Integrazione DLP esterna

  • Articolo
  • 12 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Microsoft Defender for Cloud Apps può integrarsi con soluzioni DLP esistenti per estendere questi controlli al cloud mantenendo un criterio coerente e unificato tra attività locali e cloud. La piattaforma esporta interfacce facili da usare tra cui l'API REST e ICAP, consentendo l'integrazione con sistemi di classificazione dei contenuti come ad esempio Symantec Data Loss Prevention, nota in precedenza come Vontu Data Loss Prevention, o Forcepoint DLP.

L'integrazione avviene tramite il protocollo ICAP standard, un protocollo HTTP descritto nel documento RFC 3507. Per proteggere ICAP per la trasmissione dei dati, è necessario configurare un tunnel TLS sicuro (stunnel) tra la soluzione DLP e le app di Defender per il cloud. L'installazione di stunnel offre funzionalità di crittografia TLS ai dati durante il viaggio tra il server DLP e le app di Defender per il cloud.

Questa guida illustra i passaggi necessari per configurare la connessione ICAP in app Defender per il cloud e la configurazione dello stunnel per proteggere la comunicazione tramite essa.

Architettura

Defender per il cloud App analizza l'ambiente cloud e in base alla configurazione dei criteri di file, decide se analizzare il file usando il motore DLP interno o il DLP esterno. Se viene applicata l'analisi DLP esterna, il file viene inviato tramite il tunnel protetto all'ambiente del cliente in cui viene inoltrato all'appliance ICAP per l'esito DLP in base al quale viene autorizzato o bloccato. Le risposte vengono inviate nuovamente alle app Defender per il cloud sullo stunnel in cui viene usato dal criterio per determinare le azioni successive, ad esempio notifiche, quarantena e controllo di condivisione.

Stunnel architecture.

Poiché le app Defender per il cloud vengono eseguite in Azure, una distribuzione in Azure restituisce prestazioni migliorate. Tuttavia, sono supportate altre opzioni, inclusa la distribuzione in altri cloud e in locale. La distribuzione in altri ambienti può comportare una riduzione delle prestazioni a causa della latenza superiore e della velocità effettiva ridotta. Il server ICAP e lo stunnel devono essere distribuiti insieme nella stessa rete per garantire che il traffico venga crittografato.

Prerequisiti

Per consentire alle app di Defender per il cloud di inviare dati tramite lo stunnel al server ICAP, aprire il firewall della rete virtuale agli indirizzi IP esterni usati da app Defender per il cloud con un numero di porta di origine dinamica.

  1. Indirizzi di origine: fare riferimento a Connettere le app, in Prerequisiti
  2. Porta TCP di origine: dinamica
  3. Indirizzi di destinazione: uno o due indirizzi IP dello stunnel connesso al server ICAP esterno che verrà configurato nei passaggi successivi
  4. Porta TCP di destinazione: come definita nella rete

Nota

Per impostazione predefinita il numero di porta dello stunnel è impostato su 11344. È possibile modificarlo impostandolo su un'altra porta, se necessario, ma assicurarsi di prendere nota del nuovo numero in quanto sarà necessario immetterlo nel passaggio successivo.

PASSAGGIO 1: Configurare il server ICAP

Configurare un server ICAP, prendendo nota del numero di porta e assicurandosi di impostare Modalità su Blocco. La modalità di blocco imposta il server ICAP per inoltrare il verdetto di classificazione a Defender per il cloud App.

Per istruzioni su come eseguire questa operazione, vedere la documentazione di prodotto della DLP esterna. Per un esempio vedere Appendice A: Impostazione del server ICAP in ForcePoint e Appendice B: Guida alla distribuzione di Symantec.

PASSAGGIO 2: Configurare il server stunnel

In questo passaggio si imposta lo stunnel connesso al server ICAP.

Nota

Anche se consigliato, questo passaggio è facoltativo e può essere ignorato nei carichi di lavoro di test.

Installare lo stunnel in un server

Prerequisiti

  • Un server: un server Windows o un server Linux basato su una distribuzione principale.

Per informazioni dettagliate sui tipi di server che supportano l'installazione di uno stunnel, vedere il sito Web Stunnel. Se si usa Linux, è possibile usare la gestione distribuzione di Linux per installarlo.

Installare lo stunnel in Windows

  1. Scaricare l'installazione di Windows Server più recente. L'applicazione dovrebbe funzionare in qualsiasi edizione di Windows Server recente. Scegliere l'installazione predefinita.

