Guia de produto. McAfee Web Gateway Cloud Service

Transcrição

1 Guia de produto McAfee Web Gateway Cloud Service

2 COPYRIGHT Copyright 2017 McAfee LLC ATRIBUIÇÕES DE MARCA McAfee e o logotipo da McAfee, McAfee Active Protection, epolicy Orchestrator, McAfee epo, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan são marcas da McAfee LLC ou de suas subsidiárias nos EUA e em outros países. Outras marcas podem ser declaradas propriedade de terceiros. INFORMAÇÕES DE LICENÇAS Contrato de Licença AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL, DA LICENÇA COMPRADA POR VOCÊ, QUE DEFINE OS TERMOS GERAIS E AS CONDIÇÕES DE USO DO SOFTWARE LICENCIADO. CASO VOCÊ NÃO SAIBA QUAL O TIPO DA LICENÇA COMPRADA, CONSULTE O SETOR DE VENDAS, OUTRO SETOR RELACIONADO À CONCESSÃO DA LICENÇA, DOCUMENTOS DO PEDIDO QUE ACOMPANHAM O SEU PACOTE DE SOFTWARE OU DOCUMENTOS QUE TENHAM SIDO ENVIADOS SEPARADAMENTE COMO PARTE DA COMPRA (COMO UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL VOCÊ FEZ O DOWNLOAD DO PACOTE DE SOFTWARE). CASO VOCÊ NÃO CONCORDE COM TODOS OS TERMOS DEFINIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. CASO SEJA APLICÁVEL, VOCÊ PODE RETORNAR O PRODUTO PARA A MCAFEE OU PARA O LOCAL ONDE A COMPRA FOI REALIZADA PARA OBTER UM REEMBOLSO COMPLETO. 2 McAfee Web Gateway Cloud Service Guia de produto

3 Conteúdo 1 Visão geral do produto 5 O que é McAfee WGCS? Principais recursos Como funciona o McAfee WGCS Tecnologias de segurança na Web da McAfee Gerenciamento de contas Gerenciamento de políticas 9 Modelo de política global Usando o Navegador de políticas Exibição de políticas de recursos Exibição de regras Exibindo catálogos Baixar e instalar certificados SSL Trabalho com grupos de usuários Sincronização do Active Directory Adicionar um grupo de usuários local Editar o grupo de usuários local Trabalhar com regras e políticas de recursos Adicionar uma regra Criar uma regra importando uma lista de URLs Criar uma regra usando exceções Alterar uma regra Gerenciar os URLs Reordenar as regras Excluir uma regra Alterar uma política de recurso Alterar a Atribuição de política Exibir logs de auditoria Exportar os logs de auditoria Condições de erro Erros de dados Erros de conexão de rede Erros de gravação Autenticação 39 Decisões de autenticação e política Como o McAfee WGCS implementa as opções de autenticação Como funciona o processo de autenticação Autenticação da faixa de IP Ativar ou desativar a autenticação da faixa de IP Configuração da autenticação da faixa de IP Importar uma lista de faixas de endereços IP Exportar uma lista de faixas de endereços IP Autenticação SAML McAfee Web Gateway Cloud Service Guia de produto 3

4 Conteúdo Benefícios da autenticação SAML Autenticação SAML etapas de alto nível Visão geral da configuração de SAML Considerações ao configurar a autenticação SAML Configuração da SAML no console de gerenciamento Configurações da autenticação SAML Autenticação site a site IPsec Configurando uma autenticação site a site IPsec Considerações ao configurar o IPsec site a site Ativar ou desativar a autenticação site a site IPsec Adicionar um local de IPsec Exclua um local de IPsec Edite as configurações de site a site IPsec Configurações de site a site IPsec Adição de autenticação SAML ao IPsec site a site Índice 55 4 McAfee Web Gateway Cloud Service Guia de produto

5 1 Visão 1 geral do produto O McAfee Web Gateway Cloud Service (McAfee WGCS) é um serviço de nuvem empresarial globalmente disponível que fornece proteção na Web abrangente por meio da varredura de conteúdo em profundidade e da integração a outras tecnologias de segurança na Web da McAfee. Conteúdo O que é McAfee WGCS? Principais recursos Como funciona o McAfee WGCS Tecnologias de segurança na Web da McAfee Gerenciamento de contas O que é McAfee WGCS? O serviço de proteção na Web protege sua organização contra ameaças à segurança que surgem quando os usuários finais acessam a Web. O serviço varre e filtra o tráfego da Web entre os usuários finais de sua organização e a nuvem. Ele bloqueia o tráfego que não é permitido pela política de proteção na Web configurada por você. Ele também protege os usuários que trabalham dentro ou fora da rede. Por exemplo, o serviço protege os usuários que estão trabalhando em uma cafeteria ou um hotel. Usando o serviço de proteção na Web, você pode impedir ameaças sofisticadas, implementar política de uso da Internet da sua organização e impulsionar a produtividade. Por exemplo, você pode controlar o acesso a sites de upload de arquivos. Por meio de centenas de categorias de tipos de conteúdo da Web, aplicativos e mídias, você tem um controle refinado do uso da Web, dentro e fora da rede. Como um serviço que é executado em uma plataforma de nuvem, o McAfee WGCS é gerenciado 24 horas por dia, 7 dias por semana por uma equipe de especialistas em segurança da McAfee. Você adquire uma assinatura do serviço, sem necessidade de instalação de hardware ou software. A plataforma de serviço de nuvem consiste em nós distribuídos globalmente e chamados de pontos de presença (PoP). O Global Routing Manager (GRM) é um serviço DNS responsável pelo roteamento de tráfego inteligente, compartilhamento de carga e failover. O GRM roteia seu tráfego para o melhor ponto de presença disponível. O serviço de proteção na Web é gerenciado e configurado por meio da plataforma e do console do McAfee epolicy Orchestrator Cloud (McAfee epo Cloud). O McAfee WGCS pode ser distribuído com ou sem o McAfee Client Proxy. O software Client Proxy é instalado nos computadores dos usuários finais da organização. O software reconhece o local e redireciona as solicitações de usuário final para o serviço de nuvem quando os usuários estão trabalhando fora da rede. McAfee Web Gateway Cloud Service Guia de produto 5

6 1 Visão geral do produto Principais recursos O Client Proxy é gerenciado e configurado por meio da plataforma e do console do McAfee epolicy Orchestrator (McAfee epo ) ou do McAfee epo Cloud. O McAfee WGCS pode ser integrado com o Client Proxy quando o software é gerenciando por meio da plataforma. Computadores dos usuários finais são denominados computadores cliente ou de ponto de extremidade. Às vezes, os computadores de ponto de extremidade são chamados de ponto de extremidade. Principais recursos O McAfee WGCS fornece os seguintes recursos principais de segurança. Filtragem de URL utilizando listas brancas, listas negras e categorias de reputação com base nos níveis de risco determinados pelo McAfee Global Threat Intelligence (McAfee GTI) Varredura SSL, incluindo descriptografia completa e inspeção de conteúdo Filtragem da Web: Filtragem de conteúdo da Web usando o Filtro de categoria da Web Filtragem de aplicativo Web usando a Proteção de acesso Filtragem de tipo de mídia usando o Filtro de tipo de mídia Filtragem antimalware que bloqueia malware em linha e inclui tecnologia de emulação tradicional de comportamento e antivírus SAML, faixa de IP e Autenticação site a site IPsec de usuários finais que solicitam o acesso à nuvem Geração de relatórios de proteção na Web: visão geral da produtividade, da atividade na Web, da imposição de política na Web e da segurança na Web Como funciona o McAfee WGCS O serviço de proteção na Web protege sua organização contra malware, spyware, vírus, URLs de phishing, ataques direcionados e ameaças combinadas por meio de um processo de detecção em profundidade. O processo de detecção de ameaças consiste nestas etapas de alto nível. 1 Por meio da tecnologia antivírus baseada em assinatura com dados de categoria de URL e reputação do McAfee GTI, o McAfee WGCS filtra as ameaças conhecidas do tráfego da Web, permitindo a passagem do tráfego válido. Essa etapa do processo detecta cerca de 80% das ameaças baseadas na Web. 2 O tráfego da Web restante não é conhecido como válido ou inválido. O tráfego desconhecido suspeito é inspecionado pelo Gateway Anti-Malware Engine. Por meio da tecnologia de emulação, o conteúdo dinâmico da Web e o código ativo são observados em um ambiente controlado para se compreender a intenção e prever o comportamento. Esta etapa do processo detecta quase 100% das ameaças baseadas na Web restantes. Conhecidas como malware de dia zero, essas ameaças são novas ou arquivos de malware alterados que ainda não têm assinaturas. 6 McAfee Web Gateway Cloud Service Guia de produto

7 Visão geral do produto Tecnologias de segurança na Web da McAfee 1 Tecnologias de segurança na Web da McAfee O McAfee WGCS usa as informações e a inteligência fornecidas pelos componentes e pelas tecnologias de segurança na Web comprovados da McAfee. Esses componentes e tecnologias atualizam dinamicamente o serviço de proteção na Web à medida que as informações de segurança na Web e a inteligência são alteradas. Os componentes e as tecnologias são totalmente integrados ao serviço. É necessário um mínimo de configurações na interface do usuário. Os componentes e as tecnologias de segurança na Web incluem: McAfee GTI avalia a reputação dos sites com base no comportamento passado e atribui os sites a categorias de risco alto, médio, baixo e não verificado. O McAfee GTI coleta, analisa e distribui dados em tempo real de mais de 100 milhões de sensores em mais de 120 países. Filtros Simplifique as regras de política atribuindo sites similar, aplicativos Web e tipos de arquivos aos grupos. Filtro de categoria da Web Atribui sites a categorias com base em conteúdo. Por meio desse filtro, você permite ou bloqueia o acesso a conteúdo especificado, como no bloqueio de acesso a sites de jogos de azar. Proteção de acesso Atribui aplicativos Web a categorias por tipo. Por meio desse filtro, você permite ou bloqueia o acesso a aplicativos Web individualmente ou por categoria. Por exemplo, você pode bloquear uploads de arquivos para aplicativos de compartilhamento de arquivos na nuvem. Filtro de tipo de mídia Categoriza arquivos por tipo de documento ou formato de áudio ou vídeo. Por meio desse filtro, você permite ou bloqueia o acesso a tipos de mídia especificados, como o bloqueio de acesso à mídia em streaming. Gateway Anti-Malware Engine filtra o tráfego da Web, detectando e bloqueando malware de dia zero em linha usando tecnologia de emulação antes que os dispositivos dos usuários finais sejam infectados. Gerenciamento de contas No console de gerenciamento, é possível sincronizar um Active Directory no local com o McAfee epo Cloud. Também é possível aplicar sua política de proteção na Web aos grupos de usuários locais que você cria e nomeia. Sincronização do Active Directory você cria, preenche e mantém as contas do Active Directory local de sua organização na Árvore de sistemas do McAfee epo Cloud. Para obter mais informações, consulte o McAfee epolicy Orchestrator Cloud Product Guide (Guia do produto do McAfee epolicy Orchestrator Cloud). Recurso de grupo de usuários locais crie e nomeie manualmente grupos de usuários locais e, depois, os adicione a ações de regra de política. Esse recurso faz parte da interface Política Política de dados da nuvem e da Web. McAfee Web Gateway Cloud Service Guia de produto 7

