Guia de migração do McAfee Web Gateway
Cloud Service
COPYRIGHT
Copyright © 2019 McAfee LLC ATRIBUIÇÕES DE MARCA
McAfee e o logotipo da McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan são marcas da McAfee LLC ou de suas subsidiárias nos EUA e em outros países.
Outras marcas podem ser declaradas propriedade de terceiros.
INFORMAÇÕES DE LICENÇAS Contrato de Licença
AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL, DA LICENÇA COMPRADA POR VOCÊ, QUE DEFINE OS TERMOS GERAIS E AS CONDIÇÕES DE USO DO SOFTWARE LICENCIADO. CASO VOCÊ NÃO SAIBA QUAL O TIPO DA LICENÇA COMPRADA, CONSULTE O SETOR DE VENDAS, OUTRO SETOR RELACIONADO À CONCESSÃO DA LICENÇA, DOCUMENTOS DO PEDIDO QUE ACOMPANHAM O SEU PACOTE DE SOFTWARE OU DOCUMENTOS QUE TENHAM SIDO ENVIADOS SEPARADAMENTE COMO PARTE DA COMPRA (COMO UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL VOCÊ FEZ O DOWNLOAD DO PACOTE DE SOFTWARE). CASO VOCÊ NÃO CONCORDE COM TODOS OS TERMOS DEFINIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. CASO SEJA APLICÁVEL, VOCÊ PODE RETORNAR O PRODUTO PARA A MCAFEE OU PARA O LOCAL ONDE A COMPRA FOI REALIZADA PARA OBTER UM REEMBOLSO COMPLETO.
Conteúdo
1 Visão geral da migração para o McAfee WGCS 5
Novo nome do produto . . . 5
Benefícios da plataforma de Serviços de nuvem . . . 5
Serviços novos versus legados . . . 6
Tarefas de migração avançadas . . . 7
2 Introdução 9 Configurar o McAfee WGCS . . . 9
Gerenciamento do Client Proxy . . . 10
Configuração do redirecionamento com o Client Proxy . . . 11
Quando a política do Client Proxy entra em vigor . . . 11
Artigos da Base de conhecimento relacionados . . . 11
Links úteis . . . 12
3 Migração de políticas 13 Interface de gerenciamento de políticas . . . 13
Áreas de configuração de política . . . 13
Ordem das regras . . . 14
Listas negras e brancas de URLs . . . 15
Grupos de usuários . . . 15
Uso das opções de políticas padrão . . . 15
Migração de listas de políticas . . . 16
Formatação de listas de políticas para o novo serviço . . . 16
Benefícios do uso da ferramenta de conversão . . . 18
Use a ferramenta de conversão para migrar listas de políticas . . . 18
Organização de listas de sites confiáveis . . . 19
Migração de configurações de permissão e negação . . . 19
4 Configuração da autenticação 21 Quando a nova política é aplicada . . . 21
Distribuição da nova política com a autenticação do Client Proxy . . . 22
Distribuição gradual da nova política com o Client Proxy . . . 22
Distribuição da nova política com a autenticação da faixa de IP . . . 23
Distribuição da nova política com a autenticação SAML . . . 24
5 Migração de uma distribuição híbrida 25 Introdução à distribuição híbrida . . . 25
Tarefas de migração para uma distribuição híbrida . . . 26
Criação de uma política do Client Proxy com o McAfee ePO Cloud . . . 26
Configurar o Web Gateway em um ambiente de pré-produção . . . 27
Criação de uma política do Client Proxy com o McAfee ePO . . . 29
Teste e distribuição da configuração híbrida . . . 29
Conteúdo
1 Visão geral da migração para o McAfee WGCS
Este guia é voltado para clientes do McAfee® Web Gateway Cloud Service (McAfee® WGCS) que estão migrando do Control Console para a plataforma de gerenciamento do McAfee® ePolicy Orchestrator® Cloud (McAfee® ePO™ Cloud) . Os novos clientes e os clientes híbridos, que usam o McAfee WGCS com o McAfee® Web Gateway em uma solução integrada, também podem usar este guia como referência.
Conteúdo
Novo nome do produto
Benefícios da plataforma de Serviços de nuvem Serviços novos versus legados
Tarefas de migração avançadas
Novo nome do produto
Agora que o serviço do McAfee® SaaS Web Protection é gerenciado com o McAfee ePO Cloud, o nome do serviço foi alterado para McAfee Web Gateway Cloud Service.
Neste guia, os seguintes termos são usados para se referir aos produtos.
• Serviço legado — Refere-se à Proteção na Web SaaS.
• Novo serviço — Refere-se ao McAfee WGCS
• Serviço em nuvem — Refere-se ao serviço legado, ao novo serviço ou a ambos.
• Control Console — Refere-se à interface de usuário legada da Proteção na Web SaaS
• Console de gerenciamento — Refere-se à nova interface de usuário do McAfee WGCS
Benefícios da plataforma de Serviços de nuvem
Quando migrar para o novo serviço, você será beneficiado com toda a funcionalidade e flexibilidade que a plataforma de Serviços de nuvem oferece.
O novo serviço é oferecido na plataforma de Serviços de nuvem, que consiste em nós distribuídos globalmente chamados de pontos de presença (PoP). O Global Routing Manager (GRM) é um serviço DNS responsável pelo roteamento de tráfego inteligente, compartilhamento de carga e failover. O GRM roteia o tráfego para o melhor ponto de presença disponível.
1
Para exibir um mapa das localizações dos Serviços de nuvem e ver as informações de suporte, instalação e status, visite: trust.mcafee.com.
Serviços novos versus legados
O novo serviço apresenta um novo modelo de política, plataforma de gerenciamento e interface. O novo serviço também oferece um conjunto de recursos diferente do serviço legado.
Novo modelo de política
O novo modelo de política é baseado em uma política que é aplicada globalmente com todos os usuários e grupos da organização. Para personalizar o aplicativo da política com usuários ou grupos específicos, configure exceções às regras que compõem a política.
Nova plataforma de gerenciamento e interface do usuário
O novo serviço é fornecido com o uso do console e da plataforma de gerenciamento do McAfee ePO Cloud. O console de gerenciamento substitui o Control Console desta forma:
• O novo serviço é configurado com o console de gerenciamento.
• As instâncias do McAfee® Client Proxy baseadas em nuvem são configuradas usando o console de gerenciamento.
Recursos com suporte
Nesta tabela, você pode comparar os recursos compatíveis com o console de gerenciamento com os recursos compatíveis com o Control Console.
Tabela 1-1 Control Console versus console de gerenciamento
Recursos Control Console Console de gerenciamento
McAfee Global Threat Intelligence
Filtragem de URL sim sim
Reputação de sites sim sim
Gateway Anti-Malware Engine
Tecnologia antivírus baseada em assinatura sim sim
Tecnologia de emulação de comportamento sim sim
Filtragem da Web
Categoria da Web sim sim
Proteção de acesso (anteriormente conhecida como
Aplicativo Web) sim sim
Tipo de mídia sim sim
Autenticação
Client Proxy sim sim
Faixa de endereços IP sim sim
SAML 2.0 não sim
VPN Ipsec não sim
Usuário explícito sim não
1
Visão geral da migração para o McAfee WGCS Serviços novos versus legadosTabela 1-1 Control Console versus console de gerenciamento (continuação)
Recursos Control Console Console de gerenciamento
Integração com o Active Directory sim sim
Criação de grupo de usuários local sim sim
Relatórios
Relatórios e perícia do Control Console sim não
Consultas e relatórios do McAfee ePO Cloud não sim
Outros recursos
Varredura SSL sim sim
IPsec em dispositivos móveis sim não
Tarefas de migração avançadas
Para testar a nova política e distribuí-la gradualmente, realize estas tarefas de migração avançadas na ordem especificada.
