Esta secção descreve como configurar uma política de segurança para o VMware Cloud Web Security.
Antes de começar:
Para configurar uma política de segurança, os utilizadores têm de ter criado previamente uma política de segurança. Para obter instruções específicas sobre como criar uma política de segurança, consulte Criar uma política de segurança.
Acerca desta tarefa:
Nesta secção, os utilizadores aprenderão a configurar a política de segurança que foi criada na secção intitulada Criar uma política de segurança. Para a criação de uma política de segurança, os utilizadores podem configurar as seguintes categorias de regras: Inspeção SSL (Secure sockets layer), CASB (Mediador de segurança de acesso à cloud), DLP (Prevenção de perda de dados), Segurança Web e Aplicação Web.
Ao criar uma regra de política de Segurança Web, os utilizadores podem configurar: Filtragem de URL, Filtragem baseada na geolocalização, Filtragem de conteúdo e Inspeção de conteúdos.
A Google desenvolveu o protocolo QUIC (Quick UDP Internet Connections) para melhorar o desempenho das ligações HTTPS e HTTP (TCP 443 e TCP 80). Os browsers Chrome têm suporte experimental desde 2014 para este protocolo, que também é utilizado em dispositivos Chromium (por exemplo, Microsoft Edge, Opera e Brave) e Android.
As ligações QUIC não requerem handshakes TCP. No entanto, a Inspeção SSL requer informações de sessão de TCP e o Cloud Web Security realiza a Inspeção SSL por predefinição (a menos que uma regra para ignorar seja explicitamente configurada para a impedir) e, portanto, o Cloud Web Security não pode examinar sessões QUIC nas quais a Inspeção SSL está a ser feita. Se o QUIC estiver ativado e a Inspeção SSL estiver a ser realizada poderá resultar na não aplicação de uma política durante uma sessão de utilizador.
Para garantir que as políticas do Cloud Web Security são aplicadas de forma consistente, recomenda-se que o protocolo QUIC seja bloqueado ou desativado no browser.
Para bloquear o QUIC, configure o browser ou a firewall para bloquear o UDP 443 e o UDP 80, uma vez que estas são as portas que o protocolo QUIC utiliza. Quando o protocolo QUIC é bloqueado, o QUIC tem uma salvaguarda para voltar para TCP. Isto ativa a Inspeção SSL sem afetar negativamente a experiência do utilizador.
Para desativar o QUIC num browser Chromium, verifique a documentação do respetivo browser.
Para desativar o QUIC num browser Chrome:
- Abra o Chrome.
- Na barra de endereço, escreva: chrome://flags.
- Na barra de pesquisa, escreva “quic”.
- Clique no menu pendente e selecione Desativado.
- Quando Predefinido for selecionado, o Chrome tentará utilizar o QUIC.
- Quando lhe for pedido, clique em Reiniciar Agora para reiniciar o Chrome e aplicar as suas alterações.
Procedimento:
- Na página Políticas de segurança (Security Policies) da nova IU do VMware SD-WAN Orchestrator, clique no nome da política de segurança para que seja configurada.
É apresentado o ecrã Políticas de segurança (Security Policies) para a política selecionada.
- Na página da política de segurança selecionada, os utilizadores podem configurar as regras das seguintes categorias de regras: Inspeção SSL, CASB (Mediador de segurança de acesso à cloud), Segurança Web, Aplicação Web e DLP (Prevenção de perda de dados).
Importante: Por predefinição, uma política de segurança tem regras para “permitir tudo” e “desencriptar tudo”. Ao configurar qualquer uma das cinco categorias de regras listadas acima, os utilizadores estão a substituir as regras predefinidas e a criar uma política composta pelas suas próprias regras.Para obter uma descrição completa de como configurar regras para cada categoria, consulte:
- Após configurar a política de segurança, clique no botão Publicar (Publish) para a publicar.
- Clique no botão Sim (Yes) na caixa de diálogo pop-up Publicar política (Publish Policy) para publicar a política.
É apresentada uma faixa verde na parte superior do ecrã a indicar que a política de segurança está a ser publicada.
Nota: É possível publicar a política de segurança a qualquer momento durante o processo de configuração e ser republicada sempre que os utilizadores a reconfigurarem.