セキュリティ : Cisco Web セキュリティ アプライアンス

Cisco Web セキュリティ アプライアンスおよび RSA DLP ネットワークを相互運用するために設定する方法か。

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

ヤコブ Dohrmann および Siddharth Rajpathak によって貢献される、Cisco TAC エンジニア。

質問:

Cisco Web セキュリティ アプライアンスおよび RSA DLP ネットワークを相互運用するために設定する方法か。

[Overview]:

この資料は顧客が 2 つの製品を相互運用するのを助けるように Cisco WSA AsyncOS ユーザガイドおよび RSA DLP ネットワーク 7.0.2 配置ガイドを越える追加情報を提供したものです。

製品の説明:

Cisco Web セキュリティ アプライアンス(WSA)は企業のセキュリティを危殆化し、知的 財産を露出できる Webベース malware およびスパイウェア プログラムから社内ネットワークを保護する強く、セキュア、効率的なデバイスです。 Web セキュリティ アプライアンスは HTTP、HTTPS および FTP のような標準通信プロトコルに Web プロキシサービスの提供によって深いアプリケーション コンテンツの検査を提供します。


インフラストラクチャを渡る共通の政策の活用によって検出し、保護することをデータセンターの、ネットワークで、およびエンドポイントの機密データを検出し、保護するのに顧客が企業の機密データを可能にする RSA DLP スイートは広範囲のデータ損失防止ソリューションから成り立ちます。  DLP スイートは次のコンポーネントが含まれています:

  • RSA DLP データセンター。 DLP データセンターはファイル システム、データベース、電子メール システムおよび大きい SAN/NAS 環境のデータセンターに、常駐してもどこで機密データを見つけるのを助けます。
  • RSA DLP ネットワーク。 DLP ネットワークモニタは電子メールおよび Webトラフィックのようなネットワークの機密情報の伝達を、実施し。
  • RSA DLP エンドポイント。 DLP エンドポイントはラップトップおよびデスクトップのようなエンドポイントの機密情報を取得するのを、モニタおよび制御するのを助けます。

Cisco WSA に RSA DLP ネットワークと相互運用する機能があります。


RSA DLP ネットワークは次のコンポーネントが含まれています:

  • ネットワーク コントローラー。 機密データおよびコンテンツ伝送ポリシーについての情報を維持する主要なアプライアンス。 ネットワーク コントローラーはポリシーの管理対象装置を管理し、アップデートし、と共に敏感なコンテンツ定義は初期設定の後で設定に変更します。
  • 管理対象装置。 これらのデバイスは DLP ネットワークモニタ ネットワーク 伝達およびレポートを助けるか、または伝達を代行受信します:
    • センサー。 ネットワーク境界でインストールされて、センサーは受動的にネットワークを出て行くか、または敏感なコンテンツの存在のためにそれを分析するネットワーク境界を超えるトラフィックをモニタします。 センサーはアウトオブバンド ソリューションです; それは監視し、報告しますポリシーの違反だけをできます。
    • インターセプター。 またネットワーク境界でインストールされて、インターセプターは敏感なコンテンツが含まれている電子メール(SMTP)トラフィックの検疫および/または拒絶を設定することを可能にします。 従ってインターセプターはインライン ネットワーク プロキシで、企業を残すことからの機密データをブロックできます。
    • ICAP サーバ。 敏感なコンテンツが含まれている HTTP、HTTPS、または FTP トラフィックのモニタリングかブロッキングを設定することを可能にする特別な目的 サーバ デバイス。 ICAP サーバはプロキシサーバを(ICAP クライアントで設定される)企業を残すことからの機密データを監視するか、またはブロックするために使用します

Cisco WSA は RSA DLP ネットワーク ICAP サーバと相互運用します。

既知の制限

RSA DLP ネットワークの Cisco WSA 外部 DLP 統合は次の操作をサポートします: 割り当ておよびブロック。 それはまだ「修正するをサポートしていません/コンテンツ」(また Redaction と呼ばれる)操作を取除いています。