1 Configure o McAfee WGCS: assine o novo serviço, ative-o e entre no McAfee ePO Cloud. Navegue para a página de introdução e salve os novos valores da ID de cliente e do Proxy específico de cliente.
2 Configure o Client Proxy: no McAfee ePO Cloud, crie uma política do Client Proxy que redireciona o tráfego de rede para o McAfee WGCS.
3 Configure uma nova política do McAfee WGCS: personalize as opções de política padrão, migrando listas de política e permitindo e negando configurações do Control Console para o McAfee ePO Cloud.
4 Configure a autenticação: no McAfee ePO Cloud, configure um ou mais métodos de autenticação.
5 Teste a nova política do McAfee WGCS e distribua-a gradualmente: no McAfee ePO Cloud, atribua a política do Client Proxy aos pontos de extremidade selecionados. Solicitações da Web enviadas a partir desses pontos de extremidade são redirecionadas para o McAfee WGCS, onde a nova política é aplicada.
Visão geral da migração para o McAfee WGCS
Tarefas de migração avançadas
1
Prática recomendada: configure a nova política antes da autenticação
No console de gerenciamento, configure a nova política antes de configurar a autenticação. Quando o usuário é autenticado usando o método configurado por você no console de gerenciamento, a nova política é aplicada.
Se a nova política ainda não estiver configurada, as configurações de política padrão do novo serviço serão aplicadas.
Em cada método de autenticação, mostramos as etapas que você pode seguir para distribuir a nova política de forma gradual.
1
Visão geral da migração para o McAfee WGCS Tarefas de migração avançadas2 Introdução
A página de introdução fornece as informações necessárias para integrar o McAfee WGCS a outros produtos, como o Client Proxy e o Web Gateway. Após a ativação do novo serviço, você continuará podendo executar políticas legadas e usar o Control Console. Você pode exibir o Control Console enquanto configura uma nova política no McAfee ePO Cloud.
Conteúdo
Configurar o McAfee WGCS Gerenciamento do Client Proxy
Configuração do redirecionamento com o Client Proxy Quando a política do Client Proxy entra em vigor Artigos da Base de conhecimento relacionados Links úteis
Configurar o McAfee WGCS
Esta tarefa inclui todas as etapas necessárias para configurar o McAfee WGCS.
As etapas da configuração incluem:
1 Ative o McAfee WGCS.
2 Entre no McAfee ePO Cloud.
3 Acesse a página Introdução.
4 Copie e salve as informações necessárias para começar.
O McAfee WGCS é gerenciado no McAfee ePO Cloud. No menu principal, você tem estas opções:
• Introdução — Exibe as informações necessárias para começar, incluindo o seu ID de cliente e o endereço do servidor proxy que os seus pontos de extremidade gerenciados usam para se conectarem ao McAfee WGCS.
• Política da Web: gerencie como o tráfego da Web é filtrado e permita ou bloqueie o acesso a conteúdo, aplicativos e objetos da Web.
• Configurações de autenticação — Configure como os usuários são autenticados.
Depois que você assina o McAfee WGCS, a McAfee configura sua conta em todo o sistema de acordo com os produtos e serviços adquiridos, além de enviar um e-mail de boas-vindas.
2
Tarefa
1 No e-mail de boas-vindas, clique no link Ativar.
2 Na página de ativação, especifique as suas credenciais do McAfee ePO Cloud.
Digite este endereço de e-mail e senha. Você precisa desses valores ao configurar a solução híbrida na interface do Web Gateway.
O McAfee WGCS está ativado.
3 Para entrar no McAfee ePO Cloud, clique em manage.mcafee.com e insira o endereço de e-mail e senha que você forneceu na página de ativação.
4 No menu do McAfee ePO Cloud, selecione Proteção na Web | Introdução.
5 Na página Introdução, copie e salve esses valores para uso posterior.
• ID do cliente: identifica o cliente de maneira exclusiva no sistema.
• Proxy específico de cliente: especifica o nome de domínio da sua instância do McAfee WGCS. O nome de domínio tem este formato: c<id_do_cliente>.saasprotection.com.
Exemplo: c12345678.saasprotection.com
Você precisará desses valores ao configurar as políticas do Client Proxy. Clientes híbridos precisam da ID do cliente ao configurar a sincronização de política na interface do Web Gateway.
Gerenciamento do Client Proxy
As tarefas de gerenciamento de alto nível do Client Proxy variam de acordo com o uso do McAfee® ePolicy Orchestrator® (McAfee® ePO™) ou do McAfee ePO Cloud.
Gerenciamento do Client Proxy com o McAfee ePO
Se você planeja continuar o gerenciamento do Client Proxy com o McAfee ePO ou está gerenciando o Client Proxy com o McAfee ePO pela primeira vez, sincronize a política com o McAfee ePO Cloud:
1 Usando o McAfee ePO Cloud, crie uma política do Client Proxy para o novo serviço. Exporte para um arquivo .xml as credenciais configuradas para a política.
2 Usando o McAfee ePO, crie uma política do Client Proxy para o novo serviço. Para configurar as credenciais, importe-as do arquivo .xml criado anteriormente.
Gerenciamento do Client Proxy com o McAfee ePO Cloud
Se você planeja gerenciar o Client Proxy com o McAfee ePO Cloud, primeiro instale uma nova instância do McAfee® Agent:
1 Instale uma nova instância do McAfee Agent nos pontos de extremidade em sua organização da seguinte maneira:
a Usando o McAfee ePO Cloud, crie um URL de instalação.
b Envie o URL de instalação e as etapas aos usuários, que poderão acessar o URL e concluir as etapas de instalação.
2 Usando o McAfee ePO Cloud, crie uma política do Client Proxy para o novo serviço.
2
IntroduçãoGerenciamento do Client ProxyConfiguração do redirecionamento com o Client Proxy
Em McAfee ePO ou McAfee ePO Cloud, crie políticas de Client Proxy e atribua elas aos pontos de extremidade gerenciados em sua organização.
As seguintes configurações de política permitem que o software se comunique com o McAfee WGCS e redirecione solicitações da Web para o serviço de nuvem.
• Endereço do servidor proxy: para configurar o McAfee WGCS como servidor proxy, especifique o Proxy específico de cliente como o endereço do servidor proxy.
Esse valor é exibido na página de introdução do McAfee WGCS.
• ID de cliente exclusiva: especifique a sua ID de cliente. (McAfee ePO Cloud) Esse valor é exibido na página de introdução do McAfee WGCS.
• Senha compartilhada: especifique a senha compartilhada que o Client Proxy e o McAfee WGCS usam para comunicação.
