는 최신 브라우저가 있는 모든 디바이스는 보안 검사를 위해 Cloud Web Security 서비스로 웹 트래픽을 리디렉션할 수 있습니다.

릴리스 1.6.1에는 보안 정책을 복제하고 백업으로 저장하는 기능이 도입되었습니다.

이 기능에는 보안 정책 내의 여러 규칙 유형에 대한 복제 기능도 포함됩니다. 예: SSL 검사, CASB, DLP 및 웹 보안.

Cloud Web Security 규칙을 생성하는 동안 사용자에게는 영향을 미치는 내용이 명확하지 않은 파일 범주인 [기타 다운로드(Other Downloads)] 및 [기타 문서(Other Documents)]가 표시됩니다. 이 문제는 [기타 다운로드(Other Downloads)]를 [기타 파일 및 문서(Other Files and Documents)]로, [기타 문서(Other Documents)]를 [여러 종류의 문서(Miscellaneous Documents)]로 변경하여 모호성을 줄임으로써 해결됩니다.

사용자가 "Mega" 애플리케이션에 대해 업로드 및 다운로드를 모두 차단하는 CASB 규칙을 생성하고 mega.io에 로그인하고 파일 업로드 또는 다운로드를 시도하는 경우 파일 업로드는 올바르게 차단되지만 다운로드는 차단되지 않습니다.

CASB 규칙이 Gmail 첨부 파일 다운로드를 차단하도록 구성되어 있는지 여부와 무관하게 사용자가 첨부 파일의 다운로드 아이콘을 클릭해서 Gmail 첨부 파일을 다운로드하려고 하면 다운로드가 차단되지만 로그가 기록되지 않습니다. 사용자가 새 탭에서 첨부 파일을 다운로드하려고 하면 이 문제가 발생하지 않습니다.

맬웨어 파일의 업로드 및 다운로드를 차단하는 컨텐츠 필터링 규칙이 있는 경우 일부 파일이 차단되고 일부 파일은 차단되지 않습니다.

사전과 일치하는 텍스트 입력을 차단하는 DLP 규칙이 있고 사전과 일치하는 메시지가 LinkedIn에서 전송되면 메시지가 차단되지 않습니다.

사용자가 YouTube 다운로드를 차단하는 CASB 규칙을 생성한 다음 YouTube에서 비디오를 다운로드하려고 할 때 다운로드가 차단되지 않습니다.

검색과 같은 작업을 차단하는 CASB 규칙이 있을 때 애플리케이션의 검색 기능이 차단됩니다. 이제 브라우저의 URL에 검색 매개 변수가 있고 페이지를 새로 고치면 검색 결과가 차단되지 않습니다.

[모든 파일](모든 사진 형식을 포함해야 함)의 다운로드를 차단하는 컨텐츠 필터링 규칙이 JPEG 다운로드를 차단하지 않습니다. 수정 사항이 없는 상태에서 해결 방법은 사용자 지정 파일 유형 옵션을 사용하고 차단해야 하는 파일 확장명(예: JPEG)을 추가하는 것입니다.

파일 컨텐츠가 DLP 규칙과 일치하는 경우에도 확장명이 .doc, .docx, .ppt 및 .pptx인 파일이 G-Drive에서 차단되지 않습니다.

사용자가 URL 필터링 규칙을 사용하여 모든 위협 범주를 차단하도록 규칙을 구성할 수 있으며, 악성으로 분류되어야 하는 일부 사이트가 차단되지 않습니다.

지정된 그룹의 사용자에게만 적용해야 하는 보안 규칙이 있는 경우 적용되지 않습니다. 따라서 그룹의 사용자에게 적용해야 하는 모든 규칙은 적용되지 않습니다.

Microsoft Teams 웹 애플리케이션으로의 검색을 허용하지만 다른 모든 작업을 차단하는 CASB 제어 정책이 사용자가 컨텐츠를 게시하는 것을 중지하지 않습니다.

• [모든 문서] 차단에 규칙을 적용할 때 문서 업로드가 차단되었을 뿐만 아니라 파일 및 아카이브 업로드도 차단됩니다.

