Agora, os clientes podem bloquear ou permitir o tráfego da Internet com base na região geográfica do conteúdo ou do utilizador. Esta funcionalidade foi adicionada à seção Configurar > Políticas de segurança > Segurança da Web (Configure > Security Policies > Web Security) ao clicar no separador Filtragem baseada na geografia (Geo-Based Filtering).

Ao configurar uma regra de Filtragem baseada na geografia (Geo-Based Filtering), o utilizador pode especificar a que utilizadores e grupos esta se aplica e, em seguida, pode escolher numa lista de 251 países com opções adicionadas para Países desconhecidos (Unknown Countries), Proxy anónimo ( Anonymous Proxy) e Tráfego do Operador por satélite (Satellite Provider traffic) para garantir que os utilizadores não conseguem ignorar as regras.

Se o utilizador desejar atualizar as informações numa página Monitorizar (Monitor) (por exemplo, registos Web ou registos DLP), o Orchestrator incluirá um botão Atualizar (Refresh) na parte inferior da página.

No entanto, se o utilizador clicar em Atualizar (Refresh), os dados não serão atualizados devido a uma alteração subjacente num componente do Orchestrator.

Por predefinição, o VMware Cloud Web Security apresenta uma página de bloqueio da marca VMware a todos os utilizadores quando uma política de segurança impede um utilizador de aceder a um site ou aplicação na cloud.

A funcionalidade Página de bloqueio personalizável (Customizable Block Page) permite que os utilizadores criem e personalizem a sua própria página de bloqueio da marca para apresentar ao utilizador quando o respetivo tráfego (tráfego de Prevenção de perda de dados ou da Web) for bloqueado. Através da secção Configurar > Personalização de páginas (Configure > Page Customization) do Orchestrator, um administrador do Cloud Web Security pode personalizar:

• Uma página de bloqueio que o VMware Cloud utiliza para responder a um pedido HTTP ou carregamento de ficheiros que viole uma política de segurança configurada.

• Uma página de bloqueio que o VMware Cloud devolve quando um utilizador está a tentar carregar um ficheiro que viola uma regra DLP configurada.

Para obter mais informações sobre como configurar uma página de bloqueio personalizada, veja Personalização de páginas.

Ao criar uma regra de Prevenção de perda de dados (DLP), um utilizador veria informações incorretas para a descrição “Tamanho máximo do ficheiro” (Maximum File Size). A descrição indica que “Se o tamanho do ficheiro carregado for superior ao valor especificado, o ficheiro é ignorado e o auditor é informado” (If the uploaded file size is more than the specified value, the file is dropped, and auditor is informed), o que é incorreto. O problema foi resolvido ao reformular a descrição para “Se o tamanho do ficheiro carregado for superior ao valor especificado, o ficheiro não é inspecionado pelo DLP e é permitido” (If the uploaded file size is more than the specified value, the file is not inspected by DLP and is allowed through).

Os registos Web do Cloud Web Security incluem apenas o Tipo de ameaça (Threat Type) e os detalhes do risco não são apresentados. Para melhorar a capacidade de um utilizador monitorizar o tráfego da Web, os detalhes do risco das vulnerabilidades também devem ser apresentados, além do Tipo de ameaça (Threat Type) identificado.

Ao inspecionar o tráfego do browser em aplicações Web fora do browser, os clientes mais antigos podem observar um erro ao publicarem uma regra de política de segurança de aplicações Web fora do browser. O problema ocorre porque o valor predefinido não está configurado para o browser suportado. Este problema não acontece com os novos clientes.

Anteriormente, o utilizador podia configurar uma regra de Política de segurança CWS para inspecionar aplicações Web baseadas em browser como o Chrome, Edge, Firefox, Safari, etc., mas a regra não se aplicava a aplicações Web não baseadas em browser, como o Slack ou o Dropbox.

A partir da versão 1.10.0, o utilizador tem a opção de configurar regras para inspecionar o tráfego do browser em aplicações Web não baseadas em browser.

O utilizador pode ver, adicionar e remover regras para tráfego de aplicações Web não baseadas em browser. Para configurar regras para uma aplicação Web não baseada em browser:

1. Navegue para Cloud Web Security > Configurar (Configure) > Política de segurança (Security Policy) e, em seguida, selecione uma política existente e clique no separador Aplicações Web (Web Applications).

