Externe DLP-Integration

Hinweis

  • Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen aktualisieren wir die Screenshots und Anweisungen hier und in verwandten Seiten. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

  • Microsoft Defender for Cloud Apps ist jetzt Teil Microsoft 365 Defender. Das Microsoft 365 Defender-Portal ermöglicht Sicherheitsadministratoren, ihre Sicherheitsaufgaben an einem Ort auszuführen. Dadurch werden Workflows vereinfacht und die Funktionalität der anderen Microsoft 365 Defender-Dienste hinzugefügt. Microsoft 365 Defender ist das Zuhause für die Überwachung und Verwaltung von Sicherheit in Ihren Microsoft-Identitäten, Daten, Geräten, Apps und Infrastruktur. Weitere Informationen zu diesen Änderungen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Microsoft Defender for Cloud Apps kann in vorhandene DLP-Lösungen integriert werden, um diese Steuerelemente auf die Cloud zu erweitern und gleichzeitig eine einheitliche und einheitliche Richtlinie in lokalen und Cloudaktivitäten zu erhalten. Die Plattform exportiert einfach verwendbare Schnittstellen wie REST-API und ICAP, und ermöglicht Ihnen so die Integration in Inhaltsklassifizierungssysteme wie z.B. Symantec Data Loss Prevention (früher Vontu Data Loss Prevention) oder Forcepoint DLP.

Sie können die Integration mit dem ICAP-Standardprotokoll ausführen. Dabei handelt es sich um ein HTTP-ähnliches Protokoll, dass in RFC 3507 beschrieben wird. Um ICAP für die Übertragung Ihrer Daten zu sichern, ist es erforderlich, einen sicheren TLS-Tunnel (Stunnel) zwischen Ihrer DLP-Lösung und Defender für Cloud Apps einzurichten. Das Stunnel-Setup bietet TLS-Verschlüsselungsfunktionen für Ihre Daten, da sie zwischen Ihrem DLP-Server und Defender für Cloud Apps wechselt.

In diesem Leitfaden werden die erforderlichen Schritte zum Konfigurieren der ICAP-Verbindung in Defender für Cloud Apps und dem Stunnel-Setup bereitgestellt, um die Kommunikation über sie zu sichern.

Architektur

Defender für Cloud Apps überprüft Ihre Cloudumgebung und entscheidet, ob die Datei mithilfe des internen DLP-Moduls oder des externen DLP-Moduls gescannt werden soll. Wenn ein Scan mit externer DLP durchgeführt wird, wird die Datei über den sicheren Tunnel an die Kundenumgebung gesendet, in der sie an die ICAP-Anwendung zur DLP-Bewertung weitergegeben wird: kann sie genehmigt oder muss sie blockiert werden? Antworten werden an Defender für Cloud Apps über den Stunnel gesendet, in dem sie von der Richtlinie verwendet wird, um nachfolgende Aktionen wie Benachrichtigungen, Quarantäne und Freigabesteuerung zu bestimmen.

Stunnel architecture.

Da Defender für Cloud Apps in Azure ausgeführt werden, führt eine Bereitstellung in Azure zu einer verbesserten Leistung. Es gibt aber auch andere unterstützte Optionen, wie andere Clouds und lokale Bereitstellungen. Das Bereitstellen in anderen Umgebungen kann zu eine niedrigeren Leistung aufgrund von längeren Wartezeiten und geringerem Durchsatz führen. Der ICAP-Server und -Stunnel müssen zusammen im gleichen Netzwerk bereitgestellt werden, um sicherzustellen, dass der Verkehr verschlüsselt ist.

Voraussetzungen

Um Defender für Cloud Apps Daten über Ihren ICAP-Server zu senden, öffnen Sie Ihre DMZ-Firewall auf die externen IP-Adressen, die von Defender für Cloud Apps mit einer dynamischen Quellportnummer verwendet werden.

  1. Quelladressen: Konsultieren Sie Verbinden von Apps, Voraussetzungen.
  2. Quell-TCP-Port: dynamisch
  3. Zieladresse(n): eine oder zwei IP-Adressen des Stunnels, die mit dem externen ICAP-Server verbunden sind, und die Sie in den nächsten Schritten konfigurieren
  4. Ziel-TCP-Port: wie in Ihrem Netzwerk definiert

Hinweis

Standardmäßig ist die Stunnelportnummer auf 11344 festgelegt. Falls notwendig können Sie diese Nummer ändern. Dabei sollte Sie sich jedoch unbedingt die neue Portnummer notieren, da Sie diese im nächsten Schritt eingeben müssen.

