Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Integracja zewnętrznej funkcji DLPExternal DLP integration

Microsoft Cloud App Security można zintegrować z istniejącymi rozwiązaniami DLP rozszerzać te formanty do chmury przy jednoczesnym zapewnieniu właściwej zasad spójne i ujednolicone w środowiskach lokalnych i w chmurze działań.Microsoft Cloud App Security can integrate with existing DLP solutions to extend these controls to the cloud while preserving a consistent and unified policy across on-premises and cloud activities. Platforma eksportuje interfejsów łatwy w użyciu, w tym interfejs API REST i protokół ICAP, umożliwiając integrację z systemami klasyfikacji zawartości, np. ochrony przed utratą danych firmy Symantec (dawniej Vontu ochrony przed utratą danych) lub Forcepoint DLP.The platform exports easy-to-use interfaces including REST API and ICAP, enabling integration with content classification systems such as Symantec Data Loss Prevention (formerly Vontu Data Loss Prevention) or Forcepoint DLP.

Integracja odbywa się przy użyciu standardowego protokołu ICAP, protokołu http jak opisany w RFC 3507.Integration is accomplished by leveraging the standard ICAP protocol, an http-like protocol described in RFC 3507. W celu bezpiecznego protokołu ICAP dla transmisji danych, jest wymagany do skonfigurowania bezpieczny tunel protokołu SSL (stunnel) między rozwiązania DLP i usługa Cloud App Security.In order to secure ICAP for transmission of your data, it is required to set up a secure SSL tunnel (stunnel) between your DLP solution and Cloud App Security. Instalator programu stunnel udostępnia funkcje szyfrowania TLS do danych podczas przekazywania między serwerem DLP a Cloud App Security.The stunnel setup provides TLS encryption functionality to your data as it travels between your DLP server and Cloud App Security.

Ten przewodnik zawiera kroki niezbędne do skonfigurowania połączenia protokołu ICAP w usłudze Cloud App Security i instalacji programu stunnel, aby bezpieczna komunikacja przy jego użyciu.This guide provides the steps necessary for configuring the ICAP connection in Cloud App Security and the stunnel setup to secure communication through it.

ArchitekturaArchitecture

Usługa cloud App Security skanuje środowisko w chmurze i na podstawie pliku konfiguracji zasad określa, czy należy przeskanować pliku przy użyciu aparatu DLP wewnętrznej lub zewnętrznej funkcji DLP.Cloud App Security scans your cloud environment and based on your file policy configuration decides whether to scan the file using the internal DLP engine or the external DLP. Zewnętrzne skanowania DLP jest stosowany, plik jest wysyłany za pośrednictwem bezpiecznego tunelu do środowiska klienta gdzie jest przekazywane do urządzenia ICAP do określenia DLP: dozwolone/zablokowane.If external DLP scan is applied, the file is sent over the secure tunnel to the customer environment where it is relayed to the ICAP appliance for the DLP verdict: allowed/blocked. Odpowiedzi są wysyłane do usługa Cloud App Security za pośrednictwem programu stunnel gdzie jest używany przez zasady ustalenie kolejne czynności, takich jak powiadomienia, kwarantanny i kontrolki do udostępniania.Responses are sent back to Cloud App Security over the stunnel where it is used by the policy to determine subsequent actions such as notifications, quarantine, and sharing control.

Architektura programu Stunnel

Ponieważ usługa Cloud App Security działa na platformie Azure, wdrożenie na platformie Azure daje lepszą wydajność.Since Cloud App Security runs in Azure, a deployment in Azure yields improved performance. Inne opcje, w tym innych wdrożeń chmury i lokalnych są jednak obsługiwane.However, other options including other Clouds and On-Premises deployment are supported. Wdrażanie w innych środowiskach może spowodować pogorszenie wydajności ze względu na wyższe opóźnienie i niższych przepływności.Deploying in other environments may result in degraded performance due to higher latency and lower throughput. Serwer protokołu ICAP i stunnel muszą zostać wdrożone razem w tej samej sieci, aby upewnić się, że ruch jest szyfrowany.The ICAP server and stunnel must be deployed together on the same network to make sure the traffic is encrypted.

