Descreve em detalhe a forma de configurar uma regra de Inspeção SSL (Secure Sockets Layer) para uma política de segurança selecionada.

Antes de começar

Para configurar uma política de segurança, os utilizadores têm de ter criado previamente uma política de segurança. Para obter instruções específicas sobre como criar uma política de segurança, consulte Criar uma política de segurança.

Categoria Inspeção SSL (SSL Inspection)

Como 90% do tráfego da Internet está encriptado, é necessário desencriptar o tráfego para inspecionar o conteúdo.
Nota: Por predefinição, todo o tráfego é desencriptado SSL e inspecionado, formando a base para uma segurança mais forte.

No entanto, algum tráfego não gosta de ter um “intermediário” para o seu tráfego na forma como a Inspeção SSL funciona. Isto inclui o tráfego que utiliza a fixação de certificados, o TLS Mútuo (mTLS) e alguns que utilizam WebSockets. Para garantir que o Cloud Web Security não infringe este tipo de tráfego, os utilizadores podem configurar exceções a esta regra de Inspeção SSL predefinida, para permitir que o tráfego ignore a Inspeção SSL.

Sugestão: Para uma lista de domínios que precisarão de uma regra para ignorar, consulte Domínios e CIDRs em que uma regra Ignorar Inspeção SSL é recomendada.
Nota: Quando uma regra Ignorar SSL é executada, significa que a ligação ainda não se encontra desencriptada. Os dados de ligação interna, como a identidade do utilizador ou o conteúdo do ficheiro, não podem ser aplicados. As regras de categoria e domínio são aplicadas, mas as políticas de bloqueio a aplicar a utilizadores, grupos e ficheiros não são aplicadas em conjunto com a política Ignorar SSL. Como resultado, a Filtragem de URL é suportada quando também é utilizada uma regra Ignorar SSL, mas a aplicação de regras específicas do utilizador não é suportada.

O certificado da AC de raiz SSL pode ser transferido clicando em Certificado SSL (SSL Certificate) do lado esquerdo do menu Cloud Web Security > Configurar (Configure) > Configurações de empresa (Enterprise Settings).

A página Definições de certificado SSL (SSL Certificate Settings) contém um certificado AC do VMware Cloud Web Security que pode ser transferido e que é utilizado para realizar a Inspeção SSL. Para transferir o certificado AC:
  1. Clique no ícone do certificado ou na ligação para transferir.
  2. Guarde o ficheiro e tome nota da localização.
  3. Tome nota do thumbprint do certificado para validação na importação.

Configurar uma regra de Inspeção SSL

Se os utilizadores desejarem abrir uma exceção à regra predefinida e não quiserem que o VMware Cloud Web Security desencripte pacotes SSL encriptados, os utilizadores poderão configurar uma regra de Inspeção SSL utilizando um dos dois métodos seguintes:

Ignorar SSL manual

O utilizador pode configurar manualmente uma regra de Inspeção SSL com base na origem, no destino ou nas categorias de destino realizando os seguintes passos:
  1. Navegue para Cloud Web Security > Configurar (Configure) > Políticas de segurança (Security Policies).
  2. Selecione uma política de segurança para configurar a regra de Inspeção SSL e clique no separador Inspeção SSL (SSL Inspection).
  3. No separador Inspeção SSL (SSL Inspection) do ecrã Políticas de segurança (Security Policies), clique em + ADICIONAR REGRA (+ ADD RULE) para configurar uma regra de exceção à Inspeção SSL.

    É apresentado o ecrã Criar exceção SSL (Create SSL Exception).

  4. No ecrã Criar exceção SSL (Create SSL Exception), os utilizadores escolhem qual o tipo de tráfego a ser ignorado pela Inspeção SSL, selecionando Origem (Source), Destino (Destination) ou Categorias de destino (Destination Categories).

    Por exemplo, os utilizadores podem criar uma regra que ignore a Inspeção SSL para todo o tráfego destinado a zoom.us, configurando a regra como uma regra de destino e, em seguida, escolhendo o tipo de destino por IP de destino ou anfitrião/domínio.

  5. Clique no botão Seguinte (Next).
  6. No ecrã Nome e etiquetas (Name and Tags), indique o nome da regra, etiquetas, um motivo (se necessário) pelo qual a regra para ignorar foi criada e uma posição para a regra na lista de regras de Inspeção SSL (as opções são “Início da lista” [Top of List] ou “Final da lista” [Bottom of List]).

  7. Clique em Concluir (Finish).

    A regra de Inspeção SSL foi agora adicionada à política de segurança.

  8. Os utilizadores têm as seguintes opções: configurar outra regra de Inspeção SSL, configurar uma categoria diferente de política de segurança ou, se tiver terminado, clicar no botão Publicar (Publish) para publicar a política de segurança.
  9. Após publicar a política de segurança, os utilizadores podem aplicar a política de segurança.

Ignorar Inspeção SSL facilmente/Exceções rápidas

A funcionalidade Ignorar Inspeção SSL facilmente (Easy SSL Bypass) permite que os utilizadores ignorem a Inspeção SSL para aplicações Web normalmente utilizadas.

Para configurar uma regra Ignorar SSL utilizando a exceção rápida, realize os seguintes passos:
  1. No separador Inspeção SSL (SSL Inspection) do ecrã Políticas de segurança (Security Policies), clique em ADICIONAR EXCEÇÃO RÁPIDA (ADD QUICK EXCEPTION).

    É apresentado o ecrã de configuração Exceções rápidas (Quick Exceptions).

  2. Para ignorar a Inspeção SSL para determinados domínios ou intervalos de IPs da sub-rede, na página Selecionar exceções (Select Exceptions), selecione uma ou mais aplicações que o utilizador deseja excluir da Inspeção SSL ativando o botão e clique em Seguinte (Next). Quando os utilizadores selecionam uma aplicação, todos os URLs associados às aplicações selecionadas são também excluídos da Inspeção SSL.
  3. No ecrã Nome, motivos e etiquetas (Name, Reasons and Tags), indique as etiquetas e um motivo (se necessário) pelo qual a regra de exceção rápida foi criada e clique em Concluir (Finish).

    A Regra de exceção rápida (Quick Exception Rule) é criada e aparece na página com a listagem da Inspeção SSL, conforme mostrado na captura de ecrã seguinte.

    Nota: Só é criada uma regra e não é possível criar regras adicionais. Esta regra é sempre chamada “Regra de exceção rápida” (Quick Exception Rule) e o nome não pode ser alterado no assistente Exceção rápida (Quick Exception).
    Nota: A regra será sempre a penúltima regra na página com a listagem de Regras de Inspeção SSL e é possível aceder à mesma rapidamente clicando no nome Regra de exceção rápida (Quick Exception Rule). Depois de adicionada a Regra de exceção rápida, o nome do botão Adicionar exceções rápidas (Add Quick Exceptions) muda para Exceção rápida (Quick Exception), o que indica que existe uma regra de exceção rápida que pode ser editada e que não é possível adicionar mais regras deste tipo.