Guide de configuration de VMware Cloud Web Security - VMware Cloud Web Security 4.4
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Guide de configuration de VMware Cloud Web Security VMware Cloud Web Security 4.4
Guide de configuration de VMware Cloud Web Security
Vous trouverez la documentation technique la plus récente sur le site Web de VMware, à l'adresse :
https://docs.vmware.com/fr/
VMware, Inc. VMware France SAS.
3401 Hillview Ave. Tour Franklin
Palo Alto, CA 94304 100-101 Terrasse Boieldieu
www.vmware.com 92042 Paris La Défense 8 Cedex
France
www.vmware.com/fr
©
Copyright 2021 VMware, Inc. Tous droits réservés. Informations relatives aux copyrights et marques
commerciales.
VMware, Inc. 2
Table des matières
1 Guide de configuration de VMware Cloud Web Security 4
Présentation de VMware Cloud Web Security 4
Conditions préalables 6
Configuration d'une passerelle SD-WAN Gateway pour un rôle de Cloud Web Security 6
Création d'une stratégie de sécurité 8
Configuration d'une stratégie de sécurité 10
Application d'une stratégie de sécurité 33
Surveillance de Cloud Web Security 35
VMware, Inc. 3
Guide de configuration de
VMware Cloud Web Security 1
Ce chapitre contient les rubriques suivantes :
n Présentation de VMware Cloud Web Security
n Conditions préalables
n Configuration d'une passerelle SD-WAN Gateway pour un rôle de Cloud Web Security
n Création d'une stratégie de sécurité
n Configuration d'une stratégie de sécurité
n Application d'une stratégie de sécurité
n Surveillance de Cloud Web Security
Présentation de VMware Cloud Web Security
VMware Cloud Web Security™ est un service hébergé dans le cloud qui protège les utilisateurs
et l'infrastructure accédant aux applications SaaS et Internet contre des menaces internes et
externes en pleine évolution, qui offre la visibilité et le contrôle, et garantit la conformité.
Microsoft
Applications
critiques
Atlassian
professionnelles
Tous les utilisateurs VMware SASE PoP approuvées
Salesforce
N'importe où
Applications
critiques
Secure Cloud Web SSH/#
non
Access Security
professionnelles
Domicile Youtube
approuvées +
non Web
Bureau SD-WAN Pare-feu
Applications bet365
Gateway NSX Cloud
critiques
non reddit
professionnelles
non approuvées
craigslist
VMware, Inc. 4
Guide de configuration de VMware Cloud Web Security
VMware Cloud Web Security (CWS) est fourni via un réseau mondial de points de présence
VMware SASE™ PoP pour garantir que les utilisateurs se trouvant n'importe où et se connectant
via un périphérique disposent d'un accès sécurisé, uniforme et optimal aux applications. Cloud
Web Security simplifie la gestion des services de sécurité et aide les équipes informatiques à
renforcer le niveau de sécurité tout en équilibrant la productivité des utilisateurs.
Flux de paquets
Internet et SaaS
Salesforce
Le nom de domaine complet est résolu en
point de présence VMware SASE PoP le plus proche Microsoft
Box
Amazon
VMware SASE PoP
Cloud Web VMware
Security SD-WAN
Périphériques utilisateur Le périphérique crée un tunnel
Secure Access TLS vers le service Secure Access Secure Edge
dans VMware SASE PoP Access
SD-WAN
Workspace ONE DNS Gateway
Tunnel Filiale
Cloud Web Security fournit aux équipes informatiques la visibilité et le contrôle requis pour
maintenir un niveau de sécurité élevé tout en respectant les besoins de conformité avec les
avantages suivants :
n Niveau de sécurité agile : en tant que service hébergé dans le cloud, toute menace détectée
n'importe où par Cloud Web Security est immédiatement bloquée pour tous les clients
bénéficiant des propriétés cloud natives.
n Accès transparent sécurisé pour les employés mobiles : en tirant parti d'un réseau mondial de
VMware SASE PoP, Cloud Web Security fournit un accès sécurisé et optimal aux utilisateurs
pour les applications Internet et SaaS.
n Opérations simplifiées : Cloud Web Security utilise le volet de gestion centralisé VMware SD-
WAN Orchestrator pour les services réseau et de sécurité pour simplifier le déploiement et
les opérations de l'espace de travail distribué.
n Réduction du coût opérationnel : Cloud Web Security offre des économies de coûts par
rapport à la gestion du cycle de vie et du cycle d'actualisation des dispositifs physiques ou
virtuels déployés sur site.
Cloud Web Security est proposé via le réseau mondial de VMware SASE PoP qui sont fournis en
tant que service géré ou à installer par l'utilisateur et utilisés par plus de 150 partenaires de
télécommunications et des milliers de revendeurs informatiques dans le monde.
VMware, Inc. 5
Guide de configuration de VMware Cloud Web Security
Conditions préalables
Pour qu'un déploiement client utilise , les conditions suivantes doivent être remplies :
n L'entreprise cliente doit être hébergée par un dispositif SD-WAN Orchestrator utilisant la
version 4.4.0 ou ultérieure. La version d'Orchestrator peut être consultée au bas de n'importe
quelle page de navigateur.
n Le client doit disposer d'au moins un dispositif VMware SD-WAN Edge utilisant la
version 4.3.0 ou ultérieure.
n Le déploiement du client doit utiliser un SD-WAN Gateway Pool qui inclut au moins une
passerelle VMware SD-WAN Gateway utilisant la version 4.4.0 ou ultérieure. Un opérateur ou
un utilisateur partenaire peut consulter ces informations. Un client doit confirmer cela auprès
de son partenaire de support ou, s'il n'en a pas, un ingénieur de support technique.
n La passerelle SD-WAN Gateway doit également être configurée pour disposer d'un rôle
Cloud Web Security. Pour obtenir des instructions, reportez-vous à la section Configuration
d'une passerelle SD-WAN Gateway pour un rôle de Cloud Web Security.
