외부 DLP 통합

  • 아티클
  • 읽는 데 21분 걸림

참고

  • Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경 내용에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.

  • Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하기 위한 홈이 될 것입니다. 이러한 변경 내용에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.

Microsoft Defender for Cloud Apps 기존 DLP 솔루션과 통합하여 온-프레미스 및 클라우드 활동에서 일관되고 통합된 정책을 유지하면서 이러한 컨트롤을 클라우드로 확장할 수 있습니다. 플랫폼에서는 REST API 및 ICAP를 포함한 간편한 인터페이스를 내보내 Symantec 데이터 손실 방지(이전 Vontu 데이터 손실 방지) 또는 Forcepoint DLP와 같은 콘텐츠 분류 시스템과의 통합을 구현합니다.

RFC 3507에 설명된 HTTP와 유사한 프로토콜인 표준 ICAP 프로토콜을 사용하여 통합을 수행합니다. 데이터 전송을 위해 ICAP를 보호하려면 DLP 솔루션과 클라우드용 Defender 앱 간에 보안 TLS 터널(stunnel)을 설정해야 합니다. stunnel 설정은 DLP 서버와 클라우드용 Defender 앱 간에 이동할 때 데이터에 TLS 암호화 기능을 제공합니다.

이 가이드에서는 클라우드용 Defender 앱에서 ICAP 연결을 구성하는 데 필요한 단계와 이를 통한 통신을 보호하기 위한 stunnel 설정을 제공합니다.

Architecture

클라우드용 Defender 앱은 클라우드 환경을 검사하고 파일 정책 구성에 따라 내부 DLP 엔진 또는 외부 DLP를 사용하여 파일을 검색할지 여부를 결정합니다. 외부 DLP 검색이 적용되면 파일은 DLP verdict: allowed/blocked를 위해 ICAP 어플라이언스에 릴레이되는 경우 보안 터널을 통해 고객 환경에 전송됩니다. 응답은 알림, 격리 및 공유 제어와 같은 후속 작업을 결정하기 위해 정책에서 사용하는 stunnel을 통해 클라우드용 Defender 앱으로 다시 전송됩니다.

Stunnel architecture.

클라우드용 Defender 앱은 Azure에서 실행되므로 Azure에서 배포하면 성능이 향상됩니다. 그러나 기타 클라우드 및 온-프레미스 배포를 포함한 기타 옵션이 지원됩니다. 다른 환경에 배포하면 대기 시간이 길어지고 처리량이 감소하므로 성능이 저하됩니다. 트래픽이 암호화되도록 하려면 ICAP 서버 및 stunnel을 함께 동일한 네트워크에 배포해야 합니다.

필수 구성 요소

클라우드용 Defender 앱이 stunnel을 통해 ICAP 서버로 데이터를 보내려면 동적 원본 포트 번호가 있는 클라우드용 Defender 앱에서 사용하는 외부 IP 주소로 DMZ 방화벽을 엽니다.

  1. 원본 주소: 필수 구성 요소에 따라 앱 연결 참조
  2. 원본 TCP 포트: 동적
  3. 대상 주소: 다음 단계에서 구성할 외부 ICAP 서버에 연결된 stunnel의 하나 또는 두 개의 IP 주소
  4. 대상 TCP 포트: 네트워크에 정의된 대로

참고

기본적으로 stunnel 포트 번호는 11344로 설정됩니다. 필요한 경우 다른 포트로 변경할 수 있지만 새 포트 번호를 기록해 두어야 합니다. 다음 단계에서 해당 포트 번호를 입력해야 합니다.

1단계: ICAP 서버 설정

ICAP 서버를 설정하고 포트 번호를 적어 두고 모드차단으로 설정했는지 확인합니다. 차단 모드는 ICAP 서버가 분류 평결을 클라우드용 Defender 앱에 다시 릴레이하도록 설정합니다.

이 설치를 수행하는 방법에 대한 지침은 외부 DLP 제품 설명서를 참조하세요. 예를 들어 부록 A: Forcepoint ICAP 서버 설정부록 B: Symantec 배포 가이드를 참조하세요.

2단계: stunnel 서버 설정

이 단계에서 ICAP 서버에 연결된 stunnel을 설정합니다.

참고

이 단계는 적극 권장되지만 선택 사항이므로 테스트 워크로드에서 건너뛸 수 있습니다.

서버에 stunnel 설치

필수 구성 요소

  • 서버 - 주요 배포에 따라 Windows Server 또는 Linux 서버.

stunnel 설치를 지원하는 서버 유형에 대한 자세한 내용은 stunnel 웹 사이트를 참조하세요. Linux를 사용 중이면 Linux 배포 관리자를 사용하여 설치할 수 있습니다.