8 1 Visão geral do produto Gerenciamento de contas 8 McAfee Web Gateway Cloud Service Guia de produto

9 2 2 Gerenciamento de políticas No console de gerenciamento do McAfee epo Cloud, você gerencia a política de segurança na Web que determina como o McAfee WGCS filtra o tráfego da Web e permite ou bloqueia o acesso a conteúdo da Web, aplicativos e objetos. Conteúdo Modelo de política global Usando o Navegador de políticas Baixar e instalar certificados SSL Trabalho com grupos de usuários Trabalhar com regras e políticas de recursos Exibir logs de auditoria Condições de erro Modelo de política global O modelo de política do McAfee WGCS é baseado em um conjunto de políticas que é aplicado globalmente em toda a organização. Você configura um conjunto de políticas que é aplicado globalmente a todos os usuários e grupos em sua organização. Para personalizar a aplicação da política definida para usuários ou grupos específicos, você configura exceções às regras que compõem as políticas no conjunto. McAfee Web Gateway Cloud Service Guia de produto 9

10 2 Gerenciamento de políticas Usando o Navegador de políticas Usando o Navegador de políticas A interface do usuário do Navegador de políticas para gerenciamento de políticas é projetada em torno do conceito do fornecimento de informações contextuais. Os tipos de informações apresentadas variam de acordo com as suas opções instaladas, a área atual da interface do usuário e as escolhas feitas. A interface do usuário para gerenciar políticas está organizada para oferecer proteção nas principais áreas de recursos pertinentes aos produtos e serviços da McAfee que você usa. Figura 2-1 Navegador de política padrão (todos os recursos mostrados são recolhidos para maior clareza) Essas áreas de recursos principais são: Configurações globais, onde é mantida a Lista branca de URLs global e a Lista negra global aplicáveis a todos os usuários e políticas. Mecanismo de varredura SSL, onde são definidas as configurações de varredura SSL. Reputação na Web, onde são mantidas as configurações relativas às ações tomadas quando sites com níveis diferentes de reputação são encontrados. Filtro de categorias da Web, onde você define as configurações de varredura baseadas em categorias, protegendo seus usuários contra categorias de sites inadequadas. Proteção de acesso, onde você pode configurar os aplicativos baseados na Web que os usuários podem usar. Filtro de tipo de mídia, onde são configurados os tipos de formatos de arquivo que os seus usuários podem acessar. Filtro antimalware, onde são definidas configurações relativas à filtragem de malware. Exibição de políticas de recursos Em cada área de recurso principal da interface do usuário, há uma ou mais políticas de recursos relativas a essa área. As políticas de recursos podem ser utilizadas para fornecer diferentes níveis de restrição nas áreas de recursos principais a que se referem. Cada política tem seu próprio conjunto de regras e exceções. Por exemplo, uma política de recurso restritiva provavelmente tem regras e exceções para bloquear o acesso da maioria dos usuários à maioria dos locais. Uma política tolerante tem regras configuradas para permitir o acesso da maioria dos usuários à maioria dos locais. 10 McAfee Web Gateway Cloud Service Guia de produto

11 Gerenciamento de políticas Usando o Navegador de políticas 2 Por padrão, seu produto inclui várias políticas para cada área de recurso. Essas políticas são definidas com configurações comumente utilizadas para diferentes setores corporativos, educacionais e governamentais. Por exemplo, algumas organizações preferem configurações menos restritivas, para que seus funcionários ou alunos possam fazer o melhor comercial ou educacional da Internet. Um Departamento de defesa precisa ser muito mais restritivo quanto às políticas para a utilização da Internet. Na maioria das situações, é útil manter duas políticas para cada recurso: uma a ser utilizada em situações normais do dia a dia e outra, mais restritiva, para a investigação de uma preocupação com a segurança. Para exibir as políticas de recursos disponíveis para cada área de recurso, selecione cada uma das políticas clicando na seta suspensa relacionada. Depois que a lista suspensa de políticas de recursos for expandida para a área de recurso selecionada, todas as políticas de recursos relacionadas a essa área serão exibidas. Em cada diretiva, você pode configurar qualquer número de regras. Detalhes da política Clique no nome de uma política de recurso por exemplo, Limitado ou Permissivo para exibir o painel Detalhes da política à direita da interface do usuário. Figura 2-2 Painel Detalhes da política para políticas do McAfee Web Gateway Cloud Service No painel Detalhes da política, você pode ver o nome da política de recurso, bem como exibir e editar as páginas de bloqueio usadas pela política de recurso. Você também pode copiar a página de bloqueio e utilizá-la para criar outra página de bloqueio. É possível exibir os detalhes de qualquer política, esteja ela ativada ou desativada. Se você exibir uma política que não esteja ativada, o ícone de atribuição de política desativada será exibido, indicando que não está em uso no momento. McAfee Web Gateway Cloud Service Guia de produto 11

12 2 Gerenciamento de políticas Usando o Navegador de políticas Também é possível exibir informações específicas da política de recurso: Tabela 2-1 Informações específicas da política de recurso Política de recurso Informações adicionais Mecanismo de varredura SSL Link Baixar pacote de certificados SSL Filtro de categorias da Web Caixa de seleção Bloquear sites não categorizados A seleção de Bloquear sites não categorizados faz com que todos os sites não categorizados sejam bloqueados, mesmo se esses sites estiverem listados na Lista branca de URLs contida nas áreas subsequentes. Caixa de seleção Impor pesquisa segura Se você navegar para outra política de recurso, o painel Detalhes da política permanecerá aberto, mas não será atualizado até que você clique no novo nome de política de recurso. Se você adicionar ou selecionar uma regra enquanto o painel Detalhes da política estiver aberto, o painel Detalhes da política será fechado e substituído pelo painel Detalhes da regra. Exibição de regras Cada política de recurso contém um conjunto de regras. As regras são executadas de cima para baixo. Cada uma delas é configurada para realizar a ação selecionada quando há correspondência. Figura 2-3 Exemplo de regras de política de recurso Cada política de recurso pode conter tipos específicos de regras. Tabela 2-2 Tipos de regras Recurso Configurações globais Mecanismo de varredura SSL Regras permitidas Lista branca de URLs global uma lista de URLs que são considerados 'seguros' e que são avaliados antes de outras regras. As solicitações na Web para um URL contido na Lista branca de URLs global são permitidas, e todas as outras regras são ignoradas. Lista negra global Lista branca de URLs uma lista de URLs que são aplicados ao recurso Mecanismo de varredura SSL. Categoria da Web SSL Aplicativo Web SSL todos os outros túneis SSL (regra genérica) 12 McAfee Web Gateway Cloud Service Guia de produto

13 Gerenciamento de políticas Usando o Navegador de políticas 2 Tabela 2-2 Tipos de regras (continuação) Recurso Reputação na Web Regras permitidas Lista branca de URLs uma lista de URLs que são aplicados ao recurso Mecanismo de varredura SSL. Reputação na Web Filtro de categoria da Web Lista branca de URLs uma lista de URLs que são aplicados ao recurso Filtro de categorias da Web. Categoria da Web todos os outros sites (regra genérica) Proteção de acesso Filtro de tipo de mídia Filtro antimalware Lista branca de URLs de aplicativo Web: uma lista de URLs que são aplicados ao recurso Proteção de acesso. todos os outros aplicativos Web (regra genérica) Lista branca de URLs uma lista de URLs que são aplicados ao recurso Filtro de tipo de mídia. Tipo de mídia todas as outras mídias (regra genérica) Lista branca de URLs uma lista de URLs que são aplicados ao recurso Filtro antimalware. Antimalware Detalhes da regra Clique em uma regra para exibir o painel Detalhes da regra à direita da interface do usuário. Nesse painel, é possível ver o nome da regra e também se ela está ativada ou desativada. Também é possível ver a ação principal configurada, juntamente com quaisquer exceções definidas. A área superior do painel Detalhes da regra mostra o objeto principal ou seja, o objeto ou a lista à qual a regra se aplica e o status. O menu Detalhes da regra contém: Tabela 2-3 Menu Detalhes da regra Item do menu Descrição Ativar regra Desativar regra Adicionar ação Fechar Ativa a regra selecionada no momento para que ela seja usada para avaliar as solicitações da Web dos seus usuários. Para evitar que uma regra seja usada para avaliar as solicitações da Web dos seus usuários, selecione Desativar regra. Quando aplicável aos recursos e regras selecionados, adicione mais ações à regra. Feche o cartão de Detalhes da regra. O objeto principal muda, dependendo do contexto à medida que você seleciona diferentes tipos de regras, somente os objetos principais relevantes são exibidos. A ação principal atualmente selecionada é exibida. McAfee Web Gateway Cloud Service Guia de produto 13

14 2 Gerenciamento de políticas Usando o Navegador de políticas Tabela 2-4 Ações principais disponíveis para os diferentes tipos de regras Tipo de regra Regras de aplicativo Regras de antimalware Ações principais disponíveis Permitir, Bloquear Permitir, Bloquear, Enviar arquivos, Ignorar Notas Não é possível criar regras de Antimalware. As ações Enviar arquivos e Ignorar estão disponíveis somente quando o serviço do Cloud Threat Detection tiver sido comprado. Lista negra de URL global Bloquear Não é possível criar regras de Lista negra; a única lista negra pertence ao recurso Configurações globais. Regras genéricas Lista branca de URLs global Regras de tipo de mídia Permitir, Bloquear Sempre permitir Permitir, Bloquear Regras de Reputação na Web Permitir, Bloquear Não é possível editar o objeto principal da Reputação na Web. Não é possível criar regras de Reputação na Web. Regras de mecanismo de varredura SSL Regras de categoria da Web Regra de lista branca de URLs Inspecionar, Não inspecionar Permitir, Bloquear Permitir Em cada ação principal, quaisquer objetos de exceção configurados quando permitidos são exibidos. Tabela 2-5 Descrições das ações Ação Permitir/Bloquear Permitir sempre Inspecionar/Não inspecionar Enviar arquivos/ignorar (somente disponível para o serviço do Cloud Threat Detection) Descrição Uma ação Permitir faz com que a solicitação da Web ignore o recurso atual e passe para o próximo recurso da lista, de cima para baixo. A ação Bloquear interrompe todo o processamento posterior e bloqueia a solicitação. Aplicável apenas à Lista branca de URLs global, Sempre permitir permite a passagem da solicitação da Web e interrompe o processamento posterior pelos recursos restantes. A ação Inspecionar faz com que as informações de SSL sejam descriptografadas antes de passarem para o próximo recurso da lista. Não inspecionar impede que as informações de SSL sejam descriptografadas, efetivamente interrompendo todos o processamento posterior pelos recursos restantes. A ação Enviar arquivos encaminha os arquivos para o serviço do Cloud Threat Detection para análise posterior. A ação Ignorar evita que o arquivo seja enviado para o serviço do Cloud Threat Detection. 14 McAfee Web Gateway Cloud Service Guia de produto