• Redirecionamento de tráfego: defina essa configuração de acordo com o tipo de distribuição do McAfee WGCS:
apenas em nuvem ou solução híbrida. Em uma distribuição apenas em nuvem, o Client Proxy sempre redireciona o tráfego de rede para o McAfee WGCS filtrar. Em uma distribuição híbrida, o Client Proxy somente redireciona o tráfego de rede para o McAfee WGCS quando um ponto de extremidade gerenciado está localizado fora da rede e não conectado por meio de VPN.
Quando a política do Client Proxy entra em vigor
A política do Client Proxy entra em vigor quando a política é distribuída para os pontos de extremidade gerenciados e a senha compartilhada configurada na política é sincronizada com o McAfee WGCS. Em seguida, o Client Proxy inicia o redirecionamento do tráfego de rede para o McAfee WGCS.
Após atribuir uma política do Client Proxy aos pontos de extremidade gerenciados da sua organização, aguarde a conclusão das etapas a seguir para a política entrar em vigor.
1 O McAfee ePO ou o McAfee ePO Cloud distribui a política do Client Proxy atualizada para os pontos de extremidade. O tempo de conclusão dessa etapa dependerá do Intervalo de imposição de política definido na configuração da política do McAfee Agent.
2 O software Client Proxy compartilhará a senha com o McAfee WGCS. Essa etapa pode levar até 20 minutos.
A senha compartilhada deve ser sincronizada com o McAfee WGCS para que não haja falha na autenticação.
Artigos da Base de conhecimento relacionados
Estes artigos da base de conhecimentos fornecem informações sobre o novo serviço e os produtos que se integram a ele.
Os artigos estão disponíveis no Centro de conhecimento. Acesse o ServicePortal em https://support.mcafee.com e clique na guia Centro de conhecimento.
Artigos da base de conhecimentos para ler antes de começar
• KB87232 Faixas/endereços IP do Web Gateway Cloud Service a adicionar à lista branca do seu firewall
• KB87631 Como configurar prefixos específicos da região e do país do Web Gateway Cloud Service
Introdução
Configuração do redirecionamento com o Client Proxy
2
Artigos da base de conhecimento para novos clientes do McAfee ePO Cloud
• KB78045 Perguntas frequentes do ePolicy Orchestrator Cloud
• KB84630 Como distribuir produtos usando o ePolicy Orchestrator Cloud
Links úteis
Use esses links para integrar outros produtos, abrir as páginas de acesso do Control Console e do McAfee ePO Cloud e abrir a ferramenta para converter listas de políticas. Você também pode ter uma visão geral da plataforma de Serviços de nuvem e acessar artigos relacionados da Comunidade da McAfee.
Nome de domínio do serviço de proxy
O serviço de nuvem é um serviço de proxy. Use o nome de domínio do serviço de proxy ao configurar outros produtos que se integram com o novo serviço de nuvem.
• saasprotection.com — Especifica o nome de domínio do novo serviço de proxy em nuvem.
• c<id_do_cliente>.saasprotection.com: especifica o nome de domínio específico de cliente do novo serviço de proxy em nuvem.
Outros links
• Abra a página de entrada do Control Console:
portal.mcafeesaas.com
• Abra a página de entrada do McAfee ePO Cloud:
manage.mcafee.com
• Abra a ferramenta para converter listas de políticas:
contentsecurity.mcafee.com/migration-tools
• Tenha uma visão geral da plataforma de serviços de nuvem:
trust.mcafee.com
• Acesse artigos relacionados da Comunidade da McAfee:
community.mcafee.com/community/business/expertcenter/products/wgcs
2
IntroduçãoLinks úteis3 Migração de políticas
Para configurar uma nova política, você pode começar pelas opções de políticas padrão e personalizá-las de maneira gradual para a sua organização. Você pode exportar as suas listas de sites confiáveis do Control Console, formatar e organizá-las usando uma ferramenta de conversão e importá-las usando o console de gerenciamento.
Conteúdo
Interface de gerenciamento de políticas Uso das opções de políticas padrão Migração de listas de políticas
Organização de listas de sites confiáveis
Migração de configurações de permissão e negação
Interface de gerenciamento de políticas
Em vez de configurar muitas políticas em uma interface com várias guias, como você faz no Control Console, configure uma política em uma interface integrada chamada Navegador de políticas no McAfee ePO Cloud.
No Navegador de políticas, as opções de política padrão são fornecidas como modelos para cada área de configuração de política, como Reputação na Web. Expanda e recolha as áreas de configuração de política conforme necessário, permitindo a exibição de mais de uma área por vez. Em cada área, você pode selecionar uma regra e exibir o painel Detalhes da regra junto às outras regras configuradas para essa área.
As áreas de configuração de política também são chamadas de recursos.
Áreas de configuração de política
Embora as áreas de configuração de política sejam as mesmas no Control Console e no Navegador de políticas, elas são organizadas de maneira diferente.
No Navegador de políticas, cada área de configuração ou recurso inclui uma ou mais opções de política padrão que você pode selecionar e alterar. Por exemplo, a área Filtro de categorias da Web inclui as seguintes opções de política:
• Restritiva
• Limitada
• Permissiva
• Muito permissiva
Esses nomes são semelhantes aos nomes das políticas de amostra que vêm com o Control Console. No entanto, as opções de política padrão foram atualizadas para refletir como os clientes editam as configurações padrão.
3
Tabela 3-1 Áreas de configuração de política Control Console
(guias) Navegador de políticas (recursos ou áreas de
configuração) Opções de políticas
padrão Detalhes Nome da política — Uma política é aplicada globalmente e
não é nomeada.
Proprietário — Você pode adicionar grupos de usuários para permitir e bloquear regras.
N/D
Ameaça Reputação na Web Restritiva
Permissiva
Filtro antimalware Proteção básica
Categoria Filtro de categoria da Web Restritiva
Limitada Permissiva Muito permissiva
Aplicativos Proteção de acesso Restritiva
Limitada Permissiva
Mídia Filtro de tipo de mídia Restritiva
Limitada Permissiva
SSL Mecanismo de varredura SSL Proteção básica
Sites bloqueados Configurações globais consistem nestas listas de URLs globais:
• Lista branca de URLs global
• Lista negra de URLs global
Regras básicas
Notificações Para cada área de configuração e opção de política, você pode configurar uma página de bloqueio.
Você pode copiar as suas mensagens de bloqueio da guia Notificações no Control Console e colá-las na caixa de diálogo Nova página de bloqueio do Navegador de políticas.
N/D
Ordem das regras
Cada opção de política padrão consiste em uma lista de regras ordenada.
A regras são aplicadas de cima para baixo na lista. Ao configurar uma área de políticas, você posicionará as regras com maior prioridade acima das outras.
A primeira regra em cada lista é uma lista branca de URLs para você configurar. A maioria das listas inclui uma regra genérica na parte inferior. As solicitações da Web não processadas são permitidas ou bloqueadas dependendo da configuração da regra genérica. Em geral, a regra genérica de uma política permissiva pode permitir as solicitações restantes, enquanto a regra genérica de uma política restritiva pode bloqueá-las.
3
Migração de políticasInterface de gerenciamento de políticas
Listas negras e brancas de URLs
No Navegador de políticas, listas de sites confiáveis são chamadas de Listas brancas de URLs e listas de sites bloqueados são chamadas de listas negras de URLs.
Esta tabela mostra como as listas que você exporta do Control Console mapeiam para as listas do Navegador de políticas.
