Integração de DLPs externas

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

O Microsoft Cloud App Security pode integrar-se com as soluções DLP existentes para estender estes controlos à nuvem, preservando uma política consistente e unificada em todas as instalações e atividades na nuvem. A plataforma exporta interfaces fáceis de usar, incluindo a REST API e a ICAP, permitindo a integração com sistemas de classificação de conteúdos como a Symantec Data Loss Prevention (anteriormente Vontu Data Loss Prevention) ou Forcepoint DLP.

A integração é realizada utilizando o protocolo ICAP padrão, um protocolo http-like descrito no RFC 3507. Para garantir o ICAP para transmissão dos seus dados, é necessário configurar um túnel TLS seguro (atordoador) entre a sua solução DLP e a Cloud App Security. A configuração de atordoamento fornece a funcionalidade de encriptação TLS aos seus dados à medida que viaja entre o seu servidor DLP e a Cloud App Security.

Este guia fornece os passos necessários para configurar a ligação ICAP na Cloud App Security e a configuração atordoada para garantir a comunicação através do mesmo.

Arquitetura

Cloud App Security analisa o seu ambiente em nuvem e, com base na configuração da sua política de ficheiros, decide se digitaliza o ficheiro utilizando o motor DLP interno ou o DLP externo. Se for aplicada uma varredura DLP externa, o ficheiro é enviado pelo túnel seguro para o ambiente do cliente, onde é retransmitido para o aparelho ICAP para o veredicto DLP: permitido/bloqueado. As respostas são enviadas de volta para a Cloud App Security sobre o atordoar onde é usada pela política para determinar ações subsequentes, tais como notificações, quarentena e controlo de partilha.

Arquitetura atordoada.

Uma vez que a Cloud App Security funciona em Azure, uma implementação no Azure produz um desempenho melhorado. No entanto, outras opções, incluindo outras nuvens e implantação no local, são suportadas. A implantação noutros ambientes pode resultar num desempenho degradado devido a uma maior latência e menor produção. O servidor E stunnel do ICAP devem ser implantados juntos na mesma rede para se certificar de que o tráfego está encriptado.

Pré-requisitos

Para que a Cloud App Security envie dados através do seu atordoador para o seu servidor ICAP, abra a sua firewall DMZ para os endereços IP externos utilizados pela Cloud App Security com um número de porta de origem dinâmico.

  1. Endereços de origem: Consulte aplicações connect, em pré-requisitos
  2. Fonte TCP porta: Dinâmica
  3. Endereço de destino(es): um ou dois endereços IP do atordoador ligado ao servidor ICAP externo que irá configurar nos próximos passos
  4. Porto TCP de destino: Conforme definido na sua rede

Nota

Por predefinição, o número da porta de atordoar está definido para 11344. Pode mudá-lo para outra porta, se necessário, mas certifique-se de tomar nota do novo número de porta - terá de o introduzir no passo seguinte.

PASSO 1: Configurar o servidor ICAP

Configurar um servidor ICAP, tomando nota do número de porta, e certifique-se de que define o modo de bloqueio. O modo de bloqueio define o servidor ICAP para transmitir o veredicto de classificação de volta à Cloud App Security.

Consulte a documentação do produto DLP externo para obter instruções sobre como realizar esta configuração. Como exemplo, consulte o Apêndice A: Configuração do servidor ICAP de ponto de força e apêndice B: Guia de Implantação Symantec.

PASSO 2: Configurar o seu servidor atordoador

Neste passo, configura o atordoador ligado ao seu servidor ICAP.

Nota

Embora altamente recomendado, este passo é opcional e pode ser ignorado em cargas de trabalho de teste.

Instale atordoador num servidor

Pré-requisitos

  • Um servidor - ou um Servidor Windows ou um servidor Linux baseado numa grande distribuição.

Consulte o site atordoado para obter detalhes sobre os tipos de servidores que suportam a instalação atordoada. Se estiver a utilizar o Linux, pode utilizar o seu gestor de distribuição Linux para o instalar.