SCHRITT 1: Einrichten des ICAP-Servers

Richten Sie einen ICAP-Server ein, und notieren Sie sich die Portnummer. Achten Sie darauf, dass Sie den Modus auf Blocking (Blockieren) festlegen. Der Blockierungsmodus legt den ICAP-Server fest, um das Klassifizierungskennzeichen zurück an Defender für Cloud Apps zu weiterleiten.

Lesen Sie sich die Dokumentation Ihres Produkts mit externen DLP durch, wenn Sie eine Anleitung zum Setup benötigen. Sehen Sie sich als Beispiel Anhang A: Einrichten eines Forcepoint ICAP-Servers und Anhang B: Symantec-Bereitstellungshandbuch an.

SCHRITT 2: Einrichten des Stunnelservers

In diesem Schritt richten Sie den Stunnel ein, der mit Ihrem ICAP-Server verbunden ist.

Hinweis

Dieser Schritt wird zwar dringend empfohlen, ist aber optional und kann bei Testworkloads übersprungen werden.

Installation des Stunnels auf einem Server

Voraussetzungen

  • Ein Server: entweder ein Windows- oder ein Linux-Server, basierend auf weiter Verbreitung

Konsultieren Sie die Stunnel-Website, wenn Sie ausführlichere Informationen zu Servertypen erhalten möchten, die eine Stunnelinstallation unterstützen. Wenn Sie Linux verwenden, können Sie die Installation mithilfe Ihres Linux-Verteilungs-Managers durchführen.

Installation eines Stunnels unter Windows

  1. Laden Sie die aktuellste Version von Windows Server herunter (diese Anwendung sollte für jede aktuelle Edition von Windows Server funktionieren). (Standardinstallation)

  2. Erstellen Sie bei der Installation kein neues selbstsigniertes Zertifikat. Sie erfahren später, wie Sie das Zertifikat erstellen.

  3. Klicken Sie auf Start server after installation (Server nach Installation starten).

  4. Erstellen Sie ein Zertifikat auf eine der folgenden Weisen:

    • Verwenden Sie Ihren Zertifikatverwaltungsserver, um ein TLS-Zertifikat auf Ihrem ICAP-Server zu erstellen. Kopieren Sie anschließend die Schlüssel auf den Server, den Sie für die Installation des Stunnels vorbereitet haben.
    • Alternativ können Sie auf dem Stunnelserver folgende OpenSSL-Befehle verwenden, um einen privaten Schlüssel und ein selbstsigniertes Zertifikat zu erstellen. Ersetzen Sie diese Variablen:
      • schlüssel.pem durch den Namen Ihres privaten Schlüssels
      • cert.pem mit dem Namen Ihres Zertifikats
      • stunnel-key mit dem Namen des neu erstellten Schlüssels
  5. Öffnen Sie im Installationspfad des Stunnels das Konfigurationsverzeichnis. Dies ist standardmäßig: c:\Programmdateien (x86)\stunnel\config\

  6. Führen Sie die Befehlszeile mit Administratorberechtigungen aus:

    ..\bin\openssl.exe genrsa -out key.pem 2048
    ..\bin\openssl.exe  req -new -x509 -config ".\openssl.cnf" -key key.pem -out .\cert.pem -days 1095
    
  7. Verketten Sie „zert.pem“ und „schlüssel.pem“, und speichern Sie diese in der Datei: type cert.pem key.pem >> stunnel-key.pem

  8. Laden Sie den öffentlichen Schlüssel herunter, und speichern Sie diesen an folgendem Speicherort: C:\Programme (x86)\stunnel\config\MCASca.pem.

  9. Fügen Sie die folgenden Regeln hinzu, um den Port in der Windows-Firewall freizugeben:

    rem Open TCP Port 11344 inbound and outbound
    netsh advfirewall firewall add rule name="Secure ICAP TCP Port 11344" dir=in action=allow protocol=TCP localport=11344
    netsh advfirewall firewall add rule name="Secure ICAP TCP Port 11344" dir=out action=allow protocol=TCP localport=11344
    
  10. Führen Sie c:\Program Files (x86)\stunnel\bin\stunnel.exe aus, um die Stunnelanwendung zu öffnen.

  11. Klicken Sie auf Konfiguration und dann auf Konfiguration bearbeiten.

    Edit Windows Server configuration.