   

2. Clique em + ADICIONAR REGRA (+ ADD RULE) e introduza todos os detalhes necessários, como Tipo de origem, Tipo de destino, Tipos de pedidos e de ficheiros, Detalhes da ação e registo para criar uma nova regra de aplicação Web não baseada em browser.

   

   Campo	Descrição
   Origem	Selecione a origem com base em endereços IP/intervalos IP, agente de utilizador ou browser. Apenas um tipo de origem pode ser selecionado por regra.
   Destino	Selecione o destino com base no domínio, endereços IP/intervalos IP, URL, categoria, thread ou geolocalização. Apenas um tipo de destino pode ser selecionado por regra.
   Tipo de pedido e de ficheiro	Selecione o tipo de pedido (carregamentos, transferências ou ambos) e o tipo de ficheiro para a aplicação da regra. Também pode selecionar o método HTTP (POST, PUT) para o tipo de pedido de carregamento. Opcionalmente, também pode introduzir o tamanho mínimo do ficheiro para a aplicação da ação.
   Ação e registo	Selecione a ação (Permitir ou Negar) a tomar se os critérios de regra forem cumpridos. Opcionalmente, pode recolher os registos desta regra ao ativar o botão Capturar registos (Capture Logs).
   Nome, motivo e etiquetas	Configure o nome, a etiqueta, o motivo e a posição para as regras baseadas em geolocalização. Certifique-se de que especifica um nome exclusivo para a regra. Opcionalmente, pode adicionar motivos e etiquetas para as regras, para ordenação e filtragem. O campo Posição (Position) designa a posição da regra na lista das regras da aplicação Web.

3. Clique em Terminar (Finish) para a regra da aplicação Web recentemente criada aparecer na lista Aplicação Web (Web Application). 

   

4. Para que a nova regra de Política de segurança tenha efeito, selecione a regra e clique no botão Publicar (Publish) no canto superior direito do ecrã.

5. Após a publicação da política de segurança, o utilizador está pronto para Aplicar a política de segurança.

Em versões anteriores, o VMware Cloud Web Security podia inspecionar o tráfego nas portas Web padrão 80 e 443. A versão 1.9.1 permite a inspeção do tráfego (HTTP/HTTPS) do browser em portas Web não padrão.

Um utilizador pode ver, adicionar e remover regras de porta ao navegar para Cloud Web Security > Configurar (Configure) > Configurações de empresa (Enterprise Settings) > Portas Web não padrão (Non-Standard Web Ports).

Para permitir e inspecionar tráfego nas portas Web não padrão, introduza o número de porta. Clique no botão “+” na linha para adicionar mais portas Web não padrão.

O utilizador pode editar as regras existentes ou remover as regras clicando no botão “-” associado. Após a edição, clique no botão Guardar alterações (Save Changes).

Os registos Web que correspondem a uma regra de inspeção de conteúdo mostram que existe uma correspondência para a regra predefinida, mas nunca apresentam o nome real da regra criada e configurada no SASE Orchestrator.

Se existir uma regra CASB para bloquear ou permitir transferências do YouTube, a regra será aplicada corretamente, mas os registos Web mostrarão isto como um “Carregamento de ficheiros” (File Upload) em vez de “Transferência de ficheiros” (File download), o que afeta a capacidade de um administrador avaliar a atividade na rede.

Quando existe uma regra de filtragem de conteúdo para bloquear carregamentos de todos os tipos de ficheiros, a regra bloqueia o início de sessão nas aplicações Microsoft que requerem um início de sessão a partir de https://login.microsoftonline.com/.

Os controlos CASB para as seguintes aplicações da Microsoft não estão a funcionar como esperado, quando um utilizador configura uma regra “Bloquear”. Se o utilizador tentar alguma destas ações, nenhuma estará bloqueada e o utilizador poderá realizar com sucesso as seguintes ações:

• Microsoft Teams – Carregar, criar, eliminar ficheiros

• Microsoft Outlook – Carregar, transferir, eliminar ficheiros

• Microsoft OneDrive – Eliminar

• Microsoft OneNote – Transferir

Quando uma política do Cloud Web Security é aplicada e um utilizador acede a determinados sites, a página pode não ser carregada devido a um problema de Partilha de recursos transversais à origem (CORS). O utilizador encontrará um erro semelhante a “xxxx foi bloqueado pela política CORS: o cabeçalho “Access-Control-Allow-Origin” tem vários valores '*’ ” (xxxx has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header contains multiple values '*’.) nos registos da consola.

