Prévenir la perte de données sensibles

Cette rubrique contient les sections suivantes :

Survol de la prévention de la perte de données sensibles

Secure Web Appliance protège vos données en vous fournissant les fonctionnalités suivantes :

Option

Description

Cisco Data Security filters (Filtres de sécurité des données Cisco)

Les filtres de sécurité des données Cisco sur Secure Web Appliance évaluent les données quittant le réseau sur HTTP, HTTPS et FTP.

Third-party data loss prevention (DLP) integration (Intégration de la protection contre la perte de données par des tiers)

Secure Web Appliance s’intègre aux principaux systèmes de DLP tiers conscients du contenu qui cernent et protègent les données sensibles. Le proxy Web utilise le protocole ICAP (Internet Content Adaptation Protocol), qui permet aux serveurs proxy de décharger l’analyse de contenu vers des systèmes externes.

Lorsque le proxy Web reçoit une demande de téléchargement, il la compare aux groupes de politiques de sécurité des données et de politique de protection contre la perte de données externe pour déterminer le groupe de politiques à appliquer. Si les deux types de politique sont configurés, la demande est comparée aux politiques de sécurité des données Cisco avant les politiques de DLP externes. Après avoir affecté la demande à un groupe de politiques, il compare la demande aux paramètres de contrôle configurés du groupe de politiques pour déterminer la marche à suivre de la demande. La façon dont vous configurez l’appliance pour gérer les demandes de téléchargement dépend du type de groupe de politiques.


Note
Les requêtes de chargement qui tentent de charger des fichiers d’une taille de zéro (0) octet ne sont pas évaluées par rapport aux politiques de sécurité des données de Cisco ou de DLP externes.

Pour restreindre et contrôler les données qui quittent le réseau, vous pouvez effectuer les tâches suivantes :

Tâche

Lien vers la tâche

Créer des politiques de sécurité des données de Cisco

Gestion des demandes de chargement

Créer des politiques DLP externes

Gestion des demandes de chargement sur un système DLP externes

Créer des politiques de sécurité des données et de DLP externe

Création de politiques de sécurité des données et de DLP externes

Contrôler les demandes de téléchargement à l’aide des politiques de sécurité des données de Cisco

Gestion des paramètres des demandes de chargement

Contrôler les demandes de téléchargement à l’aide de politiques DLP externes

Contrôle des demandes de chargement à l’aide de politiques DLP externes

Contournement des demandes de chargement en dessous d’une taille minimale

Pour aider à réduire le nombre de demandes de téléchargement enregistrées dans les fichiers journaux, vous pouvez définir une taille minimale de corps de demande en dessous de laquelle les demandes de téléchargement ne sont pas analysées par les filtres de sécurité des données Cisco ou le serveur DLP externe.

Pour ce faire, utilisez les commandes d’interface de ligne de commande suivantes :

  • datasecurityconfig. S’applique aux filtres de sécurité des données Cisco.
  • externaldlpconfig. S’applique aux serveurs DLP externes configurés.

La taille minimale du corps de la demande par défaut est de 4 Ko (4 096 octets) pour les deux commandes d’interface de ligne de commande. Les valeurs correctes sont comprises entre 1 et 64 Ko. La taille que vous spécifiez s’applique à la taille entière du corps de la demande de téléchargement.


Note
Tous les chargements codés de blocs et toutes les transactions FTP natives sont analysés par les filtres de sécurité des données de Cisco ou les serveurs DLP externes lorsqu’ils sont activés. Cependant, elles peuvent toujours être contournées en fonction d’une catégorie d’URL personnalisée.

Expérience de l’utilisateur lorsque des demandes sont bloquées en tant que données sensibles

Lorsque des filtres de sécurité des données Cisco ou qu’un serveur DLP externe bloque une demande de chargement, le proxy Web envoie une page de blocage à l’utilisateur final. Tous les sites Web n’affichent pas la page de blocage à l’utilisateur final. Par exemple, certains sites Web 2.0 affichent un contenu dynamique utilisant javascript au lieu d’une page Web statique et n’afficheront probablement pas la page de blocage. Les utilisateurs sont toujours correctement empêchés de commettre des violations de la sécurité des données, mais ils n’en sont pas toujours informés par le site Web.