  12. Öffnen Sie die Datei, und fügen Sie die folgenden Serverkonfigurationszeilen ein. Die DLP Server-IP ist die IP-Adresse Ihres ICAP-Servers, stunnel-key ist der Schlüssel, den Sie im vorherigen Schritt erstellt haben, und MCASCAfile ist das öffentliche Zertifikat des Defender für Cloud Apps-Stunnelclients. Löschen Sie jeglichen vorhandenen Beispieltext (im Beispiel wird Gmail-Text angezeigt), und kopieren Sie den folgenden Text in die Datei:

    [microsoft-Cloud App Security]
    accept = 0.0.0.0:11344
    connect = **ICAP Server IP**:1344
    cert = C:\Program Files (x86)\stunnel\config\**stunnel-key**.pem
    CAfile = C:\Program Files (x86)\stunnel\config\**MCASCAfile**.pem
    TIMEOUTclose = 0
    client = no
    
  13. Speichern Sie die Datei, und klicken Sie auf Konfiguration neu laden.

  14. Um zu überprüfen, das alles ordnungsgemäß funktioniert, führen Sie netstat -nao | findstr 11344 aus einer Eingabeaufforderung aus.

Installation eines Stunnels unter Ubuntu

Das folgende Beispiel basiert auf einer Ubuntu-Serverinstallation, bei der Sie als Root-Benutzer angemeldet sind. Verwenden Sie für andere Server parallele Befehle.

Laden Sie auf dem vorbereiteten Server die neuste Version des Stunnels herunter, und installieren Sie diese. Führen Sie den folgenden Befehl auf Ihrem Ubuntu-Server aus, um sowohl den Stunnel als auch OpenSSL zu installieren:

apt-get update
apt-get install openssl -y
apt-get install stunnel4 -y

Überprüfen Sie durch Ausführen des folgenden Befehls, ob der Stunnel installiert ist: Sie sollten die Versionsnummer und eine Liste mit Konfigurationsoptionen erhalten:

stunnel-version

Generieren von Zertifikaten

Der ICAP-Server und Defender für Cloud Apps verwenden einen privaten Schlüssel und ein öffentliches Zertifikat für die Serververschlüsselung und Authentifizierung im gesamten Stunnel. Achten Sie darauf, dass sie den privaten Schlüssel ohne eine Passphrase erstellen, damit der Stunnel als Hintergrunddienst ausgeführt werden kann. Legen Sie die Berechtigungen der Dateien für den Stunnelbesitzer auf Lesbar fest und für jeden anderen auf keine.

Sie können die Zertifikate auf eine der folgenden Weisen erstellen:

  • Verwenden Sie Ihren Zertifikatverwaltungsserver, um ein TLS-Zertifikat auf Ihrem ICAP-Server zu erstellen. Kopieren Sie anschließend die Schlüssel auf den Server, den Sie für die Installation des Stunnels vorbereitet haben.
  • Alternativ können Sie auf dem Stunnelserver folgende OpenSSL-Befehle verwenden, um einen privaten Schlüssel und ein selbstsigniertes Zertifikat zu erstellen. Ersetzen Sie diese Variablen:
    • schlüssel.pem durch den Namen Ihres privaten Schlüssels

    • cert.pem mit dem Namen Ihres Zertifikats

    • stunnel-key mit dem Namen des neu erstellten Schlüssels

      openssl genrsa -out key.pem 2048
      openssl req -new -x509 -key key.pem -out cert.pem -days 1095
      cat key.pem cert.pem >> /etc/ssl/private/stunnel-key.pem
      

Laden Sie den öffentlichen Client für Defender für Cloud Apps-Stunnel-Client herunter.

Laden Sie den öffentlichen Schlüssel unter https://adaprodconsole.blob.core.windows.net/icap/publicCert.pem herunter, und speichern Sie ihn an diesem Speicherort: /etc/ssl/certs/MCASCAfile.pem

Konfigurieren des Stunnels

Die Konfiguration des Stunnels ist in der Datei „stunel.conf“ festgelegt.

  1. Erstellen Sie die Datei „stunnel.conf“ in folgendem Verzeichnis: vim /etc/stunnel/stunnel.conf.

  2. Öffnen Sie die Datei, und fügen Sie die folgenden Serverkonfigurationszeilen ein. Die DLP Server-IP ist die IP-Adresse Ihres ICAP-Servers, stunnel-key ist der Schlüssel, den Sie im vorherigen Schritt erstellt haben, und MCASCAfile ist das öffentliche Zertifikat des Defender für Cloud Apps-Stunnelclients:

    [microsoft-Cloud App Security]
    accept = 0.0.0.0:11344
    connect = **ICAP Server IP**:1344
    cert = /etc/ssl/private/**stunnel-key**.pem
    CAfile = /etc/ssl/certs/**MCASCAfile**.pem
    TIMEOUTclose = 1
    client = no
    