15 Gerenciamento de políticas Usando o Navegador de políticas 2 Importância da ordem das regras Quando uma ação Permitir sempre é disparada, todas as regras subsequentes são ignoradas e não são avaliadas em relação à solicitação atual. Para ações Permitir, todas as regras restantes na política de recurso atual são ignoradas, e o processamento continua na próxima política de recurso. Para as ações Permitir ou Sempre permitir, o item de disparo é permitido. Considere a ordem em que você classifica suas regras para cada política de recurso. Coloque as regras mais rígidas no topo da lista de regras, seguidas pela regra genérica final como a última da lista. Importância da ordem das ações A ação posicionada na parte inferior do painel Detalhes da regra é considerada a ação principal e atua como a ação genérica. Por exemplo, se a última ação for Bloquear, qualquer tráfego que não corresponda às ações acima dela será bloqueada. Detalhes de objeto O painel Detalhes de objeto fornece um método para exibir itens relevantes de suas regras. As informações exibidas no painel Detalhes de objeto mudam à medida que você se movimenta pelo fluxo de trabalho de suas tarefas. Essa mudança de informações garante que você tenha sempre as opções relacionadas a seu fluxo de trabalho atual. Por exemplo, quando a regra de Reputação na Web for selecionada, você poderá ativar ou desativar a regra e adicionar exceções. Não é possível editar a descrição da regra de Reputação na Web. Quando permitido pelo estágio atual do fluxo de trabalho, você poderá editar os itens exibidos no objeto selecionado. Algumas áreas da interface do usuário podem conter um grande número de entradas selecionáveis. Essas áreas incluem um campo de pesquisa para você poder localizar mais facilmente os itens que está procurando. Regras genéricas As regras genéricas oferecem um método para configurar políticas de recursos de forma que uma ação pode ser executada caso nenhuma outra regra seja disparada. As regras genéricas são incluídas nas políticas de Mecanismo de varredura SSL, Filtro de categoria da Web, Proteção de acesso e Filtro de tipo de mídia. As regras genéricas são exibidas na parte inferior da lista de regras para as políticas de recursos relevantes e não podem ser excluídas nem reordenadas. Esse tipo de regra pode ser desativado. Exibindo catálogos Os catálogos contêm grupos de dados relacionados, por exemplo, páginas de bloqueio, listas de categorias da Web, listas de tipos de aplicativo Web e listas de tipos de mídia. O painel de Catálogo é exibido no lado direito da tela. Figura 2-4 Painel de Catálogo O conteúdo do painel de catálogo varia dependendo das regras e área de recurso selecionadas. McAfee Web Gateway Cloud Service Guia de produto 15

16 2 Gerenciamento de políticas Baixar e instalar certificados SSL Baixar e instalar certificados SSL A instalação de certificados SSL permite que o McAfee WGCS faça a varredura do tráfego SSL. Os certificados devem ser instalados em cada dispositivo utilizado para a comunicação com o McAfee WGCS. Informações detalhadas sobre a instalação de certificados SSL em diferentes navegadores e sistemas operacionais estão incluídas no pacote de certificados. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de políticas, selecione Mecanismo de varredura SSL. 3 Clique no nome da política, por exemplo, Sem inspeção de SSL ou Cobertura básica à direita da área Mecanismo de varredura SSL. O painel Detalhes da política é exibido à direita da tela. 4 Clique em Baixar pacote de certificados SSL. Quando solicitado, salve o arquivo. zip localmente. 5 Extraia os arquivos do arquivo. zip. 6 Siga as instruções para seus navegadores e sistemas operacionais no documento Importing_Certificate_into_Browsers.pdf (incluído no arquivo.zip do pacote de certificados). Trabalho com grupos de usuários Configure grupos de usuários locais ou use os Serviços do Active Directory para se conectar a seu Active Directory a fim de aplicar políticas a diferentes grupos de usuários. s Sincronização do Active Directory na página 16 Ao integrar os grupos de usuários do Active Directory às políticas de proteção na Web, você pode criar políticas para serem aplicadas a grupos específicos de usuários. Adicionar um grupo de usuários local na página 17 Você pode adicionar grupos de usuários locais às suas políticas de recursos para personalizar a proteção de seus usuários. Editar o grupo de usuários local na página 17 Uma tarefa comum para um administrador é a edição de detalhes do grupo de usuários local. Sincronização do Active Directory Ao integrar os grupos de usuários do Active Directory às políticas de proteção na Web, você pode criar políticas para serem aplicadas a grupos específicos de usuários. Consulte o capítulo Sincronização do Active Directory no Guia de produto do McAfee epolicy Orchestrator Cloud para obter informações detalhadas sobre a sincronização do seu AD local. 16 McAfee Web Gateway Cloud Service Guia de produto

17 Gerenciamento de políticas Trabalhar com regras e políticas de recursos 2 Adicionar um grupo de usuários local Você pode adicionar grupos de usuários locais às suas políticas de recursos para personalizar a proteção de seus usuários. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de políticas, selecione o recurso a ser alterado. 3 Na área de recurso, selecione a política de recurso e a regra às quais deseja adicionar o grupo de usuários local. 4 No painel Detalhes da regra, selecione editar para a ação à qual deseja adicionar o novo grupo de usuários. Não é possível adicionar um grupo de usuários ação principal atual. 5 Clique no botão do ícone de Menu no painel de grupos de usuários. 6 Clique em Novo grupo de usuários. 7 (Opcional) Digite um nome para o grupo de usuários. 8 Clique em Salvar para atualizar a regra. Editar o grupo de usuários local Uma tarefa comum para um administrador é a edição de detalhes do grupo de usuários local. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de políticas, selecione o recurso a ser alterado. 3 Selecione o grupo de usuários local a ser editado. 4 Clique no botão do ícone de Menu no painel de detalhes do grupo. 5 Clique em Editar. 6 Digite o novo nome do grupo de usuários. 7 Clique em Salvar para atualizar o grupo de usuários. Trabalhar com regras e políticas de recursos Use as tarefas a seguir ao criar ou alterar regras e políticas de recursos. McAfee Web Gateway Cloud Service Guia de produto 17

18 2 Gerenciamento de políticas Trabalhar com regras e políticas de recursos s Adicionar uma regra na página 18 Você pode adicionar regras às suas políticas de recursos para personalizar a proteção de seus usuários. Criar uma regra importando uma lista de URLs na página 19 Você pode criar uma regra de lista de URLs importando para uma lista de URLs um arquivo.csv que contenha os URLs. Depois, você pode adicionar essa lista de URLs à nova regra. Criar uma regra usando exceções na página 20 Crie uma regra complexa usando exceções para especificar grupos de usuários e aplicativos conectados. Alterar uma regra na página 21 Existem várias formas de alterar regras de acordo com seus requisitos de proteção. Gerenciar os URLs na página 26 Ao adicionar um URL, o site que os usuários podem acessar pode ser controlado. Os URLs adicionados são mantidos na lista de URLs, que pode ser editada quando necessário. Além disso, os URLs podem ser exportados para as informações de backup. Reordenar as regras na página 29 Mova as regras para alterar a ordem na qual elas são aplicadas. A ordem em que as regras são aplicadas depende da ordem em que elas aparecem na política as regras são aplicadas de cima para baixo. Excluir uma regra na página 30 A exclusão de regras indesejada permite organizar e compreender mais facilmente as suas políticas de recursos. Alterar uma política de recurso na página 30 Você pode alterar políticas de recursos de acordo com seus requisitos de proteção. Alterar a Atribuição de política na página 35 Cada recurso pode ter apenas uma política de recurso ativa aplicada a ele por vez. Use esta tarefa para alterar a política de recurso atribuída a um recurso. Adicionar uma regra Você pode adicionar regras às suas políticas de recursos para personalizar a proteção de seus usuários. O local onde a nova regra é posicionada depende das opções que você escolher e daquelas que estão selecionadas no momento: Se houver uma regra existente selecionada, a nova regra será colocada imediatamente acima da regra selecionada. Se você não tiver uma regra selecionada, a nova regra será posicionada na parte inferior da área de proteção principal selecionada. Se houver uma regra genérica, a nova regra será posicionada acima dessa regra genérica. Se você optar por adicionar uma lista branca, ela será posicionada abaixo da última regra de lista branca no navegador. Não será possível adicionar uma regra se você estiver no modo de edição; por exemplo, se estiver editando os detalhes de outra regra. Alguns tipos de regra como as regras de antimalware e as de reputação na Web são criados por padrão, e não é possível adicionar mais regras desses tipos. 18 McAfee Web Gateway Cloud Service Guia de produto

19 Gerenciamento de políticas Trabalhar com regras e políticas de recursos 2 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de política, clique no ícone Menu de ação da política do recurso e selecione Nova regra. 3 No painel Catálogo, selecione o tipo de catálogo desejado na lista suspensa. Os catálogos pertinentes serão exibidos. 4 Clique no botão Adicionar ao lado do catálogo a ser usado. Prática recomendada: use o campo Pesquisar para filtrar os itens disponíveis para seleção. Para limpar o campo Pesquisar, clique no ícone de remover. 5 Clique em Salvar. 6 Selecione as ações necessárias. 7 Clique em Salvar. Criar uma regra importando uma lista de URLs Você pode criar uma regra de lista de URLs importando para uma lista de URLs um arquivo.csv que contenha os URLs. Depois, você pode adicionar essa lista de URLs à nova regra. Antes de iniciar Certifique-se de que você tenha um arquivo de valores separados por vírgulas contendo a lista de URLs a ser importada. Opcionalmente, o arquivo pode incluir uma linha de cabeçalho. A lista deve conter valores separados por vírgulas. Cada linha contém um único URL, seguido pelo separador "," e por "true" ou "false". Adicionar "true" indica que o URL tem o parâmetro "Todos os subdomínios" selecionado, enquanto "false" desmarca "Todos os subdomínios". O URL e o valor true/false não diferenciam maiúsculas de minúsculas. Não deve haver espaços nas linhas nem ao final de cada linha. Por exemplo, as entradas no arquivo podem ter esta aparência: example.org,true Se alguma linha da lista de URLs não estiver em conformidade com o formato obrigatório, um erro será exibido e a importação do arquivo falhará. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de política, clique no ícone de menu da política de recurso relacionada à regra a ser adicionada. 3 Selecione Nova regra de lista branca de URLs. 4 No Catálogo de lista de URLs, clique no ícone do menu Catálogo e selecione Importar nova lista de URLs. McAfee Web Gateway Cloud Service Guia de produto 19

20 2 Gerenciamento de políticas Trabalhar com regras e políticas de recursos 5 Na caixa de diálogo Importar lista, navegue até a lista de URLs criada anteriormente. Se o arquivo.csv incluir uma primeira linha com informações de cabeçalho, certifique-se de selecionar Esse arquivo contém uma linha de cabeçalho. 6 Clique em Importar. O conteúdo do arquivo será usado para criar uma regra de lista de URLs. Se houver URLs duplicados no arquivo.csv, a importação será pausada e você será notificado sobre as entradas duplicadas. Você poderá, então, optar por continuar com a importação ou por encerrar sem importar a lista de URLs. 7 Depois que os URLs listados no arquivo tiverem sido importados, aceite o nome de lista de URLs padrão ou digite um novo nome para a lista. Por padrão, a nova lista leva o nome do arquivo.csv usado para importar a lista de URLs. 8 Clique em Salvar. 9 Para adicionar a lista à nova regra, clique no ícone Adicionar à direita da lista de URLs recém-adicionada. 10 Aceite o nome de regra padrão ou digite um novo nome. Por padrão, a nova lista leva o nome da lista de URLs selecionada. 11 Clique em Salvar. Criar uma regra usando exceções Crie uma regra complexa usando exceções para especificar grupos de usuários e aplicativos conectados. Esta tarefa cria a regra discutida no exemplo fornecido no tópico Como usar exceções: Vamos supor que você esteja criando uma regra para garantir a conformidade com a legislação americana sobre PII (informações de identificação pessoal). Nessa regra, você quer monitorar as interações na nuvem que corresponderem à classificação PII dos EUA para seus executivos. Mas, você quer impor o uso de criptografia para os usuários autorizados quando eles moverem arquivos que contenham Informações de identificação pessoal para aplicativos específicos conectáveis na nuvem. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 Crie uma nova regra. a Na interface Policy Browser (Navegador de política), clique no ícone de menu da política ou regra do recurso em Proteção de dados na nuvem. b Selecione Nova regra. 3 Atribua o tipo de regra necessário. a Em Catálogo, selecione Classificações na lista suspensa. Serão exibidos os catálogos de classificações disponíveis. b No catálogo, clique no botão de adição à direita da entrada PII EUA. No painel Detalhes da regra, você verá que o nome da regra é PII EUA. 20 McAfee Web Gateway Cloud Service Guia de produto

