本節介紹如何使用 Cloud Web Security 服務的雲端存取安全性代理 (CASB) 功能。

概觀

存取 SaaS 應用程式時,透過雲端存取安全性代理 (CASB) 功能可查看並控制使用者活動。

CASB 功能包括以下功能:

應用程式可見性 (Cloud Web Security 標準版和進階版套件的一部分):客戶能夠檢視使用者正在其網路內存取的各種 SaaS 應用程式。對於每個應用程式,使用 CASB 應用程式可見度的客戶可以觀察到:

  • 每個應用程式的風險評分。
  • 使用者存取應用程式的次數。
  • 應用程式的類別。

應用程式控制項 (僅限 Cloud Web Security 進階版套件的一部分):客戶能夠控制可對每個 SaaS 應用程式所執行的特定動作。

這些「開箱即用」且為預先定義的控制項適用於所有 SaaS 應用程式,並且可針對各應用程式層級提供特定的控制項。可以根據使用者和使用者群組,針對每一個應用程式自訂及設定這些控制項。

對於每個應用程式,使用 CASB 應用程式控制的客戶可以控制:

  • 應用程式站台的初始存取 (允許或封鎖)。
  • 其他動作,包括登入、上傳/下載內容、搜尋、編輯、共用、建立、刪除、按讚或貼文。

客戶可以查看他們想要控制的應用程式目前可用的動作。

必要條件

使用者需要符合以下條件,才能存取 Cloud Web Security 的雲端存取安全性代理 (CASB) 功能:
  1. 在生產 VMware Cloud Orchestrator 上已啟用 Cloud Web Security 的客戶企業。
  2. 客戶的 SD-WAN Edge、SASE PoP 和 Orchestrator 必須都是使用 4.5.0 版或更新版本。
  3. CASB 應用程式可見性適用於所有 Cloud Web Security 客戶,無論他們所具備的是標準版還是進階版套件。
  4. 若要存取 CASB 應用程式控制項,客戶必須具備 Cloud Web Security 進階版套件。
    如果使用者導覽至 Cloud Web Security > 設定 (Configure) > 安全性原則 (Security Policies),並按一下現有的原則或建立新原則,CASB 索引標籤會包含一個鎖定圖示。這表示標準版授權僅允許使用 CASB 可見性,需要有進階版授權才能建立 CASB 控制原則。
  5. 選用:如果客戶打算使用以使用者為基礎的規則,則需要具有身分識別提供者 (IdP)。如需將 Workspace ONE 或 Azure Active Directory (AD) 設定為身分識別提供者的詳細資訊,請參閱單一登入指南 (SAML) 頁面上的個別指南。

CASB 組態工作流程

在說明了組成 CASB 功能的兩個關鍵功能 (應用程式可見性應用程式控制項) 後,本節將說明 CASB 工作流程。

建立、設定及套用安全性原則

有關為 Cloud Web Security 服務建立設定套用安全性原則的詳細資料,請參閱《Cloud Web Security 組態指南》中的相關說明文件。

CASB 設定 - 應用程式可見性

將安全性原則與客戶區段相關聯後,對於來自 SD-WAN Edge 後面的端點裝置的流量或是透過 Secure Access 用戶端傳輸的流量,如果其通過 Cloud Web Security 原則,則將進行檢查和監控。

  1. 在 VMware SASE Orchestrator UI 上,導覽至 Cloud Web Security > 設定 (Configure) > 原則設定 (Policy Settings) > CASB
  2. CASB 設定 (CASB Settings) 頁面會提供應用程式清單,這些應用程式符合一個安全性原則規則,且依預設,會依最高存取次數 (在指定時段內存取特定應用程式的次數) 進行排序。
    • 每個應用程式還具有相關聯的風險評分:低 (1-3)、中 (4-6) 或高 (7-9)。
    • 可以按一下資料行標頭,依 [應用程式名稱 (Application Name)]、[類別名稱 (Category Name)]、[存取次數 (# of times Accessed)] 或 [風險評分 (Risk Score)],來排序應用程式 (Applications) 資料表。或者,使用者可以按一下資料行的排序圖示,以便在該資料行中搜尋特定的詞彙或數字。
    • [CASB 設定 (CASB Settings)] 頁面依預設會每頁顯示 20 個應用程式,使用者可以捲動到頁面底部,且最多可指定每頁 100 個應用程式。使用者也可以按一下箭頭圖示,或在文字方塊中指定特定頁面,以選取新的 [應用程式 (Applications)] 頁面。
    • 當透過 Cloud Web Security 服務傳輸更多的流量時,視所造訪的網站而定,[應用程式 (Applications)] 清單可能有所變更。這些變更可能包括應用程式順序、應用程式數目、存取事件和風險評分。

建立並套用 CASB 控制規則

若要建立並套用 CASB 控制規則,請參閱設定雲端存取安全性代理規則

驗證 CASB 規則是否正常運作

在發佈具有 CASB 控制規則的安全性原則後,請移至一個受該規則影響的網站,並測試控制功能,以確認它如預期般運作。若要驗證應用程式是否設定了 CASB 控制項,請使用 Cloud Web Security > 監控 (Monitor) > Web 記錄 (Web Logs) 頁面。例如,請考慮以下情況:使用者嘗試登入 WeTransfer 網站,但根據發佈的 CASB 控制規則,卻遭到封鎖。Web 記錄顯示嘗試登入時遭到封鎖。

監控 CASB

  1. 導覽至 Cloud Web Security > 監控 (Monitor) > CASB 分析 (CASB Analysis)
  2. CASB 分析 (CASB Analysis) 頁面上,使用者可以檢視 [最高排名類別 (Top Categories)]、[最高排名應用程式 (Top Applications)]、[最高排名使用者 (Top User)] 和 [依應用程式的熱門上傳 (Top Uploads by Application)] 的橫條圖選擇。
  3. Web 記錄 (Web Logs):在 Cloud Web Security > 監控 (Monitor) > Web 記錄 (Web Logs) 頁面中,使用者可以瞭解更多有關應用程式存取事件的詳細資料。對於任何 CASB 應用程式事件,使用者可以按一下與該記錄項目相關聯的泡泡圖,以查看完整的記錄項目詳細資料 (Log Entry Details)