Integración de DLP externa

Nota

  • Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla e instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

  • Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar para supervisar y administrar la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Microsoft Defender for Cloud Apps puede integrarse con soluciones DLP existentes para ampliar estos controles a la nube, a la vez que conserva una directiva coherente y unificada en las actividades locales y en la nube. La plataforma exporta interfaces fáciles de usar, como API de REST e ICAP, y permite la integración con sistemas de clasificación de contenido, como Symantec Data Loss Prevention (antes conocida como Vontu Data Loss Prevention) o Forcepoint DLP.

La integración se lleva a cabo mediante el protocolo ICAP estándar, un protocolo semejante a HTTP que se describe en RFC 3507. Para proteger ICAP para la transmisión de los datos, es necesario configurar un túnel TLS seguro (stunnel) entre la solución DLP y las aplicaciones de Defender for Cloud. La configuración de Stunnel proporciona funcionalidad de cifrado TLS a los datos a medida que viaja entre el servidor DLP y Defender for Cloud Apps.

En esta guía se proporcionan los pasos necesarios para configurar la conexión ICAP en Defender for Cloud Apps y la configuración de Stunnel para proteger la comunicación a través de ella.

Architecture

Defender for Cloud Apps examina el entorno en la nube y en función de la configuración de la directiva de archivos, decide si se debe examinar el archivo mediante el motor DLP interno o el DLP externo. Si se examina mediante la DLP externa, el archivo se envía a través del túnel seguro al entorno del cliente, donde se retransmite al dispositivo ICAP para obtener el veredicto de la DLP: permitido o bloqueado. Las respuestas se devuelven a Defender for Cloud Aplicaciones a través de stunnel donde la directiva usa para determinar las acciones posteriores, como las notificaciones, la cuarentena y el control de uso compartido.

Stunnel architecture.

Dado que Defender for Cloud Aplicaciones se ejecuta en Azure, una implementación en Azure produce un rendimiento mejorado. Aun así se admiten otras opciones, incluidas otras implementaciones en la nube y locales. La implementación en otros entornos puede afectar al rendimiento, debido a una latencia mayor y un rendimiento inferior. El servidor ICAP y Stunnel deben implementarse juntos en la misma red para garantizar que se cifre el tráfico.

Requisitos previos

Para que las aplicaciones de Defender for Cloud envíen datos a través de stunnel al servidor ICAP, abra el firewall de red perimetral en las direcciones IP externas que usan Defender for Cloud Aplicaciones con un número de puerto de origen dinámico.

  1. Direcciones de origen: vea la sección Requisitos previos en Conectar aplicaciones
  2. Puerto TCP de origen: dinámico
  3. Direcciones de destino: una o dos direcciones IP de Stunnel conectado al servidor ICAP externo que configurará en los pasos siguientes
  4. Puerto TCP de destino: según se defina en su red

Nota

El número de puerto de Stunnel está establecido de forma predeterminada en 11344. Puede cambiarlo a otro puerto si es necesario, pero no olvide tomar nota del nuevo número de puerto, ya que deberá especificarlo en el paso siguiente.

PASO 1: Configurar el servidor ICAP

Configure un servidor ICAP, tome nota del número de puerto y asegúrese de establecer Modo en Bloqueo. El modo de bloqueo establece el servidor ICAP para retransmitir el veredicto de clasificación a Defender for Cloud Apps.

Vea la documentación del producto de DLP externa para obtener instrucciones sobre cómo hacerlo. Por ejemplo, vea Apéndice A: Instalación del servidor ICAP de Forcepoint y Apéndice B: Guía de implementación de Symantec.

PASO 2: Configurar el servidor de Stunnel

En este paso, configurará la aplicación Stunnel conectada al servidor ICAP.

Nota

Aunque se recomienda encarecidamente que lo haga, este paso es opcional y puede omitirse en las cargas de trabajo de prueba.

Instalar Stunnel en un servidor

Requisitos previos

  • Un servidor: un servidor Windows Server o un servidor Linux basado en una distribución principal.

Visite el sitio web de Stunnel para obtener más información sobre los tipos de servidores que admiten la instalación de Stunnel. Si usa Linux, puede usar el administrador de distribución de Linux para instalarlo.

Instalar Stunnel en Windows

  1. Descargue la instalación más reciente de Windows Server (esta aplicación debería funcionar en todas las ediciones recientes de Windows Server). (instalación predeterminada).

