Guia de migração
McAfee Web Gateway Cloud Service
McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service
Para uso com McAfee ePolicy Orchestrator Cloud
COPYRIGHT
© 2017 Intel Corporation
ATRIBUIÇÕES DE MARCAS COMERCIAIS
Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee, o logotipo da McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource e VirusScan são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros.
INFORMAÇÕES SOBRE LICENÇA Contrato de licença
AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃO DEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO SAIBA O TIPO DE LICENÇA QUE VOCÊ ADQUIRIU, CONSULTE A DOCUMENTAÇÃO RELACIONADA À COMPRA E VENDA OU À CONCESSÃO DE LICENÇA, INCLUÍDA NO PACOTE DO SOFTWARE OU FORNECIDA SEPARADAMENTE (POR EXEMPLO, UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL O PACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE VOCÊ NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À McAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER REEMBOLSO TOTAL.
Conteúdo
Prefácio 5
Sobre este guia . . . 5
Público-alvo . . . 5
Convenções . . . 5
Localizar a documentação do produto . . . 6
1 Visão geral da migração 7 Novo nome do produto . . . 7
Benefícios da plataforma Serviços de nuvem . . . 7
Diferenças entre o novo serviço e o serviço legado . . . 8
Configuração dos produtos na ordem recomendada . . . 9
Tarefas de migração de alto nível . . . 10
2 Introdução 11 Antes da ativação do novo serviço . . . 11
Após a ativação do novo serviço . . . 11
Entrar no McAfee ePO Cloud . . . 12
Gerenciamento do Client Proxy com McAfee ePO ou McAfee ePO Cloud . . . 12
Configuração de redirecionamento com Client Proxy . . . 13
Documentação de produtos e artigos da base de conhecimentos . . . 14
Links úteis . . . 14
3 Migração de políticas 17 Interface do usuário do Gerenciamento de políticas . . . 17
Navegador de políticas . . . 17
Áreas de configuração de política . . . 17
Ordem das regras . . . 19
Listas negras e brancas de URLs . . . 19
Grupos de usuários . . . 19
Uso das opções de políticas padrão . . . 20
Migração de listas de políticas . . . 20
Formatação de listas de políticas para o novo serviço . . . 20
Benefícios do uso da ferramenta de conversão . . . 22
Use a ferramenta de conversão ao migrar listas de políticas . . . 23
Organização de listas de sites confiáveis . . . 23
Configurações de permissão e negação de migração . . . 24
4 Configuração da autenticação 27 Métodos de autenticação com suporte . . . 27
O momento em que a nova política será aplicada dependerá do método de autenticação . . . 27
Distribuição da nova política com a autenticação do Client Proxy . . . 28
Distribuição da nova política com a autenticação da faixa de IP . . . 29
Distribuição da nova política com a autenticação SAML . . . 30
5 Migração de uma distribuição híbrida 31
O que é uma distribuição híbrida? . . . 31
Introdução à distribuição híbrida . . . 31
Tarefas de migração para uma distribuição híbrida . . . 32
Criar uma política do Client Proxy usando o McAfee ePO Cloud . . . 32
Configure o Web Gateway em um ambiente de pré-produção . . . 33
Criar uma nova política do Client Proxy usando o McAfee ePO . . . 34
Testar e distribuir a configuração híbrida . . . 34
Índice 37
Conteúdo
Prefácio
Este guia fornece todas as informações necessárias para que você possa trabalhar com seu produto McAfee.
Conteúdo
Sobre este guia
Localizar a documentação do produto
Sobre este guia
Estas informações descrevem o público-alvo do guia, as convenções tipográficas e os ícones usados neste guia, além de como o guia é organizado.
Público-alvo
McAfee é cuidadosamente pesquisada e escrita tendo em vista o seu público-alvo.
A informação contida neste guia destina-se principalmente a:
• Administradores: Pessoas responsáveis pela implementação e imposição do programa de segurança da empresa.
Convenções
Este guia usa as seguintes convenções tipográficas e ícones.
Itálico Título de um livro, capítulo ou tópico; um novo termo; ênfase Negrito Texto enfatizado
Monoespaçada Comandos e outros textos que o usuário digita; uma amostra de código; uma mensagem exibida
Narrow Bold Palavras da interface do usuário, como opções, menus, botões e caixas de diálogo Hipertexto azul Um link para um tópico ou para um site externo
Observação: informações adicionais que enfatizam um argumento, lembram o leitor de algo, ou fornecem um método alternativo
Dica: boas práticas
Cuidado: informações úteis para proteger o sistema de computador, instalação de software, rede, empresa ou dados
Aviso: informações críticas para impedir dano físico durante a utilização de um produto de hardware
Localizar a documentação do produto
No ServicePortal, você encontra informações sobre um produto lançado, incluindo a documentação do produto, artigos técnicos e muito mais.
Tarefa
1 Acesse o ServicePortal em https://support.mcafee.com e clique na guia Centro de conhecimento.
2 No painel Base de dados de conhecimento, em Fonte de conteúdo, clique em Documentação do produto.
3 Insira um produto e a versão, e clique em Pesquisar para exibir uma lista de documentos.
Prefácio
Localizar a documentação do produto
1 Visão geral da migração
Este guia se destina a clientes do McAfee® Web Gateway Cloud Service (McAfee® WGCS), que estão migrando da interface do usuário do Control Console para a plataforma de gerenciamento do McAfee® ePolicy Orchestrator® Cloud (McAfee® ePO™ Cloud). Novos clientes e clientes híbridos, que usam o McAfee WGCS com o McAfee® Web Gateway em uma solução integrada, também podem usar esse guia como referência.
Conteúdo
Novo nome do produto
Benefícios da plataforma Serviços de nuvem Diferenças entre o novo serviço e o serviço legado Configuração dos produtos na ordem recomendada Tarefas de migração de alto nível
Novo nome do produto
O nome McAfee® SaaS Web Protection está mudando para McAfee Web Gateway Cloud Service.
Neste guia, os seguintes termos são usados para se referir aos produtos.
• Serviço legado — Refere-se à proteção na Web SaaS.
• Novo serviço — Refere-se ao McAfee WGCS.
• Serviço em nuvem — Refere-se ao serviço legado, o novo serviço ou ambos.
• Control Console — Refere-se à interface do usuário da proteção na Web SaaS legada.
• Console de gerenciamento — Refere-se à nova interface do usuário do McAfee WGCS.
Benefícios da plataforma Serviços de nuvem
Quando migrar para o novo serviço, você será beneficiado com toda a funcionalidade e flexibilidade que a plataforma de Serviços de nuvem oferece.
O novo serviço é oferecido com o uso da plataforma de Serviços de nuvem, que consiste em nós distribuídos globalmente chamados de pontos de presença (PoP). O Global Routing Manager (GRM) é um serviço DNS responsável pelo roteamento de tráfego inteligente, compartilhamento de carga e failover. O GRM roteia o tráfego para o melhor ponto de presença disponível.
1
Para exibir um mapa das localizações dos Serviços de nuvem e também as informações de suporte, instalação e status, visite: trust.mcafee.com.
Diferenças entre o novo serviço e o serviço legado
O novo serviço apresenta um novo modelo de política, plataforma de gerenciamento e interface do usuário. O novo serviço também oferece um conjunto de recursos diferente do serviço legado.
Novo modelo de política
O novo modelo de política é baseado em uma política que é aplicada globalmente com todos os usuários e grupos da organização. Para personalizar o aplicativo da política com usuários ou grupos específicos, configure exceções às regras que compõem a política.