  2. Durante l'installazione, non creare un nuovo certificato autofirmato. Si creerà un certificato in un passaggio successivo.

  3. Fare clic su Start server after installation (Avvia server dopo installazione).

  4. Creare un certificato in uno dei modi seguenti:

    • Usare il server di gestione certificati per creare un certificato TLS nel server ICAP. Quindi copiare le chiavi nel server preparato per l'installazione dello stunnel.
    • In alternativa, nel server dello stunnel usare i comandi di OpenSSL seguenti per generare una chiave privata e un certificato autofirmato. Sostituire le variabili seguenti:
      • key.pem con il nome della chiave privata
      • cert.pem con il nome del certificato
      • stunnel-key con il nome della chiave appena creata

  5. Nel percorso di installazione dello stunnel aprire la directory di configurazione. Per impostazione predefinita il percorso è: C:\Programmi\(x86) \stunnel\config\

  6. Eseguire la riga di comando con le autorizzazioni di amministratore: 

    ..\bin\openssl.exe genrsa -out key.pem 2048
..\bin\openssl.exe  req -new -x509 -config ".\openssl.cnf" -key key.pem -out .\cert.pem -days 1095

  7. Concatenare le variabili cert.pem e key.pem e salvarle nel file: type cert.pem key.pem >> stunnel-key.pem

  8. Scaricare la chiave pubblica e salvarla in questa posizione C:\Programmi (x86)\stunnel\config\MCASca.pem.

  9. Aggiungere le regole seguenti per aprire la porta in Windows Firewall:

    rem Open TCP Port 11344 inbound and outbound
netsh advfirewall firewall add rule name="Secure ICAP TCP Port 11344" dir=in action=allow protocol=TCP localport=11344
netsh advfirewall firewall add rule name="Secure ICAP TCP Port 11344" dir=out action=allow protocol=TCP localport=11344

  10. Eseguire: c:\Program Files (x86)\stunnel\bin\stunnel.exe per aprire l'applicazione dello stunnel.

  11. Fare clic su Configurazione e quindi Modifica configurazione.

    Edit Windows Server configuration.

  12. Aprire il file e incollare le seguenti righe di configurazione del server. L'INDIRIZZO IP del server DLP è l'indirizzo IP del server ICAP, stunnel-key è la chiave creata nel passaggio precedente e MCASCAfile è il certificato pubblico del client stunnel di app Defender per il cloud. Eliminare eventuale testo di esempio presente (nell'esempio viene visualizzato testo Gmail) e copiare il testo seguente nel file:

    [microsoft-Cloud App Security]
accept = 0.0.0.0:11344
connect = **ICAP Server IP**:1344
cert = C:\Program Files (x86)\stunnel\config\**stunnel-key**.pem
CAfile = C:\Program Files (x86)\stunnel\config\**MCASCAfile**.pem
TIMEOUTclose = 0
client = no

  13. Salvare il file e quindi fare clic su Ricarica la configurazione.

  14. Per verificare che tutto funzioni come previsto, a un prompt dei comandi, eseguire: netstat -nao | findstr 11344

Installare lo stunnel in Ubuntu

L'esempio seguente si basa su un'installazione del server Ubuntu, con l'accesso eseguito come utente ROOT, per altri server usare i comandi paralleli.

Nel server preparato scaricare e installare la versione più recente dello stunnel. Eseguire il comando seguente nel server Ubuntu per installare sia lo stunnel che OpenSSL:

apt-get update
apt-get install openssl -y
apt-get install stunnel4 -y

Verificare che lo stunnel sia installato eseguendo il comando seguente da una console. Si dovrebbero ottenere il numero di versione e un elenco di opzioni di configurazione:

stunnel-version

Generare i certificati

Il server ICAP e le app Defender per il cloud usano una chiave privata e un certificato pubblico per la crittografia e l'autenticazione del server attraverso lo stunnel. Assicurarsi di creare la chiave privata senza passphrase in modo che lo stunnel possa essere eseguito come servizio in background. Impostare anche l'autorizzazione per i file su leggibile per il proprietario dello stunnel e su nessuno per tutti gli altri utenti.