インターオペラビリティのための製品要件


Cisco WSA および RSA DLP ネットワークのインターオペラビリティは次 の テーブルの製品モデルおよびソフトウェア バージョンでテストされ、検証されました。 機能的にこの統合を話すことがモデルおよびソフトウェアにバリエーションを使用するかもしれない間、次 の テーブルは唯一のテストされ、検証され、サポートされた組み合わせを表します。 両方の製品のサポート対象バージョンを使用することを強く推奨します。

 製品 [Software Version]
 Cisco Web セキュリティ アプライアンス(WSA) AsyncOS バージョン 6.3 及び上で
 RSA DLP ネットワーク 7.0.2


外部 DLP 機能

Cisco WSA の外部 DLP 機能を使用する、WSA から DLP ネットワークにすべてまたは特定の発信 HTTP、HTTPS および FTP トラフィックを転送できます。 すべてのトラフィックはインターネット制御適応プロトコル(ICAP)を使用して転送されます。


アーキテクチャ

RSA DLP ネットワーク配置 ガイドはプロキシサーバとの RSA DLP ネットワークを相互運用するための次の一般的 な アーキテクチャを示します。 このアーキテクチャは RSA DLP ネットワークと相互運用する WSA に特定でが、あらゆるプロキシに適用します。

図 1: RSA DLP ネットワークおよび Cisco Web セキュリティ アプライアンスのための配備アーキテクチャ

Cisco Web セキュリティ アプライアンスの設定

  1. DLP ネットワーク ICAP サーバを使用する WSA の外部 DLP システムを定義して下さい。 手順に関しては、WSA ユーザガイド「ユーザガイド手順からの接続された抜粋が外部 DLP システム」を定義することを見て下さい。

  2. 定義する 1つ以上の外部 DLP ポリシーを作成して下さいトラフィックが下記のステップを使用してコンテンツ スキャンのための DLP ネットワークに WSA 送信 する:
  • の下 GUI > Web セキュリティ マネージャ > 外部 DLP ポリシー > Add ポリシー
  • 設定したいと思うポリシー グループのための宛先 カラムの下でリンクをクリックして下さい
  • 「宛先設定」セクションの下で、選択します編集して下さいか。カスタム 設定をスキャンする宛先を定義して下さいか。 廃棄メニューから
  • 「それからすべてのアップロードをスキャンするか、またはカスタム URL カテゴリーで規定 されるある特定のドメイン/サイトにアップロードをスキャンするためにポリシーを設定できます

RSA DLP ネットワークの設定

この資料は RSA DLP ネットワーク コントローラー、ICAP サーバおよび Enterprise Manager がインストールされ、設定されたと仮定します。

  1. ネットワーク ICAP サーバを設定するのに RSA DLP Enterprise Manager を使用して下さい。 DLP ネットワーク ICAP サーバの設定に関する詳細な使用説明書に関しては、RSA DLP ネットワーク配置 ガイドを参照して下さい。 ICAP Server Configuration ページで規定 する必要がある主要な パラメータは次のとおりです:
    1. ICAP サーバのホスト名か IP アドレス。
    2. 設定 ページの一般の設定セクションでは、次の情報を入力して下さい:
      • 秒そのあとでサーバの時間数はフィールドのサーバタイムアウトで時間を計ると考えられます。
      • サーバタイムアウトに応答として次のいずれかを選択して下さい:
      • 開いた失敗。 サーバタイムアウトの後で伝達を許可したいと思う場合このオプションを選択して下さい。
      • 閉じられる失敗。 サーバタイムアウトの後でブロック転送にほしい場合このオプションを選択して下さい。
  2. 1つ以上のネットワーク仕様ポリシーを敏感なコンテンツが含まれているネットワークトラフィックを監査し、ブロックするために作成するのに RSA DLP Enterprise Manager を使用して下さい。 DLP ポリシーの作成の詳細な使用説明書に関しては、RSA DLP ネットワーク ユーザ ユーザーズ ガイドか企業 Manageronline ヘルプを参照して下さい。  実行するべき主要な手順は次です:
    1. ポリシー テンプレート ライブラリ イネーブルから少なくとも 1 ポリシーは環境およびコンテンツのための理にかなっている監察します。
    2. そのポリシーの中では、操作を規定 する設定された DLP ネットワーク仕様ポリシーの違反ルールはネットワーク製品イベント(ポリシーの違反)が発生する場合自動的に実行します。 すべてのプロトコルを検出する ポリシー 検出ルールを設定 して下さい。 」監査し、ブロックするポリシー アクションを「設定 して下さい。