Configuration d'une passerelle SD-WAN Gateway pour un
rôle de Cloud Web Security
Seul un utilisateur opérateur ayant un rôle de super utilisateur ou un rôle standard peut
configurer une passerelle SD-WAN Gateway pour un rôle de Cloud Web Security.
Vous pouvez configurer une passerelle pour un rôle de Cloud Web Security dans le portail de
l'ancienne interface utilisateur d'Orchestrator.
Procédure
1 Dans le portail de l'opérateur, cliquez sur Passerelles (Gateways).
VMware, Inc. 6
Guide de configuration de VMware Cloud Web Security
2 La page Passerelles (Gateways) affiche la liste des passerelles disponibles. Cliquez sur le lien
vers la passerelle pour laquelle vous souhaitez configurer le rôle de Cloud Web Security. Les
détails de la passerelle sélectionnée s'affichent sur la page Configurer des passerelles
(Configure Gateways).
3 Dans la section Propriétés (Properties), sous Rôles de passerelle (Gateway Roles), cochez la
case Cloud Web Security.
4 Dans la section Cloud Web Security, entrez l'adresse IP du point de terminaison Geneve et le
nom du point de présence (PoP) pour le rôle de passerelle Cloud Web Security.
5 Cliquez sur Enregistrer les modifications (Save Changes).
Pour plus d'informations, reportez-vous à la section Configurer des passerelles du Guide de
l'opérateur de VMware SD-WAN publié à l'adresse https://docs.vmware.com/fr/VMware-SD-
WAN/index.html.
Étape suivante
n Création d'une stratégie de sécurité
VMware, Inc. 7
Guide de configuration de VMware Cloud Web Security
Création d'une stratégie de sécurité
Pour utiliser VMware Cloud Web Security, un utilisateur doit d'abord créer et configurer une
stratégie de sécurité, puis appliquer la stratégie.
Des stratégies de sécurité sont créées et modifiées sur la nouvelle interface utilisateur de
VMware SD-WAN Orchestrator.
Conditions préalables
Pour configurer une stratégie Cloud Web Security (CWS), un utilisateur doit disposer de l'un des
rôles suivants :
n Opérateur disposant d'un rôle de super utilisateur ou un rôle standard.
n Utilisateur partenaire disposant d'un rôle de super utilisateur ou un rôle standard.
n Utilisateur client disposant d'un rôle de super utilisateur, un rôle standard ou d'administrateur
de sécurité.
Procédure
1 Dans le portail d'Orchestrator, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.
VMware, Inc. 8
Guide de configuration de VMware Cloud Web Security
2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New
Orchestrator UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel
onglet.
3 Dans le menu déroulant SD-WAN, sélectionnez Cloud Web Security.
La page Cloud Web Security s'affiche.
Sur la page Cloud Web Security, l'utilisateur peut afficher, créer et modifier des stratégies
CWS, ainsi que surveiller l'application des stratégies CWS.
4 Pour créer une stratégie de sécurité, cliquez sur l'onglet Configurer (Configure) dans le coin
gauche de la page, puis cliquez sur NOUVELLE STRATÉGIE (NEW POLICY).
La fenêtre contextuelle Créer une stratégie de sécurité (Create a new Security Policy)
s'affiche.
VMware, Inc. 9
Guide de configuration de VMware Cloud Web Security
5 Dans la zone de texte, entrez le nom de la stratégie de sécurité et cliquez sur CRÉER
(CREATE).
Note Le nom de la stratégie doit être une chaîne de texte continue sans espace.
Résultats
Une stratégie de sécurité est créée et s'affiche sur la page Stratégies de sécurité (Security
Policies).
Étape suivante
n Configuration d'une stratégie de sécurité
Configuration d'une stratégie de sécurité
Cette section décrit comment configurer une stratégie de sécurité pour VMware Cloud Web
Security.
Avant de commencer :
Pour configurer une stratégie de sécurité, un utilisateur doit d'abord avoir créé, configuré et
appliqué une stratégie de sécurité. Pour obtenir des instructions spécifiques sur la manière d'y
parvenir, reportez-vous à la section Création d'une stratégie de sécurité.
À propos de cette tâche :
Dans cette section, un utilisateur va apprendre à configurer la stratégie de sécurité qui a été
créée dans la section intitulée Création d'une stratégie de sécurité. Lors de la création d'une
stratégie de sécurité, un utilisateur peut configurer quatre catégories de règles : Inspection SSL
(SSL Inspection), Filtrage d'URL (URL Filtering), Filtrage du contenu (Content Filtering) et
Inspection du contenu (Content Inspection).
VMware, Inc. 10Guide de configuration de VMware Cloud Web Security
Procédure :
Pour configurer une stratégie de sécurité :
1 Sur la page Stratégies de sécurité (Security Policies) de la nouvelle interface utilisateur de
VMware SD-WAN Orchestrator, double-cliquez sur le nom de la stratégie de sécurité
(Security Policy) à configurer. (Voir l'image ci-dessous).
L'écran Stratégies de sécurité (Security Policies) de la stratégie sélectionnée s'affiche.
2 Sur la page Stratégie de sécurité (Security Policy) sélectionnée, un utilisateur peut configurer
des règles à partir des quatre catégories de règles suivantes : Inspection SSL (SSL
Inspection), Filtrage d'URL (URL Filtering), Filtrage du contenu (Content Filtering) et
Inspection du contenu (Content Inspection), comme indiqué sur l'image ci-dessous. Reportez-
vous à la section Catégories de stratégies de sécurité pour obtenir une description complète
de la configuration des règles pour chaque catégorie (Catégorie d'inspection SSL, Catégorie
de filtrage d'URL, Catégorie de filtrage du contenu et Catégorie d'inspection du contenu).