Instale atordoada no Windows

  1. Descarregue a mais recente instalação do Windows Server (esta aplicação deve funcionar em qualquer edição recente do Windows Server). (instalação predefinido)

  2. Durante a instalação, não crie um novo certificado auto-assinado. Vai criar um certificado mais tarde.

  3. Clique no servidor Iniciar após a instalação.

  4. Criar um certificado de uma das seguintes formas:

    • Utilize o servidor de gestão de certificados para criar um certificado TLS no seu servidor ICAP. Em seguida, copie as chaves do servidor que preparou para a instalação de atordoamento.
    • Ou, no servidor atordoado, use os seguintes comandos OpenSSL para gerar uma chave privada e um certificado auto-assinado. Substitua estas variáveis:
      • key.pem com o nome da sua chave privada
      • cert.pem com o nome do seu certificado
      • atordoar-chave com o nome da chave recém-criada
  5. Sob o seu caminho de instalação atordoado, abra o diretório config. Por padrão é: c:\Ficheiros do programa (x86)\stunnel\config\

  6. Executar a linha de comando com permissões de administração:

    ..\bin\openssl.exe genrsa -out key.pem 2048
    ..\bin\openssl.exe  req -new -x509 -config ".\openssl.cnf" -key key.pem -out .\cert.pem -days 1095
    
  7. Concatenate o cert.pem e key.pem e guarde-os para o arquivo: type cert.pem key.pem >> stunnel-key.pem

  8. Descarregue a chave pública e guarde-a neste local C:\Program Files (x86)\stunnel\config\MCASca.pem.

  9. Adicione as seguintes regras para abrir a porta na firewall do Windows:

    rem Open TCP Port 11344 inbound and outbound
    netsh advfirewall firewall add rule name="Secure ICAP TCP Port 11344" dir=in action=allow protocol=TCP localport=11344
    netsh advfirewall firewall add rule name="Secure ICAP TCP Port 11344" dir=out action=allow protocol=TCP localport=11344
    
  10. Executar: c:\Program Files (x86)\stunnel\bin\stunnel.exe para abrir a aplicação de atordoamento.

  11. Clique em Configuração e, em seguida, edite a configuração.

    Editar a configuração do Servidor do Windows.

  12. Abra o ficheiro e cole as seguintes linhas de configuração do servidor. O DLP Server IP é o endereço IP do seu servidor ICAP, a chave de atordoar é a chave que criou no passo anterior, e o MCASCAfile é o certificado público do cliente atordoador cloud App Security. Elimine qualquer texto de exemplo que esteja em vigor (no exemplo apresenta texto do Gmail) e copie o seguinte texto no ficheiro:

    [microsoft-Cloud App Security]
    accept = 0.0.0.0:11344
    connect = **ICAP Server IP**:1344
    cert = C:\Program Files (x86)\stunnel\config\**stunnel-key**.pem
    CAfile = C:\Program Files (x86)\stunnel\config\**MCASCAfile**.pem
    TIMEOUTclose = 0
    client = no
    
  13. Guarde o ficheiro e, em seguida, clique na configuração de Recarga.

  14. Para validar que tudo está a correr como esperado, a partir de um pedido de comando, corra: netstat -nao | findstr 11344

Instale atordoar em Ubuntu

O exemplo a seguir baseia-se numa instalação do servidor Ubuntu, quando assinado como utilizador raiz - para outros servidores utilizam comandos paralelos.

No servidor preparado, descarregue e instale a versão mais recente do atordoador. Executar o seguinte comando no seu servidor Ubuntu para instalar tanto atordoado como OpenSSL:

apt-get update
apt-get install openssl -y
apt-get install stunnel4 -y

Verifique se o atordoamento está instalado executando o seguinte comando a partir de uma consola. Deve obter o número da versão e uma lista de opções de configuração:

versão atordoado

Gerar certificados

O servidor ICAP e o Cloud App Security utilizam uma chave privada e um certificado público para encriptação e autenticação do servidor em todo o atordoar. Certifique-se de que cria a chave privada sem uma frase de passe para que o atordoar possa funcionar como um serviço de fundo. Além disso, despeda por um conjunto de permissões para o proprietário atordoado e para nenhum para todos os outros.

