Sobre a segurança do servidor e os certificados SSL/TLS
O
Symantec Data Loss Prevention
usa SSL/TLS (Secure Socket Layer/Transport Layer Security) para criptografar todos os dados transmitidos entre servidores. Usa também o protocolo SSL/TLS para a autenticação mútua entre servidores. Os servidores implementam a autenticação pelo uso obrigatório de certificados no cliente e no servidor. O aplicativo web do console de administração do Enforce Server permite que os usuários exibam e gerenciem incidentes e políticas e configurem o
Symantec Data Loss Prevention
. Acesse essa interface com um navegador. O Enforce Server e o navegador se comunicam por meio de uma conexão SSL/TLS segura. Para garantir a confidencialidade, toda a comunicação entre o Enforce Server e o navegador é criptografada usando uma chave simétrica. Durante o início da conexão, o Enforce Server e o navegador negociam o algoritmo de criptografia. A negociação inclui o algoritmo, o tamanho da chave e a codificação, bem como a própria chave de criptografia.Um certificado é um arquivo de armazenamento de chave usado com uma senha de armazenamento de chave. Os termos "certificado" e "arquivo de armazenamento de chave" são frequentemente usados de maneira intercambiável. Por padrão, todas as conexões entre os servidores do
Symantec Data Loss Prevention
, o Enforce Server e o navegador usam um certificado autoassinado. Este certificado é embutido com segurança no software do Symantec Data Loss Prevention
. Por padrão, todos os servidores do Symantec Data Loss Prevention
em cada instalação do cliente usam esse mesmo certificado.Embora a segurança padrão existente atenda a padrões rigorosos, a Symantec fornece os utilitários keytool e sslkeytool para aprimorar a segurança da criptografia:
- O utilitáriokeytoolgera outro certificado para criptografar a comunicação entre seu navegador e o Enforce Server. Esse certificado é exclusivo para a sua instalação.
- O utilitáriosslkeytoolgera certificados do servidor de SSL para comunicações seguras entre o Enforce Server e os servidores de detecção. Esses certificados são exclusivos para a sua instalação. Os novos certificados substituem o único certificado padrão que vem com todas as instalações doSymantec Data Loss Prevention. Armazene um certificado no Enforce Server e um certificado em cada servidor de detecção de sua instalação.A Symantec recomenda que você crie certificados dedicados para a comunicação com seus servidores doSymantec Data Loss Prevention. Quando você configurar o Enforce Server para usar um certificado gerado, todos os servidores de detecção de sua instalação também deverão usar certificados gerados. Você não pode usar o certificado integrado com alguns servidores de detecção e o certificado integrado com outros servidores.Se você instalar um servidor de detecção doNetwork Preventem um ambiente hospedado, será necessário gerar certificados exclusivos para seus servidores doSymantec Data Loss Prevention. Não é possível usar o certificado integrado para se comunicar com um servidor hospedado doNetwork Prevent.
Talvez também seja necessário proteger as comunicações entre os servidores do
Symantec Data Loss Prevention
e outros servidores, como aqueles usados pelo Active Directory ou por um MTA (Mail Transfer Agent).