Note Par défaut, une stratégie de sécurité comporte les règles « tout autoriser » (allow all) et
« tout déchiffrer » (decrypt all). En configurant l'une des quatre catégories de règles
répertoriées ci-dessus, un utilisateur remplace les règles par défaut et crée une stratégie
composée de ses propres règles.
VMware, Inc. 11Guide de configuration de VMware Cloud Web Security
3 Après avoir configuré la stratégie de sécurité, cliquez sur le bouton Publier (Publish) pour
publier la stratégie de sécurité. Voir l'image ci-dessous.
La boîte de dialogue contextuelle Publier la stratégie (Publish Policy) s'affiche, comme indiqué
sur l'image ci-dessous.
4 Cliquez sur le bouton Oui (Yes) pour publier la stratégie.
Une bannière verte s'affiche en haut de l'écran indiquant que la stratégie de sécurité est en
cours de publication, comme indiqué sur l'image ci-dessous.
Note Une stratégie de sécurité peut être publiée à tout moment dans le processus de
configuration et republiée à chaque révision.
Étape suivante :
n Application d'une stratégie de sécurité
VMware, Inc. 12Guide de configuration de VMware Cloud Web Security
Catégories de stratégies de sécurité
Les sections ci-dessous décrivent en détail les quatre catégories de règles qu'un utilisateur peut
configurer pour une stratégie de sécurité sélectionnée, comme mentionné à l'étape 2 de la
section « Procédures » ci-dessus. En configurant l'une de ces catégories, un utilisateur remplace
les règles par défaut.
Note Avant d'effectuer les étapes des sections individuelles répertoriées ci-dessous, un
utilisateur doit d'abord avoir effectué l'étape 1, comme décrit dans la section « Procédures » ci-
dessus.
Catégorie d'inspection SSL
Tous les utilisateurs
Proxy SSL Microsoft
N'importe où Workday
Google Drive
Domicile
Box
SharePoint
Bureau
Atlassian
DropBox
Invité @
Entreprise OneDrive
LinkedIn
Fournisseur @
Entreprise Salesforce
Étant donné que 90 % du trafic Internet sont chiffrés, il est nécessaire de déchiffrer le trafic pour
inspecter son contenu. Par défaut, tout le trafic fait l'objet d'un déchiffrement SSL, puis d'une
inspection. Ce qui constitue la base d'une sécurité renforcée.
VMware, Inc. 13Guide de configuration de VMware Cloud Web Security En revanche, une partie du trafic n'apprécie pas la présence d'un intercepteur de son trafic du fait du mode de fonctionnement de l'inspection SSL. Cela inclut le trafic utilisant l'épinglage de certificat, Mutual TLS (mTLS) et une partie du trafic utilisant les WebSockets. Pour s'assurer que Cloud Web Security n'interrompt pas ces types de trafic, un utilisateur peut configurer des exceptions à cette règle d'inspection SSL par défaut, ce qui permet au trafic de contourner l'inspection SSL. Note Vous trouverez ci-après certains des domaines connus pour interrompre l'inspection SSL. Il est recommandé de créer des règles pour contourner ces domaines : Windows windowsupdate.microsoft.com, update.microsoft.com, download.microsoft.com, ntservicepack.microsoft.com, cdm.microsoft.com, wustat.windows.com, store-images.s- microsoft.com, musicimage.xboxlive.com, store-images.microsoft.com, mediadiscovery.microsoft.com, media-assetcatalog.microsoft.com, mp.microsoft.com, sls.microsoft.com Apple itunes.apple.com, swcdn.apple.com, swdownload.apple.com, swquery.apple.com, swscan.apple.com, xp.apple.com, gsa.apple.com, smoot.apple.com, ls.apple.com, configuration.apple.com, gc.apple.com, ess.apple.com, gsas.apple.com, identity.apple.com, smp- device-content.apple.com, swdist.apple.com, mzstatic.com, icloud.com, api.apps.apple.com Conférence webex.com, ciscowebex.com, gotomeeting.com, gotowebinar.com, gototraining.com, gotomypc.com, gotoassist.com, skype.com, freeconferencecall.com, hostjoin.me, anymeeting.com, clickwebinar.com, readytalk.com, omnovia.com, on24.com Pour télécharger le certificat d'autorité de certification (CA) racine SSL, cliquez sur Arrêt SSL (SSL Termination) dans la partie gauche du menu Cloud Web Security > Configuration. Sur la page Arrêt SSL (SSL Termination), se trouve un certificat d'autorité de certification (CA) de VMware Cloud Web Security utilisé pour effectuer l'inspection SSL. Pour télécharger le certificat d'autorité de certification : 1 Cliquez sur l'icône Certificat (Certificate) ou sur le lien de téléchargement. 2 Enregistrez le fichier et notez son emplacement. 3 Notez l'empreinte numérique du certificat, pour validation lors de l'importation. Si un utilisateur souhaite faire une exception à la règle par défaut et ne souhaite pas que Cloud Web Security déchiffre les paquets chiffrés SSL, l'utilisateur crée une règle pour ce trafic en fonction de la source, de la destination ou des catégories de destination (image ci-dessous). Suivez les étapes ci-dessous pour faire une exception à la règle par défaut. VMware, Inc. 14
Guide de configuration de VMware Cloud Web Security
Pour configurer une règle d'inspection SSL :
1 Dans l'onglet Inspection SSL (SSL Inspection) de l'écran Stratégies de sécurité (Security
Policies), sélectionnez + AJOUTER UNE RÈGLE (+ ADD RULE) comme indiqué sur l'image ci-
dessus pour configurer la règle Exception d'inspection SSL (SSL Inspection Exception).
L'écran Créer une exception SSL (Create SSL Exception) s'affiche. Voir l'image ci-dessous.
2 Dans l'écran Créer une exception SSL (Create SSL Exception), l'utilisateur choisit le type de
trafic pour contourner l'inspection SSL en sélectionnant Source, Destination ou Catégories
de destination (Destination Categories).