  2. Durante la instalación, no cree un certificado autofirmado. Creará un certificado en un paso posterior.

  3. Haga clic en Start server after installation (Iniciar el servidor después de la instalación).

  4. Cree un certificado de una de las siguientes maneras:

    • Use el servidor de administración de certificados para crear un certificado TLS en el servidor ICAP. Después, copie las claves en el servidor que ha preparado para la instalación de Stunnel.
    • O bien, en el servidor de Stunnel, use los siguientes comandos de OpenSSL para generar una clave privada y un certificado autofirmado. Reemplace estas variables:
      • key.pem por el nombre de la clave privada
      • cert.pem con el nombre del certificado
      • stunnel-key con el nombre de la clave recién creada
  5. En la ruta de instalación de Stunnel, abra el directorio de configuración. De forma predeterminada es c:\Archivos de programa (x86)\stunnel\config\

  6. Ejecute la línea de comandos con permisos de administrador:

    ..\bin\openssl.exe genrsa -out key.pem 2048
    ..\bin\openssl.exe  req -new -x509 -config ".\openssl.cnf" -key key.pem -out .\cert.pem -days 1095
    
  7. Concatene cert.pem y key.pem y guárdelos en el archivo: type cert.pem key.pem >> stunnel-key.pem

  8. Descargue la clave pública y guárdela en esta ubicación C:\Archivos de programa (x86)\stunnel\config\MCASca.pem.

  9. Agregue las reglas siguientes para abrir el puerto en el firewall de Windows:

    rem Open TCP Port 11344 inbound and outbound
    netsh advfirewall firewall add rule name="Secure ICAP TCP Port 11344" dir=in action=allow protocol=TCP localport=11344
    netsh advfirewall firewall add rule name="Secure ICAP TCP Port 11344" dir=out action=allow protocol=TCP localport=11344
    
  10. Ejecute c:\Program Files (x86)\stunnel\bin\stunnel.exe para abrir la aplicación Stunnel.

  11. Haga clic en Configuración y en Editar configuración.

    Edit Windows Server configuration.

  12. Abra el archivo y pegue las siguientes líneas de configuración de servidor. La dirección IP del servidor DLP es la dirección IP del servidor ICAP, stunnel-key es la clave que creó en el paso anterior y MCASCAfile es el certificado público del cliente de stunnel de Defender for Cloud Apps. Elimine todo el texto de ejemplo que vea (en el ejemplo se muestra texto de Gmail) y copie el siguiente texto en el archivo:

    [microsoft-Cloud App Security]
    accept = 0.0.0.0:11344
    connect = **ICAP Server IP**:1344
    cert = C:\Program Files (x86)\stunnel\config\**stunnel-key**.pem
    CAfile = C:\Program Files (x86)\stunnel\config\**MCASCAfile**.pem
    TIMEOUTclose = 0
    client = no
    
  13. Guarde el archivo y haga clic en Volver a cargar configuración.

  14. Para asegurarse de que todo funciona según lo esperado, desde un símbolo del sistema, ejecute netstat -nao | findstr 11344

Instalar Stunnel en Ubuntu

El siguiente ejemplo se basa en una instalación del servidor Ubuntu cuando se inicia sesión como usuario raíz. En el caso de otros servidores, use comandos paralelos.

En el servidor preparado, descargue e instale la versión más reciente de Stunnel. Ejecute el siguiente comando en el servidor de Ubuntu para instalar Stunnel y OpenSSL:

apt-get update
apt-get install openssl -y
apt-get install stunnel4 -y

Ejecute el siguiente comando desde una consola para comprobar que Stunnel está instalado. Debería obtener el número de versión y una lista de opciones de configuración:

stunnel-version

Generación de certificados

El servidor ICAP y Defender for Cloud Apps usan una clave privada y un certificado público para el cifrado y la autenticación del servidor en stunnel. Asegúrese de que crea la clave privada sin una frase de contraseña para que Stunnel se pueda ejecutar como un servicio en segundo plano. Además, establezca el permiso de los archivos en lectura para el propietario del túnel de SSL y en ninguno para todos los demás usuarios.