Nova plataforma de gerenciamento e interface do usuário
O novo serviço é fornecido com o uso do console e da plataforma de gerenciamento do McAfee ePO Cloud. O console de gerenciamento substitui o Control Console desta forma:
• O novo serviço é configurado com o uso do console de gerenciamento.
• Instâncias do McAfee® Client Proxy baseadas em nuvem são configuradas usando o console de gerenciamento.
Recursos com suporte
Nesta tabela, você pode comparar os recursos suportados no console de gerenciamento do McAfee ePO Cloud com os recursos suportados no Control Console.
Tabela 1-1 Control Console versus McAfee ePO Cloud
Recursos Control Console McAfee ePO Cloud
McAfee Global Threat Intelligence
Filtragem de URL Sim Sim
Reputação de sites Sim Sim
Gateway Anti-Malware Engine
Tecnologia antivírus baseada em assinatura Sim Sim
Tecnologia de emulação de comportamento Sim Sim
Catálogos de filtragem da Web
Categoria da Web Sim Sim
Aplicativo Web Sim Sim
Tipo de mídia Sim Sim
Autenticação
McAfee® Client Proxy Sim Sim
Faixa de endereços IP Sim Sim
SAML 2.0 Não Sim
VPN Ipsec Não Sim
Usuário explícito Sim Não
1
Visão geral da migraçãoDiferenças entre o novo serviço e o serviço legado
Tabela 1-1 Control Console versus McAfee ePO Cloud (continuação)
Recursos Control Console McAfee ePO Cloud
Criação de grupo de usuários local Sim Sim
Relatórios
Relatórios e perícia do Control Console Sim Não
Consultas e relatórios do McAfee ePO Cloud Não Sim
Outros recursos
Varredura SSL Sim Sim
IPsec em dispositivos móveis Sim Não
Para obter mais informações sobre relatórios, consulte o Guia do produto do McAfee ePolicy Orchestrator Cloud.
Configuração dos produtos na ordem recomendada
O McAfee WGCS funciona com o McAfee ePO Cloud e o McAfee Client Proxy. Recomendamos configurar esses produtos na seguinte ordem.
1 McAfee ePO Cloud — Esta plataforma de nuvem apresenta um console de gerenciamento no qual você pode gerenciar as políticas, a autenticação e a geração de relatórios do McAfee WGCS e do Client Proxy. Depois de configurar uma conta no McAfee ePO Cloud, você poderá usar o console de gerenciamento para instalar os outros produtos.
Para obter mais informações, consulte o Guia do produto do McAfee ePolicy Orchestrator Cloud.
Você também poderá instalar e gerenciar o Client Proxy usando o McAfee ePO no local. Para obter mais informações, consulte o Guia do produto do McAfee ePolicy Orchestrator.
2 McAfee WGCS — A McAfee hospeda e atualiza esse serviço na nuvem. Como o McAfee WGCS é um serviço de nuvem, não é necessário instalar ou fazer upgrade do software. Para acessar o console de gerenciamento, você precisará da senha e do endereço de e-mail que forneceu quando criou a conta da McAfee.
3 McAfee Client Proxy — A instalação dependerá do que você estiver usando: o McAfee ePO ou o McAfee ePO Cloud. Nas duas plataformas de gerenciamento, a instalação inclui a distribuição do software cliente para os computadores do ponto de extremidade da sua organização, a
configuração de uma política do Client Proxy e o envio por push da política para o ponto de extremidade.
Para obter mais informações, consulte o Guia do produto McAfee Client Proxy para uso com o McAfee ePolicy Orchestrator ou o Guia do produto McAfee Client Proxy para uso com o McAfee ePolicy Orchestrator Cloud.
O McAfee WGCS também pode ser distribuído sem o Client Proxy.
Visão geral da migração
Configuração dos produtos na ordem recomendada
1
Tarefas de migração de alto nível
Para testar a nova política e distribuí-la gradualmente, realize estas tarefas de migração de alto nível na ordem especificada.
1 Assine o novo serviço, ative-o e entre no McAfee ePO Cloud. Navegue para a página de boas-vindas e salve a nova ID do cliente e o Proxy específico de cliente.
2 Configure a comunicação com o Client Proxy.
3 Configure a nova política.
4 Configure a autenticação.
5 Teste a nova política e distribua-a gradualmente.
Prática recomendada: configure a nova política antes da autenticação
No console de gerenciamento, configure a nova política antes de configurar a autenticação. Quando o usuário final é autenticado usando o método configurado por você no console de gerenciamento, a nova política é aplicada. Se a nova política ainda não estiver configurada, as configurações de política padrão do novo serviço serão aplicadas.
Em cada método de autenticação, mostramos as etapas que você pode seguir para distribuir a nova política de forma gradual.
Para obter informações sobre a migração de uma distribuição híbrida, consulte o capítulo: Migração de uma distribuição híbrida.
1
Visão geral da migraçãoTarefas de migração de alto nível
2 Introdução
A página de boas-vindas do McAfee ePO Cloud fornece as informações necessárias para integrar o McAfee WGCS com outros produtos, como o Client Proxy e o Web Gateway.
Conteúdo
Antes da ativação do novo serviço Após a ativação do novo serviço Entrar no McAfee ePO Cloud
Gerenciamento do Client Proxy com McAfee ePO ou McAfee ePO Cloud Configuração de redirecionamento com Client Proxy
Documentação de produtos e artigos da base de conhecimentos Links úteis
Antes da ativação do novo serviço
Analise as informações sobre a colocação de faixas de endereço IP na lista branca em seu firewall e uso de um prefixo de geolocalização.
Colocando faixas de endereços IP na lista branca de seu firewall
Se você estiver usando um firewall para restringir o acesso à Internet, configure o firewall para permitir o tráfego para todos os pontos de presença em sua área geográfica. Para obter uma lista completa de faixas de endereço IP em cada área, visite: trust.mcafee.com.
Utilização de um prefixo de geolocalização
Ao configurar o McAfee WGCS como o servidor proxy, você pode incluir um prefixo que especifique a localização geográfica que você deseja que o Global Routing Manager use durante o roteamento do tráfego. Para obter mais informações e casos de uso, consulte o artigo da Base de dados de conhecimento KB87631.
Após a ativação do novo serviço
Após a ativação do novo serviço, você continuará podendo executar políticas legadas e usar o Control Console.
Você poderá exibir o Control Console enquanto estiver configurando uma nova política no console de gerenciamento do McAfee ePO Cloud. E, como cliente do novo serviço, você será beneficiado com toda a funcionalidade e flexibilidade que a plataforma de Serviços de nuvem oferece.
2
Entrar no McAfee ePO Cloud
Assine o novo serviço e ative-o. Crie uma conta no McAfee ePO Cloud, entre e localize a página de boas-vindas.
Ao entrar no McAfee ePO Cloud pela primeira vez, você criará uma conta. O endereço de e-mail e a senha que você fornecer serão as suas credenciais do McAfee ePO Cloud. Se estiver migrando uma distribuição híbrida, você precisará desses dados ao atualizar a configuração híbrida para o novo serviço no Web Gateway.
A página de boas-vindas fornece estas informações:
• ID do cliente — Identifica o cliente de maneira exclusive no sistema.
• Proxy específico de cliente — Especifica o nome de domínio que outros produtos usam quando se conectam à sua instância do novo serviço.
O nome de domínio tem este formato: c<id_do_cliente>.saasprotection.com.
Exemplo: c12345678.saasprotection.com
Salve esses valores. O Client Proxy usa o proxy específico do cliente para conectar-se à sua instância do novo serviço. Clientes híbridos precisam da ID do cliente ao configurar a sincronização de política na interface de usuário do Web Gateway.
Tarefa
1 Assine o novo serviço.
Você receberá um e-mail de boas-vindas do sistema.