21 Gerenciamento de políticas Trabalhar com regras e políticas de recursos 2 4 Atribua os grupos de usuários necessários. a No painel Detalhes da regra, clique no ícone de edição localizado ao lado da opção Monitorar. No painel Catálogo, será exibida a lista de Grupos de usuários. b Clique no botão de adição à direita de Executivos. Agora, a ação Monitorar está vinculada ao grupo de usuários Executivos. c No painel Detalhes da regra, clique no ícone de menu e selecione Adicionar ação. A opção Aplicar criptografia é selecionada por padrão e agora a regra pode ser editada. d No painel Catálogo, selecione Grupos de usuários permitidos clicando no botão de adição. Agora, a ação Aplicar criptografia está vinculada aos Grupos de usuários permitidos. 5 Atribua os conectores de nuvem necessários. a No painel Catálogo, selecione Aplicativos (Proteção avançada) no menu suspenso. No painel Catálogo, a lista de Aplicativos configurados e de Aplicativos não configurados são exibidos. Os aplicativos configurados são aplicativos de nuvem com um conector que são comprados e podem ser configurados. Os aplicativos não configurados são aplicativos de nuvem com um conector que não são comprados, e eles são indicados com o ícone. b Clique no botão de adição à direita do aplicativo Aplicativos configurados. Agora, a ação Aplicar criptografia está vinculada ao aplicativo e pode ser aplicada aos Grupos de usuários permitidos. 6 No painel Detalhes da regra, clique em Salvar. Alterar uma regra Existem várias formas de alterar regras de acordo com seus requisitos de proteção. McAfee Web Gateway Cloud Service Guia de produto 21

22 2 Gerenciamento de políticas Trabalhar com regras e políticas de recursos s Ativar ou desativar uma regra na página 22 Nem todas as regras de uma política de recurso precisam estar ativas em qualquer momento determinado. Você pode ativar ou desativar regras de acordo com suas necessidades. Alterar os Detalhes da regra na página 22 No painel Detalhes da regra, você pode adicionar ou remover exceções de grupo de usuários ou editar os objetos principais da regra selecionada. Adicionar uma ação a uma regra na página 23 Adicione mais ações a regras. Alterar a ação principal na página 24 A ação principal para uma regra pode ser considerada como a ação genérica. No painel Detalhes da regra, a ação principal é exibida na parte inferior do painel. Alterar uma ação na página 24 Quando há várias ações disponíveis para uma regra, você pode alterar a ação selecionada. Remove uma ação de uma regra na página 24 Remove ações de regras. Criar uma lista na página 25 Você pode criar listas e adicioná-las às regras de Categorias da Web, Tipos de mídia, Listas de sites e Aplicativos. Usar uma lista de opções para popular uma lista na página 25 Para adicionar itens rapidamente a uma lista, você pode selecioná-los em listas de opções previamente populadas. Ativar ou desativar uma regra Nem todas as regras de uma política de recurso precisam estar ativas em qualquer momento determinado. Você pode ativar ou desativar regras de acordo com suas necessidades. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de políticas, selecione o recurso a ser alterado. 3 Na área do recurso, selecione a política de recurso e a regra a serem alteradas. 4 No painel Detalhes da regra, clique no ícone de Menu e selecione o estado desejado (Ativar regra ou Desativar regra) entre as opções disponíveis. Se você estiver tentando desativar uma regra genérica, será apresentada outra caixa de diálogo de confirmação. Clique em OK para continuar. 5 Clique em Salvar para prosseguir com a alteração. Alterar os Detalhes da regra No painel Detalhes da regra, você pode adicionar ou remover exceções de grupo de usuários ou editar os objetos principais da regra selecionada. Alguns tipos de regras têm limitações quanto ao que pode ser editado. Por exemplo, nas regras de antimalware, não é possível alternar entre as ações nem excluir uma regra. É possível ativar ou desativar uma regra de antimalware e adicionar grupos de exceções à ação Bloquear. Você pode criar exceções para a maioria dos tipos de regra. Por exemplo, você pode ter uma regra que permita que os funcionários acessem a Internet. Você pode, então, definir uma exceção nessa regra que impeça o acesso de usuários convidados e terceirizados. 22 McAfee Web Gateway Cloud Service Guia de produto

23 Gerenciamento de políticas Trabalhar com regras e políticas de recursos 2 O fluxo de trabalho a seguir mostra como alterar os detalhes da regra para a ação Permitir. A alteração da ação Bloquear usa um fluxo de trabalho semelhante. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de políticas, selecione o recurso a ser alterado. 3 Na área do recurso, selecione a política de recurso e a regra a serem alteradas. 4 No painel Detalhes da regra, certifique-se de que a ação Permitir esteja selecionada. Não é possível editar a ação ativa em Detalhes da regra. Por exemplo, se a ação Permitir estiver ativa e você desejar editar os detalhes de Permitir, primeiramente será preciso ativar a ação Bloquear. Mova Bloquear para o fim da lista de ações. Em seguida, faça as alterações necessárias na ação Permitir. 5 Clique no ícone Editar ao lado depermitir. 6 No Catálogo de grupo, execute um ou mais dos procedimentos a seguir: Para adicionar um grupo à regra selecionada: no Catálogo de grupo, clique no ícone Adicionar à direita do grupo de usuários a ser adicionado à ação Permitir. Se um grupo de usuários já estiver atribuído à ação, o ícone Adicionar não será exibido, já que não é possível adicionar um objeto duas vezes para a mesma ação. O grupo de usuários selecionado será exibido acinzentado no catálogo e será adicionado à ação Permitir. Para remover um grupo da regra selecionada: dos grupos existentes nos Detalhes da regra, clique no ícone Remover do grupo a ser removido. O grupo de usuários selecionado será removido da ação Permitir. 7 Clique em Salvar. Adicionar uma ação a uma regra Adicione mais ações a regras. Dependendo da regra e da área de recurso selecionadas, é possível adicionar mais ações. Caso nenhuma ação esteja disponível para a regra ou o recurso selecionados, a opção Adicionar ação estará inacessível (em cinza) no menu. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de políticas, selecione o recurso a ser alterado. 3 Na área do recurso, selecione a política de recurso e a regra a serem alteradas. 4 No painel Detalhes da regra, clique no ícone de menu e selecione Adicionar ação. A nova ação será adicionada à regra como a ação secundária. 5 Clique em Salvar. McAfee Web Gateway Cloud Service Guia de produto 23

24 2 Gerenciamento de políticas Trabalhar com regras e políticas de recursos Alterar a ação principal A ação principal para uma regra pode ser considerada como a ação genérica. No painel Detalhes da regra, a ação principal é exibida na parte inferior do painel. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de políticas, selecione o recurso a ser alterado. 3 Na área do recurso, selecione a política de recurso e a regra a serem alteradas. 4 No painel Detalhes da regra, clique no ícone Editar ao lado da ação a ser definida como principal. A ação a ser alterada mostra a lista suspensa. 5 Clique no ícone de lista suspensa. 6 Clique em Mover para baixo até que a ação selecionada seja a última da lista. 7 Clique em Salvar. A ação selecionada será agora a ação principal. Alterar uma ação Quando há várias ações disponíveis para uma regra, você pode alterar a ação selecionada. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de políticas, selecione o recurso a ser alterado. 3 Na área do recurso, selecione a política de recurso e a regra a serem alteradas. 4 No painel Detalhes da regra, clique no ícone de edição ao lado da ação a ser alterada. A ação a ser alterada mostra a lista suspensa. 5 Clique no ícone de lista suspensa. 6 Selecione a ação desejada. 7 Clique em Salvar. Agora, a ação selecionada é usada pelo recurso. Remove uma ação de uma regra Remove ações de regras. É possível remover ações indesejadas das suas regras. Não é possível remover todas as ações de uma regra. Além disso, não é possível remover a ação principal selecionada no momento. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de políticas, selecione o recurso a ser alterado. 3 Na área do recurso, selecione a política de recurso e a regra a serem alteradas. 24 McAfee Web Gateway Cloud Service Guia de produto

25 Gerenciamento de políticas Trabalhar com regras e políticas de recursos 2 4 No painel Detalhes da regra, verifique se a ação a ser removida não é uma ação principal. 5 Clique no ícone editar ao lado da ação a ser removida. 6 Clique no ícone da lista suspensa e selecione Remover ação. 7 Clique em Salvar. Criar uma lista Você pode criar listas e adicioná-las às regras de Categorias da Web, Tipos de mídia, Listas de sites e Aplicativos. Há dois métodos para criar uma lista: Crie uma lista usando a nova opção. Selecione uma lista existente e crie uma cópia. Esta tarefa mostra o processo para criar uma lista e as opções para criar uma lista copiando uma lista existente. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 Do Navegador de política, selecione o recurso. 3 Na área de recurso, selecione a regra e a política de recurso necessárias. 4 No painel Catálogo, selecione o tipo de catálogo e execute uma das seguintes etapas: a Clique no ícone do menu e selecione a Nova lista. Uma nova lista será criada, e você pode renomear a lista, se necessário. b Selecione a lista a ser copiada e, em seguida, clique em Copiar lista no ícone do menu. A lista selecionada é copiada e você pode renomeá-la, se necessário. Os nomes Nova lista e Copiar lista são alterados de acordo com o tipo de catálogo selecionado. Para o tipo de catálogo do grupo de usuários, a opção de cópia só está disponível para o grupo de usuários locais. 5 Na lista de seleção, adicione os itens necessários à nova lista. Clique no ícone para adicionar o item. Se você está removendo um item da nova lista, clique no ícone ao lado do item. Se você estiver criando uma lista para Listas de URLs, não haverá listas de opções disponíveis. Em vez disso, digite os URLs necessários ou copie e cole uma lista de URLs no campo do URL. 6 Clique em Salvar para adicionar a nova lista à sua configuração. Usar uma lista de opções para popular uma lista Para adicionar itens rapidamente a uma lista, você pode selecioná-los em listas de opções previamente populadas. As listas de opções são usadas para selecionar itens nos catálogos das seguintes áreas de recurso: McAfee Web Gateway Cloud Service Guia de produto 25