Par exemple, l'utilisateur peut créer une règle qui contourne l'inspection SSL pour tout le
trafic destiné à zoom.us, en configurant la règle comme règle de destination, puis en
choisissant le type de destination par adresse IP de destination ou hôte/domaine. Reportez-
vous à l'image ci-dessous pour illustrer cet exemple.
VMware, Inc. 15Guide de configuration de VMware Cloud Web Security
3 Cliquez sur le bouton Suivant (Next).
4 Dans l'écran Nom et balises (Name and Tags), indiquez le nom de la règle, les balises et si
nécessaire, un motif de création de la règle de contournement, comme indiqué sur l'image ci-
dessous.
5 Cliquez sur Terminer (Finish).
La règle est désormais ajoutée à la stratégie de sécurité.
6 L'utilisateur dispose des options suivantes : configurer une autre règle d'inspection SSL,
configurer une autre catégorie de stratégie de sécurité ou, s'il a terminé, cliquer sur le bouton
Publier (Publish) pour publier la stratégie de sécurité.
7 Après la publication de la stratégie de sécurité, l'utilisateur est prêt à Application d'une
stratégie de sécurité.
VMware, Inc. 16Guide de configuration de VMware Cloud Web Security
Catégorie de filtrage d'URL
Microsoft
Filtrage d'URL Catégorisation d'URL : Comportement, risque
Workday
Tous les utilisateurs
Annonces et
Bloquer
fenêtres publicitaires Google Drive
N'importe où Box
Affaires Autoriser
SharePoint
Domicile Santé et
Autoriser Atlassian
Médecine
Netflix
Bureau Logiciels malveillants Bloquer
DropBox
Hameçonnage Bloquer CNN
Invité @
Entreprise Bet365
Sans catégorie Bloquer
OneDrive
Fournisseur @
Entreprise E-mails Youtube
Autoriser
Web
LinkedIn
Salesforce
Le filtrage d'URL permet à l'utilisateur de configurer des règles pour limiter l'interaction utilisateur
à des catégories spécifiques de sites Web.
Les cas d'utilisation de filtrage d'URL incluent les opérations suivantes :
n Contrôler la navigation Web des employés avec des politiques granulaires.
n Signaler les sites à haut risque, utiles avec les applications SaaS.
n Autoriser/bloquer en fonction de catégories prédéfinies.
n Bloquer les URL hébergeant du contenu choquant avec une option permettant de bloquer les
domaines personnalisés.
Contrairement à l'inspection SSL, dans laquelle la règle par défaut applique une sécurité stricte en
inspectant tous les paquets chiffrés SSL, les règles par défaut pour le filtrage d'URL sont
permissives, permettant tout le trafic par défaut, quel que soit le risque potentiel. Il incombe à
l'utilisateur de modifier le comportement par défaut. Pour cela, l'utilisateur peut choisir parmi trois
types de règles que le filtrage d'URL applique : Catégorie (Category), Menace (Threat) et
Domaine (Domain). Consultez les étapes ci-dessous pour configurer une règle de stratégie de
sécurité pour le filtrage d'URL.
Pour configurer une règle de filtrage d'URL :
1 Dans l'écran Règles de sécurité (Security Policies), cliquez sur l'onglet Filtrage d'URL (URL
Filtering) situé en haut de l'écran.
VMware, Inc. 17Guide de configuration de VMware Cloud Web Security
2 Sélectionnez + AJOUTER UNE RÈGLE (+ ADD RULE) et cliquez sur le bouton Suivant (Next).
L'écran Filtrage d'URL appliqué à (URL Filtering Applied To) s'affiche et indique trois options
parmi lesquelles choisir (Catégories Web [Web Categories], Catégories de menaces [Threat
Categories] et Domaine [Domain]) dans le menu déroulant Type, comme indiqué sur l'image
ci-dessous.
3 Dans le menu déroulant Type, choisissez l'une des trois options (Catégories de sites Web
[Web Categories], Catégories de menaces [Threat Categories] et Domaine [Domain]), comme
indiqué sur l'image ci-dessous. Pour obtenir les étapes spécifiques à suivre pour chaque
option de catégorie, reportez-vous aux sous-étapes ci-dessous.
a Option de catégories de sites Web (Website Categories Option) : l'utilisateur sélectionne
l'option Catégories de sites Web (Website Categories) pour configurer une règle basée
sur des catégories préconfigurées qui comportent un grand nombre d'URL. Suivez les
sous-étapes ci-dessous pour effectuer la configuration à l'aide de cette catégorie.
L'écran Sélectionner la source et la destination (Select Source and Destination)
s'affiche, comme indiqué sur l'image ci-dessous.
VMware, Inc. 18Guide de configuration de VMware Cloud Web Security
1 Dans l'écran Sélectionner la source et la destination (Select Source and Destination)
sous Source, cochez la case Tous les utilisateurs et groupes (All Users and Groups)
pour appliquer la règle à tous les utilisateurs et groupes ou décochez cette case pour
spécifier des utilisateurs et des groupes.
2 Dans l'écran Sélectionner la source et la destination (Select Source and Destination),
sous Destinations, sélectionnez Toutes les catégories (All catégories) ou Sélection
personnalisée (Custom selection). L'option Toutes les catégories (All catégories)
met en surbrillance toutes les catégories disponibles et les applique à la règle.
L'option Sélection personnalisée (Custom Selection) permet de spécifier les
catégories à appliquer à la règle en cliquant sur chaque catégorie, comme indiqué sur
l'image ci-dessus.
3 Cliquez sur le bouton Suivant (Next).
4 Dans l'écran Action de filtrage d'URL (URL Filtering Action), choisissez Bloquer
(Block) ou Autoriser (Allow) dans le menu déroulant pour déterminer si la règle
s'applique au blocage ou à l'autorisation des URL. (Voir l'image ci-dessous).
