Configuration des détails du serveur proxy pour l’intégration de Symantec au MIP pour DLP sur les serveurs de détection
Si vous avez un serveur proxy dans votre environnement, suivez ces étapes pour que l’intégration de Symantec au MIP pour les serveurs de détection DLP fonctionne avec votre proxy. Symantec prend en charge les types de proxy transparents et explicites pour le déchiffrement MIP.
Vous devez configurer le proxy pour chacun de vos serveurs de détection séparément.
Pour configurer un serveur proxy pour l’intégration de Symantec avec MIP pour DLP
- Accédez àSystème > Serveurs et détecteurs > Vue générale.
- Cliquez sur votre serveur dans la pageVue générale. La pageDétails du serveur/détecteurs'affiche.
- Sur la pageDétails du détecteur/serveur, cliquez surConfigurer.
- Cliquez sur l’ongletDétection.
- Cliquez surProxy manuel.
- Entrez l’URLdu serveur proxy et le numéro deport.
- Redémarrez votre serveur.
- Des proxies peuvent être configurés pour tunneliser ou utiliser l’arrêt TLS du trafic MIP Insight.
- L’authentification de proxy n’est pas prise en charge. Si un proxy est configuré avec l’authentification, vous devez ajouter une règle de contournement pour exclure le trafic MIP Insight de l’authentification de proxy. Voir Configuration du contournement de l’authentification de proxy (pour les proxys authentifiés).
Configuration d’un proxy arrêtant TLS
Puisque le proxy termine les connexions TLS, le serveur de détection DLP doit faire confiance au proxy et le proxy doit faire confiance au serveur d’origine (le service Azure). L’exemple suivant est à des fins d’illustration uniquement et est basé sur l’hypothèse que le certificat de proxy est auto-signé.
Importez les certificats de proxy dans le référentiel d'approbations du serveur de détection.
- Obtenez le certificat ProxySG au format.pem.
- Ajoutez le certificat au référentiel d'approbations :
- Sous Linux, ajoutez le fichier.pemau répertoire/usr/local/share/ca-certificates(RHEL 6.x) ou/etc/pki/ca-trust/source/anchors(RHEL 7.x).
- Exécutez la commande# /bin/update-ca-trustpour mettre à jour le fichier d’autorité de certification.
- Tapez# trust list | morepour valider que le certificat a été ajouté.
Configuration du proxy n'arrêtant pas TLS (mode tunnellisation)
- Utilisez la liste d’URL de https://docs.microsoft.com/en-us/azure/azure-portal/azure-portal-safelist-urls?tabs=public-cloud pour exclure les hôtes de destination Azure de l'arrêt TLS sur le proxy.
- Ajoutez les éléments suivants à la liste :api.aadrm.com13.107.6.18113.107.9.181
Configuration du contournement de l’authentification de proxy (pour les proxys authentifiés)
L’authentification de proxy n’est actuellement pas prise en charge par le SDK MIP et doit être contournée. Utilisez la documentation de proxy pour configurer le contournement d’authentification pour les URL mentionnées dans les instructions précédentes dans Configuration du proxy n'arrêtant pas TLS. Vous pouvez trouver un exemple de configuration du contournement de l’authentification sur ProxySG sur https://knowledge.broadcom.com/external/article/165425/bypassing-authentication-on-the-proxysg.html.