Aktualisieren der IP-Tabelle

Sie können die Tabelle der IP-Adressen mit der folgenden Routenregel aktualisieren:

iptables -I INPUT -p tcp --dport 11344 -j ACCEPT

Wenn die Aktualisierung Ihrer IP-Tabelle persistent sein soll, verwenden Sie den folgenden Befehl:

sudo apt-get install iptables-persistent
sudo /sbin/iptables-save > /etc/iptables/rules.v4

Ausführen des Stunnels

  1. Führen Sie auf Ihrem Stunnelserver den folgenden Befehl aus:

    vim /etc/default/stunnel4
    
  2. Ändern Sie die Variable „ENABLED“ in 1:

    ENABLED=1
    
  3. Starten Sie den Dienst neu, damit die Konfiguration übernommen wird.

    /etc/init.d/stunnel4 restart
    
  4. Führen Sie folgende Befehle aus, um zu überprüfen, dass der Stunnel ordnungsgemäß ausgeführt wird:

    ps -A | grep stunnel
    

    Und führen Sie den folgenden Befehl aus, um zu überprüfen, ob er auf dem aufgelisteten Port lauscht:

    netstat -anp | grep 11344
    
  5. Achten Sie darauf, dass das Netzwerk, in dem der Stunnelserver bereitgestellt wurde, den weiter oben genannten Netzwerkvoraussetzungen entspricht. Dies ist erforderlich, um eingehende Verbindungen von Defender für Cloud Apps zuzulassen, den Server erfolgreich zu erreichen.

Wenn der Prozess noch nicht ordnungsgemäß ausgeführt wird, konsultieren Sie die Stunnel-Dokumentation, um das Problem zu beheben.

SCHRITT 3: Verbinden zu Defender für Cloud Apps

  1. Wählen Sie in Defender für Cloud Apps unter EinstellungenSicherheitserweiterungen aus, und wählen Sie die Registerkarte "Externe DLP" aus.

  2. Klicken Sie auf das Pluszeichen, um eine neue Sammlung hinzuzufügen.

  3. Geben Sie im Assistenten "Neue externe DLP hinzufügen " einen Verbindungsnamen (z. B. "Mein Forcepoint-Connector") an, der zum Identifizieren des Connectors verwendet wird.

  4. Wählen Sie den Verbindungstyp aus:

    • Symantec Vontu: Verwenden Sie die benutzerdefinierte Integration für Vontu DLP-Anwendungen.

    • Forcepoint DLP: Verwenden Sie die benutzerdefinierte Integration für Forcepoint DLP-Anwendungen.

    • Generisches ICAP – REQMOD: Verwenden Sie diesen Verbindungstyp für andere DLP-Anwendungen, die auf Anforderungsmodifikation zurückgreifen.

    • Generisches ICAP – REQMOD: Verwenden Sie diesen Verbindungstyp für andere DLP-Anwendungen, die auf Antwortmodifikation zurückgreifen.

      Defender for Cloud Apps ICAP connection type.

  5. Navigieren Sie zum Auswählen des öffentlichen Zertifikats, das Sie in den vorherigen Schritten "cert.pem" generiert haben, um eine Verbindung mit Ihrem Stunnel herzustellen. Klicken Sie auf Weiter.

    Hinweis

    Es wird dringend empfohlen, das Kontrollkästchen Use secure ICAP (Sicheres ICAP verwenden) zu aktivieren, um ein verschlüsseltes Stunnelgateway einzurichten. Wenn Sie für Testzwecke oder wenn Sie keinen Stunnelserver haben, können Sie dieses Kontrollkästchen deaktivieren, um direkt in Ihren DLP-Server zu integrieren.

  6. Geben Sie auf der Seite Serverkonfiguration die IP-Adresse und den Port des Stunnelservers an, den Sie in Schritt 2 eingerichtet haben. Aus Gründen des Lastenausgleichs können Sie die IP-Adresse und den Port eines zusätzlichen Servers konfigurieren. Bei den angegebenen IP-Adressen sollte es sich um externe statische IP-Adressen Ihres Servers handeln.

    Defender for Cloud Apps ICAP connection IP address and port.

  7. Klicken Sie auf Weiter. Defender für Cloud Apps testet die Konnektivität mit dem von Ihnen konfigurierten Server. Wenn Sie eine Fehlermeldung erhalten, überprüfen Sie die Anweisungen und Netzwerkeinstellungen. Nachdem die Verbindung hergestellt wurde, können Sie auf Beenden klicken.