2 No e-mail de boas-vindas, clique no link Ativar.
3 Na página de ativação, insira o endereço de e-mail e a senha.
O serviço será ativado.
4 Para entrar no McAfee ePO Cloud, clique em manage.mcafee.com, insira o endereço de e-mail e senha que você forneceu na página de ativação.
O console de gerenciamento será aberto.
5 Clique no ícone de menu no canto superior esquerdo e selecione Web Protection | Introdução.
A página de boas-vindas será aberta.
Gerenciamento do Client Proxy com McAfee ePO ou McAfee ePO Cloud
O gerenciamento do Client Proxy depende da versão do McAfee ePO que você estiver usando: local ou na nuvem.
Gerenciamento do Client Proxy com o McAfee ePO
Se você planeja continuar gerenciando o Client Proxy com o uso do McAfee ePO ou se estiver gerenciando o Client Proxy com o uso do McAfee ePO pela primeira vez, sincronize a política com o McAfee ePO Cloud:
2
IntroduçãoEntrar no McAfee ePO Cloud1 Usando o McAfee ePO Cloud, crie uma política do Client Proxy para o novo serviço. Exporte para um arquivo .xml as credenciais que você configurou para a política.
2 Usando o McAfee ePO, crie uma política do Client Proxy para o novo serviço. Configure as credenciais importando-as do arquivo .xml criado por você.
Para obter mais informações, consulte o Guia do produto McAfee Client Proxy para uso com o McAfee ePolicy Orchestrator.
Gerenciamento do Client Proxy com o McAfee ePO Cloud
Se você planeja gerenciar o Client Proxy com o McAfee ePO Cloud, primeiro, instale uma nova instância do McAfee Agent:
1 Instale uma nova instância do McAfee Agent nos computadores dos usuários finais em sua organização da seguinte maneira:
• Usando o McAfee ePO Cloud, crie um URL de instalação.
• Envie o URL de instalação e as etapas aos usuários finais, que poderão, então, acessar o URL e concluir as etapas de instalação.
2 Usando o McAfee ePO Cloud, crie uma política do Client Proxy para o novo serviço.
Para obter mais informações, consulte o Guia de produto do McAfee Client Proxy para usá-lo com o McAfee ePolicy Orchestrator Cloud.
Configuração de redirecionamento com Client Proxy
Configure uma política do Client Proxy e atribua-a aos computadores dos usuários finais da
organização. Quando a senha compartilhada é sincronizada com o McAfee WGCS, a política entra em vigor e o Client Proxy começa a redirecionar o tráfego da rede para o McAfee WGCS.
No console de gerenciamento do McAfee ePO ou McAfee ePO Cloud:
1 Defina uma política do Client Proxy, incluindo as configurações a seguir.
a Endereço do servidor proxy — Para configurar o McAfee WGCS como servidor proxy, especifique o Proxy específico de cliente na página de boas-vindas como o endereço do servidor proxy.
b ID de cliente exclusiva — (somente McAfee ePO) Especifique a ID de cliente.
c Senha compartilhada — Especifique a senha compartilhada que o Client Proxy e o McAfee WGCS usam para comunicação.
d Redirecionamento de tráfego — Defina essa configuração de acordo com o tipo de distribuição do McAfee WGCS: apenas em nuvem ou solução híbrida. Em uma distribuição apenas em nuvem, o Client Proxy sempre redireciona o tráfego em rede para o McAfee WGCS filtrar. Em uma
distribuição híbrida, o Client Proxy somente redireciona o tráfego em rede para o McAfee WGCS quando o computador do usuário final está localizado fora da rede e não conectado por VPN.
2 Distribua o software Client Proxy aos computadores dos usuários finais da organização.
3 Atribua a política do Client Proxy aos computadores dos usuários finais.
Alteração da senha compartilhada
Após atribuir a política do Client Proxy aos computadores dos usuários finais da sua organização, aguarde a conclusão das etapas a seguir e que a política entre em vigor.
Introdução
Configuração de redirecionamento com Client Proxy
2
1 O McAfee ePO ou McAfee ePO Cloud distribuirá a política do Client Proxy atualizada aos
computadores dos usuários finais na organização. O tempo de conclusão dessa etapa dependerá do Intervalo de imposição de política definido na configuração da política do McAfee® Agent.
2 O software Client Proxy compartilhará a senha com o McAfee WGCS. Essa etapa pode levar até 20 minutos.
A senha compartilhada deve ser sincronizada com o McAfee WGCS para que não haja falha na autenticação.
Documentação de produtos e artigos da base de conhecimentos
Essas guias de produtos e artigos da base de conhecimentos fornecem informações sobre o novo serviço e os produtos que o integram. Eles estão disponíveis no ServicePortal.
Documentação do produto
• Guia do produto McAfee Client Proxy 2.3.0 para ePolicy Orchestrator
• Guia do produto McAfee Client Proxy 2.3.0 para ePolicy Orchestrator Cloud
• Guia do produto McAfee ePolicy Orchestrator 5.3.0
• Guia do produto McAfee ePolicy Orchestrator Cloud 5.9.0
• Guia do produto McAfee Web Gateway 7.7.0
• Guia do produto McAfee Web Gateway Cloud Service
• Notas de lançamento do McAfee Web Gateway Cloud Service
Artigos da base de conhecimentos para ler antes de começar
• KB87232 Faixas/endereços IP do Web Gateway Cloud Service IP a adicionar à lista branca do seu firewall
• KB87631 Como configurar prefixos específicos da região e do país do Web Gateway Cloud Service
Artigos da base de conhecimento para clientes novos do McAfee ePO Cloud
• KB78045 Perguntas frequentes do ePolicy Orchestrator Cloud
• KB84630 Como distribuir produtos usando o ePolicy Orchestrator Cloud
Links úteis
Use esses links para integrar outros produtos, abra as páginas de acesso do Control Console e do McAfee ePO Cloud e abra a ferramenta para converter listas de políticas. Você também pode ter uma
2
IntroduçãoDocumentação de produtos e artigos da base de conhecimentosvisão geral da plataforma de Serviços de nuvem e acessar artigos relacionados da Comunidade da McAfee.
Nome de domínio do serviço de proxy
O serviço de nuvem é um serviço de proxy. Use o nome de domínio do serviço de proxy ao configurar outros produtos que se integram com o novo serviço de nuvem.
• saasprotection.com — Especifica o nome de domínio do novo serviço de proxy em nuvem.
• c<customer_id>.saasprotection.com — Especifica o nome de domínio específico de cliente do novo serviço de proxy em nuvem.
Links úteis
• Abra a página de acesso do Control Console:
portal.mcafeesaas.com
• Abra a página de acesso do McAfee ePO Cloud:
manage.mcafee.com
• Abra a ferramenta para converter listas de políticas:
contentsecurity.mcafee.com/migration-tools
• Tenha uma visão geral da plataforma Serviços de nuvem:
trust.mcafee.com
• Acesse artigos da Comunidade da McAfee:
community.mcafee.com/community/business/expertcenter/products/wgcs
Introdução
Links úteis
2
2
IntroduçãoLinks úteis3 Migração de políticas
Para configurar uma nova política, você pode começar pelas opções de políticas padrão e
personalizá-las de maneira gradual para a sua organização. Você pode exportar as suas listas de sites confiáveis do Control Console, formatar e organizá-las usando uma ferramenta de conversão, e importá-las usando o console de gerenciamento do McAfee ePO Cloud.
Conteúdo
Interface do usuário do Gerenciamento de políticas Uso das opções de políticas padrão
Migração de listas de políticas
Organização de listas de sites confiáveis
Configurações de permissão e negação de migração
Interface do usuário do Gerenciamento de políticas
Na nova interface do usuário, opções de política padrão são fornecidas como modelos para cada área de configuração de política.