Wymagania wstępnePrerequisites

Aby usługa Cloud App Security do przesyłania danych za pośrednictwem usługi programu stunnel z serwerem ICAP otwierania zapory sieci Obwodowej dla zewnętrzne adresy IP używane przez usługę Cloud App Security przy użyciu numeru portu dynamicznego źródła.In order for Cloud App Security to send data through your stunnel to your ICAP server, open your DMZ firewall to the external IP addresses used by Cloud App Security with a dynamic source port number.

  1. Źródło adresów: dotyczą łącz aplikacje, w ramach wymagań wstępnychSource addresses: Refer to Connect apps, under Prerequisites
  2. Źródłowy TCP port: dynamicznySource TCP port: Dynamic
  3. Miejsce docelowe adresy: adres IP jednego lub dwóch stunnel podłączony do zewnętrznego serwera ICAP, skonfigurowanego w następnych krokachDestination address(es): one or two IP address of the stunnel connected to the external ICAP server that you will configure in the next steps
  4. Docelowy port TCP: zgodnie z definicją w sieciDestination TCP port: As defined in your network

Uwaga

Domyślny numer portu programu stunnel jest ustawiony na 11344.By default the stunnel port number is set to 11344. Możesz zmienić ją na innym porcie, jeśli to konieczne, ale koniecznie Zanotuj nowy numer portu — trzeba będzie wprowadzić ich w następnym kroku.You can change it to another port if necessary, but be sure to make note of the new port number - you will be required to enter it in the next step.

Krok 1: Konfigurowanie serwera ICAPSTEP 1: Set up ICAP server

Konfigurowanie serwera ICAP, biorąc pod uwagę na numer portu i upewnij się, że ustawiony tryb do Blocking.Set up an ICAP server, taking note of the port number, and make sure that you set Mode to Blocking. Tryb blokowania ustawia serwerem ICAP przekazanie określenia klasyfikacji do usługa Cloud App Security.Blocking mode sets the ICAP server to relay the classification verdict back to Cloud App Security.

Zapoznaj się z dokumentacją produktu zewnętrznej funkcji DLP, aby uzyskać instrukcje w tym celu.Refer to your External DLP product documentation for instructions on how to accomplish this. Na przykład zobacz instalacji serwera dodatek A: Forcepoint ICAP i dodatek B: Symantec Deployment Guide.As an example, see Appendix A: Forcepoint ICAP server setup and Appendix B: Symantec Deployment Guide.

Krok 2: Skonfigurowanie serwera programu stunnelSTEP 2: Set up your stunnel server

Ten krok umożliwia skonfigurowanie programu stunnel, połączenia z serwerem ICAP.In this step, you set up the stunnel connected to your ICAP server.

Uwaga

Zdecydowanie zaleca się, ten krok jest opcjonalny i można było pominąć test obciążenia.While highly recommended, this step is optional and can be skipped on test workloads.

Instalowanie programu stunnel na serwerzeInstall stunnel on a server

Wymagania wstępnePrerequisites

  • Serwer — z systemem Windows Server lub serwerze z systemem Linux w oparciu głównych dystrybucji.A server - either a Windows Server or a Linux server based on a major distribution.

Zapoznaj się witryny sieci Web programu stunnel szczegółowe informacje na temat typów serwerów, które obsługują instalację programu stunnel.Refer to the stunnel website for details about the types of servers that support stunnel installation. Jeśli używasz systemu Linux, można użyć Menedżera dystrybucji systemu Linux do zainstalowania go.If you are using Linux, you can use your Linux distribution manager to install it.

Instalowanie programu stunnel na WindowsInstall stunnel on Windows

  1. Pobierz najnowsze instalacji systemu Windows Server (powinno to działać na wszystkich najnowszych wersji systemu Windows Server).Download the latest Windows Server installation (this should work on any recent Windows Server edition). (Instalacja domyślna)(default installation)

  2. Podczas instalacji należy tworzyć nowy certyfikat z podpisem własnym, Utwórz certyfikat w późniejszym kroku.During installation, do not create a new self-signed certificate, you create a certificate in a later step.