Nome da lista no Control Console Localização e nome da lista no Navegador de políticas Lista Ignorar varredura SSL Mecanismo de varredura SSL | Lista branca de URLs SSL
Lista Ignorar usando filtro de categoria Filtro de categorias da Web | Lista branca de URLs da categoria da Web Lista Ignorar usando filtro de mídia Filtro de tipos de mídia | Lista branca de URLs de tipos de mídia Lista Ignorar antimalware Filtro antimalware | Lista branca de URLs antimalware
Lista de Sites bloqueados Configurações globais | Lista negra de URLs global O Navegador de políticas fornece estas listas brancas de URLs adicionais para você configurar:
• Configurações globais | Lista branca de URLs global
• Reputação na Web | Lista branca de URLs com reputação na Web
• Proteção de acesso | Lista branca de URLs da Proteção de acesso
Grupos de usuários
Se o Active Directory da organização estiver sincronizado com o McAfee ePO Cloud, você poderá adicionar o grupo do Active Directory para permitir e bloquear ações para cada regra de política.
Por exemplo, você pode adicionar um grupo de usuários chamado Executivos para permitir a ação da regra de Streaming na área Filtro de categorias da Web. Se desejar permitir executivos, mas ninguém mais, você poderá configurar essa regra em vez de criar outra política, como necessário no Control Console. Para fazer isso, use a ação de permissão para executivos e a ação de bloqueio para todos os outros.
Ao expandir a área de configuração de política, você pode ver quais grupos de usuários têm permissão ou estão bloqueados para cada regra.
Para obter informações sobre a sincronização do Active Directory da sua organização com o McAfee ePO Cloud, consulte o guia do produto.
Uso das opções de políticas padrão
Você pode começar pelas opções de políticas padrão e personalizá-las de maneira gradual para a sua organização.
Selecione a opção de política padrão em cada área de configuração que melhor atenda às necessidades da organização. Lembre-se do seguinte:
Migração de políticas
Uso das opções de políticas padrão
3
• Somente uma opção de política fica ativa por área de configuração por vez.
• Você pode selecionar a opção restritiva para uma área de configuração e a opção permissiva para outra.
Migração de listas de políticas
Você pode exportar as listas de sites bloqueados e de sites confiáveis do Control Console para arquivos .csv e importá-los quando configurar a nova política no McAfee ePO Cloud.
As listas de políticas não incluem a lista de faixas de endereços IP, que é usada para configurar a autenticação da faixa de IP.
A migração de listas de políticas inclui estas etapas avançadas. Para que a migração seja bem-sucedida, é necessário formatar as listas de políticas para o novo serviço. A formatação pode ser feita manualmente usando um editor de texto ou automaticamente com a ferramenta de conversão fornecida pela McAfee.
1 No Control Console, exporte essas listas de sites confiáveis para arquivos .csv:
• Lista Ignorar antimalware
• Lista Ignorar usando filtro de categoria
• Lista Ignorar usando filtro de mídia
• Lista Ignorar varredura SSL
2 No Control Console, exporte a lista Sites bloqueados para um arquivo .csv.
3 Formate os arquivos .csv para o novo serviço.
4 No console de gerenciamento, importe os arquivos .csv.
Formatação de listas de políticas para o novo serviço
Ao migrar listas de políticas do Control Console para o console de gerenciamento, formate as listas para o novo serviço.
Listas de sites confiáveis e bloqueados são exportadas do Control Console para arquivos .csv, que são, então, importados usando o console de gerenciamento. Antes de as listas serem importadas, elas devem ser formatadas para atender aos requisitos do novo serviço. A formatação pode ser feita manualmente, usando um editor de texto, ou automaticamente, usando a ferramenta de conversão fornecida pela McAfee.
Listas de política consistem em nomes de domínio e endereços IP. A ferramenta de conversão verifica se as entradas da lista são nomes de domínio totalmente qualificados ou endereços IPv6 ou IPv4 válidos.
Diferença entre listas de políticas novas e legadas
Nos arquivos .csv, as listas de políticas novas e legadas são formatadas de maneira diferente.
• Listas de políticas legadas: consistem em uma coluna com o cabeçalho host e valores como estes:
"host"
"adp.com"
"216.58.194.142"
"ebay.com"
"etrade.com"
"java.com"
3
Migração de políticasMigração de listas de políticas
• Novas listas de políticas: consistem em duas colunas com o cabeçalho URL,Subdomínio(True/False) e valores separados por vírgula, como estes:
"URL","Subdomínio(True/False)"
"adp.com","True"
"216.58.194.142","False"
"ebay.com","True"
"etrade.com","True"
"java.com","True"
"2607:f8b0:4005:805::200e","False"
O McAfee WGCS aceita arquivos .csv com esse formato de duas colunas, estejam os valores entre aspas ou não.
Formatação de uma nova lista de políticas
Ao formatar uma nova lista de políticas, considere as informações a seguir.
• Linha de cabeçalho — Essa linha é opcional. Se você incluir uma linha de cabeçalho, marque a caixa de seleção Este arquivo contém uma linha de cabeçalho na caixa de diálogo Importar lista.
• Coluna de URL: essa coluna lista os nomes de domínio ou endereços IP dos sites bloqueados ou confiáveis.
• Coluna de subdomínio: esses valores true/false são necessários e especificam o seguinte. Eles não diferenciam maiúsculas de minúsculas.
• True — Indica que todos os subdomínios são confiáveis ou bloqueados pelo novo serviço. No Control Console, os nomes de domínios sempre incluem os subdomínios. Ao converter entradas de nomes de domínio legados, defina o valor na coluna de subdomínio como true.
• False: especifica que somente o nome de domínio é confiável ou bloqueado pelo novo serviço. Ao converter entradas de endereço IP legado, defina o valor na coluna de subdomínio como false.
Formatação de nomes de domínio para listas de políticas
Siga estas orientações ao formatar os nomes de domínio para listas brancas e listas negras de URL.
Formatação de nomes de domínio para listas de URLs
Os formatos de nome de domínio compatíveis são:• host.domínio.tld/caminho
• host.domínio.tld
• domínio.tld/caminho
• domínio.tld
host — nome DNS do host domain — nome do subdomínio tld — domínio de nível superior path — caminho do recurso da Web
O caminho e quaisquer subcaminhos são automaticamente incluídos, o que equivale à colocação de um asterisco após o caminho no nome do domínio. Exemplo: host.domain.tld/path*
Migração de políticas
Migração de listas de políticas
3
Configuração de todos os subdomínios
Esta configuração determina se as regras de política são aplicadas ao domínio e a todos os subdomínios ou somente ao domínio. Para especificar todos os subdomínios:
• No Navegador de políticas: selecione Todos os subdomínios ao adicionar um URL a uma lista de URLs.
• Em um arquivo .csv que especifica uma lista de URLs — Defina o valor na coluna Subdomínio(True/
False) como True.
A especificação de todos os subdomínios tem o mesmo efeito que adicionar "*." no começo de cada nome de domínio. Exemplo: *.host.domain.tld/path
Benefícios do uso da ferramenta de conversão
A ferramenta de conversão simplifica a migração das suas listas de políticas do Control Console para o console de gerenciamento.