5 Cliquez sur le bouton Suivant (Next).
VMware, Inc. 19Guide de configuration de VMware Cloud Web Security
6 Dans l'écran Nom, motifs et balises (Name, Motifs et Balises) entrez les informations
dans les champs suivants : Nom de la règle (Rule Name), Balises (Tags), Motif
(Reason) et Position. REMARQUE : le champ Position désigne la position de la règle
dans la liste des règles de filtrage d'URL.
7 Cliquez sur Terminer (Finish). La règle sera alors publiée dans la liste Filtrage d'URL
(URL Filtering). L'écran Filtrage d'URL (URL Filtering) s'affiche.
8 L'utilisateur dispose des options suivantes : configurer une autre règle d'inspection
SSL, configurer une autre catégorie de stratégie de sécurité ou, s'il a terminé, cliquer
sur le bouton Publier (Publish) pour publier la stratégie de sécurité.
9 Après la publication de la stratégie de sécurité, l'utilisateur est prêt à Application
d'une stratégie de sécurité.
b Option Catégories de menace (Threat Categories) : l'utilisateur sélectionne l'option
Catégories de menaces (Threat Categories) dans le menu déroulant pour appliquer les
types de menaces (en fonction des informations mises à jour des entreprises de
cybersécurité), suivez les sous-étapes ci-dessous. Voir l'image ci-dessous.
c Cliquez sur le bouton Suivant (Next).
VMware, Inc. 20Guide de configuration de VMware Cloud Web Security
1 Dans l'écran Sélectionner la source et la destination (Select Source and Destination)
sous Source, cochez la case Tous les utilisateurs et groupes (All Users and Groups)
pour appliquer la règle à tous les utilisateurs et groupes ou décochez cette case pour
spécifier des utilisateurs et des groupes.
2 Dans l'écran Sélectionner la source et la destination (Select Source and Destination),
sous Destinations, sélectionnez Toutes les catégories (All catégories) ou Sélection
personnalisée (Custom selection). L'option Toutes les catégories (All catégories)
met en surbrillance toutes les catégories disponibles et les applique à la règle.
L'option Sélection personnalisée (Custom Selection) permet de spécifier les
catégories à appliquer à la règle en cliquant sur chaque catégorie, comme indiqué sur
l'image ci-dessus.
3 Cliquez sur le bouton Suivant (Next).
4 Dans l'écran Action de filtrage d'URL (URL Filtering Action), spécifiez si les menaces
spécifiques doivent être bloquées ou autorisées. Voir l'image ci-dessous.
5 Dans l'écran Nom, motifs et balises (Name, Motifs et Balises) entrez les informations
dans les champs suivants : Nom de la règle (Rule Name), Balises (Tags), Motif
(Reason) et Position. REMARQUE : le champ Position désigne la position de la règle
dans la liste des règles de filtrage d'URL.
VMware, Inc. 21Guide de configuration de VMware Cloud Web Security
6 Cliquez sur Terminer (Finish). La règle sera alors publiée dans la liste Filtrage d'URL
(URL Filtering). L'écran Filtrage d'URL (URL Filtering) s'affiche.
7 L'utilisateur dispose des options suivantes : configurer une autre règle d'inspection
SSL, configurer une autre catégorie de stratégie de sécurité ou, s'il a terminé, cliquer
sur le bouton Publier (Publish) pour publier la stratégie de sécurité.
8 Après la publication de la stratégie de sécurité, l'utilisateur est prêt à Application
d'une stratégie de sécurité.
d Option Domaine (Domain) : l'utilisateur sélectionne l'option Domaine (Domain) dans le
menu déroulant pour configurer le ou les domaines, les adresses IP, les plages d'adresses
IP et les CIDR à filtrer selon la règle. (Voir l'image ci-dessous).
Note Un utilisateur peut spécifier plusieurs domaines par règle en séparant chaque
domaine par une virgule.
Cliquez sur le bouton Suivant (Next).
VMware, Inc. 22Guide de configuration de VMware Cloud Web Security
L'écran Sélectionner la source et la destination (Select Source and Destination)
s'affiche, comme indiqué sur l'image ci-dessous.
Suivez les sous-étapes ci-dessous pour configurer l'option Domaine (Domain).
1 Dans l'écran Sélectionner la source et la destination (Select Source and Destination)
sous Source, cochez la case Tous les utilisateurs et groupes (All Users and Groups)
pour appliquer la règle à tous les utilisateurs et groupes ou décochez cette case pour
spécifier des utilisateurs et des groupes.
2 Cliquez sur le bouton Suivant (Next).
3 Sous Destinations entrez les domaines dans le champ de texte Spécifier des
domaines (Specify Domains) (par exemple, google.com). Un utilisateur spécifie le ou
les domaines à filtrer selon la règle. Un utilisateur peut spécifier plusieurs domaines
par règle en séparant chaque domaine par une virgule.
4 Cliquez sur Suivant (Next).
5 Dans l'écran Action de filtrage d'URL (URL Filtering Action), spécifiez si cette
exception de règle s'applique au blocage ou à l'autorisation du trafic, puis cliquez sur
le bouton Suivant (Next).
6 Cliquez sur Suivant (Next).
7 Dans l'écran Nom, motifs et balises (Name, Motifs et Balises) entrez les informations
dans les champs suivants : Nom de la règle (Rule Name), Balises (Tags), Motif
(Reason) et Position. REMARQUE : le champ Position désigne la position de la règle
dans la liste des règles de filtrage d'URL.
8 Cliquez sur Terminer (Finish).
9 Une fois toutes les règles de filtrage d'URL remplies, un utilisateur peut afficher la liste
complète.
VMware, Inc. 23Guide de configuration de VMware Cloud Web Security
10 Cliquez sur Terminer (Finish). La règle sera alors publiée dans la liste Filtrage d'URL
(URL Filtering). L'écran Filtrage d'URL (URL Filtering) s'affiche.