Gestion des demandes de chargement

Before you begin

Accédez à Security Services > Data Security Filters (Services de sécurité > Filtres de sécurité des données) pour activer les filtres de sécurité des données de Cisco.

Procedure

Créer et configurer des groupes de politiques de sécurité des données.

Les politiques de sécurité des données de Cisco utilisent le filtrage d’URL, la réputation des sites Web et des informations sur le contenu du téléchargement lors de l’évaluation de la demande de téléchargement. Vous configurez chacun de ces composants de sécurité pour déterminer s’il faut ou non bloquer la demande de téléchargement.

Lorsque le proxy Web compare une demande de téléchargement aux paramètres de contrôle, il évalue les paramètres dans l’ordre. Chaque paramètre de contrôle peut être configuré pour effectuer l’une des actions suivantes pour les politiques de sécurité des données de Cisco :

Action

Description

Block (Bloquer)

Le proxy Web n’autorise pas la connexion et affiche plutôt une page de notification à l’utilisateur final expliquant le motif du blocage.

Allow (Autoriser)

Le proxy Web contourne le reste de l’analyse du service de sécurité de la politique de sécurité des données, puis évalue la demande en fonction des politiques d’accès avant de prendre une action finale.

Pour les politiques de sécurité des données de Cisco, l’autorisation contourne le reste de l’analyse de sécurité des données, mais ne contourne pas la DLP externe ou l’analyse de la politique d’accès. La mesure finale que le proxy Web entreprend sur la demande est déterminée par la politique d’accès applicable (ou une politique DLP externe applicable qui peut bloquer la demande).

Monitor (Surperviser)

Le proxy Web continue de comparer la transaction aux autres paramètres de contrôle de groupe de la politique de sécurité des données pour déterminer s’il faut bloquer la transaction ou l’évaluer par rapport aux politiques d’accès.

Pour les politiques de sécurité des données de Cisco, seule l’action de blocage est une action finale que le proxy Web exécute sur une demande d’un client. Les actions Monitor (Superviser) et Allow (Autoriser) sont des actions intermédiaires. Dans les deux cas, le proxy Web évalue la transaction par rapport aux politiques DLP externes (si configurées) et aux politiques d’accès. Le proxy Web détermine l’action finale à appliquer en fonction des paramètres de contrôle de groupe de la politique d’accès (ou d’une politique DLP externe applicable qui peut bloquer la demande).

What to do next

Thèmes connexes

Gestion des demandes de chargement sur un système DLP externes

Pour configurer Secure Web Appliance afin de gérer les demandes de téléchargement sur un système DLP externe, effectuez les tâches suivantes :

Procedure

Step 1

Choisissez Network > External DLP Servers (Réseau > Serveurs DLP externes). Définissez un système DLP externe. Pour transmettre une demande de téléchargement à un système DLP externe à des fins d’analyse, vous devez définir au moins un système DLP conforme à ICAP sur Secure Web Appliance.

Step 2

Créez et configurez les groupes de politiques DLP externes. Une fois un système DLP externe défini, vous créez et configurez des groupes de politiques DLP externes pour déterminer quelles demandes de téléchargement envoyer au système DLP pour l’analyse.

Step 3

Lorsqu’une demande de téléchargement correspond à une politique DLP externe, le proxy Web envoie la demande de téléchargement au système DLP en utilisant le protocole ICAP (Internet Content Adaptation Protocol) pour l’analyse. Le système DLP analyse le contenu du corps de la demande et renvoie un verdict de blocage ou d’autorisation au proxy Web. Le verdict Allow (Autorisation) est similaire à l’action Allow (Autorisation) pour les politiques de sécurité des données de Cisco, en ce que la demande de téléchargement sera comparée aux politiques d’accès. La mesure finale que le proxy Web entreprend sur la demande est déterminée par la politique d’accès applicable.

What to do next

Thèmes connexes

Évaluation de l’appartenance aux groupes de politiques de sécurité des données et DLP externes

Chaque demande de client est affectée à une identité, puis évaluée par rapport aux autres types de politiques afin de déterminer à quel groupe de politiques elle appartient selon chaque type. Le proxy Web évalue les demandes de chargement par rapport aux politiques de sécurité des données et de DLP externe. Le proxy Web applique les paramètres de contrôle de politiques configurés à une demande d’un client en fonction de l’appartenance au groupe de politiques de la demande du client.