Em vez de formatar listas de políticas individuais manualmente usando um editor de texto, você pode formatar automaticamente uma ou mais listas para o novo serviço usando a ferramenta de conversão fornecida pela McAfee. A ferramenta de conversão possui os benefícios a seguir.
• Formatação: a ferramenta de conversão formata os arquivos .csv exportados para que as listas de políticas atendam aos requisitos de formatação do novo serviço.
• Mescla de várias listas: usando a ferramenta de conversão, você pode mesclar duas ou mais listas facilmente. Durante a mescla de listas, a ferramenta remove entradas duplicadas.
• Validação — A ferramenta de conversão verifica se as entradas da lista são nomes de domínio totalmente qualificados ou endereços IPv6 ou IPv4 válidos.
Mescla de listas de política: exemplo
Ao migrar listas de políticas do Control Console para o console de gerenciamento, você poderá consolidá-las.
Por exemplo, você poderá consolidar as listas de sites confiáveis na guia Categoria no Control Console em todas as políticas em uma lista branca de URLs. Em seguida, no console de gerenciamento, você poderá importar a lista consolidada como a Lista branca de URLs da categoria da Web.
Use a ferramenta de conversão para migrar listas de políticas
Use a ferramenta de conversão para formatar, mesclar e validar listas de políticas para o novo serviço.
Antes de iniciar
No Control Console, exporte todas as listas de política para arquivos .csv que você deseja importar usando o console de gerenciamento.
Salve os arquivos .csv em uma pasta de fácil acesso.
Tarefa
1 Para abrir a ferramenta de conversão, clique neste link: contentsecurity.mcafee.com/migration-tools.
2 Role a tela para baixo, clique em Procurar e navegue para a pasta em que se encontram os arquivos .csv que você deseja converter.
3 Selecione arquivos para converter e clique em Abrir.
Quando vários arquivos são selecionados, eles são mesclados pela ferramenta de conversão, que remove
3
Migração de políticasMigração de listas de políticas
4 Na ferramenta de conversão, clique em Converter arquivos.
5 Na caixa de diálogo Abrindo o migrated-list.csv, clique em Salvar arquivo.
6 Especifique um nome de arquivo significativo e clique em Salvar.
O arquivo .csv é salvo com um novo formato de duas colunas e uma nova linha de cabeçalho.
Organização de listas de sites confiáveis
Organize os sites confiáveis em listas de acordo com as listas brancas de URLs que deseja configurar no Navegador de políticas. A partir dessas listas, crie arquivos .csv e importe-os para o Navegador de políticas.
Por padrão, o Navegador de políticas tem menos listas brancas de URLs para configurar e manter. Comece configurando uma lista branca de URLs para cada área de configuração e opção de política que planeje usar.
Por exemplo, na área Reputação na Web, você pode configurar uma lista branca de URLs para a opção de política restritiva e outra para a opção permissiva.
O Navegador de políticas vem configurado com as regras de lista branca de URLs para as opções de política e áreas de configuração a seguir. As listas brancas estão vazias e prontas para você configurar. Exceto na área da Reputação na Web, você pode criar e configurar regras de lista branca de URLs adicionais conforme necessário.
• Lista branca de URLs global • Proteção de acesso, Restritiva
• Reputação na Web, Restritiva • Proteção de acesso, Limitada
• Reputação na Web, Permissiva • Proteção de acesso, Permissiva
• Antimalware, Básico • Tipo de mídia, Restritivo
• Categoria na Web, Restritiva • Tipo de mídia, Limitado
• Categoria da Web, Limitada • Tipo de mídia, Permissivo
• Categoria da Web, Permissiva • Mecanismo de varredura SSL, Básico
• Categoria da Web, Muito permissiva
A organização de sites confiáveis em listas para o Navegador de políticas requer uma visão diferente de listas de políticas. Em vez de configurar sites confiáveis para cada grupo de usuários, pense na área de configuração e opção de política. Por exemplo, quais URLs você deseja que o filtro da Reputação na Web ignore quando a opção de política restritiva é selecionada? A opção de política permissiva está selecionada?
Migração de configurações de permissão e negação
Para migrar configurações de permissão e negação, você pode começar com a configuração de uma regra para cada área e opção de política. Por exemplo, você pode configurar uma regra para uma política restritiva e uma regra para uma política permissiva para a área Proteção de acesso.
Em vez de configurar várias regras separadas para cada área de Categoria da Web, Proteção de acesso e Tipo de mídia, você poderá começar configurando uma regra para cada área e opção de política que planejar usar. Você poderá adicionar e aprimorar as regras posteriormente.
No exemplo a seguir, as configurações da guia Categoria no Control Console estão definidas na área Filtro de categorias da Web no Navegador de políticas.
Para exibir as categorias no Control Console, selecione a guia Categoria e clique em Expandir tudo. As categorias, como Negócios/serviços e Drogas, são os nomes de listas e regras do Navegador de políticas.
Migração de políticas
Organização de listas de sites confiáveis
3
No Navegador de políticas, crie uma lista e regra para todas as categorias que desejar bloquear. Configure a regra com a ação Bloquear. Embora essa regra se aplique a toda a organização, você poderá adicionar exceções a ela.
No Navegador de políticas, siga estas etapas:
1 Expanda a área Filtro de categorias da Web, selecione uma opção de política e clique em uma regra.
2 Clique no ícone do menu Navegador de políticas.
3 Na lista suspensa, selecione Nova regra de categoria da Web. 4 Clique no ícone de menu Catálogo e em Nova lista.
5 Especifique um nome para a lista e, usando o campo Pesquisar para localizar as categorias que deseja bloquear, adicione cada uma à lista.
6 Clique em Salvar.
A nova lista será adicionada à lista de categorias da Web.
7 Selecione a nova lista e adicione-a ao painel Detalhes da regra.
8 No painel Detalhes da regra, clique no ícone de edição, defina a ação de regra principal como Bloquear e clique em Salvar.
A nova lista será adicionada à área Filtro de categorias da Web como regra.
9 (Opcional) Adicione um ou mais grupos de usuários que terão permissão para acessar as categorias da Web bloqueadas.
3
Migração de políticasMigração de configurações de permissão e negação
4 Configuração da autenticação
Para cada método de autenticação, mostramos um exemplo das etapas de configuração que você pode usar para distribuir a nova política de forma gradual.
A tabela a seguir mostra quais métodos de autenticação recebem suporte no console de gerenciamento e onde estão configurados.
Tabela 4-1 Métodos de autenticação com suporte Método de autenticação Compatível no
Control Console Compatível no
McAfee ePO Cloud Quando configurado no McAfee ePO Cloud
Client Proxy sim sim Política | Catálogo de políticas
Faixa de endereços IP sim sim Proteção na Web | Configurações de
autenticação
SAML 2.0 não sim
Usuário explícito sim não n/d
Se estiver usando a autenticação de usuário explícita no Control Console, configure outro método de
autenticação no McAfee ePO Cloud. Além da autenticação da faixa de endereços IP e do Client Proxy, você tem a opção de configurar a autenticação do SAML 2.0.
Conteúdo
Quando a nova política é aplicada
Distribuição da nova política com a autenticação do Client Proxy Distribuição da nova política com a autenticação da faixa de IP Distribuição da nova política com a autenticação SAML
Quando a nova política é aplicada
A nova política é aplicada quando o resultado da autenticação inclui a nova ID de cliente.