Windows에 stunnel 설치

  1. 최신 Windows Server 설치를 다운로드합니다(이 애플리케이션은 최근 Windows Server 버전에서 작업해야 함). (기본 설치)

  2. 설치하는 동안 새로운 자체 서명된 인증서를 만들지 마세요. 이후 단계에서 인증서를 만듭니다.

  3. Start server after installation(설치한 후 서버 시작)을 클릭합니다.

  4. 다음 방법 중 하나로 인증서를 만듭니다.

    • 인증서 관리 서버를 사용하여 ICAP 서버에 TLS 인증서를 만듭니다. 그런 다음, stunnel 설치를 위해 준비한 서버에 키를 복사합니다.
    • 또는 stunnel 서버에서 다음 OpenSSL 명령을 사용하여 프라이빗 키 및 자체 서명된 인증서를 생성합니다. 다음 변수를 바꿉니다.
      • key.pem(프라이빗 키 이름 포함)
      • 인증서 이름이 있는 cert.pem
      • 새로 만든 키의 이름을 가진 stunnel-key

  5. stunnel 설치 경로에서 config 디렉터리를 엽니다. 기본 경로는 c:\Program Files (x86)\stunnel\config\입니다.

  6. 관리자 권한으로 명령줄을 실행합니다. 

    ..\bin\openssl.exe genrsa -out key.pem 2048
..\bin\openssl.exe  req -new -x509 -config ".\openssl.cnf" -key key.pem -out .\cert.pem -days 1095

  7. cert.pem 및 key.pem을 연결하고 파일에 저장합니다. type cert.pem key.pem >> stunnel-key.pem

  8. 공개 키를 다운로드하고 C:\Program Files (x86)\stunnel\config\MCASca.pem 위치에 저장합니다.

  9. 다음 규칙을 추가하여 Windows 방화벽에서 포트를 엽니다.

    rem Open TCP Port 11344 inbound and outbound
netsh advfirewall firewall add rule name="Secure ICAP TCP Port 11344" dir=in action=allow protocol=TCP localport=11344
netsh advfirewall firewall add rule name="Secure ICAP TCP Port 11344" dir=out action=allow protocol=TCP localport=11344

  10. c:\Program Files (x86)\stunnel\bin\stunnel.exe를 실행하여 stunnel 애플리케이션을 엽니다.

  11. 구성, 구성 편집을 차례로 클릭합니다.

    Edit Windows Server configuration.

  12. 파일을 열고 다음 서버 구성 줄을 붙여넣습니다. DLP 서버 IP는 ICAP 서버의 IP 주소이고, stunnel-key는 이전 단계에서 만든 키이며, MCASCAfile은 클라우드용 Defender Apps stunnel 클라이언트의 공용 인증서입니다. 배치된 예제 텍스트를 모두 삭제하고(예제에서는 Gmail 텍스트를 표시함) 다음 텍스트를 파일에 복사합니다.

    [microsoft-Cloud App Security]
accept = 0.0.0.0:11344
connect = **ICAP Server IP**:1344
cert = C:\Program Files (x86)\stunnel\config\**stunnel-key**.pem
CAfile = C:\Program Files (x86)\stunnel\config\**MCASCAfile**.pem
TIMEOUTclose = 0
client = no

  13. 파일을 저장하고 구성 다시 로드를 클릭합니다.

  14. 모든 것이 예상대로 실행 중인지 유효성을 검사하려면 명령 프롬프트에서 netstat -nao | findstr 11344를 실행합니다.

Ubuntu에 stunnel 설치

다른 서버 사용 병렬 명령에 대해 루트 사용자로 서명된 경우 다음 예제는 Ubuntu 서버 설치를 기반으로 합니다.

준비된 서버에서 최신 버전의 stunnel을 다운로드하여 설치합니다. stunnel 및 OpenSSL을 둘 다 설치하려면 Ubuntu 서버에서 다음 명령을 실행합니다.

apt-get update
apt-get install openssl -y
apt-get install stunnel4 -y

콘솔에서 다음 명령을 실행하여 stunnel이 설치되는지 확인합니다. 버전 번호 및 구성 옵션 목록을 확인해야 합니다.

stunnel-version

인증서 생성

ICAP 서버 및 클라우드용 Defender 앱은 stunnel 전체에서 서버 암호화 및 인증을 위해 프라이빗 키 및 공용 인증서를 사용합니다. stunnel이 백그라운드 서비스로 실행될 수 있도록 암호 없이 프라이빗 키를 만들어야 합니다. 또한 파일에 대한 사용 권한을 읽기 가능(stunnel 소유자의 경우) 및 없음(다른 모든 사용자의 경우)으로 설정합니다.