È possibile creare i certificati in uno dei modi seguenti:

  • Usare il server di gestione certificati per creare un certificato TLS nel server ICAP. Quindi copiare le chiavi nel server preparato per l'installazione dello stunnel.
  • In alternativa, nel server dello stunnel usare i comandi di OpenSSL seguenti per generare una chiave privata e un certificato autofirmato. Sostituire le variabili seguenti:

    • key.pem con il nome della chiave privata

    • cert.pem con il nome del certificato

    • stunnel-key con il nome della chiave appena creata

      openssl genrsa -out key.pem 2048
openssl req -new -x509 -key key.pem -out cert.pem -days 1095
cat key.pem cert.pem >> /etc/ssl/private/stunnel-key.pem

Scaricare la chiave pubblica del client stunnel di app Defender per il cloud

Scaricare la chiave pubblica da questo percorso: https://adaprodconsole.blob.core.windows.net/icap/publicCert.pem e salvarla in questa posizione: /etc/ssl/certs/MCASCAfile.pem

Configurare lo stunnel

La configurazione dello stunnel viene impostata nel file stunnel.conf.

  1. Creare il file stunnel.conf nella directory seguente: vim/etc/stunnel/stunnel.conf

  2. Aprire il file e incollare le seguenti righe di configurazione del server. L'indirizzo IP del server DLP è l'indirizzo IP del server ICAP, lo stunnel-key è la chiave creata nel passaggio precedente e MCASCAfile è il certificato pubblico del client stunnel di Defender per il cloud Apps:

    [microsoft-Cloud App Security]
accept = 0.0.0.0:11344
connect = **ICAP Server IP**:1344
cert = /etc/ssl/private/**stunnel-key**.pem
CAfile = /etc/ssl/certs/**MCASCAfile**.pem
TIMEOUTclose = 1
client = no

Aggiornare la tabella IP

Aggiornare la tabella degli indirizzi IP con la regola di routing seguente:

iptables -I INPUT -p tcp --dport 11344 -j ACCEPT

Per rendere l'aggiornamento della tabella IP permanente, usare i comandi seguenti:

sudo apt-get install iptables-persistent
sudo /sbin/iptables-save > /etc/iptables/rules.v4

Eseguire lo stunnel

  1. Nel server dello stunnel eseguire il comando seguente:

    vim /etc/default/stunnel4

  2. Modificare la variabile ENABLED impostandola su 1:

    ENABLED=1

  3. Per rendere effettiva la configurazione, riavviare il servizio:

    /etc/init.d/stunnel4 restart

  4. Per verificare che lo stunnel venga eseguito correttamente, eseguire i comandi seguenti:

    ps -A | grep stunnel

    e per verificare che sia in ascolto sulla porta elencata:

    netstat -anp | grep 11344

  5. Verificare che la rete in cui è stato distribuito il server dello stunnel rispetti i prerequisiti di rete, come indicato in precedenza. Questa operazione è necessaria per consentire le connessioni in ingresso da Defender per il cloud App per raggiungere correttamente il server.

Se il processo ancora non è in esecuzione, vedere stunnel: Documentation (stunnel: Documentazione) per la risoluzione dei problemi.

PASSAGGIO 3: Connessione alle app di Defender per il cloud

  1. In Defender per il cloud App, in Impostazioni selezionare Estensioni di sicurezza e selezionare la scheda DLP esterna.

  2. Fare clic sul segno più per aggiungere una nuova connessione.

  3. Nella procedura guidata Aggiungi nuova prevenzione della perdita dei dati esterna specificare un nome di connessione (ad esempio il connettore My Forcepoint) che verrà usato per identificare il connettore.

  4. Selezionare il tipo di connessione:

    • Symantec Vontu: usare l'integrazione personalizzata per le appliance Vontu DLP.

    • Forcepoint DLP: usare l'integrazione personalizzata per le appliance ForcePoint DLP.

    • Generic ICAP - REQMOD: usare altre appliance DLP che usano Request Modification (Modifica richiesta).

    • Generic ICAP - RESPMOD: usare altre appliance DLP che usano Response Modification (Modifica risposta).

      Defender for Cloud Apps ICAP connection type.

  5. Passare a selezionare il certificato pubblico generato nei passaggi precedenti, "cert.pem", per connettersi allo stunnel. Fare clic su Avanti.

    Nota

    Si consiglia di controllare che la casella Use secure ICAP (Usa ICAP protetto) sia selezionata per impostare un gateway dello stunnel crittografato. Se, a scopo di test o se non si dispone di un server stunnel, è possibile deselezionare questa casella per l'integrazione diretta con il server DLP.