  3. Kliknij przycisk początkowego serwera po zakończeniu instalacji.Click Start server after installation.

  4. Utwórz certyfikat w jednym z następujących sposobów:Create a certificate in one of the following ways:

    • Użyj swojego certyfikatu serwera zarządzania, aby utworzyć certyfikat SSL na serwerze ICAP, a następnie skopiuj kluczy, aby serwer, który został przygotowany dla instalacji programu stunnel.Use your certificate management server to create an SSL certificate on your ICAP server, and then copy the keys to the server you prepared for the stunnel installation.
    • Ewentualnie na serwer programu stunnel, użyj następujących poleceń OpenSSL, aby wygenerować klucz prywatny i certyfikat z podpisem własnym.Or, on the stunnel server, use the following OpenSSL commands to generate a private key and a self-signed certificate. Zastąp te zmienne:Replace these variables:
      • Key.PEM o nazwie klucza prywatnegokey.pem with the name of your private key
      • CERT.cer o nazwie certyfikatucert.pem with the name of your certificate
      • klucz elementu stunnel o nazwie nowo utworzony kluczstunnel-key with the name of the newly created key
  5. W ścieżce instalacji programu stunnel Otwórz katalog konfiguracji.Under your stunnel installation path, open the config directory. Jest domyślnie: c:\Program pliki (x86) \stunnel\config\By default it is: c:\Program Files (x86)\stunnel\config\

  6. Uruchom wiersz polecenia z uprawnieniami administratora: ..\bin\openssl.exe genrsa -out key.pem 2048Run the command line with admin permissions: ..\bin\openssl.exe genrsa -out key.pem 2048

    ..\bin\openssl.exe req -new -x509 -config ".\openssl.cnf" -key key.pem -out .\cert.pem -days 1095

  7. Łączenie CERT.cer i key.pem i zapisują je do pliku: type cert.pem key.pem >> stunnel-key.pemConcatenate the cert.pem and key.pem and save them to the file: type cert.pem key.pem >> stunnel-key.pem

  8. Pobierz klucz publiczny i zapisz go w tym miejscu C:\Program Files (x86)\stunnel\config\MCASca.pem.Download the public key and save it in this location C:\Program Files (x86)\stunnel\config\MCASca.pem.

  9. Dodaj poniższe reguły, aby otworzyć port w Zaporze Windows:Add the following rules to open the port in the Windows firewall:

    rem Open TCP Port 11344 inbound and outbound
    netsh advfirewall firewall add rule name="Secure ICAP TCP Port 11344" dir=in action=allow protocol=TCP localport=11344
    netsh advfirewall firewall add rule name="Secure ICAP TCP Port 11344" dir=out action=allow protocol=TCP localport=11344
    
  10. Uruchom: c:\Program Files (x86)\stunnel\bin\stunnel.exe aby otworzyć aplikację programu stunnel.Run: c:\Program Files (x86)\stunnel\bin\stunnel.exe to open the stunnel application.

  11. Kliknij przycisk konfiguracji i następnie Upravit konfiguraci.Click Configuration and then Edit configuration.

    Edytuj konfigurację serwera systemu Windows

  12. Otwórz plik i wklej następujące wiersze konfiguracji serwera, gdzie adres IP serwera DLP jest adres IP serwera ICAP klucz elementu stunnel to klucz, który został utworzony w poprzednim kroku, a MCASCAfile publicznego certyfikatu klienta programu stunnel Cloud App Security.Open the file and paste the following server configuration lines, where DLP Server IP is the IP address of your ICAP server, stunnel-key is the key that you created in the previous step, and MCASCAfile is the public certificate of the Cloud App Security stunnel client. Ponadto usuń wszelki tekst przykładowy, który znajduje się w miejscu (w tym przykładzie, że wyświetla tekst Gmail) i skopiuj następujące do pliku:Also, delete any example text that is in place (in the example it displays Gmail text) and copy the following into the file:

    [microsoft-Cloud App Security]
    accept = 0.0.0.0:11344
    connect = **ICAP Server IP**:1344
    cert = C:\Program Files (x86)\stunnel\config\**stunnel-key**.pem
    CAfile = C:\Program Files (x86)\stunnel\config\**MCASCAfile**.pem
    TIMEOUTclose = 0
    client = no
    
  13. Zapisz plik, a następnie kliknij przycisk ponowne załadowanie konfiguracji.Save the file and then click Reload configuration.