Mise en correspondance des demandes des clients auprès des groupes de politiques de sécurité des données et de DLP externes

Pour déterminer le groupe de politiques auquel une demande d’un client correspond, le proxy Web suit un processus précis pour la mise en correspondance des critères d’appartenance au groupe. Il prend en compte les facteurs suivants pour l’appartenance à un groupe :

  • Identity (Identité). Chaque demande de client correspond à un profil d’identification, échoue à l’authentification et obtient l’accès invité ou échoue à l’authentification et est résiliée.
  • Authorized users (Utilisateurs autorisés). Si le profil d’identification affecté nécessite une authentification, l’utilisateur doit figurer dans la liste des utilisateurs autorisés dans le groupe de sécurité des données ou de politique DLP externe pour correspondre au groupe de politiques. La liste des utilisateurs autorisés peut comprendre n’importe quel groupe ou utilisateur spécifié ou peut être des utilisateurs invités si le profil d’identification permet l’accès comme invité.
  • Advanced options (Options avancées). Vous pouvez configurer plusieurs options avancées pour l’appartenance aux groupes de sécurité des données et de politiques DLP externes. Certaines options (telles que le port proxy et la catégorie d’URL) peuvent également être définies dans la section Identity (Identité). Lorsqu’une option avancée est configurée dans la section Identity (Identité), elle n’est pas configurable au niveau du groupe de sécurité des données ou des politiques DLP externes.

Les informations contenues dans cette section donnent un aperçu de la façon dont le proxy Web fait correspondre les demandes de chargement aux groupes de sécurité des données et aux groupes de politiques DLP externes.

Le proxy Web lit successivement chaque groupe de politiques dans le tableau des politiques. Il compare l’état de la demande de chargement aux critères d’appartenance du premier groupe de politiques. S’ils correspondent, le proxy Web applique les paramètres de politique de ce groupe de politiques.

S’ils ne correspondent pas, le proxy Web compare la demande de chargement au groupe de politiques suivant. Il poursuit ce processus jusqu’à ce qu’il fasse correspondre la demande de chargement à un groupe de politiques défini par l’utilisateur. S’il ne correspond pas à un groupe de politiques défini par l’utilisateur, il correspond au groupe de politiques global. Lorsque le proxy Web fait correspondre la demande de chargement à un groupe de politiques ou au groupe de politiques global, il applique les paramètres de politiques de ce groupe de politiques.

Création de politiques de sécurité des données et de DLP externes

Vous pouvez créer des groupes de politiques de sécurité des données et de DLP externes en fonction de combinaisons de plusieurs critères, comme un ou plusieurs profils d’identification ou la catégorie d’URL du site de destination. Vous devez définir au moins un critère d’appartenance à un groupe de politiques. Lorsque vous définissez plusieurs critères, la demande de chargement doit satisfaire à tous les critères pour correspondre au groupe de politiques. Cependant, la demande de téléchargement ne doit correspondre qu’à un des profils d’identification configurés.

Procedure

Step 1

Choisissez Web Security Manager > Cisco Data Security (Web Security Manager > Politiques de sécurité des données de Cisco) (pour la définition de l’appartenance au groupe de politiques de sécurité des données) ou Web Security Manager > External Data Loss Prevention (Web Security Manager > Prévention de la perte de données externe) (pour la définition de l’appartenance au groupe de politiques DLP externes).

Step 2

Cliquez sur Add Policy (Ajouter une politique).

Step 3

Dans le champ Policy Name (Nom de la politique), saisissez le nom du groupe de politiques et dans le champ Description (facultatif), ajoutez une description.

Note

 
Chaque nom de groupe de politiques doit être unique et contenir uniquement des caractères alphanumériques ou un espace.

Step 4

Dans le champ Insert Above Policy (Insérer au-dessus de la politique), choisissez l’emplacement du tableau des politiques où placer le groupe de politiques.

Lors de la configuration de plusieurs groupes de politiques, vous devez préciser un ordre logique pour chaque groupe. Ordonnez vos groupes de politiques pour vous assurer d’une mise en correspondance correcte.