  6. Dalla schermata Configurazione del server, specificare Indirizzo IP e Porta del server dello stunnel configurato nel Passaggio 2. A scopo di bilanciamento del carico è possibile configurare Indirizzo IP e Porta di un server aggiuntivo. Gli indirizzi IP specificati devono essere gli indirizzi IP statici esterni dei server.

    Defender for Cloud Apps ICAP connection IP address and port.

  7. Fare clic su Avanti. Defender per il cloud App verifica la connettività al server configurato. Se viene visualizzato un errore, rivedere le istruzioni e le impostazioni di rete. Una volta stabilita la connessione, è possibile fare clic su Esci.

  8. A questo momento, per indirizzare il traffico a questo server DLP esterno, quando si crea un criterio file in Metodo di ispezione del contenuto, selezionare la connessione creata. Per altre informazioni, vedere Criteri file.

Appendice A: Impostazione del server ICAP in ForcePoint

In ForcePoint impostare l'appliance usando la procedura seguente:

  1. Nell'appliance DLP passare aModuli di sistemadi distribuzione>.

    ICAP deployment.

  2. Nella scheda General (Generale) assicurarsi che per ICAP Server (Server ICAP) la casella Enabled (Abilitato) sia selezionata e che il valore predefinito di Ports (Porte) sia impostato su 1344. In Allow connection to this ICAP Server from the following IP addresses (Consenti connessione a server ICAP da indirizzi IP seguenti) selezionare Any IP address (Qualsiasi indirizzo IP).

    ICAP configuration.

  3. Nella scheda HTTP/HTTPS assicurarsi di impostare Mode (Modalità) su Blocking (Blocco).

    ICAP blocking.

Appendice B: Guida alla distribuzione symantec

Sono supportate le versioni di Symantec DLP 11 e successive.

Come indicato in precedenza, è necessario distribuire un server di rilevamento nello stesso data center di Azure in cui risiede il tenant di Defender per il cloud Apps. Il server di rilevamento viene sincronizzato con il server di imposizione tramite un tunnel IPSec dedicato.

Installazione del server di rilevamento

Il server di rilevamento usato da Defender per il cloud Apps è uno standard Network Prevent for Web server. Devono essere modificate varie opzioni di configurazione:

  1. Disabilitare Trial Mode (Modalità valutazione):

    1. In Server di sistema>e rilevatori fare clic sulla destinazione ICAP.

      ICAP target.

    2. Fare clic su Configure.

      Configure ICAP target.

    3. Disabilitare la modalità di valutazione.

      disable trial mode pop-up.

  2. InFiltro risposteICAP> modificare il valore Ignora risposte inferiori a 1.

  3. Aggiungere "application/*" all'elenco di Inspect Content Type .And add "application/*" to the list of Inspect Content Type.

    inspect content type.

  4. Fare clic su Save (Salva).

Configurazione dei criteri

Defender per il cloud App supporta facilmente tutti i tipi di regole di rilevamento inclusi in Symantec DLP, quindi non è necessario modificare le regole esistenti. Tuttavia, esiste una modifica della configurazione che deve essere applicata a tutti i criteri nuovi ed esistenti per rendere possibile l'integrazione completa. Questa modifica è l'aggiunta di una regola di risposta specifica per tutti i criteri.

Aggiungere la modifica di configurazione a Vontu:

  1. Passare a Gestisci>regole di rispostadei criteri> e fare clic su Aggiungi regola di risposta.

    add response rule.

  2. Assicurarsi che sia selezionata l'opzione Automated Response (Risposta automatizzata) e fare clic su Next (Avanti).

    automated response.

  3. Digitare un nome di regola, ad esempio Blocca HTTP/HTTPS. In Actions (Azioni) selezionare Blocca HTTP/HTTPS e fare clic su Save (Salva).

    block http.

Aggiungere la regola creata agli eventuali criteri esistenti:

  1. In ogni criterio passare alla scheda Response (Risposta).

  2. Nell'elenco a discesa Regola di risposta selezionare la regola di risposta del blocco creata in precedenza.

  3. Salvare il criterio.

    disable trial mode in policy.

Questa regola deve essere aggiunta a tutti i criteri esistenti.

Nota

Se si usa Symantec vontu per analizzare i file da Dropbox, cas visualizza automaticamente il file come originato dall'URL seguente: http://misc/filename questo URL segnaposto non conduce effettivamente da nessuna parte, ma viene usato a scopo di registrazione.

Passaggi successivi

Controllare le app cloud mediante criteri

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.