Pode criar os certificados de uma das seguintes formas:

  • Utilize o servidor de gestão de certificados para criar um certificado TLS no seu servidor ICAP. Em seguida, copie as chaves do servidor que preparou para a instalação de atordoamento.
  • Ou, no servidor atordoado, use os seguintes comandos OpenSSL para gerar uma chave privada e um certificado auto-assinado. Substitua estas variáveis:
    • key.pem com o nome da sua chave privada

    • cert.pem com o nome do seu certificado

    • atordoar-chave com o nome da chave recém-criada

      openssl genrsa -out key.pem 2048
      openssl req -new -x509 -key key.pem -out cert.pem -days 1095
      cat key.pem cert.pem >> /etc/ssl/private/stunnel-key.pem
      

Descarregue a chave pública do cliente da Cloud App

Faça o download da chave pública a partir deste local: https://adaprodconsole.blob.core.windows.net/icap/publicCert.pem /etc/ssl/certs/MCASCAfile.pem

Configure atordoado

A configuração do atordoamento é definida no ficheiro stunnel.conf.

  1. Crie o ficheiro stunnel.conf no seguinte diretório: vim /etc/stunnel/stunnel.conf

  2. Abra o ficheiro e cole as seguintes linhas de configuração do servidor. O DLP Server IP é o endereço IP do seu servidor ICAP, a chave de atordoar é a chave que criou no passo anterior, e o MCASCAfile é o certificado público do cliente atordoador cloud App Security:

    [microsoft-Cloud App Security]
    accept = 0.0.0.0:11344
    connect = **ICAP Server IP**:1344
    cert = /etc/ssl/private/**stunnel-key**.pem
    CAfile = /etc/ssl/certs/**MCASCAfile**.pem
    TIMEOUTclose = 1
    client = no
    

Atualize a sua tabela IP

Atualize a sua tabela de endereços IP com a seguinte regra de rota:

iptables -I INPUT -p tcp --dport 11344 -j ACCEPT

Para tornar a atualização na sua tabela IP persistente, utilize os seguintes comandos:

sudo apt-get install iptables-persistent
sudo /sbin/iptables-save > /etc/iptables/rules.v4

Correr atordoado

  1. No seu servidor atordoado, executar o seguinte comando:

    vim /etc/default/stunnel4
    
  2. Altere a variável ativada para 1:

    ENABLED=1
    
  3. Reiniciar o serviço para a configuração entrar em vigor:

    /etc/init.d/stunnel4 restart
    
  4. Executar os seguintes comandos para verificar se o atordoador está a funcionar corretamente:

    ps -A | grep stunnel
    

    e que está a ouvir na lista do porto:

    netstat -anp | grep 11344
    
  5. Certifique-se de que a rede em que o servidor atordoado foi implantado corresponde aos pré-requisitos da rede, tal como mencionado anteriormente. Isto é necessário para permitir que as ligações recebidas da Cloud App Security cheguem com sucesso ao servidor.

Se o processo ainda não estiver em curso, consulte a documentação atordoada para resolver problemas.

PASSO 3: Conecte-se à Segurança da Aplicação cloud

  1. Na Cloud App Security, em Definições selecione extensões de segurança e selecione o separador DLP externo.

  2. Clique no plus para adicionar uma nova ligação.

  3. No novo assistente DLP externo, forneça um nome de Ligação (por exemplo, o conector My Forcepoint) que será utilizado para identificar o conector.

  4. Selecione o tipo de Ligação:

    • Symantec Vontu – Utilize a integração personalizada para eletrodomésticos Vontu DLP.

    • Forcepoint DLP – Utilize a integração personalizada para aparelhos Forcepoint DLP.

    • Genérico ICAP – REQMOD - Utilize outros aparelhos DLP que utilizem Modificação de Pedido.

    • Genérico ICAP – RESPMOD - Utilize outros aparelhos DLP que utilizem modificação de resposta.

      Tipo de ligação ICAP de segurança de aplicativo de nuvem.

  5. Navegue para selecionar o certificado público que gerou nos passos anteriores, "cert.pem", para ligar ao seu atordoador. Clique em Seguinte.

    Nota

    É altamente recomendável verificar a caixa ICAP segura para configurar um gateway de atordoar encriptado. Se, para efeitos de teste ou se não tiver um servidor atordoado, pode desmarcar esta caixa para se integrar diretamente com o seu servidor DLP.