다음 방법 중 하나로 인증서를 만들 수 있습니다.

  • 인증서 관리 서버를 사용하여 ICAP 서버에 TLS 인증서를 만듭니다. 그런 다음, stunnel 설치를 위해 준비한 서버에 키를 복사합니다.
  • 또는 stunnel 서버에서 다음 OpenSSL 명령을 사용하여 프라이빗 키 및 자체 서명된 인증서를 생성합니다. 다음 변수를 바꿉니다.

    • key.pem(프라이빗 키 이름 포함)

    • 인증서 이름이 있는 cert.pem

    • 새로 만든 키의 이름을 가진 stunnel-key

      openssl genrsa -out key.pem 2048
openssl req -new -x509 -key key.pem -out cert.pem -days 1095
cat key.pem cert.pem >> /etc/ssl/private/stunnel-key.pem

클라우드용 Defender Apps stunnel 클라이언트 공개 키 다운로드

이 위치(https://adaprodconsole.blob.core.windows.net/icap/publicCert.pem)에서 공개 키를 다운로드하고 이 위치(/etc/ssl/certs/MCASCAfile.pem)에 저장

stunnel 구성

stunnel 구성은 stunnel.conf 파일에서 설정됩니다.

  1. vim /etc/stunnel/stunnel.conf 디렉터리에서 stunnel.conf 파일을 만듭니다.

  2. 파일을 열고 다음 서버 구성 줄을 붙여넣습니다. DLP 서버 IP는 ICAP 서버의 IP 주소이고, stunnel-key는 이전 단계에서 만든 키이며, MCASCAfile은 클라우드용 Defender Apps stunnel 클라이언트의 공용 인증서입니다.

    [microsoft-Cloud App Security]
accept = 0.0.0.0:11344
connect = **ICAP Server IP**:1344
cert = /etc/ssl/private/**stunnel-key**.pem
CAfile = /etc/ssl/certs/**MCASCAfile**.pem
TIMEOUTclose = 1
client = no

IP 테이블 업데이트

다음 경로 규칙을 사용하여 IP 주소 테이블을 업데이트합니다.

iptables -I INPUT -p tcp --dport 11344 -j ACCEPT

IP 테이블에 대한 업데이트를 영구적으로 설정하려면 다음 명령을 사용합니다.

sudo apt-get install iptables-persistent
sudo /sbin/iptables-save > /etc/iptables/rules.v4

stunnel 실행

  1. stunnel 서버에서 다음 명령을 실행합니다.

    vim /etc/default/stunnel4

  2. 변수 ENABLED를 1로 변경합니다.

    ENABLED=1

  3. 구성을 적용하려면 서비스를 다시 시작합니다.

    /etc/init.d/stunnel4 restart

  4. 다음 명령을 실행하여 stunnel이 제대로 실행 중인지 확인합니다.

    ps -A | grep stunnel

    그리고 나열된 포트를 수신 대기하는지 확인합니다.

    netstat -anp | grep 11344

  5. stunnel 서버가 배포된 네트워크가 앞에서 설명한 대로 네트워크 필수 구성 요소와 일치하는지 확인합니다. 클라우드용 Defender 앱에서 들어오는 연결이 서버에 성공적으로 연결되도록 허용하려면 이 작업이 필요합니다.

프로세스가 실행되고 있지 않으면 stunnel 설명서를 참조하여 문제를 해결하세요.

3단계: 클라우드용 Defender 앱에 커넥트

  1. 클라우드용 Defender 앱의 설정보안 확장을 선택하고 외부 DLP 탭을 선택합니다.

  2. 더하기를 클릭하여 새 연결을 추가합니다.

  3. 새 외부 DLP 추가 마법사에서 커넥터를 식별하는 데 사용할 연결 이름(예: 내 Forcepoint 커넥터)을 제공합니다.

  4. 연결 유형을 선택합니다.

    • Symantec Vontu – Vontu DLP 어플라이언스에 사용자 지정 통합을 사용합니다.

    • Forcepoint DLP – Forcepoint DLP 어플라이언스에 사용자 지정 통합을 사용합니다.

    • Generic ICAP – REQMOD - 요청 수정을 사용하는 다른 DLP 어플라이언스를 사용합니다.

    • Generic ICAP – RESPMOD - 응답 수정을 사용하는 다른 DLP 어플라이언스를 사용합니다.

      Defender for Cloud Apps ICAP connection type.

  5. 이전 단계 "cert.pem"에서 생성한 공용 인증서를 선택하여 stunnel에 연결합니다. 다음을 클릭합니다.

