Интеграция с внешней системой защиты от потери данных

Область применения: Microsoft Cloud App Security

Важно!

Изменяются названия продуктов Майкрософт для защиты от угроз. Дополнительные сведения об этом и других обновлениях см. здесь. Мы будем обновлять имена в продуктах и документации в ближайшем будущем.

Microsoft Cloud App Security можно интегрировать с существующими решениями для защиты от потери данных (DLP), чтобы перенести их возможности на облачную среду, применяя в то же время единообразную и согласованную политику как в локальной среде, так и в облаке. Платформа позволяет экспортировать простые в использовании интерфейсы, включая REST API и ICAP, что обеспечивает интеграцию с системами классификации содержимого, такими как Symantec Data Loss Prevention (прежнее название — Vontu Data Loss Prevention) и Forcepoint DLP.

Интеграция осуществляется с помощью стандартного протокола ICAP и протокола наподобие HTTP, который описывается в документе RFC 3507. Чтобы защитить ICAP для передачи данных, необходимо настроить защищенный туннель TLS (stunnel) между решением DLP и Cloud App Security. Этот туннель обеспечивает шифрование TLS для данных, передаваемых между сервером DLP и Cloud App Security.

В этом руководстве описываются действия по настройке подключения ICAP в Cloud App Security, а также настройке stunnel для защиты данных, передаваемых по этому подключению.

Архитектура

Cloud App Security сканирует облачную среду и в соответствии с конфигурацией политики файлов определяет, следует ли проверять файл с помощью внутренней или внешней системы защиты от потери данных. Если применяется внешняя система защиты от потери данных, файл пересылается через защищенный туннель в среду клиента, где он ретранслируется в устройство ICAP для вынесения решения: разрешить или заблокировать. Ответы отправляются обратно в Cloud App Security через защищенный туннель (stunnel). На основе ответов политика определяет последующие действия, такие как выдача предупреждения, помещение в карантин или предоставление управления.

Архитектура stunnel

Так как Cloud App Security работает в Azure, развертывание в Azure обеспечивает более высокую производительность. Но поддерживаются и иные варианты развертывания, в том числе в других облачных средах и в локальной среде. Развертывание в других средах может приводить к снижению производительности из-за более длительной задержки и меньшей пропускной способности. Для шифрования трафика сервер ICAP и stunnel необходимо развертывать в одной сети.

Предварительные требования

Чтобы компонент Cloud App Security мог отправлять данные через защищенный туннель на сервер ICAP, откройте в брандмауэре сети периметра внешние IP-адреса, используемые Cloud App Security с номером динамического исходного порта.

  1. Исходные адреса: см. подраздел "Предварительные условия" раздела "Подключение приложений"
  2. Исходный TCP-порт: динамический
  3. Адреса назначения: один или два IP-адреса сервера stunnel, подключенного к внешнему серверу ICAP, который вы настроите далее
  4. TCP-порт назначения: как определено в сети

Примечание

По умолчанию порт stunnel имеет номер 11344. При необходимости его можно изменить, но при этом необходимо записать новый номер порта, так как его потребуется ввести в следующем шаге.

Шаг 1. Настройка сервера ICAP

Настройте сервер ICAP, запишите номер порта и убедитесь, что установлен режим блокировки. В режиме блокировки сервер ICAP ретранслирует решение о классификации обратно в Cloud App Security.

Инструкции по выполнению настройки см. в документации к вашему внешнему решению для защиты от потери данных. В качестве примера см. установки server приложение A: Forcepoint ICAP и руководство по развертыванию приложение б: Symantec.

Шаг 2. Настройка сервера stunnel

На этом этапе вы должны настроить сервер stunnel, подключенный к серверу ICAP.

Примечание

Хотя это действие настоятельно рекомендуется к выполнению, оно необязательно и в тестовых развертываниях его можно пропустить.

Установка stunnel на сервере

Предварительные требования

  • Сервер — сервер Windows Server или Linux (один из основных дистрибутивов).

Сведения о типах серверов, которые поддерживают установку stunnel, см. на веб-сайте stunnel. В случае с Linux для установки можно использовать диспетчер распространения Linux.

Установка stunnel в Windows

  1. Скачайте последнюю версию Windows Server (должен подойти любой из последних выпусков Windows Server). (установка по умолчанию)

  2. В ходе установки не создавайте самозаверяющий сертификат. Он будет создан позже.