  6. No ecrã de configuração do Servidor, forneça o endereço IP e a porta do servidor atordoado que configura no Passo 2. Para efeitos de equilíbrio de carga, pode configurar o endereço IP e a Porta de um servidor adicional. Os endereços IP fornecidos devem ser os endereços IP estáticos externos dos seus servidores.

    Endereço IP de ligação ICAP de segurança da nuvem e porta.

  7. Clique em Seguinte. Cloud App Security testa conectividade com o servidor que configuraste. Se receber um erro, reveja as instruções e as definições de rede. Depois de conectado com sucesso, pode clicar em Desistir.

  8. Agora, para direcionar o tráfego para este servidor DLP externo, quando criar uma política de Ficheiros de acordo com o método de inspeção de Conteúdo, selecione a ligação que criou. Leia mais sobre a criação de uma política de Arquivos.

Apêndice A: Configuração do servidor ICAP do ForcePoint

No ForcePoint, desaponte o seu aparelho utilizando os seguintes passos:

  1. No seu aparelho DLP, aceda aos > Módulos do Sistema de Implantação .

    Implantação do ICAP.

  2. No separador Geral, certifique-se de que o Servidor ICAP está Ativado e que a porta predefinidora está definida para 1344. Além disso, sob Permitir a ligação a este Servidor ICAP a partir dos seguintes endereços IP, selecione Qualquer endereço IP.

    Configuração ICAP.

  3. No separador HTTP/HTTPS, certifique-se de definir o modo de bloqueio.

    ICAP a bloquear.

Apêndice B: Guia de Implantação Symantec

As versões Symantec DLP suportadas são 11 ou mais.

Como referido acima, deve implementar um servidor de deteção no mesmo centro de dados Azure onde reside o seu inquilino cloud App Security. O servidor de deteção sincroniza-se com o servidor de aplicação através de um túnel IPSec dedicado.

Instalação do servidor de deteção

O servidor de deteção utilizado pela Cloud App Security é um sistema padrão de prevenção de redes para servidor Web. Existem várias opções de configuração que devem ser alteradas:

  1. Modo de teste de desativar:

    1. Em > Servidores e Detetores de Sistema, clique no alvo ICAP.

      Alvo ICAP.

    2. Clique em Configurar.

      Configure o alvo ICAP.

    3. Desativar o modo de teste.

      desativar o pop-up do modo de ensaio.

  2. No âmbito da filtragem de resposta do ICAP, > altere as respostas de ignorar menores do que o valor para 1.

  3. E adicione * "aplicação/" à lista de Tipo de Conteúdo inspecionado.

    inspecione o tipo de conteúdo.

  4. Clique em Guardar

Configuração da política

Cloud App Security suporta perfeitamente todos os tipos de regras de deteção incluídos com Symantec DLP, por isso não há necessidade de alterar as regras existentes. No entanto, há uma mudança de configuração que deve ser aplicada a todas as políticas existentes e novas para permitir a integração completa. Esta alteração é a adição de uma regra de resposta específica a todas as políticas.

Adicione a alteração de configuração ao seu Vontu:

  1. Vá para gerir > > regras de resposta de políticas e clique em Adicionar Regra de Resposta.

    adicionar regra de resposta.

  2. Certifique-se de que a Resposta Automatizada está selecionada e clique em Seguinte.

    resposta automatizada.

  3. Digite um nome de regra, por exemplo, Bloco HTTP/HTTPS. Em Ações, selecione Bloco HTTP/HTTPS e clique em Guardar.

    bloco http.

Adicione a regra que criou a quaisquer políticas existentes:

  1. Em cada Política, mude para o separador Resposta.

  2. A partir da regra de resposta, selecione a regra de resposta do bloco que criou anteriormente.

  3. Guarde a política.

    desativar o modo de ensaio na política.

Esta regra deve ser acrescentada a todas as políticas existentes.

Nota

Se utilizar o Symantec vontu para digitalizar ficheiros do Dropbox, o CAS apresenta automaticamente o ficheiro como originário do seguinte URL: http://misc/filename Este url de espaço reservado não conduz a lado nenhum, mas é utilizado para fins de registo.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.