Uso de políticas basadas en reglas en Umbrella Secure Internet Gateway

Introducción

Este documento describe la función de política basada en reglas de Umbrella Secure Internet Gateway (SIG) y responde a preguntas comunes.

Visión General de la Transición de Políticas Basadas en Reglas

El 31 de marzo de 2021, la política basada en reglas se puso a disposición de los clientes de Umbrella SIG. Los clientes de Umbrella SIG cambian gradualmente a la política basada en reglas desde las políticas web heredadas durante varias semanas. Los clientes reciben una notificación de la fecha y la ventana de transición a través del panel de Umbrella. Este cambio no afecta a los clientes de Umbrella DNS ni a la configuración de la política DNS.

Nota: Esta sección de preguntas frecuentes pretende responder a preguntas rápidas de usuarios nuevos y experimentados de Umbrella sobre el cambio de políticas web heredadas a conjuntos de reglas.  Para obtener documentación más detallada, consulte la Guía de administración de Umbrella actualizada.

Preguntas Frecuentes

¿Qué es una política web?

Una política web es la recopilación de todos los conjuntos de reglas de una organización Umbrella.

¿Qué es un conjunto de reglas?

Un conjunto de reglas es un contenedor lógico de un conjunto de reglas y configuraciones que se aplican a esas reglas dentro del conjunto de reglas.

¿Por qué utilizar conjuntos de reglas?

Un conjunto de reglas puede representar una ubicación geográfica, un grupo de oficinas o usuarios específicos que requieren una gestión distinta de la del resto de la organización.

¿Qué parámetros se pueden configurar en un conjunto de reglas?

Configure los parámetros proporcionados en los conjuntos de reglas. Esta configuración sólo se aplica a las reglas de ese conjunto de reglas:

• Nombre del conjunto de reglas
• Identidades del conjunto de reglas
• Bloquear página
• Controles de arrendatario
• Análisis de archivos
• Control de tipo de archivo
• Inspección de HTTPS
• Archivo PAC
• Registro de conjunto de reglas
• SAML
• Configuración de seguridad

Para obtener explicaciones detalladas, consulte: Configurar un conjunto de reglas.

¿Qué son las reglas?

Una regla es una instrucción que define qué acción se debe realizar cuando una identidad y un destino coinciden.

¿Por qué utilizar reglas?

Las reglas permiten un control de acceso granular o amplio. Por ejemplo, una regla de prioridad baja puede bloquear una amplia gama de sitios web para todos los usuarios, mientras que una regla de prioridad alta puede permitir el acceso a sitios específicos para un grupo de destino, todos dentro del mismo conjunto de reglas.

¿Qué identidades son compatibles?

Tanto los conjuntos de reglas como las reglas admiten estas identidades:

• usuario AD
• Grupo AD
• Equipo en roaming (punto final de AnyConnect)
• Red interna
• Túnel
• Red

¿Qué destinos son compatibles?

Las reglas admiten estos destinos:

• Categorías de contenido
• Configuraciones de la aplicación
• Listas de destino

¿Qué acciones se admiten?

Las reglas admiten estas acciones:

• Permiso
• Bloqueo
• Avisar
• Aislar

¿Qué parámetros se pueden configurar en una regla?

Las reglas se pueden configurar con:

• Nombre de regla
• Acción
• Identidad
• Destino
• Programación de hora/día

Para obtener más información, vea Agregar reglas a un conjunto de reglas.

¿Cómo se evalúan los conjuntos de reglas?

Los conjuntos de reglas se evalúan en una jerarquía de arriba hacia abajo con respecto a las identidades disponibles. Primero se evalúa el conjunto de reglas con la prioridad más alta. Si no se produce ninguna coincidencia, se evalúa el siguiente conjunto de reglas de mayor prioridad, y así sucesivamente. Si no se produce ninguna coincidencia en ningún conjunto de reglas, se aplica el conjunto de reglas predeterminado.

Screen_Shot_2021-04-07_at_2.37.22_PM.png

¿Cómo se evalúan las reglas?

Las reglas de un conjunto de reglas seleccionado se evalúan de arriba hacia abajo con respecto a las identidades y destinos disponibles. Una regla sólo se aplica cuando coinciden una identidad y un destino. A continuación, se aplica la acción configurada para la regla (permitir, bloquear, advertir o aislar).
Screen_Shot_2021-05-10_at_10.33.03_AM.png

¿Se aplica una regla a la misma identidad que coincide con el conjunto de reglas?

Una regla puede coincidir con la misma identidad que el conjunto de reglas, pero no siempre es así. Cuando Umbrella recibe una solicitud web, recopila todas las identidades presentes. A continuación, las reglas del conjunto de reglas seleccionado se evalúan con respecto al mismo grupo de identidades y también deben coincidir con un destino. La identidad real utilizada por una regla puede diferir de la identidad que coincide con el conjunto de reglas.

Ejemplo:

• JDoe funciona desde la Red B.
• La organización tiene estos conjuntos de reglas:
  • Conjunto de reglas 1: Red A
  • Conjunto de reglas 2: Red B
  • Conjunto de reglas 3: Red C

Sólo el conjunto de reglas 2 se aplica a JDoe. Dentro del conjunto de reglas 2:

• Regla 1: Identity ASmith, dominio de destino B, acción permitida
• Regla 2: Marketing de identidad, Destino SomeSocialApp, Acción Permitir
• Regla 3: Identity Network B, categorías de contenido de destino (dominio B, someSocialApp), bloque de acción

Resultados:

• JDoe está bloqueado en el dominio B (regla 3).
• JDoe, como miembro de Marketing, puede acceder a SomeSocialApp (regla 2).

El orden de evaluación de la regla determina el resultado. Las identidades más específicas (usuario, grupo) se colocan antes que las menos específicas (red). El primer partido gana.

¿Cómo sé qué regla se utilizó en una transacción?

El informe Búsqueda de actividad captura el conjunto de reglas y la regla utilizados en una transacción. Esta información se encuentra en Detalles completos para solicitudes de URL. El campo se denomina actualmente "Política/Regla", pero cambia a "Conjunto de reglas/Regla" a medida que los clientes pasan de políticas web heredadas a conjuntos de reglas.

¿Dónde puedo encontrar documentación en línea para los conjuntos de reglas?

Consulte la Guía de administración de Umbrella Administrar políticas web.