  8. Wenn Sie nun einen Datenverkehr an diesen externen DLP-Server weiterleiten möchten, wählen Sie beim Erstellen einer Dateirichtlinie unter der Inhaltsüberprüfungsmethode die von Ihnen erstellte Verbindung aus. Weitere Informationen erhalten Sie im Artikel zum Erstellen von Dateirichtlinien.

Anhang A: Einrichten eines Forcepoint ICAP-Servers

Legen Sie in Forcepoint ein Gerät mit den folgenden Schritten fest:

  1. Wechseln Sie in Ihrer DLP-Appliance zuBereitstellungssystemmodulen>.

    ICAP deployment.

  2. Achten Sie auf der Registerkarte Allgemein darauf, dass der ICAP-Serveraktiviert ist, und dass der Standardport auf 1344 festgelegt ist. Wählen Sie außerdem unter Allow connection to this ICAP Server from the following IP addresses (Verbindung mit diesem ICAP-Server von diesen IP-Adressen erlauben) Jede IP-Adresse aus.

    ICAP configuration.

  3. Achten Sie auf der Registerkarte „HTTP/HTTPS“ darauf, dass der Modus auf Blocking (Blockieren) festgelegt ist.

    ICAP blocking.

Anhang B: Symantec Deployment Guide

Die unterstützten Symantec DLP-Versionen sind 11 und höher.

Wie oben erwähnt, sollten Sie einen Erkennungsserver im gleichen Azure-Rechenzentrum bereitstellen, in dem sich Ihr Defender für Cloud Apps-Mandant befindet. Der Erkennungsserver führt die Synchronisierung mit dem Enforce-Server über einen dedizierten IPSec-Tunnel aus.

Installation des Erkennungsservers

Der erkennungsserver, der von Defender für Cloud Apps verwendet wird, ist ein Standardmäßiger Netzwerkhinderungsserver für Webserver. Es sind mehrere Konfigurationsoptionen vorhanden, die geändert werden sollten:

  1. Deaktivieren Sie den Testmodus:

    1. Klicken Sie unter Systemservern>und Detektoren auf das ICAP-Ziel.

      ICAP target.

    2. Klicken Sie auf Konfigurieren.

      Configure ICAP target.

    3. Testmodus deaktivieren.

      disable trial mode pop-up.

  2. Ändern Sie unter der ICAP-Antwortfilterung> den Wert "Antworten ignorieren" auf "Kleiner als" in "1".

  3. Fügen Sie der Liste des Inhaltstyps "application/*" hinzu.

    inspect content type.

  4. Klicken Sie unten auf der Seite auf Speichern.

Richtlinienkonfiguration

Defender für Cloud Apps unterstützt nahtlos alle Erkennungsregeltypen, die in Symantec DLP enthalten sind, sodass keine vorhandenen Regeln geändert werden müssen. Allerdings muss eine Konfigurationsänderung auf alle vorhandenen und neuen Richtlinien angewendet werden, damit die vollständige Integration ermöglicht wird. Diese Änderung besteht im Hinzufügen einer bestimmter Antwortregel zu allen Richtlinien.

Fügen Sie Vontu die Konfigurationsänderung hinzu:

  1. Wechseln Sie zu "Richtlinienantwortregeln> verwalten>", und klicken Sie auf "Antwortregel hinzufügen".

    add response rule.

  2. Stellen Sie sicher, dass Automated Response ausgewählt ist, und klicken Sie dann auf Next.

    automated response.

  3. Geben Sie einen Regelnamen ein, z. B. Block HTTP/HTTPS. Wählen Sie unter Aktionen die Option Block HTTP/HTTPS (HTTP/HTTPS blockieren) aus, und klicken Sie dann auf Speichern.

    block http.

Fügen Sie die Regel, die Sie erstellt haben, allen vorhandenen Richtlinien hinzu:

  1. Wechseln Sie in jeder Richtlinie auf die Registerkarte Response.

  2. Wählen Sie in der Dropdownliste "Antwortregel" die zuvor erstellte Blockantwortregel aus.

  3. Speichern Sie die Richtlinie.

    disable trial mode in policy.

Diese Regel muss allen vorhandenen Richtlinien hinzugefügt werden.

Hinweis

Wenn Sie Symantec vontu zum Scannen von Dateien aus Dropbox verwenden, zeigt CAS automatisch die Datei als Ursprung der folgenden URL an: http://misc/filename Diese Platzhalter-URL führt nicht überall, sondern wird für Protokollierungszwecke verwendet.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.