Step 5

Dans la section Identity and Users (Identités et utilisateurs), choisissez un ou plusieurs groupes de profils d’identification à appliquer à ce groupe de politiques.

Step 6

(Facultatif) Développez la section Advanced (Niveau avancé) pour définir les exigences d’appartenance supplémentaires.

Step 7

Pour définir l’appartenance à un groupe de politiques en fonction des options avancées, cliquez sur le lien de l’option avancée et configurez l’option dans la page qui s’affiche.

Option avancée

Description

Protocols (Protocoles)

Choisissez de définir ou non l’appartenance au groupe de politiques par le protocole utilisé dans la demande du client. Sélectionnez les protocoles à inclure.

« All others » (Tous les autres) désigne tout protocole non répertorié au-dessus de cette option.

Note

 
Lorsque le proxy HTTPS est activé, seules les politiques de déchiffrement s’appliquent aux transactions HTTPS. Vous ne pouvez pas définir l’appartenance aux politiques à l’aide du protocole HTTPS pour les politiques d’accès, de routage, d’analyse des programmes malveillants sortants, de sécurité des données ou DLP externes.

Proxy Ports (Ports du proxy)

Choisissez de définir ou non l’appartenance au groupe de politiques par le port de proxy utilisé pour accéder au proxy Web. Entrez un ou plusieurs numéros de port dans le champ Proxy Ports (Ports du proxy). Séparez les valeurs de ports multiples par des virgules.

Pour les connexions de transfert explicite, il s’agit du port configuré dans le navigateur. Pour les connexions transparentes, il s’agit du même port de destination. Vous pouvez définir l’appartenance à un groupe de politiques sur le port du proxy, si un ensemble de clients est configuré pour transférer explicitement les demandes sur un port et un autre ensemble de clients est configuré pour transférer explicitement les demandes sur un port différent.

Cisco recommande de définir l’appartenance au groupe de politiques par le port proxy uniquement lorsque l’appliance est déployée en mode de transfert explicite ou lorsque les clients transfèrent explicitement les demandes à l’appliance. Si vous définissez l’appartenance à un groupe de politiques par le port proxy lorsque les demandes des clients sont redirigées de manière transparente vers l’appliance, certaines demandes peuvent être refusées.

Note

 
Si l’identité associée à ce groupe de politiques définit l’appartenance à l’identité par ce paramètre avancé, le paramètre ne peut pas être configuré au niveau du groupe de politiques autre que l’identité.

Subnets (Sous-réseaux)

Choisissez de définir ou non l’appartenance au groupe de politiques par sous-réseau ou autres adresses.

Vous pouvez choisir d’utiliser les adresses qui peuvent être définies avec le profil d’identification connexe, ou vous pouvez entrer des adresses spécifiques ici.

Note

 
Si le profil d’identification associé à ce groupe de politiques définit ses membres par des adresses, dans ce groupe de politiques, vous devez saisir des adresses qui constituent un sous-ensemble des adresses définies dans le profil d’identification. L’ajout d’adresses dans le groupe de politiques réduit davantage la liste des transactions qui correspondent à ce groupe de politiques.

URL Categories (Catégories d’URL)

Choisissez de définir ou non l’appartenance au groupe de politiques par catégories d’URL. Sélectionnez les catégories d’URL prédéfinies ou définies par l’utilisateur.

Note

 
Si l’identité associée à ce groupe de politiques définit l’appartenance à l’identité par ce paramètre avancé, le paramètre ne peut pas être configuré au niveau du groupe de politiques autre que l’identité.

User Agents (Agents utilisateur)

Choisissez si vous souhaitez définir l’appartenance au groupe de politiques en fonction des agents utilisateur (applications clientes telles que les programmes de mise à jour et les navigateurs Web) utilisés dans la demande du client. Vous pouvez sélectionner des agents utilisateur couramment définis ou définir les vôtres à l’aide d’expressions régulières. Indique si la définition d’appartenance inclut uniquement les agents utilisateur sélectionnés ou exclut expressément les agents utilisateur sélectionnés.

Note

 
Si le profil d’identification associé à ce groupe de politiques définit l’appartenance au profil d’identification en fonction de ce paramètre avancé, le paramètre ne peut pas être configuré au niveau du groupe de politiques sans profil d’identification.