  3. Установите флажок Запустить сервер после установки.

  4. Создайте сертификат одним из указанных ниже способов.

    • Используйте сервер управления сертификатами для создания сертификата TLS на сервере ICAP. Затем скопируйте ключи на сервер, подготовленный для установки stunnel.
    • Либо создайте закрытый ключ и самозаверяющий сертификат на сервере stunnel с помощью приведенных ниже команд OpenSSL. Замените следующие переменные:
      • key.pem на имя закрытого ключа;
      • CERT. pem с именем вашего сертификата
      • stunnel — ключ с именем вновь созданного ключа.
  5. Откройте каталог config по пути установки stunnel. По умолчанию это путь c:\Program Files (x86)\stunnel\config\

  6. Запустите командную строку с разрешениями администратора и выполните следующие команды: .

    ..\bin\openssl.exe genrsa -out key.pem 2048
    ..\bin\openssl.exe  req -new -x509 -config ".\openssl.cnf" -key key.pem -out .\cert.pem -days 1095
    
  7. Объедините cert.pem и key.pem и сохраните их в следующем файле: type cert.pem key.pem >> stunnel-key.pem.

  8. Скачайте открытый ключ и сохраните его в следующем расположении: C:\Program Files (x86)\stunnel\config\MCASca.pem.

  9. Чтобы открыть порт в брандмауэре Windows, добавьте следующие правила.

    rem Open TCP Port 11344 inbound and outbound
    netsh advfirewall firewall add rule name="Secure ICAP TCP Port 11344" dir=in action=allow protocol=TCP localport=11344
    netsh advfirewall firewall add rule name="Secure ICAP TCP Port 11344" dir=out action=allow protocol=TCP localport=11344
    
  10. Запустите файл c:\Program Files (x86)\stunnel\bin\stunnel.exe, чтобы открыть приложение stunnel.

  11. Откройте меню Configuration (Настройка) и выберите пункт Edit configuration (Изменить конфигурацию).

    Изменение конфигурации Windows Server

  12. Откройте файл и вставьте приведенные ниже строки конфигурации сервера. IP-адрес сервера защиты от потери данных — это IP-адреса сервера ICAP, stunnel-Key — это ключ, созданный на предыдущем шаге, а мкаскафиле — общедоступный сертификат клиента Cloud App Security stunnel. Удалите весь текст, приведенный для образца (в примере это текст Gmail), а затем скопируйте в файл следующий текст:

    [microsoft-Cloud App Security]
    accept = 0.0.0.0:11344
    connect = **ICAP Server IP**:1344
    cert = C:\Program Files (x86)\stunnel\config\**stunnel-key**.pem
    CAfile = C:\Program Files (x86)\stunnel\config\**MCASCAfile**.pem
    TIMEOUTclose = 0
    client = no
    
  13. Сохраните файл и выберите команду Reload configuration (Перезагрузить конфигурацию).

  14. Чтобы проверить, все ли работает правильно, в командной строке выполните следующую команду: netstat -nao | findstr 11344.

Установка stunnel в Ubuntu

В следующем примере рассматривается установка на сервере Ubuntu с правами привилегированного пользователя. В случае с другими серверами используйте параллельные команды.

На подготовленном сервере скачайте и установите последнюю версию stunnel. Выполните следующую команду (которая также установит OpenSSL):

apt-get update
apt-get install openssl -y
apt-get install stunnel4 -y

Проверьте, установлен ли stunnel, выполнив в консоли приведенную ниже команду. Должен быть выведен номер версии и список параметров конфигурации.

stunnel — версия

Создайте сертификаты.

Сервер ICAP и компонент Cloud App Security используют закрытый ключ и открытый сертификат для проверки подлинности сервера и шифрования данных, передаваемых через туннель stunnel. Чтобы ПО stunnel могло работать как фоновая служба, закрытый ключ следует создавать без парольной фразы. Кроме того, назначьте файлам разрешение на чтение для владельца stunnel и нет для всех остальных пользователей.

Создать сертификаты можно одним из указанных ниже способов.