    참고

    암호화된 stunnel 게이트웨이를 설정하려면 Use secure ICAP(보안 ICAP 사용) 상자를 선택하는 것이 좋습니다. 테스트 목적으로 또는 stunnel 서버가 없는 경우 이 확인란의 선택을 취소하여 DLP 서버와 직접 통합할 수 있습니다.

  6. 서버 구성 화면에서, 2단계에서 설정한 stunnel 서버의 IP 주소포트를 제공합니다. 부하 분산 목적으로 추가 서버의 IP 주소포트를 구성할 수 있습니다. 제공된 IP 주소는 서버의 외부 정적 IP 주소여야 합니다.

    Defender for Cloud Apps ICAP connection IP address and port.

  7. 다음을 클릭합니다. 클라우드용 Defender 앱은 구성한 서버에 대한 연결을 테스트합니다. 오류가 표시되면 지침 및 네트워크 설정을 검토합니다. 성공적으로 연결된 후 끝내기를 클릭할 수 있습니다.

  8. 이제 이 외부 DLP 서버로 트래픽을 보내려면 콘텐츠 검사 방법으로파일 정책을 만들 때 만든 연결을 선택합니다. 자세한 내용은 파일 정책 만들기를 참조하세요.

부록 A: ForcePoint ICAP 서버 설정

ForcePoint에서 다음 단계를 사용하여 어플라이언스를 설정합니다.

  1. DLP 어플라이언스에서 배포>시스템 모듈로 이동합니다.

    ICAP deployment.

  2. 일반 탭에서 ICAP 서버사용으로 설정되고 기본 포트1344로 설정되어 있는지 확인합니다. 또한 Allow connection to this ICAP Server from the following IP addresses(다음 IP 주소에서 이 ICAP 서버에 대한 연결 허용)에서 모든 IP 주소를 선택합니다.

    ICAP configuration.

  3. [HTTP/HTTPS] 탭에서 모드차단으로 설정해야 합니다.

    ICAP blocking.

부록 B: Symantec 배포 가이드

지원되는 Symantec DLP 버전은 11 이상입니다.

위에서 설명한 대로 클라우드용 Defender Apps 테넌트가 있는 동일한 Azure 데이터 센터에 검색 서버를 배포해야 합니다. 검색 서버는 전용 IPSec 터널을 통해 적용 서버와 동기화됩니다.

검색 서버 설치

클라우드용 Defender 앱에서 사용하는 검색 서버는 웹 서버용 표준 네트워크 방지 서버입니다. 여러 구성 옵션을 변경해야 합니다.

  1. 평가 모드 사용 안 함:

    1. 시스템>서버 및 탐지기에서 ICAP 대상을 클릭합니다.

      ICAP target.

    2. Configure를 클릭합니다.

      Configure ICAP target.

    3. 평가판 모드를 사용하지 않도록 설정합니다.

      disable trial mode pop-up.

  2. ICAP>응답 필터링에서 값보다 작은 응답 무시를 1로 변경합니다.

  3. 그리고 콘텐츠 형식 검사 목록에 "application/*"를 추가합니다.

    inspect content type.

  4. 페이지 맨 아래에 있는 저장

정책 구성

클라우드용 Defender 앱은 Symantec DLP에 포함된 모든 검색 규칙 유형을 원활하게 지원하므로 기존 규칙을 변경할 필요가 없습니다. 하지만 전체 통합을 사용하려면 모든 기존 및 새 정책에 적용되어야 하는 구성 변경 내용이 있습니다. 이 변경 내용은 모든 정책에 대한 특정 응답 규칙의 추가입니다.

Vontu에 구성 변경 내용 추가:

  1. 정책>응답 규칙관리>로 이동하고 응답 규칙 추가를 클릭합니다.

    add response rule.

  2. 자동화된 응답을 선택했는지 확인하고 다음을 클릭합니다.

    automated response.

  3. 예를 들어 Block HTTP/HTTPS와 같은 규칙 이름을 입력합니다. 작업에서 HTTP/HTTPS 차단을 선택하고 저장을 클릭합니다.

    block http.

만든 규칙을 원하는 기존 정책에 추가합니다.

  1. 각 정책에서 응답 탭으로 전환합니다.

  2. 응답 규칙 드롭다운에서 이전에 만든 블록 응답 규칙을 선택합니다.

  3. 해당 정책을 저장합니다.

    disable trial mode in policy.

이 규칙은 모든 기존 정책에 추가되어야 합니다.

참고

Symantec vontu를 사용하여 Dropbox 파일을 검사하는 경우 CAS는 파일을 다음 URL http://misc/filename 에서 시작된 것으로 자동으로 표시합니다. 이 자리 표시자 URL은 실제로 아무 데도 연결되지 않지만 로깅 용도로 사용됩니다.

다음 단계

정책을 사용하여 클라우드 앱 제어

문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.