• [모든 파일] 차단에 규칙을 적용할 때 파일 업로드가 차단되었을 뿐만 아니라 문서 및 아카이브 업로드도 차단됩니다.

Orchestrator UI에는 사용자가 리소스 로그를 켜거나 끌 수 있는 옵션이 없으므로 더 많은 관련 로그를 더욱 원활하게 식별할 수 있습니다.

탭을 사용하지 않도록 설정하고 숨기는 방식으로 인해 탭 구성 요소가 잘못된 상태로 전환되었습니다.

Orchestrator 백엔드에 문제가 있어서 UI가 DLP 미리 정의된 사전을 가져올 수 없습니다. 이 문제는 고객 정의 사전에 영향을 미치지 않으며 올바르게 로드됩니다.

CASB 기능에 대한 가시성 부족에는 다음이 포함됩니다.

• 구성(Configure) > CASB 메뉴 항목 및 보기. 

• 모니터링(Monitor) > CASB 분석(CASB Analysis) 메뉴 항목 및 보기.

• API는 이러한 특정 구성 요소를 사용합니다.

Cloud Web Security 서비스에서 Single Sing-On을 구성하는 동안 발생할 수 있는 문제는 다음과 같습니다.

• [인증서(Certificate)] 페이지 대신 기본 [인증(Authentication)] 페이지에 인증서 오류가 표시됩니다.

• 사용자가 경우에 따라 잘못된 인증서를 저장할 수 있습니다.

• 인증서를 변경하면 인증 양식에서 다른 값이 재설정되는 경우가 있습니다.

• 개별 필드에 유효성 검사 메시지가 필드와 인라인으로 표시되지 않습니다.

• [인증(Authentication)] 페이지를 저장할 때 Orchestrator UI에 진행률 회전자가 표시되지 않습니다.

• [상세 디버깅(Verbose Debugging)] 도구 설명에 실제 시간 대신 "t+2시간"이 표시됩니다.• 언어에서는 Single Sign-On 토글 레이블이 둘 이상의 줄로 표시됩니다.

• 짧은 화면에서 변경 내용 저장(Save Changes) 바닥글 레이아웃이 올바르지 않습니다.

나열된 모든 문제는 #91054에 대한 수정 사항으로 해결되었습니다.

구성 마법사와 API 모두 SSL 검사 규칙 소스(Source for SSL Inspection Rule)에 대해 CIDR IP를 수락하지 않으며, 이 버그 수정으로 이 문제를 해결합니다.

이 문제는 Cloud Web Security 백엔드 서버가 마법사를 사용하는 동안 입력한 구성 값을 거부하기 때문에 발생하며, 그에 따라 이 유효성 검사 오류가 수신되면 [마침/업데이트(Finish/Update)] 버튼이 응답을 중지합니다.

컨텐츠 필터링 규칙은 사용자가 범주에 대해서도 [모두(ALL)]를 선택한 경우 제공된 구성된 도메인을 재정의합니다. 또는 사용자가 범주에 대해 [없음(NONE)]을 선택하는 경우 마법사는 기본적으로 이 선택 항목이 모든 범주를 의미하는 것으로 인식하므로 도메인도 적용되지 않습니다. 이 문제는 컨텐츠 필터링 마법사 및 API의 문제로 인해 발생합니다. 사용자가 하나 이상의 범주를 구성하는 경우 도메인이 적용됩니다.

이 수정 사항이 없는 Orchestrator에서 사용자는 도메인과 함께 특정 범주를 구성해야 합니다. 그러면 Orchestrator는 컨텐츠 필터링에서 도메인을 적용합니다.

CASB 가시성에서 인증서가 여전히 유효하고 실제로 만료되었을 때 갱신된 경우에도 Orchestrator UI에서 인증서가 만료된 것으로 표시될 수 있습니다. 다른 문제로는 몇몇 애플리케이션이 최근에 만들어진 것임에도 애플리케이션 세부 정보(Application Details)에 [1970년 설립(Founded in 1970)]으로 표시되는 문제가 있습니다.