User Location (Emplacement de l’utilisateur)

Choisissez de définir ou non l’appartenance au groupe de politiques par emplacement d’utilisateur, distant ou local.

Cette option ne s’affiche que lorsque la solution Secure Mobility est activée.

Step 8

Envoyez vos modifications.

Step 9

Si vous créez un groupe de politique de sécurité des données, configurez ses paramètres de contrôle pour définir comment le proxy Web gère les demandes de téléchargement.

Le nouveau groupe de politiques de sécurité des données hérite automatiquement des paramètres globaux du groupe de politiques jusqu’à ce que vous configuriez des options pour chaque paramètre de contrôle.

Si vous créez un groupe de politiques de DLP externe, configurez ses paramètres de contrôle pour définir comment le proxy Web gère les demandes de téléchargement.

Le nouveau groupe de politiques DLP externe hérite automatiquement des paramètres globaux du groupe de politiques jusqu’à ce que vous configuriez des paramètres personnalisés.

Step 10

Envoyez et validez les modifications.

What to do next

Thèmes connexes

Gestion des paramètres des demandes de chargement

Chaque demande de chargement est affectée à un groupe de politiques de sécurité des données et hérite des paramètres de contrôle de ce groupe de politiques. Les paramètres de contrôle du groupe de politiques de sécurité des données déterminent si l’appliance bloque la connexion ou l’évalue en fonction des politiques d’accès.

Configurez les paramètres de contrôle des groupes de politiques de sécurité des données sur la page Web Security Manager > Cisco Data Security.

Vous pouvez configurer les paramètres suivants pour déterminer les mesures à prendre concernant les demandes de chargement :

Option

Lien

URL Categories (Catégories d’URL)

URL Categories (Catégories d’URL)

Web Reputation (Réputation Web)

Réputation Web

Content (Contenu)

Blocage de contenu

Après l’affectation d’un groupe de politiques de sécurité des données à une demande de chargement, les paramètres de contrôle du groupe de politiques sont évalués afin de déterminer s’il faut bloquer la demande ou l’évaluer par rapport aux politiques d’accès.

URL Categories (Catégories d’URL)

AsyncOS pour le Web vous permet de configurer la façon dont l’appliance traite une transaction en fonction de la catégorie d’URL d’une demande particulière. À l’aide d’une liste de catégories prédéfinies, vous pouvez choisir de surveiller ou de bloquer le contenu par catégorie. Vous pouvez également créer des catégories d’URL personnalisées et choisir d’autoriser, de surveiller ou de bloquer le trafic pour un site Web dans la catégorie personnalisée.

Réputation Web

Le paramètre de réputation Web hérite du paramètre global. Pour personnaliser le filtrage de réputation Web pour un groupe de politiques particulier, vous pouvez utiliser le menu déroulant Web Reputation Settings (Paramètres de réputation Web) afin de personnaliser les seuils de score de réputation Web.

Seules des valeurs négatives et nulles peuvent être configurées pour les paramètres de seuil de réputation Web pour les politiques de sécurité des données de Cisco. Par définition, toutes les évaluations positives sont surveillées.

Blocage de contenu

Vous pouvez utiliser les paramètres de la page Cisco Data Security > Content (Sécurité des données Cisco > Contenu) pour configurer le proxy Web de manière à bloquer les chargements de données en fonction des caractéristiques de fichier suivantes :

  • File size (Taille du fichier). Vous pouvez préciser la taille maximale de chargement autorisée. Tous les chargements dont la taille est égale ou supérieure au maximum spécifié sont bloqués. Vous pouvez spécifier des tailles de fichier maximales différentes pour les demandes HTTP/HTTPS et FTP natives.

    Lorsque la taille de la demande de chargement est supérieure à la taille de chargement maximale et à la taille d’analyse maximale (configurées dans le champ « DVS Engine Object Scanning Limits » [Limites d’analyse d’objet du moteur DVS) sur la page Security Services > Anti-Malware (Services de sécurité > Protection contre les programmes malveillants)], la demande de chargement est toujours bloquée, mais l’entrée dans les journaux de sécurité des données n’enregistre pas le nom du fichier et le type de contenu. L’entrée dans les journaux d’accès reste inchangée.