任意でネットワーク 通知をカスタマイズするのに RSA Enterprise Manager を使用できますポリシーの違反が発生するときユーザに送信 される。  この通知はオリジナル トラフィックのための置換として DLP ネットワークによって送信 されます。

設定のテスト

  1. ブラウザからのアウトゴーイングトラフィックを WSA プロキシに直接行くために送信するようにブラウザを設定して下さい。 

    たとえば Mozilla FireFox ブラウザを使用していたら、次の作業が必要です:
    1. FireFox ブラウザでは、Tools > Options の順に選択 して下さい。 オプション ダイアログは現われます。
    2. Network タブをクリックし、そして『Settings』 をクリック して下さい。 接続 設定ダイアログは現われます。
    3. 手動プロキシ設定チェックボックスを選択し、そして HTTP プロキシ フィールドおよびポート番号 3128 (デフォルト)で WSA プロキシサーバの IP アドレス または ホスト名を入力して下さい。
    4. 、そして新しい設定を保存すること良い再度『OK』 をクリック して下さい。
  2. 以前に 有効に した DLP ネットワーク ポリシーに違反してある知っているコンテンツをアップロードするように試みて下さい。
  3. ブラウザのネットワーク ICAP 廃棄 メッセージが表示されるはずです。
  4. ポリシーのこの違反の結果として作成された事件および結果のイベントを表示するのに「Enterprise Manager」を使用して下さい。

トラブルシューティング

  1. RSA DLP ネットワークのための Web セキュリティ アプライアンスの外部 DLP サーバを設定した場合、次の値を使用して下さい:

    • サーバアドレス: RSA DLP ネットワーク ICAP サーバの IP アドレスかホスト名
    • Port: RSA DLP ネットワークサーバに、一般的に 1344 アクセスするのに使用される TCPポート
    • URL 形式を保守して下さい: icap:// < ホスト名_or_ipaddress>/srv_conalarm
    • 例: icap://dlp.example.com/srv_conalarm
  2. WSA プロキシとネットワーク ICAP サーバ間のトラフィックをキャプチャ するために WSA の機能をキャプチャ する トラフィックを有効に して下さい。 これは接続上の問題を診断するとき有用です。 これをするために、次の作業が必要です:

    • WSA GUI で、ユーザインターフェイスの右上のサポートおよび Help メニューに行って下さい。 パケットキャプチャをメニューから選択し、そして Edit Settings ボタンをクリックして下さい。 編集キャプチャ Settings ウィンドウは現われます。

    • 画面のパケットキャプチャ フィルター セクションでは、サーバIP フィールドでネットワーク ICAP サーバの IP アドレスを入力して下さい。
    • Submit をクリックして、変更を保存します。
  3. 詳細を得るのに WSA アクセス ログで次の Custom フィールドを(の下で GUI > システム 管理 > ログ予約購読 > アクセスログ)使用して下さい:
    • %Xp: 評決(0 をスキャンする外部 DLP サーバ = ICAP サーバの一致無し; 1 = ICAP サーバに対するポリシー一致および「- (ハイフン)」= スキャンは外部 DLP サーバによって始められませんでした)

外部 DLP システムを定義するユーザガイド手順。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118141