Quando existe uma regra CASB para bloquear todos os controlos da aplicação do OneDrive, a regra CASB não bloqueia as ações do SharePoint.

Embora os carregamentos e transferências estejam bloqueados no Google Drive, qualquer pessoa pode criar pastas aí.

Na versão 1.9.1 e posteriores, o utilizador não consegue criar pastas no Google Drive, por predefinição, e já não é necessária uma opção de configuração para esta aplicação.

Em versões anteriores do Cloud Web Security, se um utilizador precisasse de criar uma regra para ignorar a inspeção de aplicações da Web comuns, precisava de criar manualmente uma Regra de inspeção SSL. Com a adição da funcionalidade Ignorar o SSL facilmente, o utilizador pode criar rapidamente estas regras de inspeção SSL.

A nova funcionalidade aparece em Cloud Web Security > Configurar > Políticas de segurança (Cloud Web Security > Configure > Security Policies) no separador Inspeção SSL (SSL Inspection) como um botão Exceção rápida.

Clicar em Adicionar exceção rápida (Add Quick Exception) abre um ecrã de configuração Exceções rápidas (Quick Exceptions) onde o utilizador seleciona uma ou mais aplicações que pretende que sejam excluídas da inspeção SSL. Quando um utilizador seleciona uma aplicação, todos os URLs associados a essa aplicação são excluídos da inspeção SSL.

Ao utilizar a opção Exceção rápida, é criada uma única regra e não podem ser criadas regras adicionais. Esta regra é sempre chamada Regra de exceção rápida (Quick Exception Rule) e o nome não pode ser alterado no assistente Exceção rápida (Quick Exception).

A regra será sempre a penúltima regra na grelha e pode ser rapidamente acedida ao clicar no nome da Regra de exceção rápida (Quick Exception Rule). Uma vez adicionada a Regra de exceção rápida, a opção de menu Adicionar exceções rápidas (Add Quick Exceptions) altera-se para Exceção rápida (Quick Exception), o que indica que existe uma Regra de exceção rápida que pode ser editada, e não é possível adicionar mais regras deste tipo.

• O campo Região (Region) indica que PoP SASE estava a ser utilizado para um evento Web que ajuda a localizar em que parte do mundo um evento ocorreu.

• O campo Grupo de utilizador (User Group) indica o grupo de utilizador SAML, onde a configuração SAML é utilizada.

Em conjunto, estes dois campos adicionados melhoram a capacidade de um utilizador para monitorizar o tráfego Web.

Em algumas instâncias, um utilizador pode observar que um ficheiro malicioso é transferido apesar de ter uma política configurada para bloquear esse tipo de transferência.

Ao transferir um ficheiro protegido por palavra-passe a partir de qualquer site, o utilizador deve receber um pedido para introduzir uma palavra-passe, dado que esta é a ação predefinida na filtragem de conteúdos. Mas no OneDrive e no Dropbox, a transferência do ficheiro é bloqueada sem um pedido de palavra-passe e não consegue transferir o ficheiro.

Se existir uma regra CASB para bloquear ou permitir transferências do YouTube, a regra será aplicada corretamente, mas os weblogs mostrarão isto como um “Carregamento de ficheiros” (File Upload) em vez de “Transferência de ficheiros” (File download), o que prejudica a capacidade de um administrador para avaliar a atividade na rede.

Se um utilizador criar e aplicar uma regra CASB que permite ações do browser enquanto bloqueia todos os controlos de aplicação e, em seguida, inicia sessão no OneDrive e experimenta todas as ações que devem ser bloqueadas, nenhuma delas será bloqueada. As ações que não estão bloqueadas incluem a criação e eliminação de pastas.