  • Используйте сервер управления сертификатами для создания сертификата TLS на сервере ICAP. Затем скопируйте ключи на сервер, подготовленный для установки stunnel.
  • Либо создайте закрытый ключ и самозаверяющий сертификат на сервере stunnel с помощью приведенных ниже команд OpenSSL. Замените следующие переменные:
    • key.pem на имя закрытого ключа;

    • CERT. pem с именем вашего сертификата

    • stunnel — ключ с именем вновь созданного ключа.

      openssl genrsa -out key.pem 2048
      openssl req -new -x509 -key key.pem -out cert.pem -days 1095
      cat key.pem cert.pem >> /etc/ssl/private/stunnel-key.pem
      

Скачивание открытого ключа клиента stunnel Cloud App Security

Скачайте открытый ключ отсюда: https://adaprodconsole.blob.core.windows.net/icap/publicCert.pem. Сохраните его здесь: /etc/ssl/certs/MCASCAfile.pem

Настройка stunnel

Конфигурация stunnel задается в файле stunnel.conf.

  1. Создайте файл stunnel.conf в следующем каталоге: vim /etc/stunnel/stunnel.conf.

  2. Откройте файл и вставьте приведенные ниже строки конфигурации сервера. DLP Server IP — это IP-адрес сервера ICAP, stunnel-key — ключ, созданный в предыдущем шаге, а MCASCAfile — общедоступный сертификат клиента stunnel в Cloud App Security.

    [microsoft-Cloud App Security]
    accept = 0.0.0.0:11344
    connect = **ICAP Server IP**:1344
    cert = /etc/ssl/private/**stunnel-key**.pem
    CAfile = /etc/ssl/certs/**MCASCAfile**.pem
    TIMEOUTclose = 1
    client = no
    

Изменение таблицы IP-адресов

Измените таблицу IP-адресов, добавив следующее правило маршрутизации:

iptables -I INPUT -p tcp --dport 11344 -j ACCEPT

Чтобы сохранить изменения, внесенные в таблицу IP-адресов, используйте следующие команды:

sudo apt-get install iptables-persistent
sudo /sbin/iptables-save > /etc/iptables/rules.v4

Запуск stunnel

  1. На сервере stunnel выполните следующую команду:

    vim /etc/default/stunnel4
    
  2. Измените значение переменной ENABLED на 1:

    ENABLED=1
    
  3. Перезапустите службу, чтобы конфигурация вступила в силу.

    /etc/init.d/stunnel4 restart
    
  4. Выполните следующие команды, чтобы проверить, правильно ли работает ПО stunnel:

    ps -A | grep stunnel
    

    и ожидает ли оно передачи данных через указанный порт:

    netstat -anp | grep 11344
    
  5. Убедитесь в том, что сеть, в которой развернут сервер stunnel, отвечает описанным выше предварительным требованиям. Это необходимо для успешного установления входящих подключений из Cloud App Security к серверу.

Если процесс не выполняется, см. сведения об устранении неполадок в документации stunnel.

Шаг 3. Подключение к Cloud App Security

  1. В Cloud App Security в области Параметры выберите Расширения безопасности и перейдите на вкладку Внешняя защита от потери данных.

  2. Щелкните знак "плюс", чтобы добавить новое подключение.

  3. В мастере добавления новой внешней системы защиты от потери данных укажите имя подключения (например "Соединитель Forcepoint"), которое будет использоваться для определения соединителя.

  4. Выберите тип подключения:

    • Symantec Vontu — используйте настраиваемую интеграцию с устройствами Vontu DLP;

    • Forcepoint DLP — используйте настраиваемую интеграцию с устройствами Forcepoint DLP;

    • Универсальный ICAP — REQMOD — для других устройств DLP, использующих изменение запросов;

    • Универсальный ICAP — RESPMOD — для других устройств DLP, использующих изменение ответов.

      Тип подключения Cloud App Security ICAP

  5. Чтобы выбрать открытый сертификат, созданный на предыдущих шагах, "CERT. pem", щелкните "Обзор", чтобы подключиться к stunnel. Щелкните Далее.

    Примечание

    Настоятельно рекомендуется установить флажок Использовать защищенный ICAP, чтобы настроить зашифрованный шлюз stunnel. Если вы проводите тестирование или у вас нет сервера stunnel, можно снять этот флажок, чтобы выполнить интеграцию с сервером DLP напрямую.

