Sobre a segurança do servidor e os certificados SSL/TLS

O
Symantec Data Loss Prevention
usa SSL/TLS (Secure Socket Layer/Transport Layer Security) para criptografar todos os dados transmitidos entre servidores. Usa também o protocolo SSL/TLS para a autenticação mútua entre servidores. Os servidores implementam a autenticação pelo uso obrigatório de certificados no cliente e no servidor.
O aplicativo web do console de administração do Enforce Server permite que os usuários exibam e gerenciem incidentes e políticas e configurem o
Symantec Data Loss Prevention
. Acesse essa interface com um navegador. O Enforce Server e o navegador se comunicam por meio de uma conexão SSL/TLS segura. Para garantir a confidencialidade, toda a comunicação entre o Enforce Server e o navegador é criptografada usando uma chave simétrica. Durante o início da conexão, o Enforce Server e o navegador negociam o algoritmo de criptografia. A negociação inclui o algoritmo, o tamanho da chave e a codificação, bem como a própria chave de criptografia.
Um certificado é um arquivo de armazenamento de chave usado com uma senha de armazenamento de chave. Os termos "certificado" e "arquivo de armazenamento de chave" são frequentemente usados de maneira intercambiável. Por padrão, todas as conexões entre os servidores do
Symantec Data Loss Prevention
, o Enforce Server e o navegador usam um certificado autoassinado. Este certificado é embutido com segurança no software do
Symantec Data Loss Prevention
. Por padrão, todos os servidores do
Symantec Data Loss Prevention
em cada instalação do cliente usam esse mesmo certificado.
Embora a segurança padrão existente atenda a padrões rigorosos, a Symantec fornece os utilitários keytool e sslkeytool para aprimorar a segurança da criptografia:
  • O utilitário
    keytool
    gera outro certificado para criptografar a comunicação entre seu navegador e o Enforce Server. Esse certificado é exclusivo para a sua instalação.
  • O utilitário
    sslkeytool
    gera certificados do servidor de SSL para comunicações seguras entre o Enforce Server e os servidores de detecção. Esses certificados são exclusivos para a sua instalação. Os novos certificados substituem o único certificado padrão que vem com todas as instalações do
    Symantec Data Loss Prevention
    . Armazene um certificado no Enforce Server e um certificado em cada servidor de detecção de sua instalação.
    A Symantec recomenda que você crie certificados dedicados para a comunicação com seus servidores do
    Symantec Data Loss Prevention
    . Quando você configurar o Enforce Server para usar um certificado gerado, todos os servidores de detecção de sua instalação também deverão usar certificados gerados. Você não pode usar o certificado integrado com alguns servidores de detecção e o certificado integrado com outros servidores.
    Se você instalar um servidor de detecção do
    Network Prevent
    em um ambiente hospedado, será necessário gerar certificados exclusivos para seus servidores do
    Symantec Data Loss Prevention
    . Não é possível usar o certificado integrado para se comunicar com um servidor hospedado do
    Network Prevent
    .
Talvez também seja necessário proteger as comunicações entre os servidores do
Symantec Data Loss Prevention
e outros servidores, como aqueles usados pelo Active Directory ou por um MTA (Mail Transfer Agent).