Como configurar os detalhes do servidor proxy para a integração do Symantec com o MIP para DLP em servidores de detecção
Se você tiver um servidor proxy em seu ambiente, siga estas etapas para fazer com que a integração do Symantec com o MIP para servidores de detecção DLP funcione com seu proxy. A Symantec suporta os tipos de proxy transparente e explícito para a descriptografia MIP.
Você deve configurar o proxy para cada um dos servidores de detecção separadamente.
Para configurar um servidor proxy para a integração do Symantec com o MIP para DLP
- AcesseSistema > Servidores e detectores > Visão geral.
- Clique em seu servidor na páginaVisão geral. A páginaDetalhe do servidor/detectoraparece.
- Clique emConfigurarna páginaDetalhe do servidor/detector.
- Clique na guiaDetecção.
- Clique emProxy manual.
- Digite oURLdo servidor proxy e o número daPorta.
- Reinicie o servidor.
- Os proxies podem ser configurados para tunel ou para usar a terminação TLS do tráfego do MIP Insight.
- A autenticação de proxy não é suportada. Se um proxy estiver configurado com autenticação, você deverá adicionar uma regra de desvio para excluir o tráfego do MIP Insight da autenticação de proxy. Consulte "Configurar o desvio de autenticação de proxy (para proxies autenticados)".
Configurar um proxy de terminação TLS
Como o proxy está terminando conexões TLS, o servidor de detecção do DLP deve confiar no proxy, e o proxy deve confiar no servidor de origem (o serviço Azure). O exemplo a seguir é apenas para fins de ilustração e baseia-se na premissa de que o certificado de proxy é autoassinado.
Importar os certificados de proxy para o armazenamento confiável do servidor de detecção
- Obtenha o certificado ProxySG no formato.pem.
- Adicione o certificado ao armazenamento confiável:
- No Linux, adicione o arquivo.pemao diretório/usr/local/share/ca-certificates(RHEL 6.x) ou/etc/pki/ca-trust/source/anchors(RHEL 7.x).
- Execute o comando# /bin/update-ca-trustpara atualizar o arquivo da autoridade de certificação.
- Digite# trust list | morepara validar que o certificado foi adicionado.
Configurar o proxy sem terminação TLS (modo de encapsulamento)
- Use a lista de URLs de https://docs.microsoft.com/en-us/azure/azure-portal/azure-portal-safelist-urls?tabs=public-cloud para excluir os hosts de destino do Azure da terminação TLS no proxy.
- Adicione os seguintes itens à lista:api.aadrm.com13.107.6.18113.107.9.181
Configurar o desvio de autenticação de proxy (para proxies autenticados)
A autenticação de proxy não é suportada atualmente pelo SDK do MIP e deve ser ignorada. Use a documentação do proxy para configurar o desvio de autenticação para os URLs mencionados nas instruções anteriores em "Configurar o proxy sem terminação TLS". Você pode encontrar um exemplo de configuração para ignorar autenticação no ProxySG em https://knowledge.broadcom.com/external/article/165425/bypassing-authentication-on-the-proxysg.html.