  14. Aby zweryfikować, że wszystko działa zgodnie z oczekiwaniami, w wierszu polecenia Uruchom polecenie: netstat -nao | findstr 11344To validate that everything is running as expected, from a command prompt, run: netstat -nao | findstr 11344

Instalowanie programu stunnel w systemie UbuntuInstall stunnel on Ubuntu

Poniższy przykład opiera się na instalacji serwera z systemem Ubuntu, gdy zalogowany jako użytkownik root - równoległych poleceń do używania innych serwerów.The following example is based on an Ubuntu server installation, when signed in as root user - for other servers use parallel commands.

Na serwerze przygotowany Pobierz i zainstaluj najnowszą wersję programu stunnel, uruchamiając następujące polecenie na serwerze Ubuntu instalowanego programu stunnel i OpenSSL:On the prepared server, download and install the latest version of stunnel by running the following command on your Ubuntu server that will install both stunnel and OpenSSL:

apt-get update
apt-get install openssl -y
apt-get install stunnel4 -y

Sprawdź, czy tego programu stunnel jest zainstalowany, uruchamiając następujące polecenie z poziomu konsoli.Verify that stunnel is installed by running the following command from a console. Należy uzyskać numer wersji i listę opcji konfiguracji:You should get the version number and a list of configuration options:

stunnel-version

Generowanie certyfikatówGenerate certificates

Serwer protokołu ICAP i usługa Cloud App Security Użyj klucz prywatny i publiczny certyfikatu do uwierzytelniania i szyfrowania na stunnel.The ICAP server and Cloud App Security use a private key and public certificate for server encryption and authentication across the stunnel. Upewnij się, że można utworzyć klucza prywatnego bez frazę, dzięki czemu stunnel można uruchomić jako usługę w tle.Make sure you create the private key without a pass phrase so that stunnel can run as a background service. Ponadto Ustaw uprawnienie na plikach do czytelny dla właściciela programu stunnel i do Brak wszystkim innym użytkownikom.Also, set the permission on the files to readable for the stunnel owner and to none for everyone else.

Certyfikaty można utworzyć na jeden z następujących sposobów:You can create the certificates in one of the following ways:

  • Użyj swojego certyfikatu serwera zarządzania, aby utworzyć certyfikat SSL na serwerze ICAP, a następnie skopiuj kluczy, aby serwer, który został przygotowany dla instalacji programu stunnel.Use your certificate management server to create an SSL certificate on your ICAP server, and then copy the keys to the server you prepared for the stunnel installation.
  • Ewentualnie na serwer programu stunnel, użyj następujących poleceń OpenSSL, aby wygenerować klucz prywatny i certyfikat z podpisem własnym.Or, on the stunnel server, use the following OpenSSL commands to generate a private key and a self-signed certificate. Zastąp te zmienne:Replace these variables:
    • "key.pem" o nazwie klucza prywatnego“key.pem” with the name of your private key

    • "CERT.cer" o nazwie certyfikatu“cert.pem” with the name of your certificate

    • "stunnel-key" o nazwie nowo utworzony klucz“stunnel-key” with the name of the newly created key

        openssl genrsa -out key.pem 2048
        openssl req -new -x509 -key key.pem -out cert.pem -days 1095
        cat key.pem cert.pem >> /etc/ssl/private/stunnel-key.pem
      

Pobierz klucz publiczny klienta programu stunnel Cloud App SecurityDownload the Cloud App Security stunnel client public key

Pobierz klucz publiczny z tej lokalizacji: https://adaprodconsole.blob.core.windows.net/icap/publicCert.pem i zapisz go w tej lokalizacji: /etc/ssl/certs/MCASCAfile.pemDownload the public key from this location: https://adaprodconsole.blob.core.windows.net/icap/publicCert.pem and save it in this location: /etc/ssl/certs/MCASCAfile.pem

Konfigurowanie programu stunnelConfigure stunnel

Konfigurację elementu stunnel jest ustawiana w pliku stunnel.conf.The stunnel configuration is set in the stunnel.conf file.