Para obter mais informações, consulte o capítulo Gerenciamento de políticas no Guia do produto do McAfee Web Gateway Cloud Service.
Navegador de políticas
Em vez de configurar muitas políticas em uma interface com várias guias, como você faz no Control Console, configure uma política em uma interface integrada chamada Navegador de políticas.
No Navegador de políticas, expanda e recolha as áreas de configuração de política, como Reputação na Web, conforme necessário, permitindo a exibição de mais de uma área por vez. Em cada área, você pode selecionar uma regra e exibir o painel Detalhes da regra com as outras regras configuradas para essa área.
Para abrir o navegador, clique no ícone do menu no canto superior esquerdo do console de
gerenciamento do McAfee ePO Cloud. Em seguida, selecione Política de segurança unificada | Gerenciamento de políticas.
As áreas de configuração de política também são chamadas de recursos.
Áreas de configuração de política
Embora as áreas de configuração de política sejam as mesmas no Control Console e no Navegador de políticas, elas são organizadas de maneira diferente.
No Navegador de políticas, cada área de configuração ou recurso inclui uma ou mais opções de política padrão que você pode selecionar e alterar. Por exemplo, a área Filtro de categorias da Web inclui as seguintes opções de política:
3
• Restritiva
• Limitada
• Permissiva
• Muito permissiva
Esses nomes são semelhantes aos nomes das políticas de amostra que vêm com o Control Console.
No entanto, as opções de política padrão foram atualizadas para refletir como os clientes editam as configurações padrão.
Tabela 3-1 Áreas de configuração de política Control Console
(guias) Navegador de políticas (recursos ou áreas de
configuração) Opções de políticas
padrão Detalhes Nome da política — Uma política é aplicada globalmente
e não é nomeada.
Proprietário — Você pode adicionar grupos de usuários para permitir e bloquear regras.
N/D
Ameaça Reputação na Web Restritiva
Permissiva
Filtro antimalware Proteção básica
Categoria Filtro de categorias da Web Restritiva
Limitada Permissiva Muito permissiva
Aplicativos Filtro de aplicativo Web Restritiva
Limitada Permissiva
Mídia Filtro de tipos de mídia Restritiva
Limitada Permissiva
SSL Mecanismo de varredura SSL Proteção básica
Sites bloqueados Configurações globais consistem nestas listas de URLs globais:
• Lista branca de URLs global
• Lista negra de URLs global
Regras básicas
Notificações Para cada área de configuração e opção de política, você pode configurar uma página de bloqueio.
Você pode copiar as suas mensagens de bloqueio da guia Notificações no Control Console e colá-las na caixa de diálogo Nova página de bloqueio do Navegador de políticas.
N/D
3
Migração de políticasInterface do usuário do Gerenciamento de políticas
Ordem das regras
Cada opção de política padrão consiste em uma lista de regras ordenada.
A regras são aplicadas de cima para baixo na lista. Ao configurar uma área de políticas, você posicionará as regras com maior prioridade acima das outras.
A primeira regra em cada lista é uma lista branca de URLs para você configurar. A maioria das listas inclui uma regra genérica na parte inferior. Todas as solicitações da Web não processadas são
permitidas ou bloqueadas dependendo da configuração da regra genérica. Em geral, a regra genérica de uma política permissiva pode permitir as solicitações restantes, enquanto a regra genérica de uma política restritiva pode bloqueá-las.
Listas negras e brancas de URLs
No Navegador de políticas, listas de sites confiáveis e bloqueados são chamadas, respectivamente, de Listas brancas de URLs e Listas negras de URLs.
Localização de listas no navegador de políticas
Esta tabela mostra como as listas que você exporta do Control Console mapeiam para as listas do Navegador de políticas.
Nome da lista no Control Console Localização e nome da lista no Navegador de políticas Lista Ignorar varredura SSL Mecanismo de varredura SSL | Lista branca de URLs SSL
Lista Ignorar usando filtro de categoria Filtro de categorias da Web | Lista branca de URLs da categoria da Web Lista Ignorar usando filtro de mídia Filtro de tipos de mídia | Lista branca de URLs de tipos de mídia Lista Ignorar antimalware Filtro antimalware | Lista branca de URLs antimalware
Lista de Sites bloqueados Configurações globais | Lista negra de URLs global
Novas listas de políticas
O Navegador de políticas fornece estas listas brancas de URLs adicionais para você configurar:
• Configurações globais | Lista branca de URLs global
• Reputação na Web | Lista branca de URLs com reputação na Web
• Filtro de aplicativo Web | Lista branca de URLs de aplicativo Web
Grupos de usuários
Se o Active Directory da organização estiver sincronizado com o McAfee ePO Cloud, você poderá adicionar o grupo do Active Directory para permitir e bloquear ações para cada regra de política.
Por exemplo, você pode adicionar um grupo de usuários chamado Executivos para permitir a ação da regra de Streaming na área Filtro de categorias da Web. Se desejar permitir executivos, mas ninguém mais, você poderá configurar essa regra em vez de criar outra política, como necessário no Control Console.
Para fazer isso, use a ação de permissão para executivos e a ação de bloqueio para todos os outros.
Quando a área de configuração de política é expandida, você pode ver quais grupos de usuários tem permissão ou estão bloqueados para cada regra nessa área.
Para obter informações sobre a sincronização do Active Directory da sua organização com o McAfee ePO Cloud, consulte o Guia de produto do McAfee ePO Orchestrator Cloud.
Migração de políticas
Interface do usuário do Gerenciamento de políticas
3
Uso das opções de políticas padrão
Você pode começar pelas opções de políticas padrão e personalizá-las de maneira gradual para a sua organização.
Selecione a opção de política padrão em cada área de configuração que melhor atenda às necessidades da organização. Lembre-se do seguinte:
• Somente uma opção de política fica ativa por área de configuração por vez.
• Você pode selecionar a opção restritiva para uma área de configuração e a opção permissiva para outra.
Migração de listas de políticas
Você pode exportar as listas de sites bloqueados e de sites confiáveis do Control Console para arquivos .csv e importá-los quando configurar a nova política no McAfee ePO Cloud.
As listas de políticas não incluem a lista de faixas de endereços IP, que é usada para configurar a autenticação da faixa de IP.
A migração de listas de políticas inclui essas etapas de alto nível. Para que a migração seja
bem-sucedida, é necessário formatar as listas de políticas para o novo serviço. A formatação pode ser feita manualmente, usando um editor de texto, ou automaticamente, usando a ferramenta de
conversão fornecida pela McAfee.
1 No Control Console, exporte essas listas de sites confiáveis para arquivos .csv:
• Lista Ignorar antimalware
• Lista Ignorar usando filtro de categoria
• Lista Ignorar usando filtro de mídia
• Lista Ignorar varredura SSL
2 No Control Console, exporte a lista Sites bloqueados para um arquivo .csv.
3 Formate os arquivos .csv para o novo serviço.
4 No console de gerenciamento do McAfee ePO Cloud, importe os arquivos .csv.
Para ver o procedimento passo a passo, consulte Importar uma lista de URLs no Guia do produto do McAfee Web Gateway Cloud Service.
Consulte também
Use a ferramenta de conversão ao migrar listas de políticas na página 23
Formatação de listas de políticas para o novo serviço
Ao migrar listas de políticas do Control Console para o console de gerenciamento do McAfee ePO Cloud, formate as listas para o novo serviço.
Listas de sites confiáveis e bloqueados são exportadas do Control Console para arquivos .csv, que são, então, importados usando o console de gerenciamento. Antes de as listas serem importadas, elas devem ser formatadas para atender aos requisitos do novo serviço. A formatação pode ser feita manualmente, usando um editor de texto, ou automaticamente, usando a ferramenta de conversão fornecida pela McAfee.