O serviço de back-end em nuvem processa solicitações da Web desta forma:
1 O serviço autentica o usuário e, por meio do processo de autenticação, identifica o cliente.
2 Se a ID do cliente for a antiga ID, o serviço aplicará as políticas legadas. Se a ID do cliente for a nova ID, o serviço aplicará as novas políticas.
O momento em que a nova política será aplicada dependerá do método de autenticação. Por esse motivo, recomendamos um caminho de migração diferente para cada método.
4
Método de
autenticação A nova política é aplicada quando...
Faixa de IP Uma ou mais faixas de IP são configuradas no McAfee ePO Cloud e um usuário envia uma solicitação da Web de uma das faixas configuradas.
SAML 2.0 A autenticação SAML é configurada, e um usuário envia uma solicitação da Web para a nova porta de serviço SAML: 8084.
Client Proxy 1 A senha compartilhada é redefinida no McAfee ePO ou no McAfee ePO Cloud.
2 A nova política do Client Proxy é distribuída aos pontos de extremidade gerenciados em sua organização.
3 O usuário envia uma solicitação da Web de um desses pontos de extremidade.
Distribuição da nova política com a autenticação do Client Proxy
Você pode configurar a autenticação do Client Proxy com o McAfee ePO ou o McAfee ePO Cloud.
A nova política é mencionada como a nova política de serviço de nuvem para diferenciá-la da política do Client Proxy.
Como a autenticação do Client Proxy é configurada
O novo serviço oferece suporte a distribuição do Client Proxy com o McAfee ePO ou o McAfee ePO Cloud.
Se você estiver usando... É possível...
Autenticação explícita configurada no Control Console
Crie uma política do Client Proxy desde o início com o McAfee ePO ou o McAfee ePO Cloud.
Autenticação do Client Proxy configurada no Control Console
Configure a política do Client Proxy com o McAfee ePO ou com o McAfee ePO Cloud.
Autenticação do Client Proxy
configurada no McAfee ePO Configure a política do Client Proxy com o McAfee ePO ou com o McAfee ePO Cloud.
Se estiver usando o McAfee ePO, você deverá atualizar as configurações a seguir na sua política existente:
• Servidores proxy — Adicione o proxy específico do cliente ao topo da lista.
• ID de cliente exclusiva — Especifique a sua nova ID de cliente.
• Senha compartilhada — Redefina a sua senha compartilhada.
Aplicação da nova política de serviço de nuvem
Quando o software Client Proxy redireciona solicitações da Web para o serviço de nuvem, as solicitações incluem a ID do cliente. Se a ID do cliente for a nova ID, o serviço de nuvem aplica a nova política de serviço de nuvem.
Distribuição gradual da nova política com o Client Proxy
Ao configurar a autenticação do Client Proxy com o McAfee ePO ou o McAfee ePO Cloud, você pode distribuir a nova política de serviço de nuvem gradualmente.
Prática recomendada: para distribuir a nova política de serviço de nuvem de forma gradual, siga estas etapas.
4
Configuração da autenticaçãoDistribuição da nova política com a autenticação do Client Proxy
Tarefa
1 No menu principal, selecione Política | Catálogo de políticas.
2 No Catálogo de políticas, configure e salve a política do Client Proxy.
3 No menu principal, selecione Sistemas | Árvore de sistemas.
4 Na Árvore de sistemas, selecione um ou mais grupos na organização onde deseja testar a nova política de serviço de nuvem. Se necessário, configure um grupo de teste para essa finalidade.
5 Na guia Políticas atribuídas, atribua a política aos grupos selecionados.
6 Na guia Tarefas do cliente atribuídas, agende a distribuição da política.
Aguarde a política do Client Proxy ser atualizada nos pontos de extremidade e a senha ser compartilhada com o McAfee WGCS. Após a conclusão dessas etapas, a nova política de serviço de nuvem será aplicada.
7 Quando estiver satisfeito com o funcionamento da nova política de serviço de nuvem, você poderá distribuir a política do Client Proxy em toda a organização.
Distribuição da nova política com a autenticação da faixa de IP
Você pode distribuir a nova política gradualmente ao configurar a autenticação da faixa de IP.
Faixas de endereços IP são armazenadas em um banco de dados e somente podem ser usadas por um cliente.
Tanto como cliente existente com uma ID e um novo cliente com outra ID, você deve migrar as faixas de endereço IP que deseja usar do Control Console para o console de gerenciamento. Antes de adicionar uma faixa de endereços IP à configuração no console de gerenciamento, você deve removê-la da configuração no Control Console.
Quando você adiciona uma faixa de endereços IP à nova lista no console de gerenciamento, o serviço de nuvem aplica a nova política a solicitações provenientes dessa faixa de endereços IP. Como as faixas de endereço IP são armazenadas em cache, as políticas legadas podem ser aplicadas no lugar da nova política por até 24 horas.
Prática recomendada: distribua a nova política de forma gradual
Distribua a nova política de forma gradual ao configurar a autenticação da faixa de IP no console de gerenciamento, usando essas etapas como exemplo.
1 Prepare-se para configurar a nova política:
a No Control Console, exporte as listas de políticas para arquivos .csv.
b No console de gerenciamento, importe as listas de política dos arquivos .csv.
Aguarde para importar a lista de faixas de endereços IP.
2 Configure a nova política.
3 Teste a nova política com uma faixa de endereços IP:
a No Control Console, remova a faixa de endereços IP que deseja testar da lista de faixas configuradas.
b No console de gerenciamento, adicione essa faixa de endereços IP à Lista de faixas de IP.
c Solicite acesso à Web da faixa de endereços IP do teste para verificar se a nova política se aplica.
Configuração da autenticação
Distribuição da nova política com a autenticação da faixa de IP
4
4 Para testar a nova política com outros locais, migre as faixas de endereços IP correspondentes do Control Console para o console de gerenciamento.
5 Quando estiver satisfeito com o funcionamento da nova política, você poderá migrar as faixas de endereços IP restantes do Control Console para o console de gerenciamento.
A nova política é aplicada em toda a organização.
Distribuição da nova política com a autenticação SAML
Você pode distribuir a nova política gradualmente quando configurar a autenticação SAML.
Tarefas de configuração avançadas de SAML
A autenticação SAML exige estas tarefas de configuração avançadas:
1 Configure a autenticação SAML no provedor de identidade.
2 Configure a autenticação SAML no McAfee ePO Cloud.
3 Configure a varredura SSL no McAfee ePO Cloud.
4 Defina a configuração do servidor proxy nos navegadores dos pontos de extremidade na sua organização desta forma:
c<id_do_cliente>.saasprotection.com:8084 Em que:
id_do_cliente: especifica a ID de cliente.
Saasprotection.com: especifica o nome de domínio do novo serviço de nuvem.
8084: especifica o número da porta do serviço SAML de nuvem.
Somente atualize a configuração do servidor proxy nos navegadores do ponto de extremidade quando estiver pronto para testar e distribuir a nova política.
Aplicação da nova política
Ao configurar a autenticação SAML no console de gerenciamento, você especificará os nomes de domínio que identificam a sua organização. Para identificar o cliente, o serviço SAML extrai o nome de domínio do endereço de e-mail do usuário e compara-o com os nomes fornecidos por você. Quando há correspondência, o serviço aplica a nova política.