Quando existe uma regra CASB para o Outlook do O365 da Microsoft para bloquear, eliminar, transferir, carregar ou pesquisar e o utilizador tenta qualquer uma destas ações no Outlook do O365 da Microsoft, nenhuma delas é bloqueada.

Neste problema, os registos apenas apresentam os cabeçalhos da política (que são apenas códigos de identificação) que agem sobre um pedido da rede em vez de indicar explicitamente que política está a ser chamada. A única maneira de um utilizador determinar que política estava a ser utilizada, é anotar o cabeçalho da política e, em seguida, abrir o separador Rede (Network) para mapear esse cabeçalho da política aos nomes das políticas.

Quando existe uma regra CASB para bloquear carregamentos e transferências para o SharePoint do O365 da Microsoft ou Microsoft Word e o utilizador tenta carregar ou transferir um ficheiro do Word para ou a partir do SharePoint, as ações de carregamento e transferência não são bloqueadas.

A funcionalidade Proxy Web do VMware Cloud Web Security foi concebida para permitir a utilização autónoma do serviço Cloud Web Security sem necessidade de utilizar o VMware SD-WAN ou VMware Secure Access. Qualquer dispositivo com um browser moderno que suporte uma configuração de proxy de rede, manual ou automática, através de um ficheiro proxy autoconfigurado (PAC) pode ter o tráfego Web redirecionado para o serviço Cloud Web Security para inspeção de segurança.

A versão 1.6.1 introduz a capacidade de clonar políticas de segurança que também podem ser armazenadas como backup.

Esta funcionalidade também inclui capacidades de clonagem para diferentes tipos de regras dentro de uma política de segurança, por exemplo: Inspeção SSL, CASB, DLP e Segurança Web.

Ao criar regras de Cloud Web Security, o utilizador vê categorias de ficheiros, “Outras transferências” (Other Downloads) e “Outros documentos” (Other Documents) que não são muito claras sobre o que afetam. O problema é resolvido reduzindo a ambiguidade, mudando o nome de “Outras transferências” (Other Downloads) para “Outros ficheiros e documentos” (Other Files and Documents), e “Outros documentos” (Other Documents) para “Documentos diversos” (Miscellaneous Documents).

Se um utilizador criar uma regra CASB para a aplicação “Mega” para bloquear tanto transferências como carregamentos e, em seguida, iniciar sessão em mega.io e tentar transferir ou carregar um ficheiro, o utilizador deverá ver que os carregamentos de ficheiros são corretamente bloqueados, mas as transferências não.

Se uma regra CASB estiver configurada para bloquear ou não bloquear transferências de anexos do Gmail, quando um utilizador tentar transferir um anexo do Gmail clicando no ícone de transferência do anexo, a transferência será bloqueada, mas não será registado nenhum registo. Este problema não ocorrerá se o utilizador tentar transferir o anexo num novo separador.

Quando existe uma regra de filtragem de conteúdos para bloquear carregamentos e transferências de ficheiros de malware, alguns ficheiros são bloqueados e alguns ficheiros não são bloqueados.

Quando existe uma regra DLP para bloquear a entrada de texto que corresponde a um dicionário e são enviadas mensagens no LinkedIn que correspondem ao dicionário, a mensagem não é bloqueada.

Se um utilizador criar uma regra CASB para bloquear transferências do YouTube e, em seguida, tentar transferir qualquer vídeo no YouTube, a transferência não será bloqueada.

Quando existe uma regra CASB para bloquear ações por exemplo, pesquisa, a funcionalidade de pesquisa na aplicação é bloqueada. Agora, se o URL no browser tiver os parâmetros de pesquisa e a página for atualizada, os resultados da pesquisa não serão bloqueados.

Uma regra de filtragem de conteúdo para bloquear a transferência de “Todos os ficheiros” (All Files) (que deve incluir todos os formatos de imagem) não bloqueia as transferências de JPEG. Sem a correção, a solução alternativa é utilizar uma opção personalizada do tipo de ficheiro e adicionar as extensões de ficheiro que devem ser bloqueadas (por exemplo, JPEG).

Os ficheiros com extensões .doc, .docx, .ppt e .pptx não estão bloqueados no G-Drive, mesmo se o conteúdo do ficheiro corresponder a uma regra DLP.