3
Migração de políticasUso das opções de políticas padrão
Listas de política consistem em nomes de domínio e endereços IP. A ferramenta de conversão verifica se as entradas da lista são nomes de domínio totalmente qualificados ou endereços IPv6 ou IPv4 válidos.
Diferença entre listas de políticas novas e legadas
Nos arquivos .csv, as listas de políticas novas e legadas são formatadas de maneira diferente:
• Listas de políticas legadas — Consistem em uma coluna com o cabeçalho host e valores como estes:
"host"
"adp.com"
"216.58.194.142"
"ebay.com"
"etrade.com"
"java.com"
"2607:f8b0:4005:805::200e"
• Novas listas de políticas — Consistem em duas colunas com o cabeçalho URL,Subdomain(True/
False) e valores separados por vírgula, como estes:
"URL","Subdomain(True/False)"
"adp.com","True"
"216.58.194.142","False"
"ebay.com","True"
"etrade.com","True"
"java.com","True"
"2607:f8b0:4005:805::200e","False"
O McAfee WGCS aceita arquivos .csv com esse formato de duas colunas, estejam os valores entre aspas ou não.
Formatação de uma nova lista de políticas
Ao formatar uma nova lista de políticas, considere as informações a seguir.
• Linha de cabeçalho — Essa linha é opcional. Se você incluir uma linha de cabeçalho, marque a caixa de seleção Este arquivo contém uma linha de cabeçalho na caixa de diálogo Importar lista.
• Coluna de URL — Essa coluna lista os nomes de domínio ou endereços IP dos sites bloqueados ou confiáveis.
• Coluna de subdomínio — Esses valores true/false são necessários e especificam o seguinte. Eles não diferenciam maiúsculas de minúsculas.
• True — Indica que todos os subdomínios são confiáveis ou bloqueados pelo novo serviço. No Control Console, os nomes de domínios sempre incluem os subdomínios. Ao converter entradas de nomes de domínio legados, defina o valor na coluna de subdomínio como true.
• False — Especifica que somente o nome de domínio é confiável ou bloqueado pelo novo serviço.
Ao converter entradas de endereço IP legado, defina o valor na coluna de subdomínio como false.
Migração de políticas
Migração de listas de políticas
3
Formatação de nomes de domínio para listas de políticas
Siga estas orientações ao formatar os nomes de domínio para listas brancas e listas negras de URL.
Formatação de nomes de domínio para listas de URL
O McAfee WGCS é compatível com nomes de domínio nos seguintes formatos:
• host.domínio.tld/caminho
• host.domínio.tld
• domínio.tld/caminho
• domínio.tld
host — Especifica o nome DNS do host domínio — Especifica o nome do subdomínio tld — Especifica o domínio de nível superior
caminho — Especifica o caminho do recurso da Web
O McAfee WGCS automaticamente inclui o caminho e qualquer subcaminho, o que equivale à colocação de um asterisco após o caminho no nome de domínio:
• host.domínio.tld/caminho*
• domínio.tld/caminho*
Mas como os subcaminhos são sempre incluídos, não é necessário adicionar o asterisco.
Todas as configurações de subdomínios
Esta configuração determina se o McAfee WGCS aplica regras de política ao domínio e a todos os subdomínios ou somente ao domínio. Você pode especificar todos os subdomínios da seguinte forma:
• Na interface de usuário do Navegador de política — Marque a caixa de seleção Todos os subdomínios ao adicionar um URL a uma lista de URL.
• Em um arquivo .csv que especifica uma lista de URL — Defina o valor na coluna Subdomínio(True/
False) como True.
A especificação de todos os subdomínios tem o mesmo efeito que adicionar "*." no começo de cada nome de domínio:
• *.host.domínio.tld/caminho
• *.host.domínio.tld
• *.domínio.tld/caminho
• *.domínio.tld
Benefícios do uso da ferramenta de conversão
A ferramenta de conversão simplifica a migração das suas listas de políticas do Control Console para o console de gerenciamento do McAfee ePO Cloud.
Em vez de formatar listas de políticas individuais manualmente usando um editor de texto, você pode formatar automaticamente uma ou mais listas para o novo serviço usando a ferramenta de conversão fornecida pela McAfee. A ferramenta de conversão possui os benefícios a seguir.
3
Migração de políticasMigração de listas de políticas
• Formatação — A ferramenta de conversão formata os arquivos .csv exportados para que as listas de políticas atendam aos requisitos de formatação do novo serviço.
• Opção de mesclar várias listas — Usando a ferramenta de conversão, você pode mesclar duas ou mais listas facilmente. Durante a mescla de listas, a ferramenta remove entradas duplicadas.
• Validação — A ferramenta de conversão verifica se as entradas da lista são nomes de domínio totalmente qualificados ou endereços IPv6 ou IPv4 válidos.
Mescla de listas de política: exemplo
Ao migrar listas de políticas do Control Console para o console de gerenciamento, você poderá consolidá-las. Por exemplo, você poderá consolidar as listas de sites confiáveis na guia Categoria no Control Console em todas as políticas em uma lista branca de URLs. Em seguida, no console de gerenciamento, você poderá importar a lista consolidada como a Lista branca de URLs da categoria da Web.
Use a ferramenta de conversão ao migrar listas de políticas
Use a ferramenta de conversão para formatar, mesclar e validar listas de políticas para o novo serviço.
Antes de iniciar
No Control Console, exporte todas as listas de políticas que você deseja importar usando o console de gerenciamento do McAfee ePO Cloud para arquivos .csv.
Salve os arquivos .csv em uma pasta de fácil acesso.
Tarefa
1 Para abrir a ferramenta de conversão, clique neste link: contentsecurity.mcafee.com/
migration-tools.
2 Role a tela para baixo, clique em Procurar e navegue para a pasta em que se encontram os arquivos .csv cujo formato você deseja converter.
3 Selecione um ou mais arquivos para converter e clique em Abrir.
Quando vários arquivos são selecionados, eles são mesclados pela ferramenta de conversão, que remove entradas duplicadas.
4 Na ferramenta de conversão, clique em Converter arquivos.
5 Na caixa de diálogo Abrindo o migrated-list.csv, clique em Salvar arquivo.
6 Especifique um nome de arquivo significativo e clique em Salvar.
O arquivo .csv é salvo com um novo formato de duas colunas e uma nova linha de cabeçalho.
Organização de listas de sites confiáveis
Organize os sites confiáveis em listas de acordo com as listas brancas de URLs que deseja configurar no Navegador de políticas. A partir dessas listas, crie arquivos .csv e importe-os para o Navegador de políticas.
Por padrão, o Navegador de políticas tem menos listas brancas de URLs para configurar e manter. Comece configurando uma lista branca de URLs para cada área de configuração e opção de política que planeje usar. Por exemplo, na área Reputação na Web, você pode configurar uma lista branca de URLs para a opção de política restritiva e outra para a opção permissiva.
Migração de políticas
Organização de listas de sites confiáveis
3
O Navegador de políticas vem configurado com as regras de listas brancas de URLs para as opções de política e áreas de configuração a seguir. As listas brancas estão vazias e prontas para você configurar.
Exceto na área da Reputação na Web, você pode criar e configurar regras de lista branca de URLs adicionais conforme necessário.