26 2 Gerenciamento de políticas Trabalhar com regras e políticas de recursos Filtro de categorias da Web Proteção de acesso Filtro de tipo de mídia Todos os itens já incluídos na lista selecionada serão mostrados como indisponíveis na lista de opções. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de políticas, selecione o recurso a ser alterado. 3 Na área do recurso, selecione a política de recurso e a regra a serem alteradas. 4 Clique no ícone da lista de opções. 5 Selecione a lista à qual os itens estão sendo adicionados. Dependendo da lista selecionada, as listas de opções relevantes serão exibidas. 6 Clique no ícone Adicionar à direita do item a ser adicionado à lista selecionada. Prática recomendada: usar o campo Pesquisar para filtrar os itens disponíveis para seleção. Para limpar o campo Pesquisar, clique no ícone Remover. O item é adicionado à lista. 7 Clique em Salvar para adicionar os itens selecionados à lista. Gerenciar os URLs Ao adicionar um URL, o site que os usuários podem acessar pode ser controlado. Os URLs adicionados são mantidos na lista de URLs, que pode ser editada quando necessário. Além disso, os URLs podem ser exportados para as informações de backup. Formatação de nomes de domínio para listas de URL Os formatos de nome de domínio com suporte são: host.domínio.tld/caminho host.domínio.tld domínio.tld/caminho domínio.tld host Especifica o nome DNS do host domínio Especifica o nome do subdomínio tld Especifica o domínio de nível superior caminho Especifica o caminho do recurso da Web O caminho e quaisquer subcaminhos são automaticamente incluídos, o que equivale à colocação de um asterisco após o caminho no nome de domínio: host.domínio.tld/caminho* domínio.tld/caminho* 26 McAfee Web Gateway Cloud Service Guia de produto

27 Gerenciamento de políticas Trabalhar com regras e políticas de recursos 2 Mas como os subcaminhos são sempre incluídos, não é necessário adicionar o asterisco. Todas as configurações de subdomínios Esta configuração determina se as regras de política são aplicadas ao domínio e a todos os subdomínios ou somente ao domínio. Você pode especificar todos os subdomínios da seguinte forma: No Navegador de política Marque a caixa de seleção Todos os subdomínios ao adicionar um URL a uma lista de URL. Em um arquivo.csv que especifica uma lista de URL Defina o valor na coluna Subdomínio(True/False) como True. A especificação de todos os subdomínios tem o mesmo efeito que adicionar "*." no começo de cada nome de domínio: *.host.domínio.tld/caminho *.host.domínio.tld *.domínio.tld/caminho *.domínio.tld Adicionar um URL a uma lista de URLs Uma tarefa comum para um administrador é a adição de um URL a uma lista de URLs. Essas listas permitem controlar os sites que os usuários podem acessar. As listas de URLs indicam os sites que podem ser adicionados a políticas. As listas negras e brancas são semelhantes a outras listas de URLs, com as seguintes exceções: A Lista branca global de URL têm apenas a ação Sempre permitir. As listas brancas específicas de recurso têm apenas a ação Permitir. As listas negras têm apenas a ação Bloquear. Não é possível configurar exceções para listas negras ou brancas. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de políticas, selecione o recurso a ser alterado. 3 Na área do recurso, selecione a política de recurso, a regra e a lista de URLs a serem alteradas. 4 No painel de detalhes da lista de URLs, clique no ícone do Catálogo de URLs e selecione Editar no menu pop-up. O painel Adicionar URL é exibido abaixo do painel de detalhes da lista de URLs. 5 Clique no painel Adicionar URL e digite o URL a ser adicionado à lista de URLs. Você também pode copiar e colar um URL, ou uma lista de URLs, nesse campo. O URL é verificado à medida que você o digita no painel Adicionar URL, a fim de evitar a adição de entradas duplicadas. 6 (Opcional) Selecione Todos os subdomínios. Selecionar Todos os subdomínios adiciona à lista de URLs todos os sites disponíveis no URL inserido. Por exemplo, inserir google.com e selecionar Todos os subdomínios incluirá maps.google.com, news.google.com e mail.google.com. McAfee Web Gateway Cloud Service Guia de produto 27

28 2 Gerenciamento de políticas Trabalhar com regras e políticas de recursos 7 Clique em Adicionar para incluir o novo URL junto com os exibidos no painel de detalhes da lista de URLs. Até que você clique em Adicionar ou Limpar, não poderá fazer outras alterações à lista de URLs. 8 Clique em Salvar para atualizar a regra. Editar um URL em uma lista de URLs Uma tarefa comum para um administrador é a manutenção dos URLs contidos nas listas de URLs. Essas listas permitem controlar os sites que os usuários podem acessar. As listas de URLs indicam os sites que podem ser adicionados a políticas. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de políticas, selecione o recurso a ser alterado. 3 Na área do recurso, selecione a política de recurso e a regra a serem alteradas. 4 No painel de detalhes da lista de URLs, selecione o URL a ser editado. 5 Clique no ícone do Catálogo de URLs e selecione Editar. O URL selecionado é exibido no painel de edição de URL, abaixo do painel de detalhes da lista de URLs. 6 Faça as alterações necessárias ao URL selecionado. 7 Clique em Concluído para incluir o URL editado junto com os exibidos no painel de detalhes da lista de URLs. Para adicionar um URL em vez de editar o URL selecionado, clique no ícone Adicionar. 8 Clique em Salvar para atualizar a regra. Exportar uma lista de URLs A exportação de listas de URLs é uma maneira útil de fazer backup de informações. Você pode, depois, importar as informações exportadas para outras regras ou importá-las para outros sistemas. Os URLs exportados são salvos no formato CSV. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 Selecione a regra que contém a lista de URLs a ser exportada para um arquivo CSV. 3 No painel Detalhes da regra, clique no ícone Catálogo de URLs do painel de detalhes do objeto e selecione Exportar. 4 Siga o fluxo de trabalho para o navegador que você está usando para salvar o arquivo. A lista de URLs será salva em um arquivo nomeado de acordo com o objeto sitelist. Por exemplo, a exportação da lista de URLs de um sitelist chamado URLs bloqueados cria uma lista chamada URLs bloqueados.csv. O arquivo contém uma linha de cabeçalho com os seguintes nomes de coluna: URL Subdomínio (True/False) Ela também contém uma linha para cada URL da lista. 28 McAfee Web Gateway Cloud Service Guia de produto

29 Gerenciamento de políticas Trabalhar com regras e políticas de recursos 2 Importar uma lista de URLs Importar listas é uma forma conveniente de adicionar URLs a seu sistema. A lista de URLs a ser importada deve estar no formato CSV. Antes de iniciar Certifique-se de que você tenha um arquivo de valores separados por vírgulas contendo a lista de URLs a ser importada. Opcionalmente, o arquivo pode incluir uma linha de cabeçalho. A lista deve conter valores separados por vírgulas. Cada linha contém um único URL, seguido pelo separador "," e por "true" ou "false". Adicionar "true" indica que o URL tem o parâmetro "Todos os subdomínios" selecionado, enquanto "false" desmarca "Todos os subdomínios". O URL e o valor true/false não diferenciam maiúsculas de minúsculas. Não deve haver espaços nas linhas nem ao final de cada linha. Por exemplo, as entradas no arquivo podem ter esta aparência: example.org,true Se alguma linha da lista de URLs não estiver em conformidade com o formato obrigatório, um erro será exibido e a importação do arquivo falhará. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 Selecione a regra para a qual deseja importar os URLs. 3 No painel Detalhes da regra, clique no ícone Catálogo de URLs do painel de detalhes do objeto e selecione Importar. 4 Navegue até o arquivo.csv que contém os URLs a serem importados. Se o arquivo.csv incluir uma primeira linha com informações de cabeçalho, selecione Este arquivo contém uma linha de cabeçalho. 5 Clique em Importar. Será exibida uma mensagem de status. Se houver URLs duplicados no arquivo.csv, a importação será pausada e você será notificado sobre as entradas duplicadas. Você poderá, então, optar por continuar com a importação ou por encerrar sem importar a lista de URLs. 6 Para substituir quaisquer URLs existentes pelos valores importados, clique em Substituir. 7 Clique em Salvar. Reordenar as regras Mova as regras para alterar a ordem na qual elas são aplicadas. A ordem em que as regras são aplicadas depende da ordem em que elas aparecem na política as regras são aplicadas de cima para baixo. Não é possível reordenar uma regra genérica, já que esse tipo de regra precisa ser exibido na parte inferior da lista. McAfee Web Gateway Cloud Service Guia de produto 29

30 2 Gerenciamento de políticas Trabalhar com regras e políticas de recursos 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de políticas, selecione o recurso a ser alterado. 3 Selecione a regra a ser movida. 4 Clique no ícone do menu de recursos. Não é possível reordenar as regras quando a regra está no modo de edição. Se a regra estiver sendo editada, salve ou cancele suas alterações antes de reordenar as regras. 5 Clique em Reordenar regra. Os ícones mover para cima e mover para baixo ícones são exibidos à direita da regra selecionada. 6 Clique no ícone Mover para cima ou Mover para baixo até que a regra selecionada esteja na posição desejada. 7 Quando a regra estiver na posição desejada da lista de regras, clique em Salvar para manter a nova ordem das regras. Excluir uma regra A exclusão de regras indesejada permite organizar e compreender mais facilmente as suas políticas de recursos. Não é possível excluir: Regras "genéricas" Regras de Reputação na Web Regras de antimalware 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 No Navegador de políticas, selecione o recurso a ser alterado. 3 Selecione a regra a ser excluída. 4 Clique no ícone do menu Ação e selecione Excluir regra. 5 Clique em Excluir para confirmar a exclusão. A regra será excluída permanentemente da política. Alterar uma política de recurso Você pode alterar políticas de recursos de acordo com seus requisitos de proteção. 30 McAfee Web Gateway Cloud Service Guia de produto

31 Gerenciamento de políticas Trabalhar com regras e políticas de recursos 2 s Editar os Detalhes da política na página 31 No painel Detalhes da política, você pode editar o nome da política. Criar uma página de bloqueio na página 31 As páginas de bloqueio são exibidas quando os usuários são impedidos de acessar um URL ou documento em particular ou de fazer alguma outra solicitação na Web. Você pode criar diferentes páginas de bloqueio para políticas de recursos individuais. Editar uma página de bloqueio na página 33 As páginas de bloqueio são exibidas para os usuários quando sua solicitação da Web é bloqueada. É possível editar o conteúdo das páginas de bloqueio para que ele seja relevante às necessidades de sua organização. Selecionar uma página de bloqueio diferente na página 34 As páginas de bloqueio fornecem informações aos usuários sobre solicitações da Web que foram bloqueadas por suas regras e políticas configuradas. Selecione as páginas de bloqueio apropriadas para cada política de recurso. Editar os Detalhes da política No painel Detalhes da política, você pode editar o nome da política. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 Na lista suspensa de políticas do cabeçalho de recurso do navegador de políticas, selecione a política de recurso a ser alterada. 3 Clique no nome da política de recurso, por exemplo, Limitada ou Permissiva. O painel Detalhes da política é exibido. 4 No painel Detalhes da política, clique na caixa de texto e altere o nome da política de recurso. Para alguns tipos de recurso por exemplo, Mecanismo de varredura SSL, Filtro de categorias da Web, você pode também ativar opções específicas do recurso. 5 Clique em Salvar para manter suas alterações. Criar uma página de bloqueio As páginas de bloqueio são exibidas quando os usuários são impedidos de acessar um URL ou documento em particular ou de fazer alguma outra solicitação na Web. Você pode criar diferentes páginas de bloqueio para políticas de recursos individuais. Antes de iniciar Certifique-se de ter selecionado a política para que uma nova página de bloqueio seja criada. Existem dois métodos para criar uma página de bloqueio: Criar uma página de bloqueio usando a opção Nova página de bloqueio. Selecionar uma página de bloqueio existente e criar uma cópia. Esta tarefa mostra o processo para criar uma página de bloqueio e documenta as opções para criar uma página de bloqueio copiando uma página existente. McAfee Web Gateway Cloud Service Guia de produto 31