Prática recomendada: distribua a nova política de forma gradual
Após concluir as tarefas de configuração de 1 a 3, você poderá testar e distribuir a nova política. Para distribuir a política de forma gradual, atualize a configuração do servidor proxy para o serviço SAML nos navegadores em um número limitado de pontos de extremidade gerenciados. Teste a nova política usando estes pontos de extremidade primeiro. Continue a atualização da definição do servidor proxy nos navegadores dos pontos de extremidade e o teste da nova política até que fique satisfeito com seu funcionamento. Quando a definição do servidor proxy é atualizada nos navegadores em todos os pontos de extremidade gerenciados, a nova política é aplicada em toda a organização.
4
Configuração da autenticaçãoDistribuição da nova política com a autenticação SAML
5 Migração de uma distribuição híbrida
Em uma distribuição híbrida, o Web Gateway e o McAfee WGCS são distribuídos juntos.
A política do Web Protection é configurada na interface do Web Gateway e enviada por push para o McAfee WGCS no intervalo de sincronização especificado. Juntos, os componentes locais e de nuvem protegem a organização das ameaças que podem surgir quando usuários acessam a Web por dentro ou fora da rede.
Os componentes da solução híbrida incluem:
• Web Gateway — Este appliance baseado em hardware ou virtual é instalado localmente na rede da sua organização. O appliance local protege sua rede contra ameaças que podem surgir quando os usuários acessam a Web por dentro da rede. O appliance tem sua própria interface, onde os administradores gerenciam o produto.
• McAfee WGCS — Este serviço de nuvem protege sua rede contra ameaças que podem surgir quando os usuários acessam a Web por dentro ou fora da rede. O serviço é gerenciado com o McAfee ePO Cloud.
• Client Proxy: esse software, quando instalado em pontos de extremidade gerenciados, identifica o local do usuário e permite ou redireciona o tráfego de rede da seguinte maneira:
• Dentro da rede ou conectado à rede por VPN: o Client Proxy permite que o tráfego de rede prossiga para o Web Gateway para filtragem.
• Fora da rede: o Client Proxy redireciona o tráfego de rede para o McAfee WGCS para filtragem.
O Client Proxy pode ser gerenciado com McAfee ePO, McAfee ePO Cloud, ou ambos, dependendo da configuração.
• Content Security Reporter: esta extensão, gerenciada com o McAfee ePO, permite que você exiba o o tráfego da Web e as tendências de uso consolidadas nos logs do Web Gateway e do McAfee WGCS.
• McAfee ePO: esta plataforma de gerenciamento, que é instalada em sua rede, permite que você gerencie o Client Proxy e o Content Security Reporter.
• McAfee ePO Cloud: esta plataforma de gerenciamento baseada em nuvem permite que você gerencie o McAfee WGCS e o Client Proxy.
Conteúdo
Introdução à distribuição híbrida
Tarefas de migração para uma distribuição híbrida
Introdução à distribuição híbrida
Para iniciar uma distribuição híbrida, você precisa das suas credenciais do McAfee ePO Cloud e da sua ID do cliente.
Siga as mesmas etapas iniciais da distribuição apenas em nuvem. Ao entrar no McAfee ePO Cloud pela primeira vez, você criará uma conta. O endereço de e-mail e a senha que você fornecer serão as suas credenciais do McAfee ePO Cloud. Salve-os para uso futuro.
5
Para exibir a sua ID do cliente, localize a página de introdução da Web Protection. Salve a sua ID para usá-la posteriormente.
Tarefas de migração para uma distribuição híbrida
Crie uma política do Client Proxy para o novo serviço, configure uma distribuição híbrida em um ambiente de pré-produção, teste a configuração híbrida e distribua-a no ambiente de produção.
Essas tarefas de migração consideram que você gerencia o Client Proxy com o McAfee ePO.
As tarefas a seguir configuram a sincronização entre os componentes híbridos: Web Gateway, McAfee WGCS, Client Proxy, McAfee ePO e McAfee ePO Cloud.
1 Usando o console de gerenciamento do McAfee ePO Cloud, crie uma política do Client Proxy para o novo serviço. Exporte as credenciais para um arquivo .xml. Salve esse arquivo para importação ao criar a política do Client Proxy com o McAfee ePO.
2 Configure uma instância do Web Gateway em um ambiente de pré-produção com uma configuração de produção. Defina as configurações híbridas e envie manualmente por push a política do Web Gateway para o McAfee WGCS. Como resultado dessa tarefa, o Web Gateway é sincronizado com o McAfee WGCS.
3 Usando o console de gerenciamento do McAfee ePO, crie uma política do Client Proxy para o novo serviço.
Importe as credenciais do arquivo .xml salvas por você. Essa tarefa permite a sincronização do software do Client Proxy instalado na sua rede com o McAfee WGCS e o McAfee ePO Cloud.
4 Teste a configuração híbrida no ambiente de pré-produção e distribua-a no ambiente de produção.
Criação de uma política do Client Proxy com o McAfee ePO Cloud
No console de gerenciamento do McAfee ePO Cloud, crie uma política do Client Proxy para o novo serviço.
Você criará a política com uma nova senha compartilhada e exportará as suas credenciais do Client Proxy para um arquivo .xml. Esse arquivo contém a senha compartilhada e a ID de cliente. Depois você poderá importar as credenciais do arquivo ao configurar a política com o McAfee ePO.
Tarefa
1 No menu principal do McAfee ePO Cloud, selecione Política | Catálogo de políticas.
2 Na lista suspensa Produto, selecione a versão atual do McAfee Client Proxy.
3 Para criar uma política, duplique a política McAfee Default, especifique um nome para a nova política e clique em OK.
A política será adicionada à lista de políticas.
4 Para configurar a política do novo serviço, clique no nome da política na lista de políticas.
5 Na janela Servidores proxy, especifique o proxy específico do cliente na página de introdução Proteção na Web para o Endereço do servidor proxy.
6 Na janela Configuração de cliente, especifique uma nova Senha compartilhada.
7 Exporte as suas credenciais de cliente para um arquivo .xml e salve o arquivo para uso futuro.
8 Defina outras configurações conforme necessário e salve a política.
5
Migração de uma distribuição híbrida Tarefas de migração para uma distribuição híbridaConfigurar o Web Gateway em um ambiente de pré-produção
Depois de configurar uma instância do Web Gateway em um ambiente de pré-produção, defina as configurações híbridas, ative os conjuntos de regras você quer sincronizar com a nuvem e envie por push manualmente a política para a nuvem.
Antes de iniciar
Usando o recurso de backup e restauração do Web Gateway, faça backup da configuração de produção para um arquivo e restaure-o na instância de pré-produção. Ao restaurar a configuração, restaure somente a política.
Para localizar esse recurso, selecione Solução de problemas e Backup/restauração abaixo no nome do appliance.
Quando o Web Gateway e o McAfee WGCS são distribuídos com o uso de uma configuração híbrida, a política de proteção na Web é configurada usando o Web Gateway. A política é enviada por push para a nuvem no intervalo de sincronização especificado. Para fins de teste e validação, envie manualmente por push a política para a nuvem.
Você pode verificar se o McAfee WGCS está sincronizado com o Web Gateway. No menu do McAfee ePO Cloud, selecione Política | Política da Web. O Navegador de políticas abrirá uma nova mensagem de Política não disponível, fornecendo informações sobre a sincronização híbrida.