Puede crear los certificados de una de las maneras siguientes:

  • Use el servidor de administración de certificados para crear un certificado TLS en el servidor ICAP. Después, copie las claves en el servidor que ha preparado para la instalación de Stunnel.
  • O bien, en el servidor de Stunnel, use los siguientes comandos de OpenSSL para generar una clave privada y un certificado autofirmado. Reemplace estas variables:
    • key.pem por el nombre de la clave privada

    • cert.pem con el nombre del certificado

    • stunnel-key con el nombre de la clave recién creada

      openssl genrsa -out key.pem 2048
      openssl req -new -x509 -key key.pem -out cert.pem -days 1095
      cat key.pem cert.pem >> /etc/ssl/private/stunnel-key.pem
      

Descarga de la clave pública del cliente de stunnel de Defender for Cloud Apps

Descargue la clave pública de https://adaprodconsole.blob.core.windows.net/icap/publicCert.pem y guárdela en /etc/ssl/certs/MCASCAfile.pem.

Configurar Stunnel

La configuración de Stunnel se establece en el archivo stunnel.conf.

  1. Cree el archivo stunnel.conf en el directorio siguiente: vim /etc/stunnel/stunnel.conf.

  2. Abra el archivo y pegue las siguientes líneas de configuración de servidor. La dirección IP del servidor DLP es la dirección IP del servidor ICAP, stunnel-key es la clave que creó en el paso anterior y MCASCAfile es el certificado público del cliente de stunnel de Defender for Cloud Apps:

    [microsoft-Cloud App Security]
    accept = 0.0.0.0:11344
    connect = **ICAP Server IP**:1344
    cert = /etc/ssl/private/**stunnel-key**.pem
    CAfile = /etc/ssl/certs/**MCASCAfile**.pem
    TIMEOUTclose = 1
    client = no
    

Actualizar la tabla de direcciones IP

Actualice la tabla de direcciones IP con la siguiente regla de enrutamiento:

iptables -I INPUT -p tcp --dport 11344 -j ACCEPT

Use los siguientes comandos para que la actualización en la tabla de direcciones IP sea persistente:

sudo apt-get install iptables-persistent
sudo /sbin/iptables-save > /etc/iptables/rules.v4

Ejecutar Stunnel

  1. En el servidor de Stunnel, ejecute el siguiente comando:

    vim /etc/default/stunnel4
    
  2. Cambie la variable ENABLED a 1:

    ENABLED=1
    
  3. Reinicie el servicio para que la configuración tenga efecto:

    /etc/init.d/stunnel4 restart
    
  4. Ejecute los comandos siguientes para comprobar que Stunnel se ejecuta correctamente:

    ps -A | grep stunnel
    

    y que está escuchando en el puerto indicado:

    netstat -anp | grep 11344
    
  5. Asegúrese de que la red en la que se ha implementado el servidor de Stunnel cumple los requisitos previos de la red que se han mencionado anteriormente. Esto es necesario para permitir que las conexiones entrantes de Defender for Cloud Aplicaciones lleguen correctamente al servidor.

Si el proceso todavía no se está ejecutando, vea la documentación de Stunnel para solucionar problemas.

PASO 3: Conectar a aplicaciones de Defender for Cloud

  1. En Defender for Cloud Aplicaciones, en Configuración seleccione Extensiones de seguridad y seleccione la pestaña DLP externo.

  2. Haga clic en el signo más para agregar una nueva conexión.

  3. En el asistente Agregar nuevo DLP externo , proporcione un nombre de conexión (por ejemplo, My Forcepoint connector) que se usará para identificar el conector.

  4. Seleccione el tipo de conexión:

    • Symantec Vontu: use la integración personalizada para dispositivos Vontu DLP.

    • Forcepoint DLP: use la integración personalizada para dispositivos Forcepoint DLP.

    • Generic ICAP – REQMOD: use otros dispositivos DLP que usan la modificación de solicitudes.

    • Generic ICAP – RESPMOD: use otros dispositivos DLP que usan la modificación de respuestas.

      Defender for Cloud Apps ICAP connection type.

  5. Vaya a para seleccionar el certificado público que generó en los pasos anteriores, "cert.pem", para conectarse a su stunnel. Haga clic en Next.

    Nota

    Se recomienda encarecidamente que active la casilla Use secure ICAP (Usar ICAP seguro) para configurar una puerta de enlace cifrada de Stunnel. Si, con fines de prueba o si no tiene un servidor stunnel, puede desactivar esta casilla para integrarse directamente con el servidor DLP.

