¿Cómo se configura el dispositivo de seguridad Cisco Web Security Appliance y la red RSA DLP para interoperar?

Pregunta:

¿Cómo se configura el dispositivo de seguridad Cisco Web Security Appliance y la red RSA DLP para interoperar?

Información general:

Este documento proporciona información adicional además de la guía del usuario de Cisco WSA AsyncOS y la guía de implementación de RSA DLP Network 7.0.2 para ayudar a los clientes a interoperar los dos productos.

Descripción del producto:

El dispositivo de seguridad Cisco Web Security Appliance (WSA) es un dispositivo sólido, seguro y eficaz que protege las redes corporativas frente a programas de software malicioso y software espía basados en la Web que pueden poner en peligro la seguridad corporativa y exponer la propiedad intelectual. El dispositivo de seguridad Web Security Appliance proporciona una inspección profunda del contenido de las aplicaciones al ofrecer un servicio de proxy web para protocolos de comunicación estándar como HTTP, HTTPS y FTP.

RSA DLP Suite incluye una solución completa de prevención de la pérdida de datos que permite a los clientes descubrir y proteger los datos confidenciales de la empresa aprovechando las políticas comunes de toda la infraestructura para descubrir y proteger los datos confidenciales del Data Center, la red y los terminales.  El conjunto de DLP incluye los siguientes componentes:

• Data Center RSA DLP. DLP Datacenter le ayuda a localizar datos confidenciales independientemente de su ubicación en el Data Center, en sistemas de archivos, bases de datos, sistemas de correo electrónico y entornos SAN/NAS de gran tamaño.
• Red RSA DLP. La red DLP supervisa y aplica la transmisión de información confidencial en la red, como el correo electrónico y el tráfico web.
• Terminal RSA DLP. El terminal DLP le ayuda a descubrir, supervisar y controlar la información confidencial en terminales como ordenadores portátiles y de escritorio.

Cisco WSA puede interoperar con la red RSA DLP.

La red RSA DLP incluye los siguientes componentes:

• Controlador de red. El principal dispositivo que mantiene información sobre datos confidenciales y políticas de transmisión de contenido. El controlador de red gestiona y actualiza los dispositivos gestionados con definición de políticas y contenidos confidenciales, así como cualquier cambio en su configuración tras la configuración inicial.
• Dispositivos gestionados. Estos dispositivos ayudan a que la red DLP supervise la transmisión de red y notifique o intercepte la transmisión:
  
  • Sensores. Instalados en los límites de la red, los sensores supervisan pasivamente el tráfico que sale de la red o que cruza los límites de la red, analizándolo para detectar la presencia de contenido confidencial. Un sensor es una solución fuera de banda; solo puede supervisar e informar de infracciones de políticas.
  • Interceptores. Los interceptores, que también están instalados en los límites de la red, permiten poner en cuarentena o rechazar el tráfico de correo electrónico (SMTP) que contiene contenido confidencial. Un interceptor es un proxy de red en línea y, por lo tanto, puede bloquear la salida de datos confidenciales de la empresa.
  • servidores ICAP. Dispositivos de servidor para propósitos especiales que permiten implementar la supervisión o el bloqueo del tráfico HTTP, HTTPS o FTP que contenga contenido confidencial. Un servidor ICAP funciona con un servidor proxy (configurado como cliente ICAP) para supervisar o bloquear la salida de datos confidenciales de la empresa

Cisco WSA interactúa con el servidor ICAP de red RSA DLP.

Limitaciones conocidas

La integración de DLP externa de Cisco WSA con la red RSA DLP admite las siguientes acciones: permitir y bloquear. Aún no admite la acción "Modificar/Quitar contenido" (también denominada Redacción).

Requisitos del producto para la interoperabilidad

La interoperabilidad de Cisco WSA y la red RSA DLP se ha probado y validado con los modelos de productos y las versiones de software de la siguiente tabla. Aunque funcionalmente esta integración puede funcionar con variaciones del modelo y del software, la siguiente tabla representa las únicas combinaciones probadas, validadas y admitidas. Se recomienda encarecidamente utilizar la última versión compatible de ambos productos.

Función DLP externa

Con la función de DLP externa de Cisco WSA, puede reenviar todo el tráfico HTTP saliente, HTTPS y FTP o uno específico desde WSA a la red DLP. Todo el tráfico se transfiere mediante el protocolo de adaptación de control de Internet (ICAP).

Arquitectura

La Guía de implementación de red de RSA DLP muestra la siguiente arquitectura genérica para interactuar con la red de RSA DLP con un servidor proxy. Esta arquitectura no es específica de WSA, pero se aplica a cualquier proxy que interopere con la red RSA DLP.

Figura 1: Arquitectura de implementación para la red RSA DLP y el dispositivo de seguridad Cisco Web Security Appliance

Configuración de Cisco Web Security Appliance

1. Defina un sistema DLP externo en el WSA que funcione con el servidor ICAP de red DLP. Para obtener instrucciones, consulte el extracto adjunto de la guía del usuario de WSA "User Guide Instructions Defining External DLP Systems" (Instrucciones de la guía del usuario para definir sistemas DLP externos).
   