11 L'utilisateur dispose des options suivantes : configurer une autre règle de filtrage
d'URL, configurer une autre catégorie de stratégie de sécurité ou, s'il a terminé,
cliquer sur le bouton Publier (Publish) pour publier la stratégie de sécurité.
12 Après la publication de la stratégie de sécurité, l'utilisateur est prêt à Application
d'une stratégie de sécurité.
Catégorie de filtrage du contenu
Microsoft
Workday
Filtrage du contenu Google Drive
Box
Utilisateur Atlassian
SH EXE Word PDF PPT
Netflix
CNN
Utilisateur
EXE Word PDF PPT Bet365
Youtube
Salesforce
Les règles de filtrage du contenu permettent à un administrateur d'effectuer les opérations
suivantes :
n Réduire la surface d'attaque en autorisant uniquement les types de contenu requis.
n Contrôler le contenu pour les chargements et les téléchargements.
Les types de documents et de fichiers suivants sont pris en charge.
VMware, Inc. 24Guide de configuration de VMware Cloud Web Security
Les règles par défaut pour le filtrage du contenu sont les suivantes :
n Tous les téléchargements sont autorisés, mais font d'abord l'objet d'une analyse antivirus
pour détecter le contenu dangereux.
n Tous les chargements sont autorisés sans inspection.
Pour configurer le filtrage du contenu :
1 Dans l'écran Stratégie de sécurité (Security Policy), cliquez sur l'onglet Filtrage du contenu
(Content Filtering) situé en haut de l'écran.
2 Sélectionnez + AJOUTER UNE RÈGLE (+ ADD RULE).
L'écran Filtrage du contenu appliqué à (Content Filtering Applied To) s'affiche.
3 Sous Type de transfert (Transfer Type), cochez la case d'option Téléchargement
(Download) ou Chargement (Upload). L'utilisateur ne peut pas sélectionner les deux options.
Si l'utilisateur souhaite une règle de téléchargement et de chargement, deux règles distinctes
sont requises.
4 Dans Type de fichier (File Type), sélectionnez une catégorie dans le menu déroulant, comme
indiqué sur l'image ci-dessous.
VMware, Inc. 25Guide de configuration de VMware Cloud Web Security
5 Cliquez sur Suivant (Next).
L'option Sélectionner la source et la destination (Select Source and Destination) s'affiche,
comme indiqué sur l'image ci-dessous.
n
6 Dans l'écran Sélectionner la source et la destination (Select Source and Destination) sous
Source, un utilisateur peut cocher la case Tous les utilisateurs et groupes (All Users and
Groups) pour appliquer la règle à tous les utilisateurs et groupes ou décocher cette case
pour spécifier des utilisateurs et des groupes.
7 Sous Destinations un utilisateur peut cocher la case Tous les domaines/toutes les catégories
(All Domains/Categories) pour appliquer la règle à tous les domaines et à toutes les
catégories, ou décocher la case pour configurer des domaines individuels ou spécifier des
catégories Web dans un menu déroulant.
8 Cliquez sur Suivant (Next).
VMware, Inc. 26Guide de configuration de VMware Cloud Web Security
9 Dans l'écran Action de filtrage du contenu (Content Filtering Action), choisissez Bloquer
(Block) ou Autoriser (Allow) dans le menu déroulant pour déterminer si la règle s'applique au
blocage ou à l'autorisation des URL, comme décrit aux sous-étapes ci-dessous.
a Si l'option Bloquer (Block) est sélectionnée, l'un des types de fichiers spécifiés avec un
domaine/des catégories correspondants est bloqué pour les utilisateurs/groupes
spécifiés, comme indiqué sur l'image ci-dessous.
b Si l'option Autoriser (Allow) est sélectionnée, le contenu est autorisé sur le réseau.
c Cliquez sur le bouton Suivant (Next).
10 Dans l'écran Nom, motifs et balises de filtrage du contenu (Content Filtering Name,
Reasons et Tags), entrez les informations des champs de texte suivants : Nom de la règle
(Rule Name), Balises (Tags) et Motif (Reason). Dans le champ de texte Position, indiquez
l'emplacement de la règle dans la liste des règles de filtrage du contenu.
11 Cliquez sur Terminer (Finish).
La règle est désormais ajoutée à la stratégie de sécurité et l'utilisateur peut passer à la
fonctionnalité de sécurité.
12 L'utilisateur dispose des options suivantes : configurer une autre règle sous le filtrage d'URL,
configurer une autre catégorie de stratégie de sécurité ou, s'il a terminé, cliquer sur le bouton
Publier (Publish) pour publier la stratégie de sécurité.
VMware, Inc. 27Guide de configuration de VMware Cloud Web Security
13 Après la publication de la stratégie de sécurité, l'utilisateur est prêt à Application d'une
stratégie de sécurité.
Catégorie d'inspection du contenu
Tous les utilisateurs
Protection contre les menaces Microsoft
N'importe où Workday
Vérification du hachage de fichiers
Google Drive
Domicile Antivirus
Box
Sandbox SharePoint
Bureau
Atlassian
DropBox
EXE E-Mail SPAM
Invité @
Entreprise OneDrive
LinkedIn
Fournisseur @
Entreprise Salesforce
e-pdf Doc
L'inspection du contenu fournit une protection contre les sites actifs avec du contenu de logiciels
malveillants, ainsi qu'une protection contre les menaces connues et de type « Jour 0 ». Le
contenu que l'utilisateur a autorisé jusqu'à maintenant peut être inspecté afin de déterminer s'il
est dangereux.
