検出サーバーでの DLP の MIP との Symantec 統合のプロキシ サーバー詳細の設定

環境にプロキシサーバーがある場合は、以下の手順に従って、DLP 検出サーバの MIP とシマンテック統合をプロキシと連携させる必要があります。シマンテックは MIP 復号化に透過的および明示的なプロキシの種類の両方をサポートしています。
検出サーバごとに別々にプロキシを設定する必要があります。
DLP に MIP とのシマンテック統合のプロキシ サーバーを設定するには
  1. [システム] > [サーバーと Detector] > [概要]
    に移動します。
  2. [概要]
    ページでお使いのサーバーをクリックします。
    [サーバー/Detector の詳細]
    ページが表示されます。
  3. [サーバー/Detector の詳細]
    ページで、
    [設定]
    をクリックします。
  4. [検出]
    タブをクリックします。
  5. [手動プロキシ]
    をクリックします。
  6. プロキシ サーバの
    URL
    ポート
    番号を入力します。
  7. サーバを再起動します。
  • プロキシは、トンネルまたは MIP Insight トラフィックの TLS 終端の使用のいずれかを設定できます。
  • プロキシ認証はサポートされていません。プロキシが認証を使って設定されている場合、プロキシ認証から MIP Insight トラフィックを除外するためにバイパス ルールを追加する必要があります。「プロキシ認証バイパスの設定(認証済みプロキシ)」を参照してください。
TLS 終端プロキシの設定
プロキシで TLS 接続が終了するため、DLP 検出サーバーはプロキシを信頼し、プロキシは元のサーバー (Azure サービス) を信頼する必要があります。以下の例は、説明のみを目的とし、プロキシ証明書が自己署名であることを前提にしています。
プロキシ証明書を検出サーバのトラスト ストアにインポートする
  1. ProxySG 証明書を
    .pem
    形式で取得します。
  2. トラスト ストアに証明書を追加します。
    • Linux では、
      .pem
      ファイルを以下のディレクトリに追加します。
      /usr/local/share/ca-certificates
      (RHEL 6.x)、または
      /etc/pki/ca-trust/source/anchors
      (RHEL 7.x)。
    • # /bin/update-ca-trust
      コマンドを実行して、認証局ファイルを更新します。
  3. # trust list | more
    と入力して、追加した証明書を検証します。
TLS 非終端プロキシの設定(トンネル モード)
  1. URL リスト(https://docs.microsoft.com/en-us/azure/azure-portal/azure-portal-safelist-urls?tabs=public-cloud)を使用して、Azure 宛先ホストをプロキシの TLS 終端から除外します。
  2. リストに以下の項目を追加します。
    api.aadrm.com
    13.107.6.181
    13.107.9.181
プロキシ認証バイパスの設定(認証済みプロキシ)
プロキシ認証は、現在 MIP SDK でサポートされていないためバイパスする必要があります。プロキシのドキュメントを使用して、前の「TLS 非終端プロキシの設定」の手順で説明した URL の認証バイパスを設定します。ProxySG で認証バイパスを設定する例は、https://knowledge.broadcom.com/external/article/165425/bypassing-authentication-on-the-proxysg.html で確認できます。