  1. Utwórz plik stunnel.conf w następującym katalogu: vim /etc/stunnel/stunnel.confCreate the stunnel.conf file in the following directory: vim /etc/stunnel/stunnel.conf

  2. Otwórz plik i wklej następujące wiersze konfiguracji serwera, gdzie adres IP serwera DLP jest adres IP serwera ICAP klucz elementu stunnel to klucz, który został utworzony w poprzednim kroku, a MCASCAfile publicznego certyfikatu klienta programu stunnel Cloud App Security:Open the file and paste the following server configuration lines, where DLP Server IP is the IP address of your ICAP server, stunnel-key is the key that you created in the previous step, and MCASCAfile is the public certificate of the Cloud App Security stunnel client:

    [microsoft-Cloud App Security]
    accept = 0.0.0.0:11344
    connect = **ICAP Server IP**:1344
    cert = /etc/ssl/private/**stunnel-key**.pem
    CAfile = /etc/ssl/certs/**MCASCAfile**.pem
    TIMEOUTclose = 1
    client = no
    

Aktualizowanie tabeli adresów IPUpdate your IP table

Aktualizacja tabeli adresów IP z następującą regułą trasy:Update your IP address table with the following route rule:

iptables -I INPUT -p tcp --dport 11344 -j ACCEPT

Aby dokonać aktualizacji do trwałego tabeli adresów IP, użyj następujących poleceń:To make the update to your IP table persistent use the following commands:

 sudo apt-get install iptables-persistent
 sudo /sbin/iptables-save > /etc/iptables/rules.v4

Uruchamianie programu stunnelRun stunnel

  1. Na serwerze programu stunnel uruchom następujące polecenie:On your stunnel server, run the following:

    vim /etc/default/stunnel4
    
  2. Zmiana zmiennej włączone 1:Change the variable ENABLED to 1:

    ENABLED=1
    
  3. Uruchom ponownie usługę, które zostały wprowadzone w konfiguracji:Restart the service for the configuration to take effect:

    /etc/init.d/stunnel4 restart
    
  4. Uruchom następujące polecenia, aby sprawdzić, czy stunnel działa prawidłowo:Run the following commands to verify that the stunnel is running properly:

    ps -A | grep stunnel
    

    i czy nasłuchuje na porcie na liście:and that it is listening on the port listed:

    netstat -anp | grep 11344
    
  5. Upewnij się, że sieci, w której został wdrożony serwer programu stunnel odpowiada wymagania wstępne dotyczące sieci, jak wspomniano wcześniej.Make sure that the network in which the stunnel server was deployed matches the network prerequisites as mentioned earlier. Jest to wymagane, aby zezwalać na połączenia przychodzące z usługi Cloud App Security pomyślnie nawiązać połączenie z serwerem.This is required in order to allow incoming connections from Cloud App Security to successfully reach the server.

Jeśli proces nie jest nadal uruchomione, zapoznaj się dokumentacji programu stunnel rozwiązywać problemy.If the process is still not running, refer to the stunnel documentation to troubleshoot.

KROK 3. Łączenie z usługą Cloud App SecuritySTEP 3: Connect to Cloud App Security

  1. W usłudze Cloud App Security w obszarze ustawienia wybierz rozszerzeń zabezpieczeń i wybierz zewnętrznej funkcji DLP kartę.In Cloud App Security, under Settings select Security extensions and select the External DLP tab.

  2. Kliknij znak plus, aby dodać nowe połączenie.Click on the plus to add a new connection.

  3. W Dodawanie nowej zewnętrznej funkcji DLP kreatora podaj nazwa połączenia (w przypadku łącznika Forcepoint mój przykład) który będzie używany do identyfikowania łącznika.In the Add new external DLP wizard, provide a Connection name (for example My Forcepoint connector) that will be used to identify the connector.

  4. Wybierz typu połączenia:Select the Connection type:

    • Symantec Vontu — wybierz tę opcję dla Vontu DLP urządzeń za pomocą niestandardowych integracjiSymantec Vontu – select this to use the customized integration for Vontu DLP appliances
    • Forcepoint DLP — zaznacz tutaj, aby korzystać z niestandardowych integracji dla urządzeń Forcepoint DLPForcepoint DLP – select this to use the customized integration for Forcepoint DLP appliances
    • Ogólny protokół ICAP — REQMOD — w przypadku innych urządzeń DLP, które używają żądania zmianyGeneric ICAP – REQMOD - for other DLP appliances that use Request Modification
    • Ogólny protokół ICAP — RESPMOD — w przypadku innych urządzeń DLP, które używają modyfikacji odpowiedzi połączenia Cloud App Security ICAPGeneric ICAP – RESPMOD - for other DLP appliances that use Response Modification Cloud App Security ICAP connection
  5. Przeglądaj, aby wybrać certyfikat publiczny wygenerowane w poprzednich krokach "CERT.cer", aby nawiązać połączenie z stunnel, a następnie kliknij przycisk dalej.Browse to select the public certificate you generated in the previous steps, “cert.pem” to connect to your stunnel, and click Next.