32 2 Gerenciamento de políticas Trabalhar com regras e políticas de recursos 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 Na lista suspensa de políticas do cabeçalho de recurso do navegador de políticas, selecione a política de recurso a ser alterada. 3 Clique no nome da política de recurso, por exemplo, Limitada ou Permissiva. O painel Detalhes da política é exibido. 4 Clique no ícone de edição página de bloqueio no painel Detalhes da política. O Catálogo de páginas de bloqueio é exibido. 5 Clique no ícone de menu ao lado da página de bloqueio atualmente selecionada e, no menu pop-up, escolha Nova página de bloqueio. Para criar uma cópia de uma página de bloqueio existente, primeiramente selecione a página de bloqueio a ser copiada, clique em Adicionar página de bloqueio e selecione Copiar página de bloqueio no menu pop-up. Dependendo da sua seleção, a caixa de diálogo Nova página de bloqueio ou Copiar página de bloqueio será exibida. Para exibir o editor de página de bloqueio utilizando toda a janela do navegador, clique no ícone Maximizar/ Minimizar. 6 Se necessário, especifique ou altere o nome da página de bloqueio. 7 Crie a página de bloqueio usando as ferramentas fornecidas. É possível editar o nome da página de bloqueio e alterar o conteúdo e a formatação da mensagem. Use os tokens na página de bloqueio para refletir as informações sobre as solicitações da Web que disparam a ação e a mensagem de bloqueio. Tabela 2-6 Tokens disponíveis para uso nas páginas de bloqueio Token {URL} {REASON} {IP} {RULE} {URL_CATEGORIES} {URL_REPUTATION} {MEDIA_TYPE} Descrição O URL solicitado. Uma combinação do motivo para a ação de bloqueio e das especificidades do motivo. O endereço IP do sistema cliente. O nome da regra atual. Uma lista de categorias às quais o URL solicitado corresponde. A pontuação de reputação do URL solicitado. A classificação do Tipo de mídia para o arquivo solicitado. {MALWARE_PROBABILITY} A probabilidade de que o arquivo seja malicioso. {MALWARE} {APPLICATION} {USERNAME} {PROXYNAME} A informação sobre o malware detectado O nome do aplicativo Web. Informações sobre o usuário que fez a solicitação na Web. Detalhes do proxy usado (se aplicável). Cada página de bloqueio tem um limite máximo de conteúdo de 1 MB. 32 McAfee Web Gateway Cloud Service Guia de produto

33 Gerenciamento de políticas Trabalhar com regras e políticas de recursos 2 8 Clique em Salvar. Você pode salvar páginas de bloqueio vazias. 9 Para usar a página de bloqueio recém-criada na política selecionada, clique no ícone Adicionar página de bloqueio à direita da página de bloqueio. 10 Clique em Salvar. Editar uma página de bloqueio As páginas de bloqueio são exibidas para os usuários quando sua solicitação da Web é bloqueada. É possível editar o conteúdo das páginas de bloqueio para que ele seja relevante às necessidades de sua organização. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 Clique no nome da política de recurso, por exemplo, Limitada ou Permissiva. O painel Detalhes da política é exibido. 3 Clique no ícone de menu ao lado da página de bloqueio atualmente selecionada e, no menu pop-up, escolha Editar página de bloqueio. Você pode alternar entre a exibição de texto sem formatação padrão da mensagem da página de bloqueio ou pode exibir o código HTML subjacente. Para se movimentar entre esses modos de exibição, clique no ícone Editar origem. Para exibir o editor de página de bloqueio utilizando toda a janela do navegador, clique no ícone Maximizar/Minimizar. McAfee Web Gateway Cloud Service Guia de produto 33

34 2 Gerenciamento de políticas Trabalhar com regras e políticas de recursos 4 Edite a página de bloqueio usando as ferramentas fornecidas. É possível editar o nome da página de bloqueio e alterar o conteúdo e a formatação da mensagem. Use os tokens na página de bloqueio para refletir as informações sobre as solicitações da Web que disparam a ação e a mensagem de bloqueio. Tabela 2-7 Tokens disponíveis para uso nas páginas de bloqueio Token {URL} {REASON} {IP} {RULE} {URL_CATEGORIES} {URL_REPUTATION} {MEDIA_TYPE} Descrição O URL solicitado. Uma combinação do motivo para a ação de bloqueio e das especificidades do motivo. O endereço IP do sistema cliente. O nome da regra atual. Uma lista de categorias às quais o URL solicitado corresponde. A pontuação de reputação do URL solicitado. A classificação do Tipo de mídia para o arquivo solicitado. {MALWARE_PROBABILITY} A probabilidade de que o arquivo seja malicioso. {MALWARE} {APPLICATION} {USERNAME} {PROXYNAME} A informação sobre o malware detectado O nome do aplicativo Web. Informações sobre o usuário que fez a solicitação na Web. Detalhes do proxy usado (se aplicável). Cada página de bloqueio tem um limite máximo de conteúdo de 1 MB. 5 Clique em Salvar. Você pode salvar páginas de bloqueio vazias. Selecionar uma página de bloqueio diferente As páginas de bloqueio fornecem informações aos usuários sobre solicitações da Web que foram bloqueadas por suas regras e políticas configuradas. Selecione as páginas de bloqueio apropriadas para cada política de recurso. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 Clique no nome da política de recurso, por exemplo, Limitada ou Permissiva. O painel Detalhes da política é exibido. 3 No painel Detalhes da política, clique no ícone editar da Página de bloqueio. O Catálogo de páginas de bloqueio será exibido, mostrando as páginas de bloqueio disponíveis. 4 Clique no ícone Adicionar da página de bloqueio necessária. Prática recomendada: use o campo Pesquisar para filtrar os itens disponíveis para seleção. Para limpar o campo Pesquisar, clique no ícone Remover. 5 Clique em Salvar para manter suas alterações. 34 McAfee Web Gateway Cloud Service Guia de produto

35 Gerenciamento de políticas Exibir logs de auditoria 2 Alterar a Atribuição de política Cada recurso pode ter apenas uma política de recurso ativa aplicada a ele por vez. Use esta tarefa para alterar a política de recurso atribuída a um recurso. Antes de iniciar Certifique-se de que o recurso tenha pelo menos duas políticas de recursos configuradas. 1 No menu do McAfee epo Cloud, selecione Política Política de dados da nuvem e da Web. 2 Para exibir as políticas disponíveis, selecione a área de recurso principal relevante e clique na seta suspensa de políticas. Por padrão, a política atualmente ativada é selecionada. 3 Selecione a política desejada na lista. A barra de cabeçalho do recurso principal se expande, exibindo o botão Ativar a política. 4 Clique em Ativar a política. A caixa de diálogo de confirmação Alterar política é exibida. 5 Clique em Sim para confirmar que você deseja alterar sua política ativa para o recurso principal selecionado. A Atribuição de política passa a ser a política de recurso recentemente selecionada. Exibir logs de auditoria Os detalhes das alterações feitas às suas políticas são registrados em log na página Log de auditoria do McAfee epo Cloud. Sempre que uma política ou regra é criada, alterada ou excluída, ou quando as regras são reordenadas, os detalhes das alterações são incluídos no Log de auditoria do McAfee epo Cloud. 1 No menu McAfee epo Cloud, clique em Gerenciamento de usuários Log de auditoria. O Log de auditoria é exibido. 2 Para localizar entradas específicas, selecione o período de tempo desejado na lista suspensa Predefinição ou use o campo Localização rápida. Clique em Aplicar. A Localização rápida pesquisa os campos Nome do usuário, Prioridade, Ação e Detalhes. Os detalhes das alterações feitas em políticas e regras são exibidos para os parâmetros selecionados. Esses detalhes incluem a ID de cada entrada e a hierarquia do objeto ou da regra. McAfee Web Gateway Cloud Service Guia de produto 35

36 2 Gerenciamento de políticas Condições de erro s Exportar os logs de auditoria na página 36 Você pode exportar as informações contidas em seus logs de auditoria para análise fora do McAfee epo Cloud. Exportar os logs de auditoria Você pode exportar as informações contidas em seus logs de auditoria para análise fora do McAfee epo Cloud. Antes de iniciar Verifique se você está exibindo logs de auditoria de Gerenciamento de usuários Log de auditoria no McAfee epo Cloud. 1 Procure por entradas específicas de interesse selecionando o período necessário na lista suspensa Predefinição ou usando o campo Localização rápida. Clique em Aplicar. 2 Clique no botão suspenso Ações e selecione Exportar Tabela. 3 Defina as informações de configuração para as informações exportadas. Opção Descrição Compactar arquivos Formato de arquivo Para exportar todos os arquivos em um arquivo.zip, selecione essa opção. Selecione o formato para as informações exportadas. Se você selecionar saída PDF, defina o tamanho e a orientação da página. Também é possível incluir informações sobre os critérios de filtragem selecionados e adicionar uma folha de rosto ao relatório PDF. O que fazer com os arquivos exportados Insira os detalhes dos Destinatários, o Assunto e outras informações, conforme exigido para o Corpo da mensagem de . 4 Clique em Exportar para enviar os logs de auditoria usando os critérios selecionados. Condições de erro Ao se trabalhar com produtos que incluem interações com servidores Web, algumas condições de erro em potencial podem ocorrer. Essas condições de erro também podem ser causadas pela existência de vários administradores fazendo alterações simultâneas em políticas. Essas condições de erro geralmente se enquadram em uma das seguintes categorias: Erros de dados Erros de conexão de rede Erros de gravação Erros de dados Os erros de dados ocorrem quando os dados não estão disponíveis ou não podem ser encontrados. Os motivos típicos para esses erros de dados são: 36 McAfee Web Gateway Cloud Service Guia de produto

37 Gerenciamento de políticas Condições de erro 2 Os dados solicitados foram excluídos ou não podem ser encontrados. Ocorreu um erro no lado do servidor durante o processamento da solicitação de dados. Se ocorrer um erro de dados, você verá uma mensagem de erro informando que os dados não estão disponíveis. Essa mensagem fornece um botão Recarregar para tentar recarregar os dados. Se os dados ainda não estiverem disponíveis, você será informado de que a nova tentativa não foi bem-sucedida. Se os dados solicitados tiverem sido excluídos, a mensagem de erro fornecerá informações sobre os dados excluídos. Erros de conexão de rede Assim como em muitos serviços Web, existe o potencial para erros de comunicação entre o sistema que você está utilizando e o servidor Web e o banco de dados que hospeda os serviços. Muitas vezes, os erros de comunicação de rede são de curta duração, e o serviço se reconecta automaticamente quando a comunicação é restaurada. Quando ocorrerem erros de conexão, você terá a opção de tentar estabelecer a conexão manualmente. Se você sair da página atual antes que as conexões de rede sejam restabelecidas, perderá todas as alterações não salvas. Erros de gravação Os erros de gravação ocorrem quando um administrador clica em Salvar, mas a gravação é malsucedida. Os motivos para uma gravação malsucedida incluem: Um erro geral ocorre quando o servidor está ocupado ou sobrecarregado. Outra pessoa excluiu a regra antes de você tentar salvá-la. Um objeto da regra sendo salva não existe mais. McAfee Web Gateway Cloud Service Guia de produto 37