  6. На экране Конфигурация сервера укажите IP-адрес и порт сервера stunnel, настроенные в шаге 2. Для балансировки нагрузки вы можете указать IP-адрес и Порт дополнительного сервера. Указанные IP-адреса должны быть внешними статическими IP-адресами ваших серверов.

    Cloud App Security IP-адрес и порт подключения ICAP

  7. Щелкните Далее. Cloud App Security проверит подключение к настроенному серверу. Если возникает ошибка, изучите инструкции и проверьте параметры сети. После успешного подключения можно нажать кнопку Выход.

  8. Теперь, чтобы направить трафик на этот внешний сервер DLP, при создании политики файлов в разделе метод проверки содержимого выберите созданное подключение. Дополнительные сведения о создании политики файлов.

Приложение А. Настройка сервера ICAP Forcepoint

В ForcePoint настройте устройство, выполнив указанные ниже действия.

  1. В устройстве защиты от потери данных перейдите Deployment в раздел > модули системы развертывания.

    Развертывание ICAP

  2. На вкладке General (Общие) для параметра ICAP Server (Сервер ICAP) необходимо выбрать значение Enabled (Включен), а для порта по умолчанию — задать номер 1344. Кроме того, в поле Allow connection to this ICAP Server from the following IP addresses (Разрешить подключение к этому серверу ICAP со следующих IP-адресов) выберите значение Any IP address (Любой IP-адрес).

    Конфигурация ICAP

  3. На вкладке "HTTP/HTTPS" выберите для параметра Mode (Режим) значение Blocking (Блокировка).

    Блокировка ICAP

Приложение Б., "Руководство по развертыванию Symantec"

Поддерживается решение Symantec DLP версии 11 и новее.

Как указано выше, сервер обнаружения нужно развернуть в том же центре обработки данных Azure, что и клиент Cloud App Security. Сервер обнаружения синхронизируется с сервером принудительной защиты через выделенный туннель IPSec.

Установка сервера обнаружения

Сервер обнаружения, используемый Cloud App Security, представляет собой стандартный сервер с поддержкой модуля Network Prevent for Web. Вам потребуется изменить несколько параметров настройки.

  1. Отключите режим пробной версии.

    1. В разделе системные > серверы и устройства обнаружения щелкните целевой объект ICAP.

      Целевой объект ICAP

    2. Нажмите Настроить.

      Настройка целевого объекта ICAP

    3. Отключение режима пробной версии.

      всплывающее окно "Отключение пробного режима"

  2. В ICAP разделе > Фильтрация ответов ICAP измените значение параметра игнорировать ответы меньше, чем на 1.

  3. И добавить "Application/ * " в список " проверить тип содержимого".

    Проверка типа содержимого

  4. Нажмите кнопку Сохранить

Настройки политики

Cloud App Security свободно поддерживает все типы правил обнаружения, включенные в решение Symantec для защиты от потери данных, поэтому нет необходимости изменять существующие правила. Тем не менее, чтобы обеспечить полную интеграцию, необходимо применить изменение конфигурации ко всем существующим и новым политикам. Это изменение представляет собой дополнение к определенным правилам отклика для всех политик.

Добавьте в Vontu изменение конфигурации.

  1. Перейдите к разделу Управление > Policies > правилами ответов на политики и нажмите кнопку Добавить правило ответа.

    Добавление правила отклика

  2. Установите переключатель Automated Response (Автоматический отклик) и нажмите кнопку Next (Далее).

    Автоматический отклик

  3. Введите имя правила, например Блокировка HTTP/HTTPS. В разделе действия выберите блокировать HTTP/HTTPS и нажмите кнопку сохранить.

    Блокировка HTTP

Добавьте созданное правило во все существующие политики.

  1. В каждой политике перейдите на вкладку Response (Отклик).

  2. В раскрывающемся списке правило ответа выберите созданное ранее правило блокировки ответов.

  3. Сохраните политику.

    отключить пробный режим в политике

Это правило необходимо добавить во все существующие политики.

Примечание

Если вы используете Symantec vontu для проверки файлов из Dropbox, то CAS автоматически отображает файл, исходя из следующего URL-адреса: http://misc/filename этот URL-адрес на самом деле не является ведущим, но используется для ведения журнала.

Дальнейшие действия

Если у вас возникнут проблемы, мы поможем вам. Чтобы получить помощь или поддержку по своему продукту, отправьте запрос в службу поддержки.