    Uwaga

    Zdecydowanie zaleca się sprawdzanie Użyj bezpiecznego protokołu ICAP pole, aby skonfigurować bramę programu stunnel zaszyfrowane.It is highly recommended to check the Use secure ICAP box to set up an encrypted stunnel gateway. Jeśli do testowania celów lub nie masz serwer programu stunnel, możesz usunąć zaznaczenie ten element, aby łączyć bezpośrednio z serwera DLP.If, for testing purposes or if you don't have an stunnel server, you can uncheck this to integrate directly with your DLP server.

  6. W konfiguracji serwera ekranu, podaj adresu IP i portu serwera programu stunnel, skonfigurowanej w kroku 2.In the Server configuration screen, provide the IP address and Port of the stunnel server that you set up in Step 2. Dla celów równoważenia obciążenia, możesz skonfigurować adresu IP i portu dodatkowego serwera.For load balancing purposes, you can configure the IP address and Port of an additional server. Podane adresy IP należy zewnętrznych statyczne adresy IP serwerów.The provided IP addresses should be the external static IP addresses of your servers.

    Połączenie protokołu ICAP zabezpieczeń aplikacji dla chmury

  7. Kliknij przycisk Dalej.Click Next. Usługa cloud App Security testuje połączenie z serwerem, które zostały skonfigurowane.Cloud App Security tests connectivity to the server you configured. Jeśli otrzymasz komunikat o błędzie, zapoznaj się z instrukcjami i ustawień sieci.If you receive an error, review the instructions and network settings. Po pomyślnym połączeniu możesz kliknąć Quit.After it is successfully connected, you can click Quit.

  8. Teraz, aby kierować ruch do tego zewnętrznego serwera DLP, tworząc zasady dotyczące plikóww obszarze metoda inspekcji zawartości, wybierz utworzone połączenie.Now, to direct traffic to this external DLP server, when you create a File policy, under Content inspection method, select the connection you created. Przeczytaj więcej na temat tworzenia zasady dotyczące plików.Read more about creating a File policy.

Konfiguracja serwera A: ForcePoint ICAP dodatku Appendix A: ForcePoint ICAP server setup

W ForcePoint Ustaw swojego urządzenia wykonując następujące czynności:In ForcePoint, set your appliance using the following steps:

  1. W której znajduje się urządzenie DLP, przejdź do wdrożenia > moduły systemu.In your DLP appliance, go to Deployment > System Modules.

    Wdrażanie protokołu ICAP

  2. W ogólne i upewnij się, że serwerem ICAP jest włączone i domyślnego portu jest ustawiona na 1344.In the General tab, make sure ICAP Server is Enabled and the default Port is set to 1344. Ponadto w obszarze zezwolić na połączenia z tym serwerem ICAP z następujących adresów IP, wybierz opcję dowolny adres IP.Also, under Allow connection to this ICAP Server from the following IP addresses, select Any IP address.

    Konfiguracja protokołu ICAP

  3. Na karcie HTTP/HTTPS, upewnij się, że ustawiony tryb do Blocking.In the HTTP/HTTPS tab, make sure to set Mode to Blocking.

    Blokowanie ICAP

Dodatek B: Podręcznik wdrażania programu Symantec Appendix B: Symantec Deployment Guide

Obsługiwane wersje DLP firmy Symantec są 11 lub nowszy.The supported Symantec DLP versions are 11 and higher.

Jak wspomniano powyżej, należy wdrożyć serwer wykrywania, w tym samym centrum danych platformy Azure, gdzie znajduje się dzierżawa usługi Cloud App Security.As noted above, you should deploy a detection server in the same Azure datacenter where your Cloud App Security tenant resides. Serwer wykrywania synchronizuje się z serwera Wymuś za pośrednictwem dedykowanej tunelu IPSec.The detection server syncs with the enforce server through a dedicated IPSec tunnel.