• Lista branca de URLs global • Aplicativo Web, Restritivo
• Reputação na Web, Restritiva • Aplicativo Web, Limitado
• Reputação na Web, Permissiva • Aplicativo Web, Permissivo
• Antimalware, Básico • Tipo de mídia, Restritivo
• Categoria na Web, Restritiva • Tipo de mídia, Limitado
• Categoria da Web, Limitada • Tipo de mídia, Permissivo
• Categoria da Web, Permissiva • Mecanismo de varredura SSL, Básico
• Categoria da Web, Muito permissiva
A organização de sites confiáveis em listas para o Navegador de políticas requer uma visão diferente de listas de políticas. Em vez de configurar sites confiáveis para cada grupo de usuários, pense na área de configuração e opção de política. Por exemplo, quais URLs você deseja que o filtro da Reputação na Web ignore quando a opção de política restritiva é selecionada? A opção de política permissiva está selecionada?
Configurações de permissão e negação de migração
Em vez de configurar várias regras separadas para cada área da Categoria da Web, Aplicativo Web e Tipo de mídia, você poderá começar configurando uma regra para cada área e opção de política que planejar usar. Você poderá adicionar e aprimorar as regras posteriormente.
No exemplo a seguir, as configurações da guia Categoria no Control Console estão definidas na área Filtro de categorias da Web no Navegador de políticas.
Para exibir as categorias no Control Console, selecione a guia Categoria e clique em Expandir tudo. As categorias, como Negócios/serviços e Drogas, são os nomes de listas e regras do Navegador de políticas.
No Navegador de políticas, crie uma lista e regra para todas as categorias que desejar bloquear. Configure a regra com a ação Bloquear. Embora essa regra se aplique a toda a organização, você poderá adicionar exceções a ela.
No Navegador de políticas, siga estas etapas:
1 Expanda a área Filtro de categorias da Web, selecione uma opção de política e clique em uma regra.
2 Clique no ícone do menu Navegador de políticas.
3 Na lista suspensa, selecione Nova regra de categoria da Web.
4 Clique no ícone de menu Catálogo e em Nova lista.
5 Especifique um nome para a lista e, usando o campo Pesquisar para localizar as categorias que deseja bloquear, adicione cada uma à lista.
6 Clique em Salvar.
A nova lista será adicionada à lista de categorias da Web.
3
Migração de políticasConfigurações de permissão e negação de migração
8 No painel Detalhes da regra, clique no ícone de edição, defina a ação de regra principal como Bloquear e clique em Salvar.
A nova lista será adicionada à área Filtro de categorias da Web como regra.
9 Como opção, adicione um ou mais grupos de usuários, que terão permissão para acessar as categorias da Web bloqueadas.
Migração de políticas
Configurações de permissão e negação de migração
3
3
Migração de políticasConfigurações de permissão e negação de migração
4 Configuração da autenticação
Para cada método de autenticação, mostramos um exemplo das etapas de configuração que você pode usar para distribuir a nova política de forma gradual.
Conteúdo
Métodos de autenticação com suporte
O momento em que a nova política será aplicada dependerá do método de autenticação Distribuição da nova política com a autenticação do Client Proxy
Distribuição da nova política com a autenticação da faixa de IP Distribuição da nova política com a autenticação SAML
Métodos de autenticação com suporte
A tabela a seguir mostra quais métodos de autenticação recebem suporte no console de gerenciamento do McAfee ePO Cloud e onde estão configurados.
Tabela 4-1 Métodos de autenticação com suporte Método de autenticação Com suporte no
Control Console Com suporte no McAfee ePO Cloud
Quando configurado no McAfee ePO Cloud
Client Proxy sim sim Política | Catálogo de políticas
Faixa de endereços IP sim sim Proteção na Web | Configurações de autenticação
SAML 2.0 não sim
Usuário explícito sim não n/d
Se estiver usando a autenticação de usuário explícita no Control Console, você deverá configurar outro método de autenticação no McAfee ePO Cloud. Além da autenticação da faixa de endereços IP e do Client Proxy, você tem a opção de configurar a autenticação do SAML 2.0.
O momento em que a nova política será aplicada dependerá do método de autenticação
A nova política é aplicada quando o resultado de autenticação inclui a nova ID de cliente.
O serviço de black-end em nuvem processa solicitações de usuários finais desta forma:
1 O serviços autentica o usuário e, por meio do processo de autenticação, identifica o cliente.
2 Se a ID do cliente for a antiga ID, o serviço aplicará as políticas legadas. Se a ID do cliente for a nova ID, o serviço aplicará as novas políticas.
O momento em que a nova política será aplicada dependerá do método de autenticação. Por esse motivo, recomendamos um caminho de migração diferente para cada método.
4
Método de
autenticação A nova política é aplicada quando...
Faixa de IP Uma ou mais faixas de IP são configuradas no McAfee ePO Cloud e um usuário final envia uma solicitação da Web de uma das faixas configuradas.
SAML 2.0 A autenticação SAML é configurada, e um usuário final envia uma solicitação da Web para a nova porta de serviço SAML: 8084.
Client Proxy 1 A senha compartilhada é redefinida no McAfee ePO ou McAfee ePO Cloud.
2 A nova política do Client Proxy é distribuída aos computadores cliente da sua organização.
3 Um usuário final envia uma solicitação da Web usando um desses computadores.
Distribuição da nova política com a autenticação do Client Proxy
Você pode distribuir a nova política gradualmente ao configurar a autenticação do Client Proxy.
Neste tópico, a nova política é mencionada como a nova política na nuvem para diferenciá-la da política do Client Proxy.
Como a autenticação do Client Proxy é configurada
O novo serviço dá suporte à distribuição do Client Proxy usando o McAfee ePO (no local) ou o McAfee ePO Cloud.
Se você estiver usando... É possível...
Autenticação explícita configurada no Control Console
Criar uma política do Client Proxy do zero usando o McAfee ePO ou o McAfee ePO Cloud.
Autenticação do Client Proxy configurada no Control Console
Configurar a política do Client Proxy usando o McAfee ePO ou o McAfee ePO Cloud.
Autenticação do Client Proxy
configurada no McAfee ePO Configurar a política do Client Proxy usando o McAfee ePO ou o McAfee ePO Cloud.
Se estiver usando o McAfee ePO, você deverá atualizar as configurações a seguir na sua política existente:
• Servidores proxy — Adicione o proxy específico do cliente ao topo da lista.
• ID de cliente exclusiva — Especifique a sua nova ID de cliente.
• Senha compartilhada — Redefina a sua senha compartilhada.
Aplicação da nova política na nuvem
Quando o software Client Proxy envia solicitações da Web de usuários finais para o serviço de nuvem, as solicitações incluem a ID do cliente. Se a ID do cliente for a nova ID, o serviço de nuvem aplica a nova política de nuvem.
4
Configuração da autenticaçãoDistribuição da nova política com a autenticação do Client Proxy
Prática recomendada: distribua a nova política de nuvem de forma gradual
1 Abra o McAfee ePO ou o console de gerenciamento do McAfee ePO Cloud.2 No menu principal, selecione Política | Catálogo de políticas.
3 No Catálogo de políticas, configure e salve a política do Client Proxy.
4 No menu principal, selecione Sistemas | Árvore de sistemas.
5 Na Árvore de sistemas, selecione um ou mais grupos na organização para testar a nova política de nuvem. Se necessário, você pode configurar um grupo de teste para essa finalidade.
6 Na guia Políticas atribuídas, atribua a política ao(s) grupo(s) selecionado(s).
7 Na guia Tarefas do cliente atribuídas, agende a distribuição da política.
Aguarde a política ser distribuída e a senha, compartilhada com o serviço de nuvem. Para saber quanto tempo isso levará, consulte Configuração do redirecionamento com o McAfee Client Proxy no capítulo Introdução.
8 Quando estiver satisfeito com o funcionamento da nova política de nuvem, você poderá distribuir a política do Client Proxy em toda a organização.
