検出サーバでの DLP の MIP とのシマンテック統合のプロキシサーバー詳細の設定
環境にプロキシサーバーがある場合は、以下の手順に従って、DLP 検出サーバの MIP とシマンテック統合をプロキシと連携させる必要があります。シマンテックは MIP 復号化に透過的および明示的なプロキシの種類の両方をサポートしています。
検出サーバごとに別々にプロキシを設定する必要があります。
DLP に MIP とのシマンテック統合のプロキシ サーバーを設定するには
- [システム] > [サーバーと Detector] > [概要]に移動します。
- [概要]ページでお使いのサーバーをクリックします。[サーバー/Detector の詳細]ページが表示されます。
- [サーバー/Detector の詳細]ページで、[設定]をクリックします。
- [検出]タブをクリックします。
- [手動プロキシ]をクリックします。
- プロキシ サーバのURLとポート番号を入力します。
- サーバを再起動します。
- プロキシは、トンネルまたは MIP Insight トラフィックの TLS 終端の使用のいずれかを設定できます。
- プロキシ認証はサポートされていません。プロキシが認証を使って設定されている場合、プロキシ認証から MIP Insight トラフィックを除外するためにバイパス ルールを追加する必要があります。「プロキシ認証バイパスの設定(認証済みプロキシ)」を参照してください。
TLS 終端プロキシの設定
プロキシは TLS 接続を終了するため、DLP 検出サーバはプロキシを信頼し、プロキシは元のサーバー(Azure サービス)を信頼する必要があります。以下の例は、説明のみを目的とし、プロキシ証明書が自己署名であることを前提にしています。
プロキシ証明書を検出サーバのトラスト ストアにインポートする
- ProxySG 証明書を.pem形式で取得します。
- トラスト ストアに証明書を追加します。
- Linux では、.pemファイルを以下のディレクトリに追加します。/usr/local/share/ca-certificates(RHEL 6.x)、または/etc/pki/ca-trust/source/anchors(RHEL 7.x)。
- # /bin/update-ca-trustコマンドを実行して、認証局ファイルを更新します。
- # trust list | moreと入力して、追加した証明書を検証します。
TLS 非終端プロキシの設定(トンネル モード)
- URL リスト(https://docs.microsoft.com/en-us/azure/azure-portal/azure-portal-safelist-urls?tabs=public-cloud)を使用して、Azure 宛先ホストをプロキシの TLS 終端から除外します。
- リストに以下の項目を追加します。api.aadrm.com13.107.6.18113.107.9.181
プロキシ認証バイパスの設定(認証済みプロキシ)
プロキシ認証は、現在 MIP SDK でサポートされていないためバイパスする必要があります。プロキシのドキュメントを使用して、「TLS 非終端プロキシの設定」前の手順で説明した URL の認証バイパスを設定します。ProxySG で認証バイパスを設定する例は、https://knowledge.broadcom.com/external/article/165425/bypassing-authentication-on-the-proxysg.html で確認できます。