  • File type (Type de fichier). Vous pouvez bloquer les types de fichiers prédéfinis ou les types MIME personnalisés que vous saisissez. Lorsque vous bloquez un type de fichier prédéfini, vous pouvez bloquer tous les fichiers de ce type ou les fichiers supérieurs à la taille spécifiée. Lorsque vous bloquez un type de fichier en fonction de la taille, la taille maximale de fichier que vous pouvez spécifier est identique à la valeur du champ « DVS Engine Object Scanning Limits » (Limites d’analyse des objets du moteur DVS) sur la page Security Services > Anti-Malware (Services de sécurité > Antiprogrammes malveillants). Par défaut, cette valeur est de 32 Mo.

    Les filtres de sécurité des données Cisco n’inspectent pas le contenu des fichiers archivés lors du blocage par type de fichier. Les fichiers archivés peuvent être bloqués par leur type de fichier ou par le nom de fichier, et non en fonction de leur contenu.


    Note
    Pour certains groupes de types MIME, le blocage d’un type bloque tous les types MIME du groupe. Par exemple, le blocage de application/x-java-Applet bloque tous les types MIME java, tels que application/java et application/javascript.

  • File name (Nom de fichier). Vous pouvez bloquer des fichiers portant des noms spécifiques. Vous pouvez utiliser text comme chaîne littérale ou expression régulière pour préciser les noms de fichiers à bloquer.


    Note
    Saisissez uniquement des noms de fichiers comprenant des caractères ASCII 8 bits. Le proxy Web ne met en correspondance que les noms de fichiers contenant des caractères ASCII 8 bits.

Définition des systèmes DLP externes

Secure Web Appliance peut s’intégrer à plusieurs serveurs DLP externes du même fournisseur en définissant plusieurs serveurs DLP dans l’appliance. Vous pouvez définir la technique d’équilibrage de la charge que le proxy Web utilise lorsqu’il communique avec les systèmes DLP. Cela est utile lorsque vous définissez plusieurs systèmes DLP. Consultez Configuration SSL pour en savoir plus sur la spécification des protocoles utilisés pour sécuriser les communications avec les serveurs DLP externes.


Note
Vérifiez que le serveur DLP externe n’envoie pas le contenu modifié du proxy Web. AsyncOS pour le Web prend uniquement en charge la possibilité de bloquer ou d’autoriser les demandes de téléchargement. Il ne prend pas en charge le téléchargement de contenu modifié par un serveur DLP externe.

Configuration des serveurs DLP externes

Procedure

Step 1

Choisissez Network > External DLP Servers (Réseau > Serveurs DLP externes).

Step 2

Cliquez sur Edit Settings (Modifier les paramètres).

Paramètres

Description

Protocol for External DLP Servers (Protocole pour les serveurs DLP externes)

Choisissez l’un des paramètres suivants :

  • ICAP : les communications ICAP client/serveur DLP ne sont pas chiffrées.

  • Secure ICAP (ICAP sécurisé) : les communications ICAP client/serveur DLP se font par un tunnel chiffré. D’autres options connexes s’affichent.

External DLP Servers (Serveurs DLP externes)

Saisissez les informations suivantes pour accéder à un système DLP conforme à ICAP :

  • Server address (Adresse du serveur) et Port : nom d’hôte ou adresse IP et port TCP pour accéder au système DLP.

  • Reconnection attempts (Tentatives de reconnexion) : nombre de fois que le proxy Web tente de se connecter au système DLP avant d’échouer.

  • Service URL (URL du service) : URL de requête ICAP spécifique au serveur DLP en question. Le proxy Web inclut les informations que vous saisissez ici dans la demande ICAP envoyée au serveur DLP externe. L’URL doit commencer par le protocole ICAP : icap://

  • Certificate (Certificat) (facultatif) : le certificat fourni pour sécuriser chaque connexion au serveur DLP externe peut être signé par l’autorité de certification (AC) ou autosigné. Obtenez le certificat du serveur spécifié, puis chargez-le sur l’appliance :

    • Recherchez et sélectionnez le fichier de certificat, puis cliquez sur Upload File (Charger le fichier).

      Note

       
      Ce fichier unique doit contenir le certificat client et la clé privée au format non chiffré.