Um utilizador pode configurar uma regra para bloquear todas as categorias de ameaças com uma regra de filtragem de URL e alguns sites que deveriam ser categorizados como maliciosos não são bloqueados.

Quando existe uma regra de segurança que deve ser aplicada apenas aos utilizadores de um grupo específico, esta não é aplicada. Como resultado, todas as regras que devem ser aplicadas aos utilizadores no grupo não o são.

Uma política de controlo CASB que permite a navegação na aplicação Web do Microsoft Teams, mas que bloqueia todas as outras ações, não impede os utilizadores de publicarem conteúdos.

• Ao aplicar uma regra para bloquear “Todos os documentos” (All Documents), o utilizador deverá observar que não só as transferências de documentos são bloqueadas, mas as transferências de Ficheiro e Arquivo são também bloqueadas.

• Ao aplicar uma regra para bloquear “Todos os ficheiros” (All Files), o utilizador deverá observar que não só as transferências de ficheiros são bloqueadas, mas as transferências de Documento e Arquivo são também bloqueadas.

A IU do Orchestrator não tinha uma opção para permitir ao utilizador ativar e desativar os registos de recurso, para assim conseguir uma melhor identificação dos registos relevantes.

O componente do separador entrou num estado incorreto devido à forma como estávamos a desativar e a ocultar separadores.

Existe um problema no back-end do Orchestrator que resulta na IU ser incapaz de obter os Dicionários Predefinidos DLP. Este problema não afeta os Dicionários Definidos pelo Cliente e estes carregam corretamente.

Esta falta de visibilidade para a funcionalidade CASB inclui:

• A vista e item do menu Configurar > CASB (Configure > CASB). 

• A vista e item do menu Monitorizar > Análise CASB (Monitor > CASB Analysis).

• A API que estes componentes em particular utilizam.

Os problemas que um utilizador pode encontrar ao configurar o início de sessão único no serviço Cloud Web Security incluem:

• Erros de certificado que aparecem na página principal Autenticação (Authentication) em vez de na página Certificado (Certificate).

• Por vezes, um utilizador pode guardar um certificado inválido.

• A alteração de um certificado pode, por vezes, repor os outros valores no formulário de autenticação.

• Os campos individuais não mostram mensagens de validação em linha com o campo.

• Ao guardar a página Autenticação (Authentication), a IU do Orchestrator não mostra a roda giratória de progresso.

• A descrição de depuração verbosa mostra “t+2h” em vez de uma hora real.• Em certos idiomas, a etiqueta do botão Início de sessão único ocupa mais de uma linha.

• O esquema do rodapé Guardar alterações (Save Changes) não é apresentado corretamente em ecrãs pequenos.

Todos os problemas listados são resolvidos com a correção para 91054.

Tanto o assistente de configuração como a API não aceitam um IP CIDR na origem para uma regra de Inspeção SSL e esta correção corrige este problema.

O problema é provocado pelo servidor de back-end do Cloud Web Security rejeitar um valor de configuração introduzido durante a utilização do assistente e resulta no botão Concluir/Atualizar (Finish/Update) deixar de responder assim que recebe este erro de validação.

As regras de filtragem de conteúdos substituem o domínio configurado fornecido se o utilizador tiver também selecionado TODAS em Categorias. Ou se o utilizador selecionar NENHUMA em Categorias, o assistente predefiniu esta escolha para significar TODAS as Categorias, daí que os domínios não foram honrados aqui também. Isto é provocado por um problema no assistente de filtragem de conteúdos e na API. Se o utilizador configurar, pelo menos, uma Categoria, o Domínio é honrado.

Num Orchestrator sem esta correção, o utilizador teria de configurar categorias específicas juntamente com domínios e, então, o Orchestrator honraria os domínios na filtragem de conteúdos.

Na Visibilidade CASB (CASB Visibility), um utilizador pode observar a IU do Orchestrator listar um certificado como expirado, quando o certificado ainda é válido e lista-lo como para renovação quando de facto está expirado. O outro problema é que numerosas aplicações vão apresentar “Fundada em 1970” (Founded in 1970) em Detalhes da aplicação (Application Details) quando a aplicação é, claramente, de origem muito mais recente.