Como configurar os detalhes do servidor proxy para a integração do Symantec com o MIP para DLP em servidores de detecção

Se você tiver um servidor proxy em seu ambiente, siga estas etapas para fazer com que a integração do Symantec com o MIP para servidores de detecção DLP funcione com seu proxy. A Symantec suporta os tipos de proxy transparente e explícito para a descriptografia MIP.
Você deve configurar o proxy para cada um dos servidores de detecção separadamente.
Para configurar um servidor proxy para a integração do Symantec com o MIP para DLP
  1. Acesse
    Sistema > Servidores e detectores > Visão geral
    .
  2. Clique em seu servidor na página
    Visão geral
    . A página
    Detalhe do servidor/detector
    aparece.
  3. Clique em
    Configurar
    na página
    Detalhe do servidor/detector
    .
  4. Clique na guia
    Detecção
    .
  5. Clique em
    Proxy manual
    .
  6. Digite o
    URL
    do servidor proxy e o número da
    Porta
    .
  7. Reinicie o servidor.
  • Os proxies podem ser configurados para tunel ou para usar a terminação TLS do tráfego do MIP Insight.
  • A autenticação de proxy não é suportada. Se um proxy estiver configurado com autenticação, você deverá adicionar uma regra de desvio para excluir o tráfego do MIP Insight da autenticação de proxy. Consulte "Configurar o desvio de autenticação de proxy (para proxies autenticados)".
Configurar um proxy de terminação TLS
Como o proxy está encerrando as conexões TLS, o servidor de detecção do DLP deve confiar no proxy, e o proxy deve confiar no servidor de origem (o serviço Azure). O exemplo a seguir é apenas para fins de ilustração e baseia-se na premissa de que o certificado do proxy é autoassinado.
Importar os certificados de proxy para o armazenamento confiável do servidor de detecção
  1. Obtenha o certificado ProxySG no formato
    .pem
    .
  2. Adicione o certificado ao armazenamento confiável:
    • No Linux, adicione o arquivo
      .pem
      ao diretório
      /usr/local/share/ca-certificates
      (RHEL 6.x) ou
      /etc/pki/ca-trust/source/anchors
      (RHEL 7.x).
    • Execute o comando
      # /bin/update-ca-trust
      para atualizar o arquivo da autoridade de certificação.
  3. Digite
    # trust list | more
    para validar que o certificado foi adicionado.
Configurar o proxy sem terminação TLS (modo de encapsulamento)
  1. Use a lista de URLs de https://docs.microsoft.com/en-us/azure/azure-portal/azure-portal-safelist-urls?tabs=public-cloud para excluir os hosts de destino do Azure da terminação TLS no proxy.
  2. Adicione os seguintes itens à lista:
    api.aadrm.com
    13.107.6.181
    13.107.9.181
Configurar o desvio de autenticação de proxy (para proxies autenticados)
A autenticação de proxy não é suportada atualmente pelo SDK do MIP e deve ser ignorada. Use a documentação do proxy para configurar o desvio de autenticação para os URLs mencionados nas instruções anteriores em "Configurar o proxy sem terminação TLS". Você pode encontrar um exemplo de configuração para ignorar autenticação no ProxySG em https://knowledge.broadcom.com/external/article/165425/bypassing-authentication-on-the-proxysg.html.