    • Use this certificate for all DLP server using Secure ICAP (Utiliser ce certificat pour tous les serveurs DLP utilisant Secure ICAP) : cochez cette case pour utiliser le même certificat pour tous les serveurs DLP externes que vous définissez ici. Laissez l’option décochée pour saisir un certificat différent pour chaque serveur.

  • Start Test (Démarrer le test) : vous pouvez tester la connexion entre Secure Web Appliance et le ou les serveurs DLP externes définis en cliquant sur Start Test (Démarrer le test).

Équilibrage de la charge

Si plusieurs serveurs DLP sont définis, sélectionnez la technique d’équilibrage de la charge que le proxy Web utilise pour distribuer les demandes de chargement vers différents serveurs DLP. Vous pouvez choisir les techniques d’équilibrage de la charge suivantes :

  • None (failover) [Aucune (basculement)] Le proxy Web dirige les demandes de téléchargement vers un serveur DLP. Il essaie de se connecter aux serveurs DLP dans l’ordre dans lequel ils sont répertoriés. Si un serveur DLP ne peut pas être atteint, le proxy Web tente de se connecter au suivant dans la liste.

  • Fewest connections (Le moins de connexions possibles). Le proxy Web suit le nombre de demandes actives provenant des différents serveurs DLP et dirige la demande de chargement vers le serveur DLP qui traite actuellement le plus petit nombre de connexions.

  • Hash based (Basé sur le hachage). Le proxy Web utilise une fonction de hachage pour distribuer les demandes aux serveurs DLP. La fonction de hachage utilise l’ID et l’URL du proxy comme entrées de sorte que les demandes pour la même URL soient toujours dirigées vers le même serveur DLP.

  • Round robin (Circuit cyclique). Le proxy Web distribue les demandes de chargement de manière égale sur tous les serveurs DLP dans l’ordre indiqué.

Service Request Timeout (Délai d’expiration des demandes de service)

Entrez le temps pendant lequel le proxy Web attend une réponse du serveur DLP. Lorsque ce délai est dépassé, la demande ICAP échoue et la demande de chargement est soit bloquée, soit autorisée, selon le paramètre de gestion des défaillances.

La valeur par défaut est 60 secondes.

Maximum Simultaneous Connections (Nombre maximal de connexions simultanées)

Indique le nombre maximal de connexions de demande ICAP simultanées de Secure Web Appliance vers chaque serveur DLP externe configuré. Le paramètre de gestion des défaillances dans cette page s’applique à toute demande qui dépasse cette limite.

La valeur par défaut est 25.

Failure Handling (Gestion des échecs)

Choisissez si les demandes de chargement sont bloquées ou autorisées (transmises aux politiques d’accès pour évaluation) lorsque le serveur DLP ne parvient pas à fournir une réponse rapide.

La valeur par défaut est allow (« Permit all data transfers to proceed without scanning ») [allow (« autoriser la poursuite de tous les transferts de données sans analyse »)].

Trusted Root Certificate (Certificat racine approuvé)

Recherchez et sélectionnez le certificat racine approuvé pour les certificats fournis avec les serveurs DLP externes, puis cliquez sur Upload File (Charger le fichier). Voir Certificate Management pour de plus amples informations.

Invalid Certificate Options (Options de certificats non valides)

Indiquez comment les divers certificats non valides sont traités : Drop (Supprimer) ou Monitor (Superviser).

Server Certificates (Certificats du serveur)

Cette section affiche tous les certificats de serveur DLP actuellement disponibles sur l’appliance.

Step 3

(Facultatif) Vous pouvez ajouter un autre serveur DLP en cliquant sur Add Row (Ajouter une ligne) et en saisissant les informations du serveur DLP dans les nouveaux champs fournis.

Step 4

Envoyez et validez les modifications.

Contrôle des demandes de chargement à l’aide de politiques DLP externes

Une fois que le proxy Web reçoit les en-têtes de demande de chargement, il dispose des informations nécessaires pour décider si la demande doit être transmise au système DLP externe pour analyse. Le système DLP analyse la demande et renvoie un verdict au proxy Web, à savoir bloquer ou superviser (évaluer la demande par rapport aux politiques d’accès).

