Umbrella에 대한 SWG 정책 구성

소개

이 문서에서는 Umbrella와 함께 사용하도록 웹 정책을 구성하는 방법에 대해 설명합니다.

배경 정보

Umbrella SWG(Secure Web Gateway)를 시작합니다. 구축 후 가장 중요한 단계는 웹 정책을 정의하여 수신한 베이스라인 동작이 예상대로 이루어지도록 하는 것입니다. 현재 이 정책 흐름은 DNS 레이어 정책을 정확히 미러링합니다.

Umbrella 웹 정책

Umbrella 웹 정책은 상위 일치 애플리케이션 알고리즘과 함께 작동합니다. 즉, 현재 ID 집합과 일치하는 첫 번째 정책이 적용되고 이후의 모든 정책 일치는 무시됩니다. 이는 모든 Umbrella 정책의 기초이며 프록시 기반 웹 정책에 대한 기존 기대치와 다를 수 있습니다.

정책은 이 순서도에 표시된 대로 작동합니다. 쿼리에 포함된 ID에 대한 첫 번째 정책 일치는 추가 정책을 고려하지 않고 적용됩니다.

순서도-SWG.png

이 흐름은 Umbrella DNS 정책에서 제공되지 않는 것에 대해 새로운 것이므로, 다음은 여러 정책이 동일한 사용자 또는 그룹에 적용되는 정책 집합의 예입니다. Phil(또는 Phil의 사용자 그룹)에 적용되는 첫 번째 정책만 사용되고 나머지 모든 일치는 무시되는 방법에 유의하십시오. 추가 일치는 Umbrella 정책에서 집계되지 않으며 단순히 무시됩니다.

순서도-flow.png

따라서 Umbrella SWG 정책에서는 이러한 기능을 사용할 수 없습니다.

• 중첩된 정책
• 정책을 가로지르는 애플리케이션 또는 웹 사이트에 대한 제외 허용 및 차단
  • 예: Phil에 대한 정책 제외는 Facebook 허용, Instagram 허용 및 Dropbox 제외를 허용하고 있지만 Philis는 Facebook 허용 및 Instagram 허용만 허용합니다.
    • Umbrella 정책에서 이는 두 가지 고유한 정책이 됩니다.
      • Facebook, Instagram, Dropbox가 Phil에 적용되도록 허용
      • Facebook, Instagram Philis에 적용 허용
    • 허용되거나 차단된 개별 애플리케이션의 각 조합에는 해당 사용자가 정책에 추가된 새 정책이 있어야 합니다.

또한 HTTP/S가 아닌 모든 트래픽은 이 유형의 트래픽에 대한 DNS 레이어 정책을 수신합니다.

클라우드 기반 방화벽 및 SWG에 대한 중요 참고 사항

Umbrella CDFW는 허용되는 모든 HTTP/S 트래픽을 Umbrella SWG를 통해 전송하므로 정책도 적용합니다. 정책이 정의되면 정책 애플리케이션 흐름은 SWG 흐름과 동일하게 작동합니다.

순서도-cdfw.png

로밍 보안 모듈 정책에 대한 중요 참고 사항

Umbrella Roaming Module에서는 정책이 네트워크 상의 정책과 다르게 적용됩니다. 로밍 모듈은 네트워크 내 프록시 컨피그레이션 또는 PAC 파일과 호환되지 않으며 네트워크 외 사용 사례만 지원합니다. 네트워크에 있는 경우 비활성화할 수 있습니다.

SWG 정책으로 로밍 모듈을 사용하는 경우 보안 블록을 포함한 모든 블록에 대해 DNS 정책이 먼저 적용됩니다. DNS 정책의 결과가 차단이 아닌 경우 프록시 정책이 적용됩니다. 또한 HTTP/S 트래픽이 아닌 트래픽의 경우 DNS 정책이 배타적으로 적용됩니다. 따라서 정책은 다음 순서로 적용됩니다.

1. DNS 정책(블록용)
2. SWG 정책

Flowchart-module.png

자세히 알아보시겠습니까? Cisco의 튜토리얼 비디오를 확인하십시오. Umbrella 웹 정책.