   
2. Cree una o más políticas DLP externas que definan el tráfico que WSA envía a la red DLP para el análisis de contenido mediante los pasos siguientes:

• En GUI > Web Security Manager > Políticas DLP externas > Agregar política
• Haga clic en el enlace de la columna Destinos para el grupo de políticas que desea configurar
• En la sección "Editar configuración de destino", seleccione "Definir destinos, analizar configuración personalizada" en el menú desplegable
• A continuación, podemos configurar la política para 'Analizar todas las cargas' o para analizar las cargas en determinados dominios/sitios especificados en categorías de URL personalizadas

Configuración de la Red RSA DLP

Este documento asume que el controlador de red RSA DLP, el servidor ICAP y Enterprise Manager se han instalado y configurado.

1. Utilice RSA DLP Enterprise Manager para configurar un servidor ICAP de red. Para obtener instrucciones detalladas sobre la configuración del servidor ICAP de red DLP, consulte la Guía de implementación de red DLP de RSA. Los parámetros principales que debe especificar en la página de configuración del servidor ICAP son:
   1. Nombre de host o dirección IP del servidor ICAP.
   2. En la sección Configuración general de la página de configuración, introduzca la siguiente información:
      • El tiempo en segundos después del cual se considera que el servidor ha agotado el tiempo de espera en el campo Tiempo de espera del servidor en segundos.
      • Seleccione una de las siguientes opciones como respuesta Tras el tiempo de espera del servidor:
      • Fallo al abrir. Seleccione esta opción si desea permitir la transmisión después de un tiempo de espera del servidor.
      • Fallo cerrado. Seleccione esta opción si desea bloquear la transmisión después de que se agote el tiempo de espera del servidor.
2. Utilice RSA DLP Enterprise Manager para crear una o más políticas específicas de la red para auditar y bloquear el tráfico de red que contiene contenido confidencial. Para obtener instrucciones detalladas sobre la creación de políticas DLP, consulte la guía del usuario de red RSA DLP o la ayuda en línea de Enterprise Manager.  Los pasos principales que se deben realizar son los siguientes:
   1. Desde la biblioteca de plantillas de directivas, habilite al menos una directiva que tenga sentido para su entorno y el contenido que va a supervisar.
   2. Dentro de esa política, configure reglas de violación de políticas específicas de la red DLP que especifiquen las acciones que el producto de red realizará automáticamente cuando se produzcan eventos (violaciones de políticas). Establezca la regla de detección de directivas para detectar todos los protocolos. Establezca la acción de directiva en "auditar y bloquear".

Opcionalmente, podemos utilizar RSA Enterprise Manager para personalizar la notificación de red que se envía al usuario cuando se producen violaciones de política.  Esta notificación la envía la red DLP como sustitución del tráfico original.

Pruebe la configuración

1. Configure el navegador para dirigir el tráfico saliente desde el navegador y dirigirlo directamente al proxy WSA. 
   
   Por ejemplo, si utiliza el explorador Mozilla FireFox, haga lo siguiente:
   1. En el navegador FireFox, seleccione Herramientas > Opciones. Aparecerá el cuadro de diálogo Opciones.
   2. Haga clic en la ficha Red y, a continuación, haga clic en Configuración. Aparecerá el cuadro de diálogo Configuración de la conexión.
   3. Seleccione la casilla de verificación Manual Proxy Configuration, luego ingrese la dirección IP o el nombre de host del servidor proxy WSA en el campo HTTP Proxy y el número de puerto 3128 (el predeterminado).
   4. Haga clic en Aceptar y, a continuación, en Aceptar de nuevo para guardar la nueva configuración.
2. Al intentar cargar contenido que sabe que infringe la política de red DLP que habilitó anteriormente.
3. Debería ver un mensaje de descarte de ICAP de red en el navegador.
4. Utilice 'Enterprise Manager' para ver el evento y el incidente resultantes que se crearon como resultado de esta violación de la política.

Resolución de problemas

1. Al configurar un servidor DLP externo en el dispositivo de seguridad web para la red RSA DLP, utilice los siguientes valores:
   
   
   • Dirección de servidor: dirección IP o nombre de host del servidor ICAP de red RSA DLP
   • Puerto: puerto TCP utilizado para acceder al servidor de red RSA DLP, normalmente 1344
   • Formato de URL de servicio: icap://<hostname_or_ipaddress>/srv_conalarm
   • Ejemplo: icap://dlp.example.com/srv_conalarm
2. Active la función de captura de tráfico de WSA para capturar el tráfico entre el proxy WSA y el servidor ICAP de red. Esto resulta útil para diagnosticar problemas de conectividad. Para ello, haga lo siguiente:
   
   
   • En la GUI de WSA, vaya al menú Support and Help en la parte superior derecha de la interfaz de usuario. Seleccione Captura de paquetes en el menú y, a continuación, haga clic en el botón Editar configuración. Aparecerá la ventana Editar configuración de captura.
     
     
   • En la sección Packet Capture Filters de la pantalla, ingrese la dirección IP del servidor ICAP de red en el campo Server IP.
   • Haga clic en Enviar para guardar los cambios.
3. Utilice el siguiente campo personalizado de los registros de acceso de WSA (en GUI > Administración del sistema > Suscripciones a registros > registros de acceso) para obtener más información:
   
   • %Xp: veredicto de análisis del servidor DLP externo (0 = no hay coincidencia en el servidor ICAP; 1 = coincidencia de política con el servidor ICAP y '- (guion)' = el servidor DLP externo no inició ningún análisis)