Distribuição da nova política com a autenticação da faixa de IP
Você pode distribuir a nova política gradualmente ao configurar a autenticação da faixa de IP.
Faixas de endereços IP são armazenadas em um banco de dados e somente podem ser usadas por um cliente. Tanto como cliente existente com uma ID e um novo cliente com outra ID, você deve migrar as faixas de IP que deseja usar do Control Console para o console de gerenciamento. Antes de adicionar uma faixa de IP à configuração no console de gerenciamento, você deve removê-la da configuração no Control Console.
Quando você adiciona uma faixa de IP à nova lista no console de gerenciamento, o serviço de nuvem aplica a nova política a solicitações provenientes dessa faixa de IP. Como as faixas de IP são
armazenadas em cache, as políticas legadas podem ser aplicadas no lugar da nova política por até 24 horas.
Prática recomendada: distribua a nova política de forma gradual
Distribua a nova política de forma gradual ao configurar a autenticação da faixa de IP no console de gerenciamento, usando essas etapas como exemplo.
1 Prepare-se para configurar a nova política:
a No Control Console, exporte as listas de políticas para arquivos .csv.
b No console de gerenciamento, importe as listas dos arquivos .csv.
Não importe a lista de faixas de endereços IP nesta etapa do processo.
2 Configure a nova política.
3 Prepare-se para testar a nova política com uma faixa de endereços IP:
a No Control Console, remova a faixa de endereços IP que deseja testar da lista de faixas configuradas.
b No console de gerenciamento, adicione essa faixa de endereços IP à Lista de faixas de IP.
Configuração da autenticação
Distribuição da nova política com a autenticação da faixa de IP
4
4 Teste a nova política com uma faixa de endereços IP.
5 Para testar a nova política com outros locais, migre as faixas de endereços IP correspondentes do Control Console para o console de gerenciamento.
6 Quando estiver satisfeito com o funcionamento da nova política, você poderá migrar as faixas de endereços IP restantes do Control Console para o console de gerenciamento.
A nova política é aplicada em toda a organização.
Distribuição da nova política com a autenticação SAML
Você pode distribuir a nova política gradualmente ao configurar a autenticação SAML.
Tarefas de configuração de SAML de alto nível
A autenticação de SAML exige estas tarefas de configuração de alto nível:
1 Configure a autenticação SAML no provedor de identidade.
2 Configure a autenticação SAML no McAfee ePO Cloud.
3 Configure a varredura do SSL no McAfee ePO Cloud.
4 Defina a configuração do servidor proxy nos navegadores de computadores clientes na sua organização desta forma:
c<customer_id>.saasprotection.com:8084 Onde:
customer_id — Especifica a ID de cliente.
saasprotection.com — Especifica o nome de domínio do novo serviço de nuvem.
8084 — Especifica o número da porta do serviço SAML de nuvem.
Somente atualize a configuração do servidor proxy nos navegadores cliente quando estiver pronto para testar e distribuir a nova política.
Aplicação da nova política
Ao configurar a autenticação SAML no console de gerenciamento do McAfee ePO Cloud, você especificará os nomes de domínio que identificam a sua organização. Para identificar o cliente, o serviço SAML extrai o nome de domínio do endereço de e-mail do usuário final e compara-o com os nomes fornecidos por você. Quando há correspondência, o serviço aplica a nova política.
Prática recomendada: distribua a nova política de forma gradual
Após concluir as tarefas de configuração de 1 a 3, você poderá testar e distribuir a nova política. Para distribuir a política de forma gradual, atualize a definição do servidor Proxy para o serviço em um número limitado de navegadores cliente. Teste a nova política usando os computadores cliente a seguir primeiro. Continue atualizando a definição do servidor proxy nos seus navegadores cliente e testando a nova política até que fique satisfeito com seu funcionamento. Quando a definição do servidor proxy é atualizada em todos os navegadores cliente, a nova política é aplicada em toda a organização.
4
Configuração da autenticaçãoDistribuição da nova política com a autenticação SAML
5 Migração de uma distribuição híbrida
Ao migrar uma distribuição híbrida, considere as informações a seguir.
Conteúdo
O que é uma distribuição híbrida?
Introdução à distribuição híbrida
Tarefas de migração para uma distribuição híbrida
O que é uma distribuição híbrida?
Em uma distribuição híbrida, o Web Gateway e o McAfee WGCS são distribuídos juntos.
A política de proteção na Web é configurada na interface do usuário do Web Gateway e enviada por push para o McAfee WGCS no intervalo de sincronização especificado. Juntos, os componentes locais e de nuvem da solução híbrida protegem a organização das ameaças que podem surgir quando usuários acessam a Web de dentro e de fora da rede.
Outros componentes de uma distribuição híbrida incluem:
• Client Proxy — Esse software, quando instalado no ponto de extremidade, conhece o local do usuário final, redireciona o tráfego de rede ou permite sua passagem de acordo:
• Usuários que trabalham dentro da rede ou conectados à rede por VPN — Client Proxy permite que o tráfego de rede passe para o Web Gateway para filtragem.
• Usuários que trabalham fora da rede — o Client Proxy redireciona o tráfego de rede para o McAfee WGCS filtrar.
• McAfee ePO — Use essa plataforma de gerenciamento para gerenciar o Client Proxy quando o software estiver instalado na sua rede.
• McAfee ePO Cloud — Use essa plataforma de gerenciamento para gerenciar o McAfee WGCS e instâncias baseadas em nuvem do Client Proxy.
Introdução à distribuição híbrida
Para iniciar uma distribuição híbrida, é necessário usar as suas credenciais do McAfee ePO Cloud e a sua ID do cliente.
Siga as mesmas etapas iniciais da distribuição apenas em nuvem. Ao entrar no McAfee ePO Cloud pela primeira vez, você criará uma conta. O endereço de e-mail e a senha que você fornecer serão as suas credenciais do McAfee ePO Cloud. Salve-os para uso futuro.
5
Para exibir a sua ID do cliente, localize a página de boas-vindas do Web Protection. Salve a sua ID para usá-la posteriormente.
Para obter mais informações, consulte o capítulo Introdução.
Tarefas de migração para uma distribuição híbrida
Crie uma política do Client Proxy para o novo serviço, configure uma distribuição híbrida em um ambiente de pré-produção, teste a configuração híbrida e distribua-a no ambiente de produção.
Essas tarefas de migração consideram que você está gerenciando o Client Proxy usando o McAfee ePO.
Para obter informações sobre o gerenciamento do Client Proxy usando apenas o McAfee ePO Cloud, consulte o capítulo Introdução.
As tarefas a seguir configuram a sincronização entre os componentes híbridos: Web Gateway, McAfee WGCS, Client Proxy, McAfee ePO e McAfee ePO Cloud.
1 Usando o console de gerenciamento do McAfee ePO Cloud, crie uma política do Client Proxy para o novo serviço. Exporte as credenciais para um arquivo .xml. Salve esse arquivo para importação ao criar a política do Client Proxy usando o McAfee ePO.
2 Configure uma instância do Web Gateway em um ambiente de pré-produção com uma configuração de produção. Defina as configurações híbridas e envie manualmente por push a política do Web Gateway para o McAfee WGCS. Como resultado dessa tarefa, o Web Gateway é sincronizado com o McAfee WGCS.
3 Usando o console de gerenciamento do McAfee ePO, crie uma política do Client Proxy para o novo serviço. Importe as credenciais do arquivo .xml salvas por você. Essa tarefa permite sincronização do software Client Proxy instalado na sua rede com o McAfee WGCS e o McAfee ePO Cloud.