  6. En la pantalla Configuración del servidor, proporcione la dirección IP y el puerto del servidor de Stunnel que ha configurado en el paso 2. Para equilibrar la carga, puede configurar la dirección IP y el puerto en un servidor adicional. Las direcciones IP proporcionadas deben ser las direcciones IP estáticas externas de los servidores.

    Defender for Cloud Apps ICAP connection IP address and port.

  7. Haga clic en Next. Defender for Cloud Aplicaciones prueba la conectividad con el servidor que configuró. Si recibe un error, revise las instrucciones y la configuración de red. Cuando lo haya conectado correctamente, haga clic en Salir.

  8. Ahora, para dirigir el tráfico a este servidor DLP externo, al crear una directiva de archivo en el método de inspección de contenido, seleccione la conexión que creó. Obtenga más información sobre cómo crear una directiva de archivo.

Apéndice A: Instalación del servidor ICAP de Forcepoint

En Forcepoint, configure el dispositivo con estos pasos:

  1. En el dispositivo DLP, vaya aMódulos del sistemade implementación>.

    ICAP deployment.

  2. En la pestaña General, asegúrese de que ICAP Server (Servidor ICAP) está Habilitado y el Puerto predeterminado está establecido en 1344. Además, en Allow connection to this ICAP Server from the following IP addresses (Permitir la conexión con este servidor ICAP desde las siguientes direcciones IP), seleccione Cualquier dirección IP.

    ICAP configuration.

  3. En la pestaña HTTP/HTTPS, asegúrese de establecer el Modo en Bloqueo.

    ICAP blocking.

Apéndice B: Guía de implementación de Symantec

Las versiones de Symantec DLP compatibles son la 11 y las versiones posteriores.

Como se indicó anteriormente, debe implementar un servidor de detección en el mismo centro de datos de Azure donde reside el inquilino de Defender for Cloud Apps. El servidor de detección se sincroniza con el servidor de cumplimiento a través de un túnel IPsec dedicado.

Instalación del servidor de detección

El servidor de detección usado por Defender for Cloud Apps es una red estándar de Prevención de red para el servidor web. Hay varias opciones de configuración que se deben modificar:

  1. Deshabilite Modo de prueba:

    1. En Servidores del sistema>y detectores, haga clic en el destino de ICAP.

      ICAP target.

    2. Haga clic en Configurar.

      Configure ICAP target.

    3. Deshabilite el modo de prueba.

      disable trial mode pop-up.

  2. EnFiltrado de respuesta de ICAP>, cambie el valor Omitir respuestas más pequeñas que 1.

  3. Y agregue "application/*" a la lista de Inspeccionar tipo de contenido.

    inspect content type.

  4. Haga clic en Guardar

Configuración de directivas

Defender for Cloud Apps admite sin problemas todos los tipos de reglas de detección incluidos con Symantec DLP, por lo que no es necesario modificar las reglas existentes. Pero hay un cambio de configuración que se debe aplicar a todas las directivas nuevas y existentes para permitir la integración total. Este cambio implica agregar una regla de respuesta específica a todas las directivas.

Agregue el cambio de configuración a Vontu:

  1. Vaya a Administrar>reglas de respuestade directivas> y haga clic en Agregar regla de respuesta.

    add response rule.

  2. Asegúrese de que se seleccionó Respuesta automatizada y haga clic en Siguiente.

    automated response.

  3. Escriba un nombre de regla, por ejemplo, Bloquear HTTP/HTTPS. En Acciones, seleccione Bloquear HTTP/HTTPS y haga clic en Guardar.

    block http.

Agregue la regla que creó a cualquier directiva existente:

  1. En cada directiva, vaya a la pestaña Respuesta.

  2. En la lista desplegable Regla de respuesta, seleccione la regla de respuesta de bloque que creó anteriormente.

  3. Guarde la directiva.

    disable trial mode in policy.

Esta regla se debe agregar a todas las directivas existentes.

Nota

Si usa Symantec vontu para examinar archivos de Dropbox, CAS muestra automáticamente el archivo como origen de la siguiente dirección URL: http://misc/filename esta dirección URL de marcador de posición no conduce a ningún lugar, pero se usa para fines de registro.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.