Il existe trois options pour l'inspection du contenu :
n Vérification du hachage de fichiers (File Hash Check) : le fichier est analysé pour voir s'il
correspond à un hachage de fichiers connus stocké dans la base de données Cloud Web
Security. Un hachage de fichiers est une valeur unique et est comparé aux résultats de plus
de 50 moteurs AV. Le résultat d'une vérification du hachage peut être propre, malveillant ou
inconnu. S'il est propre, le fichier est autorisé sur le réseau. S'il est malveillant, le fichier est
supprimé. S'il est inconnu, le fichier est supprimé ou envoyé à l'analyse antivirus, selon les
options sélectionnées.
n Analyse antivirus (Anti-Virus Scan) : le fichier est analysé par la vérification de l'application
antivirus Cloud Web Security pour détecter les virus connus et les signatures de logiciels
malveillants. Si le fichier correspond à un virus ou à un logiciel malveillant connu, le fichier est
supprimé. Si le fichier ne correspond à aucun virus/logiciel malveillant connu, il est supprimé
ou envoyé au sandbox, selon les options sélectionnées.
n Sandbox : le sandbox est un environnement confiné dans lequel un fichier peut être analysé
en toute sécurité de deux manières :
n Analyse statique (Static Analysis) : inspecte dans le fichier les bibliothèques, les fonctions
importées, analyse les chaînes de code, les méthodes de liaison utilisées, etc.
VMware, Inc. 28Guide de configuration de VMware Cloud Web Security
n Analyse dynamique (Dynamic Analysis) : exécute le fichier dans un environnement
confiné et détermine si le fichier est infecté en fonction du comportement. Le traitement
de l'analyse dynamique est plus long.
Note La règle d'inspection du contenu par défaut pour tous les types de fichiers, toutes les
sources et la destination consiste à les marquer comme propres et à les autoriser sur le réseau.
Pour configurer l'inspection du contenu :
1 Dans l'écran Stratégies de sécurité (Security Policies) sélectionné, cliquez sur l'onglet
Inspection du contenu (Content Inspection) situé en haut de l'écran, comme indiqué sur
l'image ci-dessous.
2 Sélectionnez + AJOUTER UNE RÈGLE (+ ADD RULE).
L'écran Appliqué à l'inspection du contenu (Applied To Content Inspection) s'affiche.
3 Sous Type de transfert (Transfer Type), cochez la case d'option Téléchargement
(Download) ou Chargement (Upload), puis choisissez les deux types.
VMware, Inc. 29Guide de configuration de VMware Cloud Web Security
4 Sous Basé sur (Based on), sélectionnez Type de fichier (File Type) ou Hachage de fichiers
(File Hash), ce qui indique si l'inspection recherche les fichiers en fonction du type de fichier
ou du hachage de fichiers. (Un utilisateur ne peut pas choisir les deux).
a Si l'utilisateur sélectionne Type de fichier (File Type) choisissez une catégorie dans le
menu déroulant, comme indiqué sur l'image ci-dessus. Par exemple, comme indiqué sur
l'image ci-dessous, un utilisateur peut configurer une règle pour inspecter les fichiers
téléchargés qui correspondent aux types de fichiers Traitement de texte Word
répertoriés : Word, XPS, OpenOffice Text et Word Perfect.
b Si un utilisateur sélectionne Hachage de fichiers (File Hash), entrez un hachage SHA-256
dans la zone de texte appropriée.
5 Cliquez sur le bouton Suivant (Next).
L'écran Source et destination de l'inspection du contenu (Content Inspection Source and
Destination) s'affiche, comme indiqué sur l'image ci-dessous.
VMware, Inc. 30Guide de configuration de VMware Cloud Web Security
6 Dans l'écran Sélectionner la source et la destination (Select Source and Destination) sous
Source, un utilisateur peut cocher la case Tous les utilisateurs et groupes (All Users and
Groups) pour appliquer la règle à tous les utilisateurs et groupes ou décocher cette case
pour spécifier des utilisateurs et des groupes.
7 Sous Destinations entrez les domaines dans le champ de texte Spécifier des domaines
(Specify Domains) (par exemple, google.com). Un utilisateur spécifie le ou les domaines à
filtrer selon la règle. Un utilisateur peut spécifier plusieurs domaines par règle en séparant
chaque domaine par une virgule.
8 Cliquez sur le bouton Suivant (Next).
9 Dans l'écran Action d'inspection du contenu (Content Inspection Action), choisissez une
action dans le menu déroulant Action de stratégie (Policy Action) (Marquer comme propre
[Mark as Clean], Marquer comme infecté [Mark as Infected] ou Inspecter [Inspect]). Reportez-
vous au tableau ci-dessous pour obtenir une description de ces actions de stratégie et
consultez les sous-étapes ci-dessous pour obtenir une description de chaque action de
stratégie.
a Si l'utilisateur choisit les stratégies Marquer comme propre (Mark as Clean) ou Marquer
comme infecté (Mark As Infected), les options d'inspection (Toutes les vérifications [All
Checks], Vérification du hachage de fichiers [File Hash Check], Analyse complète de
fichiers [File Full Scan], Inspection du sandbox [Sandbox Inspection]) ne sont pas
disponibles.
VMware, Inc. 31Guide de configuration de VMware Cloud Web Security
b Si l'utilisateur choisit l'action de stratégie Inspecter (Inspect), il peut sélectionner jusqu'à
trois options d'inspection (Toutes les vérifications [All Checks], Vérification du hachage de
fichiers [File Hash Check], Analyse complète de fichiers [File Full Scan], Inspection du
sandbox [Sandbox Inspection]). REMARQUE : les options Toutes les vérifications (All
Checks) signifient que les trois options sont toutes sélectionnées.
Tableau 1-1. Description de l'action de stratégie (Policy Action Description)
Action de stratégie (Policy Action) Description
Marquer comme propre (Mark as Clean) Les fichiers sont automatiquement autorisés sur le
réseau sans inspection.
Marquer comme infecté (Mark as Infected) Les fichiers sont traités automatiquement comme
dangereux et sont supprimés et non autorisés sur le
réseau.