38 2 Gerenciamento de políticas Condições de erro 38 McAfee Web Gateway Cloud Service Guia de produto

39 3 Autenticação 3 O McAfee WGCS aplica a política de segurança na Web às solicitações da Web de usuários finais depois que eles são autenticados. Conteúdo Decisões de autenticação e política Como o McAfee WGCS implementa as opções de autenticação Como funciona o processo de autenticação Autenticação da faixa de IP Autenticação SAML Autenticação site a site IPsec Decisões de autenticação e política O McAfee WGCS toma decisões de política com base nas informações retornadas por cada opção de autenticação. Autenticação Client Proxy essa opção é disponibilizada quando o Client Proxy está instalado em computadores do usuário final que executam Windows ou Mac OS X e integrado ao McAfee WGCS. O Client Proxy retorna ao McAfee WGCS a ID da organização e os nomes de todos os grupos aos quais o usuário final pertence. O McAfee WGCS toma as decisões de política com base na associação a grupos. Autenticação de faixa de IP selecione essa opção quando quiser que o McAfee WGCS autentique usuários finais com base nos respectivos endereços IP. O McAfee WGCS toma decisões de política com base nas faixas de endereços IP configuradas para sua organização. Autenticação SAML selecione essa opção quando quiser especificar o provedor de identidade que autentica os usuários finais na organização. A autenticação pode ser por qualquer método. Por exemplo, os usuários podem ser autenticados por um serviço do Active Directory local, pelo Facebook ou pelo Google. O resultado da autenticação e as informações de identidade são retornados ao McAfee WGCS em declarações SAML que contenham pares de nome/valor de atributo. O McAfee WGCS toma decisões de política com base no valor do atributo de ID de grupo nas declarações SAML. Autenticação site a site Ipsec selecione essa opção quando você quiser proteger as comunicações entre sua rede e o McAfee WGCS usando um túnel de VPN IPsec. O McAfee WGCS toma as decisões de política com base na ID do cliente associada ao endereço IP de origem das comunicações de Ipsec recebidas e uma chave pré-compartilhada. McAfee Web Gateway Cloud Service Guia de produto 39

40 3 Autenticação Como o McAfee WGCS implementa as opções de autenticação Como o McAfee WGCS implementa as opções de autenticação A implementação depende da opção de autenticação. As opções de autenticação são: Client Proxy o software Client Proxy instalado no terminal adiciona cabeçalhos a cada solicitação HTTP ou HTTPS. Os cabeçalhos são criptografados usando o segredo compartilhado. O McAfee WGCS detecta os cabeçalhos, descriptografa-os usando o segredo compartilhado e identifica o usuário final. Configure a autenticação Client Proxy no Catálogo de políticas do console de gerenciamento do McAfee epo ou do McAfee epo Cloud. A configuração não é necessária na interface do Web Protection. Faixa de IP o McAfee WGCS verifica se o endereço IP de origem do pacote TCP que ele recebe está incluído nas faixas de endereços IP que o cliente configurou como seguros. Se o endereço estiver incluído, o McAfee WGCS autorizará a solicitação. SAML a opção SAML usa a autenticação de cookies. O cookie contém os nomes de usuário e de grupo. Se não houver nenhum cookie na solicitação, o McAfee WGCS redirecionará a solicitação para o serviço de identidade configurado para o nome do domínio do endereço de inserido pelo usuário final. O serviço de identidade autentica o usuário e redireciona a solicitação novamente para o McAfee WGCS com o cookie. O McAfee WGCS avalia o cookie e extrai a identidade do usuário. IPsec site a site o IPsec site a site é um protocolo de transporte e não um método de autenticação. O McAfee WGCS autentica o túnel VPN IPsec e o cliente, mas não o usuário final. Se você adicionar a autenticação Client Proxy ou SAML ao IPsec site a site, o McAfee WGCS poderá usar esses métodos para autenticar solicitações recebidas pelo túnel VPN. Como funciona o processo de autenticação O modo como o McAfee WGCS processa solicitações da Web e realiza a autenticação depende de vários fatores, inclusive do número da porta na qual as solicitações são recebidas e se o IPsec site a site está configurado. Autenticação Client Proxy O McAfee WGCS verifica e realiza a autenticação Client Proxy antes de qualquer outro método de autenticação. Isso se aplica quando a autenticação IPsec site a site está configurada e quando não está. Você pode combinar a autenticação do usuário fornecida por Client Proxy com a segurança fornecida por IPsec site a site. Para adicionar a autenticação Client Proxy ao IPsec site a site, verifique se o Client Proxy está configurado para usar a porta 80 no redirecionamento de tráfego para o McAfee WGCS. Autenticação SAML A porta 8084 está reservada para a autenticação SAML. Se as autenticações SAML e IPsec site a site estiverem configuradas, você poderá adicionar a configuração SAML a cada local IPsec. Processo de autenticação sem o IPsec site a site configurado Quando o IPsec site a site não estiver configurado, o McAfee WGCS processará as solicitações da Web de acordo com o número da porta na qual elas foram recebidas. 40 McAfee Web Gateway Cloud Service Guia de produto

41 Autenticação Autenticação da faixa de IP 3 Portas 80, 8080, 8081 o McAfee WGCS processa as solicitações da Web recebidas nessas portas da seguinte maneira: 1 Client Proxy o McAfee WGCS verifica primeiro se há cabeçalhos Client Proxy na solicitação da Web. Se houver, a autenticação Client Proxy será realizada. 2 Faixa de IP se a solicitação da Web não contiver cabeçalhos Client Proxy, o McAfee WGCS verificará se o endereço IP de origem está incluído nas faixas de endereços IP que o cliente configurou como seguros. Se o endereço IP de origem estiver incluído, o McAfee WGCS autorizará a solicitação. 3 Se nem a autenticação Client Proxy nem a autenticação da faixa de IP for realizada, a solicitação da Web não será autorizada. Porta 8084 a autenticação SAML é realizada em todas as solicitações da Web recebidas na porta Processo de autenticação usando o IPsec site a site Quando o IPsec site a site está configurado, o McAfee WGCS processa as solicitações da Web recebidas pelo túnel VPN IPsec, como segue: 1 Client Proxy o McAfee WGCS verifica primeiro se há cabeçalhos Client Proxy na solicitação da Web. Se houver, a autenticação Client Proxy será realizada. 2 SAML se a solicitação da Web não contiver cabeçalhos Client Proxy, o McAfee WGCS verificará se uma configuração SAML está associada à configuração de IPsec. Se a associação existir, a autenticação SAML será realizada. 3 Se nem a autenticação Client Proxy nem SAML for realizada, o cliente será autenticado, mas o usuário final não será identificado. Autenticação da faixa de IP Configure faixas de endereços IP que sejam consideradas seguras no console de gerenciamento. Em seguida, o McAfee WGCS autentica os usuários que enviam solicitações da Web desses endereços. Na interface do usuário da autenticação de faixa de IP, é possível: Ativar ou desativar a autenticação de faixa de IP. Configurar as faixas de endereços IP. Importar uma lista de faixas de endereços IP. Exportar uma lista de faixas de endereços IP. Ativar ou desativar a autenticação da faixa de IP Você pode ativar ou desativar a autenticação de faixa de IP conforme a necessidade. 1 No menu do console de gerenciamento, selecione Web Protection Configurações de autenticação. 2 Na lista suspensa, Configurações de autenticação, selecione Faixa de IP. O painel Detalhes é aberto à direita. 3 Para ativar a autenticação de faixa de IP, selecione a caixa de seleção Autenticação da faixa de IP. Para desativar a autenticação da faixa de IP, desmarque a caixa de seleção. 4 Clique em Salvar. McAfee Web Gateway Cloud Service Guia de produto 41

42 3 Autenticação Autenticação da faixa de IP Configuração da autenticação da faixa de IP Você configura faixas de endereços IP usando a notação do Roteamento sem classes entre domínios (CIDR). A notação CIDR especifica: Um prefixo de roteamento para uma rede Um endereço IP ou uma faixa na rede especificada A sintaxe do CIDR consiste em um endereço IPv4 ou IPv6 seguido por uma barra e um número decimal. O número decimal especifica o número de bits no prefixo de roteamento e é chamado de tamanho da rede em bits. As redes IPv4 podem variar em tamanho, de 24 bits a 32 bits. Uma rede IPv4 de 24 bits consiste em 256 endereços. As redes IPv6 podem variar em tamanho, de 120 bits a 128 bits. Uma rede IPv6 de 120 bits consiste em 256 endereços. Protocolo Tamanho da rede (bits) Notação CIDR (exemplo) Faixa de endereços IP especificada IPv /24 De a IPv :db8:1234:0:0:0:0:ff00/120 De 2001:db8:1234:0:0:0:0:ff00 a 2001:db8:1234:0:0:0:0:ffff Adicionar faixa de endereços IP Ao configurar a autenticação Faixa de IP, você pode adicionar um endereço IP ou uma faixa à lista Faixas de endereços IP. 1 No menu do console de gerenciamento, selecione Web Protection Configurações de autenticação. 2 Na lista suspensa, Configurações de autenticação, selecione Faixa de IP. O painel Detalhes é aberto à direita. 3 No menu Faixas de endereços IP, selecione Configurar faixa de IP. O campo de configuração é aberto. 4 Usando uma notação CIDR, insira o endereço IPv4 ou IPv6, ou a faixa, e clique em Adicionar. A entrada é adicionada à lista Faixas de endereços IP. 5 Continue adicionando endereços IP ou faixas, conforme a necessidade, e clique em Salvar. Alterar uma faixa de endereços IP Ao configurar a autenticação Faixa de IP, você pode alterar um endereço IP ou uma faixa na lista Faixas de endereços IP. Para adicionar um endereço IP ou uma faixa em vez de alterá-los, clique no ícone de adição (+). 1 No menu do console de gerenciamento, selecione Web Protection Configurações de autenticação. 2 Na lista suspensa, Configurações de autenticação, selecione Faixa de IP. O painel Detalhes é aberto à direita. 42 McAfee Web Gateway Cloud Service Guia de produto

