Esta secção aborda a forma de utilizar a funcionalidade Mediador de segurança de acesso à cloud (CASB) do serviço Cloud Web Security.

Visão geral

A funcionalidade Mediador de segurança de acesso à cloud (CASB) proporciona visibilidade e controlo sobre as atividades dos utilizadores durante o acesso às aplicações SaaS.

A funcionalidade CASB inclui as seguintes capacidades:

Visibilidade de aplicações (Application Visibility) (incluída nos pacotes Cloud Web Security Edição Standard e Avançada): o cliente tem a possibilidade de visualizar as diferentes aplicações SaaS a que os utilizadores acedem na respetiva rede. Em cada aplicação, o cliente que utilize a Visibilidade da aplicação (Application Visibility) do CASB pode observar:

  • A classificação de risco de cada aplicação.
  • O número de vezes que os utilizadores acederam a uma aplicação.
  • A categoria da aplicação.

Controlo de aplicações (Application Control) (incluída apenas no pacote Cloud Web Security Edição Avançada): o cliente tem a possibilidade de controlar as ações específicas que podem ser realizadas em cada aplicação SaaS.

Estão disponíveis controlos predefinidos prontos a utilizar para todas as aplicações SaaS, com controlos específicos da aplicação fornecidos ao nível da mesma. Estes controlos podem ser personalizados e configurados por aplicação e basear-se num utilizador ou grupo de utilizadores.

Em cada aplicação, o cliente que utilize o Controlo de aplicações (Application Control ) do CASB pode controlar:

  • O acesso inicial ao site da aplicação (Permitir ou Bloquear).
  • Ações adicionais, incluindo iniciar sessão, carregar/transferir conteúdos, pesquisar, editar, partilhar, criar, eliminar, gostar ou publicar.

Os clientes podem ver as ações atualmente disponíveis para as aplicações que desejam controlar.

Pré-requisitos

Os utilizadores precisam do seguinte para acederem à funcionalidade Mediador de segurança de acesso à cloud (CASB) com o Cloud Web Security:
  1. Um empresa cliente num VMware Cloud Orchestrator de produção com o Cloud Web Security ativado.
  2. Os SD-WAN Edges do cliente, os SASE PoPs e o Orchestrator têm todos de utilizar a versão 4.5.0 ou posterior.
  3. A visibilidade de aplicações do CASB pode ser utilizada para todos os clientes do Cloud Web Security, quer tenham o pacote com a edição Standard ou Avançada.
  4. Para aceder ao controlo de aplicações do CASB, um cliente tem de ter o pacote Cloud Web Security edição Avançada.
    Se os utilizadores navegarem para Cloud Web Security > Configurar (Configure) > Políticas de segurança (Security Policies) e clicar numa política existente ou criar uma nova política, o separador CASB incluirá um ícone de aloquete. Isso indica que apenas a visibilidade do CASB é permitida com a licença Edição Standard e que, para criar políticas de controlo do CASB, a licença Edição Avançada é necessária.
  5. Opcional: um fornecedor de identidade (IdP), se o cliente planear ter regras baseadas no utilizador. Para obter mais informações sobre como configurar o Workspace ONE ou o Azure Active Directory (AD) como um fornecedor de identidade, consulte os respetivos guias na página Guias sobre o início de sessão único (SAML).

Fluxo de trabalho da configuração do CASB

Após abordarmos as duas funcionalidades principais Visibilidade de aplicações (Application Visibility) e Controlo de aplicações (Application Control) que compõem a funcionalidade CASB, esta secção abordará o fluxo de trabalho do CASB.

Criar, configurar e aplicar uma política de segurança

Para obter os detalhes sobre a criação, a configuração ou a aplicação de uma política de segurança para o serviço Cloud Web Security, consulte a documentação relevante no Guia de configuração do Cloud Web Security.

Definições CASB – Visibilidade de aplicações

Após uma política de segurança ter sido associada a um segmento de cliente, o tráfego dos dispositivos de ponto final atrás do SD-WAN Edge ou provenientes de clientes do Secure Access será inspecionado e monitorizado se passar através da política Cloud Web Security.

  1. Na IU do VMware SASE Orchestrator, navegue para Cloud Web Security > Configurar (Configure) > Definições de política (Policy Settings) > CASB.
  2. A página Definições CASB (CASB Settings) fornece uma lista de aplicações que correspondem a uma regra de política de segurança e que são classificadas por predefinição pelo maior número de acessos (o número de vezes que uma determinada aplicação foi acedida dentro do período especificado).
    • Cada aplicação também terá uma pontuação de risco associada: Baixa (1-3), Média (4-6) ou Alta (7-9).
    • A tabela Aplicações (Applications) pode ser ordenada por nome da aplicação, nome da categoria, n.º de acessos ou pontuação de risco clicando no cabeçalho da coluna. Alternativamente, clicando no ícone para ordenar uma coluna, os utilizadores podem procurar um termo ou número particular nessa coluna.
    • A página Definições CASB (CASB Settings), por predefinição, apresenta 20 aplicações por página, os utilizadores podem avançar até ao fundo da página e especificar até 100 aplicações por página. Os utilizadores também podem selecionar uma nova página de aplicações clicando num dos ícones de seta ou especificando uma página específica na caixa de texto.
    • À medida que mais tráfego passa pelo serviço Cloud Web Security, a lista de aplicações pode mudar dependendo dos sites que são visitados. Essas alterações podem incluir a ordem da aplicação, o número de aplicações, os eventos de acesso e a pontuação de risco.

Criar e aplicar uma regra de controlo do CASB

Para criar e aplicar uma regra de controlo do CASB, consulte Configurar as regras de Mediador de segurança de acesso à cloud.

Verificar se uma regra do CASB está a funcionar

Após a política de segurança com a regra de controlo do CASB ser publicada, aceda a um site afetado pela regra e teste as funcionalidades de controlo para confirmar se funciona conforme esperado. Para verificar se as aplicações têm os controlos do CASB configurados, utilize a página Cloud Web Security > Monitorizar (Monitor) > Registos Web (Web Logs). Por exemplo, num caso em que os utilizadores tenham tentado iniciar sessão no site WeTransfer e tenham sido bloqueados de acordo com a regra de controlo do CASB publicada. Os registos Web mostram a tentativa de início de sessão bloqueada.

Monitorizar o CASB

  1. Navegue para Cloud Web Security > Monitorizar (Monitor) > Análise CASB (CASB Analysis).
  2. Na página Análise CASB (CASB Analysis), os utilizadores podem visualizar uma seleção de gráficos de barras para as principais categorias, as principais aplicações, os principais utilizadores e os principais carregamentos por aplicação.
  3. Na página Registos Web (Web Logs): Cloud Web Security > Monitorizar (Monitor) > Registos Web (Web Logs), os utilizadores podem obter mais detalhes sobre um evento de acesso à aplicação. Para qualquer evento da aplicação CASB, o utilizador pode clicar na bolha associada a essa entrada de registo para ver os Detalhes de entrada de registo (Log Entry Details) completos.