Inspecter (Inspect) Les fichiers correspondants sont soumis à trois
options d'inspection différentes au maximum. Si le
fichier échoue à l'inspection, il est supprimé.
10 Cliquez sur Suivant (Next).
11 Dans l'écran Nom, motifs et balises de l'inspection du contenu (Content Inspection Name,
Reasons and Tags), entrez les informations des champs de texte suivants : Nom de la règle
(Rule Name), Balises (Tags) et Motif (Reason). Dans le champ de texte Position, indiquez
l'emplacement de la règle dans la liste des règles de filtrage du contenu.
VMware, Inc. 32Guide de configuration de VMware Cloud Web Security
12 Cliquez sur Terminer (Finish).
La règle est désormais ajoutée à la stratégie de sécurité et l'utilisateur peut passer à la
fonctionnalité de sécurité.
13 L'utilisateur dispose des options suivantes : configurer une autre règle sous l'inspection du
contenu, configurer une autre catégorie de stratégie de sécurité ou, s'il a terminé, cliquer sur
le bouton Publier (Publish) pour publier la stratégie de sécurité.
14 Après la publication de la stratégie de sécurité, l'utilisateur est prêt à Application d'une
stratégie de sécurité.
Application d'une stratégie de sécurité
Après la configuration et la publication d'une stratégie de sécurité, un utilisateur peut ensuite
appliquer la stratégie de sécurité à un profil ou à un dispositif Edge à l'aide d'une stratégie
d'entreprise. Les stratégies d'entreprise peuvent être configurées au niveau du profil ou du
dispositif Edge.
Pour créer une règle de stratégie d'entreprise au niveau du profil et appliquer une stratégie de
sécurité, procédez comme suit :
Procédure
1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles) >
Stratégie d'entreprise (Business Policy).
VMware, Inc. 33Guide de configuration de VMware Cloud Web Security
2 Dans la zone Stratégie d'entreprise (Business Policy), cliquez sur Nouvelle règle (New Rule).
La boîte de dialogue Configurer la règle (Configure Rule) s'affiche.
VMware, Inc. 34Guide de configuration de VMware Cloud Web Security
3 Dans la boîte Nom de la règle (Rule Name), entrez un nom unique pour la règle.
4 Sous la zone Correspondance (Match), configurez les conditions de correspondance du flux
de trafic en définissant les critères de correspondance pour le trafic de destination vers
Internet.
5 Dans la zone Action, configurez les actions de la règle comme suit :
n Définissez l'option Service réseau (Network Service) sur Liaison Internet (Internet
Backhaul). Le service réseau de Liaison Internet (Internet Backhaul) n'est activé que si
l'option Destination est définie sur Internet.
n Cliquez sur le service réseau Passerelle VMware Cloud Web Security (VMware Cloud
Web Security Gateway) et sélectionnez une stratégie de sécurité publiée à appliquer à la
règle de stratégie d'entreprise.
6 Cliquez sur OK. La stratégie de sécurité sélectionnée est appliquée au profil sélectionné et
s'affiche dans la zone Stratégie d'entreprise (Business Policy) de la page Stratégie
d'entreprise du profil (Profile Business Policy).
Pour plus d'informations sur les stratégies d'entreprise, reportez-vous à la section Configurer
la stratégie d'entreprise du Guide d'administration de VMware SD-WAN publié à l'adresse
https://docs.vmware.com/fr/VMware-SD-WAN/index.html.
Étape suivante
n Surveillance de Cloud Web Security
Surveillance de Cloud Web Security
Affichez les résultats des stratégies Cloud Web Security configurées pour une entreprise dans
l'onglet Surveiller (Monitor) de la page Cloud Web Security du portail de la nouvelle interface
utilisateur d'Orchestrator.
Procédure
1 Dans le portail d'Orchestrator, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.
VMware, Inc. 35Guide de configuration de VMware Cloud Web Security
2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New
Orchestrator UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel
onglet.
3 Dans le menu déroulant SD-WAN, sélectionnez Cloud Web Security.
La page Cloud Web Security s'affiche.
4 Cliquez sur l'onglet Surveiller (Monitor).
Dans la section Surveillance (Monitoring) de Cloud Web Security, vous pouvez afficher les
trois options de surveillance suivantes :
n Analyse des menaces (Threat Analysis)
n Analyse du trafic (Traffic Analysis)
n Journaux Web (Web Logs)
Le tableau de bord Analyse des menaces (Threat Analysis) garantit qu'un utilisateur puisse
obtenir une visibilité détaillée des menaces. Le tableau de bord affiche les éléments suivants :
n Types de menaces (Threat Types)
n Origines des menaces (Threat Origins)
n Services vulnérables (Vulnerable Services)
n Menaces par utilisateurs (Threats By Users)
Le tableau Analyse du trafic (Traffic Analysis) garantit qu'un utilisateur puisse obtenir une
visibilité détaillée du trafic utilisateur. Le tableau de bord affiche les éléments suivants :
n Principaux sites visités par les utilisateurs (Top Sites being visited by users)
VMware, Inc. 36Guide de configuration de VMware Cloud Web Security
n Catégories principales pour le trafic (Top Categories for traffic)
n Résumé des actions (Actions Summary), pourcentage de trafic autorisé/bloqué
n Principaux utilisateurs (Top Users)
Journaux Web (Web Logs)
Cloud Web Security consigne toutes les sessions et les menaces. Sur la page Journaux Web
(Web Logs), un utilisateur peut afficher une liste de journaux, en parcourant la liste complète.
Toute entrée de journal peut être sélectionnée. Un écran Détails de l'entrée de journal (Log
Entry Details) s'affiche alors sous la liste Journaux Web (Web Logs), ce qui fournit des
détails précis sur cette entrée de journal particulière.
VMware, Inc. 37Guide de configuration de VMware Cloud Web Security VMware, Inc. 38
Vous pouvez aussi lire