43 Autenticação Autenticação da faixa de IP 3 3 No menu Faixas de endereços IP, selecione Configurar faixa de IP. O campo de configuração é aberto. 4 Na lista Faixas de endereços IP, selecione a entrada que deseja alterar. A entrada é exibida no campo de configuração. 5 Edite a entrada e clique em Concluído. A lista Faixas de endereços IP é atualizada com a nova entrada. 6 Continue alterando endereços IP ou faixas, conforme a necessidade, e clique em Salvar. Excluir uma faixa de endereços IP Ao configurar a autenticação Faixa de IP, você pode excluir um endereço IP ou uma faixa da lista Faixas de endereços IP. 1 No menu do console de gerenciamento, selecione Web Protection Configurações de autenticação. 2 Na lista suspensa, Configurações de autenticação, selecione Faixa de IP. O painel Detalhes é aberto à direita. 3 No menu Faixas de endereços IP, selecione Configurar faixa de IP. 4 Para excluir um endereço IP ou uma faixa, clique no ícone de exclusão (x) à direita da faixa. 5 Clique em Salvar. Importar uma lista de faixas de endereços IP Você pode substituir a lista Faixas de endereços IP com uma lista que você importa de um arquivo.csv. Antes de iniciar Examine essas considerações antes de importar uma lista de faixas de endereços IP de um arquivo.csv: O arquivo contém um endereço IP ou faixa por linha. A primeira linha no arquivo pode conter um cabeçalho. Nesse caso, marque a caixa de seleção Este arquivo contém uma linha de cabeçalho ao importar o arquivo. 1 No menu do console de gerenciamento, selecione Web Protection Configurações de autenticação. 2 Na lista suspensa, Configurações de autenticação, selecione Faixa de IP. O painel Detalhes é aberto à direita. 3 No menu Faixas de endereços IP, selecione Importar lista de faixas de IP. A caixa de diálogo Importar lista é aberta. 4 Navegue até o arquivo.csv com a lista de endereços IP e as faixas que deseja importar e clique em Importar. A caixa de diálogo Status da importação é aberta. McAfee Web Gateway Cloud Service Guia de produto 43

44 3 Autenticação Autenticação SAML 5 Para confirmar a importação, clique em Substituir. Os valores na lista Faixas de endereços IP são substituídos pelos valores no arquivo.csv. 6 Clique em Salvar. Exportar uma lista de faixas de endereços IP Você pode salvar a lista Faixas de endereços IP em um arquivo.csv para backup, edição ou importação posterior. 1 No menu do console de gerenciamento, selecione Web Protection Configurações de autenticação. 2 Na lista suspensa, Configurações de autenticação, selecione Faixa de IP. O painel Detalhes é aberto à direita. 3 No menu Faixas de endereços IP, selecione Exportar lista de faixas de IP. A caixa de diálogo Abrindo IP_range_list_null.csv é aberta. 4 Selecione Salvar arquivo e clique em OK. 5 Especifique um nome de arquivo e local; em seguida, clique em Salvar. Autenticação SAML Usando a autenticação SAML 2.0, o McAfee WGCS oferece suporte às organizações que querem usar o próprio serviço de identidade para autenticar usuários finais. Além do usuário final, a especificação SAML define estas funções: Provedor de identidade autentica o usuário final e fornece declarações confirmando a identidade do usuário. O provedor de identidade é qualquer serviço de identidade especificado pela sua organização. Provedor de serviços decide se fornece o serviço solicitado pelo usuário final com base nas informações de identidade recebidas do provedor de identidade. O usuário final está solicitando acesso a um recurso da Web. Como o provedor de serviços, o McAfee WGCS encaminha a solicitação do usuário para a nuvem com as informações de identidade ou a bloqueia. O provedor de identidade e o provedor de serviços se comunicam usando um protocolo de solicitação/ resposta: Solicitação SAML o provedor de serviços envia uma solicitação para autenticação ao provedor de identidade. Resposta SAML o provedor de identidade envia uma resposta com uma ou mais declarações SAML sobre o usuário final ao provedor de serviços. Benefícios da autenticação SAML A autenticação SAML proporciona os benefícios a seguir. A autenticação SAML: 44 McAfee Web Gateway Cloud Service Guia de produto

45 Autenticação Autenticação SAML 3 Permite qualquer provedor de identidade e método de autenticação, desde que a solicitação de autenticação, a resposta e o resultado sejam trocados usando o protocolo SAML 2.0. Elimina senhas da troca de informações entre as partes do SAML. O McAfee WGCS não requer uma senha de usuário final. Em vez disso, o provedor de identidade compartilha todas as informações de autenticação e identidade na forma de declarações SAML. Autenticação SAML etapas de alto nível Antes de aplicar a política da Web da organização ao usuário final, o McAfee WGCS exige as informações de identidade e grupo do usuário fornecidas pelo processo de autenticação SAML. O processo de autenticação SAML consiste nestas etapas de alto nível. 1 O usuário final solicita acesso a um recurso da Web. A solicitação inclui o URL do recurso, mas não as informações de identificação sobre o usuário ou a organização do usuário. 2 O McAfee WGCS recebe a solicitação e retorna uma página de bloqueio, solicitando ao usuário um endereço de . 3 O usuário retorna um endereço de . McAfee Web Gateway Cloud Service Guia de produto 45

46 3 Autenticação Autenticação SAML 4 O McAfee WGCS pesquisa um nome de domínio, que faz parte do endereço de do usuário final, na lista de domínios configurados. Se o nome de domínio existe, o serviço de nuvem inicia uma autenticação SAML redirecionando a solicitação SAML em um cookie por meio do navegador do usuário para o provedor de identidade configurado para aquele domínio. A solicitação SAML inclui estes valores: ID da entidade identifica o McAfee WGCS como um emissor da solicitação SAML. Esse valor é atribuído pela sua organização. URL do provedor de serviços especifica o URL que o McAfee WGCS usa para comunicação SAML. Esse URL tem um valor constante: 5 Para validar a solicitação SAML, o provedor de identidade procura a ID da entidade e o URL do provedor de serviços. Se eles estiverem configurados, o provedor de identidade autentica o usuário final e em seguida redireciona a resposta SAML em um cookie por meio do navegador do usuário para o McAfee WGCS. A resposta contém declarações SAML que confirmam a identidade do usuário e fornecem informações sobre o usuário e os grupos do usuário. A resposta SAML inclui estes valores: ID da entidade identifica o provedor de identidade como o emissor da resposta SAML. Esse valor é atribuído pela sua organização. URL do provedor de identidade especifica o URL do serviço do provedor de identidade. Esse valor é fornecido pela sua organização. 6 Para validar a resposta SAML, o McAfee WGCS procura a ID da entidade e o URL do provedor de identidade. Se eles estiverem configurados e o usuário estiver autenticado, o McAfee WGCS aplicará a política da Web da organização ao usuário final e permitirá ou bloqueará o acesso ao recurso da Web solicitado. Visão geral da configuração de SAML A autenticação SAML requer a configuração em seu provedor de identidade, em computadores clientes em sua organização e no console de gerenciamento. Configuração em seu provedor de identidade Para a comunicação SAML com o McAfee WGCS, configure o seu provedor de identidade para usar este URL: Como o serviço de nuvem consome declarações SAML enviadas pelo provedor de identidade, esta configuração é conhecida como o URL de Assertion Consumer Service (ACS). Várias configurações SAML são definidas no console de gerenciamento e no seu provedor de identidade. Para que a autenticação SAML seja realizada com êxito, essas configurações devem corresponder. Configuração nos navegadores do cliente Para a autenticação SAML usando o McAfee WGCS, configure os navegadores do cliente na organização para enviar solicitações da Web à porta 8084, como se segue: c<id_cliente>.saasprotection.com:8084 Configuração no console de gerenciamento A configuração da autenticação SAML no console de gerenciamento inclui essas tarefas gerais: 46 McAfee Web Gateway Cloud Service Guia de produto

47 Autenticação Autenticação SAML 3 Interface do usuário das Configurações de autenticação configure a autenticação SAML. Interface do usuário do Gerenciamento de políticas configure a varredura SSL. Considerações ao configurar a autenticação SAML Antes de configurar a autenticação SAML, examine estas considerações. Configurando a varredura SSL A varredura SSL é necessária para a autenticação SAML. A ativação da autenticação SAML automaticamente ativa a varredura SSL, que você configura na interface do usuário Gerenciamento de políticas. Para configurar a varredura SSL: 1 Configure uma política de mecanismo de varredura SSL. 2 Baixe o pacote de certificados SSL. 3 Instale os certificados SSL nos navegadores e sistemas operacionais em execução nos computadores cliente da organização. Para obter mais informações sobre a varredura SSL, consulte o capítulo Gerenciamento de políticas. Colocar o URL do provedor de identidade na lista branca A configuração do McAfee WGCS como um servidor proxy usando um arquivo PAC ou outro método de configuração de proxy, coloca o URL do provedor de identidade na lista branca. Caso esta etapa não seja concluída, as comunicações SAML entre o usuário final e o serviço de nuvem entrarão em um loop infinito. Configuração da SAML no console de gerenciamento Na interface do usuário da autenticação SAML, você pode configurar a autenticação SAML e ativar ou desativar a configuração. s Ativar ou desativar a autenticação SAML na página 47 Você pode ativar ou desativar a autenticação conforme a necessidade. Configurar a autenticação SAML na página 48 Depois de configurar a autenticação SAML, você pode usar seu próprio provedor de identidade e compartilhar informações de autenticação e identidade com o McAfee WGCS na forma de declarações SAML. Ativar ou desativar a autenticação SAML Você pode ativar ou desativar a autenticação conforme a necessidade. 1 No menu do console de gerenciamento, selecione Web Protection Configurações de autenticação 2 Na lista suspensa, Configurações de autenticação, selecione SAML. O painel Detalhes é aberto à direita. McAfee Web Gateway Cloud Service Guia de produto 47

48 3 Autenticação Autenticação SAML 3 Para ativar a edição, clique no ícone do lápis e depois selecione a opção: Para ativar a autenticação SAML marque a caixa de seleção Ativar autenticação SAML. Para desativar a autenticação SAML desmarque a caixa de seleção Ativar autenticação SAML. 4 Clique em Salvar. Configurar a autenticação SAML Depois de configurar a autenticação SAML, você pode usar seu próprio provedor de identidade e compartilhar informações de autenticação e identidade com o McAfee WGCS na forma de declarações SAML. Antes de iniciar Para configurar a autenticação SAML, são necessárias as seguintes informações: Nomes de um ou mais domínios que identificam a organização URL do seu provedor de identidade ID da entidade atribuído ao McAfee WGCS por sua organização ID da entidade atribuída ao provedor de identidade pela sua organização Nome do atributo que identifica exclusivamente os usuários finais Nome do atributo que lista associações de grupo Nomes dos grupos em sua organização Certificado para verificação de respostas e declarações SAML assinadas Várias configurações SAML são definidas no console de gerenciamento e no seu provedor de identidade. Para que a autenticação SAML seja realizada com êxito, essas configurações devem corresponder. 1 No menu do console de gerenciamento, selecione Web Protection Configurações de autenticação. 2 Na lista suspensa, Configurações de autenticação, selecione SAML. O painel Detalhes é aberto à direita. 3 Para ativar a edição, clique no ícone de lápis, configure os domínios, a solicitação SAML, bem como os campos e as configurações de resposta SAML. 4 Para fornecer um certificado, clique no ícone de lápis. A caixa de diálogo Editar certificado é aberta. 5 Baixe o arquivo do certificado do seu serviço do provedor de identidade e abra o arquivo em um editor de texto. Copie o conteúdo do arquivo, incluindo -----INICIAR O CERTIFICADO----- e -----ENCERRAR O CERTIFICADO-----, cole o conteúdo na caixa de diálogo e clique em Salvar. A caixa de diálogo é fechada e o certificado é salvo. 6 Clique em Salvar. A autenticação SAML está configurada e salva. 48 McAfee Web Gateway Cloud Service Guia de produto