No ambiente de pré-produção:
Tarefa
1 Defina configurações híbridas e ative a sincronização híbrida:
a Na interface do Web Gateway, selecione Configuração | Appliances.
b Na ramificação do Cluster da árvore de appliances, clique em Híbrida da Web. As configurações híbridas abertas no painel de configuração.
c Defina as configurações conforme o necessário.
2 Ative os conjuntos de regras que você deseja sincronizar com a nuvem:
a Na interface do Web Gateway, selecione Política | Conjuntos de regras.
b Selecione cada conjunto de regra que você deseja sincronizar com o McAfee WGCS e, em seguida, selecione Ativar na nuvem.
c Clique em Salvar alterações.
3 Envie a política por push manualmente para a nuvem.
a Na interface do Web Gateway, selecione Solução de problemas, sob o nome do appliance, selecione Sincronização com a nuvem.
b No painel Sincronização com a nuvem, clique em Sincronizar.
Configurações híbridas
Quando configuradas, as configurações híbridas permitem que o Web Gateway conecte-se e comunique-se com o McAfee WGCS.
Sincronização híbrida
A política de Web Gateway é sincronizada com o McAfee WGCS no intervalo especificado por você nas configurações híbridas. Você também pode executar a sincronização manualmente. A sincronização manual não afeta o intervalo de sincronização ou o agendamento, que continua como antes.
Migração de uma distribuição híbrida
Tarefas de migração para uma distribuição híbrida
5
Definindo as configurações híbridas
As configurações híbridas permitem que você configure a sincronização sem um servidor proxy.
Tabela 5-1 Configuração Híbrida da Web
Opção Definição
Sincronização da política com a
nuvem Quando selecionada, essa opção permite que você defina a configuração
Híbrida da Web e ativa a solução híbrida.
Appliance para sincronização Na lista suspensa, selecione o appliance do Web Gateway cuja política que você quer que seja sincronizada com o McAfee WGCS.
Se você estiver executando vários appliances em um cluster de
Gerenciamento central, essa configuração assegura que a política do McAfee WGCS seja sempre sincronizada com o mesmo appliance.
Endereço na nuvem Especifica o endereço que o Web Gateway usa para comunicar-se com o McAfee WGCS.
Valor: https://msg.mcafeesaas.com Nome da conta do administrador de
nuvem Especifica o seu nome de usuário do McAfee ePO Cloud.
Senha da conta do administrador
de nuvem Especifica a sua senha do McAfee ePO Cloud.
Para alterar a senha, clique em Definir e, em seguida, digite a nova senha e clique em OK.
ID do cliente Especifica a sua ID de cliente do McAfee WGCS.
O upload das alterações de política locais será feito no mesmo intervalo definido abaixo
Especifica o intervalo de sincronização.
Padrão: 15 minutos (recomendado) Intervalo: 10 a 60 minutos
Definição das configurações híbridas avançadas
As configurações híbridas avançadas permitem que você adicione um servidor proxy à configuração.
Tabela 5-2 Configurações de sincronização avançadas
Opção Definição
Verificação de certificado de
servidor em conexões SSL Quando selecionada, a Web Gateway verifica o certificado de servidor proxy para conexões SSL.
Use um proxy para
sincronização Quando selecionada, permite que você defina as configurações do servidor proxy. Quando as configurações são definidas, a política do Web Gateway é enviada por push para o McAfee WGCS por meio do servidor proxy.
Host do proxy Especifica o endereço IP ou nome de host do serviço que é usado como um proxy.
Porta do proxy Especifica o número da porta do servidor proxy que verifica se há solicitações do Web Gateway para transferir os dados de sincronização.
Padrão: 8080
Usuário do proxy Especifica o nome de usuário que o Web Gateway envia para o servidor proxy ao transferir dados de sincronização.
Senha do proxy Especifica a senha que o Web Gateway envia para o servidor proxy ao transferir dados de sincronização.
Para alterar a senha, clique em Definir e, em seguida, digite a nova senha e clique em OK.
5
Migração de uma distribuição híbrida Tarefas de migração para uma distribuição híbridaCriação de uma política do Client Proxy com o McAfee ePO
No console de gerenciamento do McAfee ePO, crie uma política do Client Proxy para o novo serviço.
Para configurar a ID de cliente exclusiva e a Senha compartilhada, importe o arquivo .xml que contém as credenciais que você exportou do McAfee ePO Cloud.
Tarefa
1 No menu principal do McAfee ePO, selecione Política | Catálogo de políticas. 2 Na lista suspensa Produto, selecione a versão atual do McAfee Client Proxy.
3 Para criar uma política, duplique a política McAfee Default, especifique um nome para a nova política e clique em OK.
A política será adicionada à lista de políticas.
4 Para configurar a política do novo serviço, clique no nome da política na lista de políticas.
As Configurações do Client Proxy serão abertas.
5 Na janela Servidores proxy, especifique o proxy do cliente na página de introdução do Endereço do servidor proxy.
6 Na janela Configuração de cliente, importe o arquivo .xml que você exportou do McAfee ePO Cloud. Esse arquivo contém sua ID do cliente e senha compartilhada.
7 Defina outras configurações conforme necessário e salve a política.
Teste e distribuição da configuração híbrida
Depois de testar a configuração híbrida em um ambiente de pré-produção, você poderá distribuí-la no ambiente de produção.
Após definir uma configuração híbrida, você pode distribuí-la atribuindo a nova política do Client Proxy aos pontos de extremidade gerenciados. Os pontos de extremidade podem ser alguns computadores gerenciados em um ambiente de pré-produção ou os computadores gerenciados de toda a organização em um ambiente de produção.
Aguarde a política do Client Proxy ser atualizada nos pontos de extremidade e a senha ser compartilhada com o McAfee WGCS. Após a conclusão dessas etapas, a nova política de serviço de nuvem será aplicada.
Teste da configuração híbrida em um ambiente de pré-produção
Distribua a configuração híbrida em um ambiente de pré-produção.1 Usando o McAfee ePO, atribua a nova política do Client Proxy aos pontos de extremidade gerenciados que você usa para testar a configuração híbrida.
2 Quando um usuário envia uma solicitação na Web de um desses pontos de extremidade, a política do novo Client Proxy é aplicada.
3 Se a solicitação da Web é realizada de um ponto de extremidade localizado fora da rede, o Client Proxy direciona a solicitação para o McAfee WGCS.
4 Como a solicitação inclui a sua nova ID de cliente, o serviço de nuvem aplica a nova política de serviço de nuvem.
Distribuição da configuração híbrida em um ambiente de produção
Terminado o teste, distribua a configuração híbrida no ambiente de produção.Migração de uma distribuição híbrida
Tarefas de migração para uma distribuição híbrida
5
1 No ambiente de pré-produção, desative a sincronização híbrida. Essa configuração se encontra na interface do Web Gateway.
2 No ambiente de produção, ative a sincronização híbrida e defina as configurações híbridas. Essas configurações se encontram na interface do Web Gateway.
3 Usando o McAfee ePO, atribua a nova política do Client Proxy aos pontos de extremidade gerenciados na sua organização.
As novas políticas de nuvem e do Client Proxy serão aplicadas na sua organização.