4 Teste a configuração híbrida no ambiente de pré-produção e distribua-a no ambiente de produção.
Criar uma política do Client Proxy usando o McAfee ePO Cloud
No console de gerenciamento do McAfee ePO Cloud, crie uma política do Client Proxy para o novo serviço.
Você criará a política com uma nova senha compartilhada e exportará as suas credenciais do Client Proxy para um arquivo .xml. Esse arquivo contém a senha compartilhada e a ID de cliente. Depois você poderá importar as credenciais do arquivo ao configurar a política usando o McAfee ePO.
Para obter mais informações, consulte o McAfee Client Proxy Product Guide for McAfee ePolicy Orchestrator Cloud (Guia do produto McAfee Client Proxy para McAfee ePolicy Orchestrator Cloud).
Tarefa
1 No menu do McAfee ePO Cloud, selecione Política | Catálogo de políticas.
2 Na lista suspensa Produto, selecione a versão atual do McAfee Client Proxy.
3 Para criar uma política, duplique a política McAfee Default, especifique um nome para a nova política e clique em OK.
A política será adicionada à lista de políticas.
4 Para configurar a política para o novo serviço, clique no nome da política na lista de políticas.
5
Migração de uma distribuição híbrida Tarefas de migração para uma distribuição híbrida5 Na janela Servidores Proxy, especifique o proxy específico do cliente na página de boas-vindasProteção na Web para o Endereço do servidor proxy.
6 Na janela Configuração de cliente, especifique uma nova Senha compartilhada.
7 Exporte as suas credenciais de cliente para um arquivo .xml e salve o arquivo para uso futuro.
8 Defina outras configurações como necessário e salve a política.
Configure o Web Gateway em um ambiente de pré-produção
Após definir uma instância do Web Gateway em um ambiente de pré-produção com uma configuração de produção, defina as configurações híbridas. Em seguida, envie manualmente por push a política do Web Gateway para o McAfee WGCS.
Antes de iniciar
Usando o recurso de backup e restauração do Web Gateway, faça backup da configuração de produção para um arquivo e restaure-o na instância de pré-produção. Ao restaurar a configuração, restaure somente a política.
Para localizar esse recurso selecione Solução de problemas e Backup/restauração abaixo no nome do appliance.
Quando o Web Gateway e o McAfee WGCS são distribuídos com o uso de uma configuração híbrida, a política de proteção na Web é configurada usando o Web Gateway. A política é, então, enviada por push para a nuvem no intervalo de sincronização especificado. Para fins de teste e validação, envie manualmente por push a política para a nuvem.
Para obter mais informações, consulte o capítulo Solução híbrida no Guia do produto do McAfee Web Gateway.
Tarefa
1 No ambiente de pré-produção, abra a interface do usuário do Web Gateway, selecione Configuração | Cluster | Web Hybrid.
A janela Configuração do Web Hybrid será aberta.
2 Para ativar a sincronização híbrida e definir as configurações híbridas, marque a caixa de seleção Sincronizar política para SaaS.
3 Use as credenciais do McAfee ePO Cloud e a ID do cliente do McAfee WGCS para definir essas configurações híbridas.
• Endereço do SaaS — Especifica o endereço que o Web Gateway usa para comunicar-se com o McAfee WGCS.
Valor: https://msg.mcafeesaas.com:443
• Nome da conta do administrador do SaaS — Especifica o nome de usuário do McAfee ePO Cloud.
• Senha da conta do administrador do SaaS — Especifica a senha do McAfee ePO Cloud.
• ID do cliente do SaaS — Especifica a sua ID do cliente do McAfee WGCS.
4 Se necessário, atualize os conjuntos de regras que são ativados para a nuvem.
Para localizar essas configurações, selecione Política | Conjuntos de regras.
Migração de uma distribuição híbrida
Tarefas de migração para uma distribuição híbrida
5
5 Defina outras configurações como necessário e salve a política.
6 Envie por push a política para o McAfee WGCS manualmente.
Para localizar essa função, selecione Solução de problemas e Sincronização do SaaS abaixo no nome do appliance. Na janela Sincronização do SaaS, clique em Sincronizar.
Você pode verificar se o McAfee WGCS está sincronizado com o Web Gateway. No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas. O Navegador de políticas abrirá uma nova mensagem de Política não disponível, fornecendo informações sobre a sincronização híbrida.
Criar uma nova política do Client Proxy usando o McAfee ePO
No console de gerenciamento do McAfee ePO, crie uma política do Client Proxy para o novo serviço.
Para configurar a ID de cliente exclusiva e a Senha compartilhada, importe o arquivo .xml que contém as credenciais que você exportou do McAfee ePO Cloud.
Para obter mais informações, consulte o Guia do produto McAfee Client Proxy para McAfee ePolicy Orchestrator.
Tarefa
1 No menu McAfee ePO, selecione Política | Catálogo de políticas.
2 Na lista suspensa Produto, selecione a versão atual do McAfee Client Proxy.
3 Para criar uma política, duplique a política McAfee Default, especifique um nome para a nova política e clique em OK.
A política será adicionada à lista de políticas.
4 Para configurar a política para o novo serviço, clique no nome da política na lista de políticas.
As Configurações do Client Proxy serão abertas.
5 Na janela Servidores proxy, especifique o proxy específico do cliente na página de boas-vindas para o Endereço do servidor proxy.
6 Na janela Configuração de cliente, importe o arquivo .xml que você exportou do McAfee ePO Cloud. Esse arquivo contém sua ID do cliente e senha compartilhada.
7 Defina outras configurações como necessário e salve a política.
Testar e distribuir a configuração híbrida
Depois de testar a configuração híbrida em um ambiente de pré-produção, você poderá distribuí-la no ambiente de produção.
Após definir uma configuração híbrida, você pode distribuí-la atribuindo a nova política do Client Proxy ao ponto de extremidade. O ponto de extremidade pode ser alguns computadores de usuários finais em um ambiente de pré-produção ou os computadores de usuários finais de toda a organização em um ambiente de produção.
Aguarde a política ser atualizada no ponto de extremidade e a senha, compartilhada com o McAfee WGCS. Após essas etapas, a nova política de nuvem será aplicada.
A senha compartilhada deve ser sincronizada com o McAfee WGCS para que não haja falha na autenticação. Para obter mais informações, consulte Configuração do redirecionamento com o Client Proxy no capítulo Introdução.
5
Migração de uma distribuição híbrida Tarefas de migração para uma distribuição híbridaTeste da configuração híbrida em um ambiente de pré-produção
Distribua a configuração híbrida em um ambiente de pré-produção.1 Usando o McAfee ePO, atribua a nova política do Client Proxy aos computadores do ponto de extremidade que você está usando para testar a configuração híbrida.
2 Quando um usuário final envia uma solicitação na Web usando um desse computadores, a política do novo Client Proxy é aplicada.
3 Se a solicitação na Web partir de um computador localizado fora da rede, o Client Proxy direciona a solicitação ao McAfee WGCS.
4 Como a solicitação inclui a sua nova ID de cliente, o serviço de nuvem aplica a nova política de nuvem.
Distribuição da configuração híbrida em um ambiente de produção
Terminado o teste, distribua a configuração híbrida no ambiente de produção.1 No ambiente de pré-produção, desative a sincronização híbrida. Essa configuração se encontra na interface do usuário do Web Gateway.
2 No ambiente de produção, ative a sincronização híbrida e defina as configurações híbridas. Essas configurações se encontram na interface do usuário do Web Gateway.
3 Usando o McAfee ePO, atribua a nova política do Client Proxy aos computadores do ponto de extremidade na sua organização.
As novas políticas de nuvem e do Client Proxy serão aplicadas na sua organização.
Migração de uma distribuição híbrida
Tarefas de migração para uma distribuição híbrida