Procedure

Step 1

Choisissez Web Security Manager > External Data Loss Prevention (Web Security Manager > Prévention de la perte de données externes).

Step 2

Cliquez sur le lien sous la colonne Destinations du groupe de politiques que vous souhaitez configurer.

Step 3

Dans la section Edit Destination Settings (Modifier les paramètres de destination), choisissez « Define Destinations Scanning Custom Settings » (Définir les paramètres personnalisés d’analyse des destinations).

Step 4

Dans la section Destination to scan (Destination à analyser), choisissez l’une des options suivantes :

  • Do not scan any uploads (N’analyser aucun chargement). Aucune demande de chargement n’est envoyée au(x) système(s) DLP configuré(s) pour analyse. Toutes les demandes de chargement sont évaluées par rapport aux politiques d’accès.
  • Scan all uploads (Analyser tous les chargements) Toutes les demandes de chargement sont envoyées au(x) système(s) DLP configuré(s) pour analyse. La demande de chargement est bloquée ou évaluée par rapport aux politiques d’accès en fonction du verdict émis à l’issue de l’analyse du système DLP.
  • Scan uploads except to specified custom and external URL categories (Analyser les chargements, sauf dans les catégories d’URL personnalisées et externes spécifiées) Les demandes de chargement qui appartiennent à des catégories d’URL personnalisées spécifiques sont exclues des politiques d’analyse DLP. Cliquez sur Edit custom categories list (Modifier la liste des catégories personnalisées) pour sélectionner les catégories d’URL à analyser.

Step 5

Envoyez et validez les modifications.

Journalisation de l’analyse de prévention de la perte de données

Les journaux d’accès indiquent si une demande de chargement a été analysée par les filtres de sécurité des données Cisco ou par un serveur DLP externe. Les entrées du journal d’accès comprennent un champ pour le verdict de l’analyse de sécurité des données Cisco et un autre champ pour le verdict de l’analyse DLP externe en fonction du verdict.

En plus des journaux d’accès, Secure Web Appliance fournit les types de fichiers journaux suivants pour dépanner la sécurité des données et les politiques DLP externes de Cisco :

  • Data Security Logs (Journaux de sécurité des données). Enregistre l’historique du client pour les demandes de chargement évaluées par les filtres de sécurité des données Cisco.

  • Data Security Module Logs (Journaux du module de sécurité des données). Enregistre les messages liés aux filtres de sécurité des données Cisco.

  • Default Proxy Logs (Journaux de proxy par défaut). En plus d’enregistrer les erreurs liées au proxy Web, les journaux de proxy par défaut incluent les messages relatifs à la connexion aux serveurs DLP externes. Cela vous permet de résoudre les problèmes de connectivité ou d’intégration aux serveurs DLP externes.

Le texte suivant illustre un exemple d’entrée de journal de sécurité des données : 


Mon Mar 30 03:02:13 2009 Info: 303 10.1.1.1 - - 
<<bar,text/plain,5120><foo,text/plain,5120>> 
BLOCK_WEBCAT_IDS-allowall-DefaultGroup-DefaultGroup-NONE-DefaultRouting ns server.com nc

Valeur de champ

Description 


Mon Mar 30 03:02:13 2009 Info:

Horodatage et niveau de suivi 


303

ID de transaction 


10.1.1.1

Adresse IP source 


-

Nom d’utilisateur 


-

Noms de groupes autorisés 


<<bar,text/plain,5120><foo,text/
plain,5120>>

Nom du fichier, type de fichier et taille de chaque fichier chargé simultanément

Note

 
Ce champ n’inclut pas les fichiers texte ou bruts dont la taille est inférieure à la taille minimale configurée du corps de la demande, dont la valeur par défaut est de 4096 octets. 

BLOCK_WEBCAT_IDS-allowall-
DefaultGroup-DefaultGroup-NONE-
DefaultRouting

Politiques et actions de sécurité des données Cisco 


ns

Niveau de réputation Web 


server.com

URL sortante 


nc

Catégorie de l’URL


Note
Pour savoir quand le transfert de données, comme une demande POST, vers un site a été bloqué par le serveur DLP externe, recherchez l’adresse IP ou le nom d’hôte du serveur DLP dans les journaux d’accès.