Wykrywanie instalacji serweraDetection server installation

Wykrywanie serwera używany przez usługę Cloud App Security jest zapobiec standardowa sieci dla serwera sieci Web.The detection server used by Cloud App Security is a standard Network Prevent for Web server. Dostępnych jest kilka opcji konfiguracji, które powinny zostać zmienione:There are several configuration options that should be changed:

  1. Wyłącz trybu wersji próbnej:Disable Trial Mode:

    1. W obszarze systemu > serwerów i detektory, kliknij docelowy protokołu ICAP.Under System > Servers and Detectors, click on the ICAP target.

      Docelowy protokołu ICAP

    2. Kliknij pozycję Konfiguruj.Click Configure.

      Skonfiguruj cel protokołu ICAP

    3. Wyłącz trybu wersji próbnej.Disable Trial Mode.

      Wyłącz tryb wersji próbnej

  2. W obszarze ICAP > filtrowania odpowiedzi, zmień Ignoruj odpowiedzi mniejsza niż wartości 1.Under ICAP > Response Filtering, change the Ignore Responses Smaller Than value to 1.

  3. I Dodaj "application /*" do listy sprawdzić typ zawartości.And add "application/*" to the list of Inspect Content Type. Sprawdzanie typu zawartościinspect content type

  4. Kliknij polecenie Zapisz.Click Save

Konfiguracja zasadPolicy configuration

Usługa cloud App Security bezproblemowo obsługuje wszystkie typy reguł wykrywania dołączone DLP firmy Symantec, więc nie musisz zmieniać istniejących zasad.Cloud App Security seamlessly supports all detection rule types included with Symantec DLP, so there is no need to alter existing rules. Istnieje jednak zmiana konfiguracji, która musi zostać zastosowana dla wszystkich istniejących i nowych zasad, aby włączyć pełną integrację.However, there is a configuration change that must be applied to all existing and new policies to enable full integration. Ta zmiana jest dodanie reguły określoną odpowiedź dla wszystkich zasad.This change is the addition of a specific response rule to all policies.

Zmiana konfiguracji należy dodać do swojej Vontu:Add the configuration change to your Vontu:

  1. Przejdź do Zarządzaj > zasady > zasady odpowiedzi i kliknij przycisk Dodaj regułę odpowiedzi.Go to Manage > Policies > Response Rules and click Add Response Rule.

    Dodaj regułę odpowiedzi

  2. Upewnij się, że automatyczne odpowiedzi jest zaznaczone, a następnie kliknij przycisk dalej.Make sure Automated Response is selected and click Next.

    odpowiedzi automatyczne

  3. Wpisz nazwę reguły, na przykład bloku HTTP/HTTPS.Type a rule name, for example, Block HTTP/HTTPS. W obszarze akcje, wybierz opcję bloku HTTP/HTTPS i kliknij przycisk Zapisz.Under Actions, select Block HTTP/HTTPS and click Save.

    Blok http

Dodaj regułę, że utworzono żadnych istniejących zasad:Add the rule you created to any existing policies:

  1. W każdej z zasad, przełącz się do odpowiedzi kartę.In each Policy, switch to the Response tab.

  2. Z reguły odpowiedzi listę rozwijaną, wybierz odpowiedź bloku reguły utworzone wcześniej.From the Response rule dropdown, select the block response rule you created earlier.

  3. Zapisz zasady.Save the policy.

    Wyłącz tryb wersji próbnej

Należy dodać tę regułę do wszystkich istniejących zasad.This rule must be added to all existing policies.

Uwaga

Jeśli używasz vontu firmy Symantec w celu skanowania plików z usługi Dropbox urzędów certyfikacji automatycznie wyświetla plik jako pochodzący z następującego adresu URL: http://misc/filename ten symbol zastępczy adres url faktycznie nie prowadzić dowolnego miejsca, ale jest używana do celów rejestrowania.If you use Symantec vontu to scan files from Dropbox, CAS automatically displays the file as originating from the following URL: http://misc/filename This placeholder url doesn’t actually lead anywhere but is used for logging purposes.

Zobacz teżSee Also

Kontrola aplikacji w chmurze za pomocą zasadControl cloud apps with policies

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.