Upload
internet
View
107
Download
1
Embed Size (px)
Citation preview
SETEMBRO, 2010 | SÃO PAULO
Segurança fim-a-fim:Juntando as peças do quebra-cabeça
CÓDIGO DA SESSÃO: SIA309
Rodrigo ImmaginarioCISSPMVP Securityhttp://rodrigoi.org.br
Vitor NakanoCoord. de Segurança da InformaçãoEcorodovias
3
Agenda
Desafio AtualEmpresas e dos Profissionais de SI
Endereçando as Tecnologias e Recursos de SegurançaDemonstrações:
IPSEC, NAP, DirectAccess, PKI, RMS, SSL, EFS e Autenticação 2 fatores
4
Definição daFronteira
Controle de IdentidadesAcesso
Universal
Autenticação eAutorização
Saúde do Ambiente
Acesso de qualquer ponto
Fronteira
IPSec Policies
Active Directory
2-factor and biometricsClaims-based Security
IPv6
Network Access ProtectionAnti-malware
Per-application VPNand Firewalls
Novos Desafios de TIPolítica, não a topologia, define a fronteira
5
Cenário Atual …
IndependentConsultant
PartnerOrganization
Home
Mobile Devices
USB Drive
• Não há fronteira para o fluxo da informação• Informação é compartilhada, armazenada e acessada sem o
controle do owner• Segurança do Host e da Rede são insuficientes
6
Informações perdidas e responsabilidade civil são crescentes preocupações entre as organizações
Source: WW Security Perceptions Report, MSFT 2007; The Info Pro Information Security Wave 9, November 2007
“Regulatory and legal compliance is a top driver for enterprise and government investment in information security”
“Data Privacy is the most important security concern in
the enterprise in 2007, outranking Malware for the first time”
Data Privacy Malware ProtectionReduce Security Costs Defense in DepthSimple and Easy to Integrate
7
O que fazer ?
Oferecer acesso remoto seguroSuporta autenticação de máquinas e usuários com IPsecNetwork Access Protection com VPNs e IPsecSecure routing compartments aumenta o isolamento em conexões VPN
Proteger dádos sensíveis e a propriedade intelectualComunicação autenticada ponto-a-ponto nas comunicações de redeProteger a confidencialidade e integridade dos dados
Reduzir o risco de ameaças à segurança da redeUma camada adicional no “defense-in-depth”Reduzir a superficie de ataques em máquinas conhecidasAumentar o gerenciamento e a “saúde” dos clientes
8
Isolamento de Servidores e Domínio
Segmentar dinamicamente seu ambiente Windows® com base em políticasLabs
Unmanaged guests
Server Isolation
Domain IsolationProteger computadores de máquinas não gerenciadas ou desconhecidas
Proteger servidores e dados específicos
9
Isolamento de Servidores e Domínio
Untrusted
Unmanaged/Rogue Computer
Domain Isolation
Active Directory Domain Controller
X
Server Isolation
Servers with Sensitive DataHR Workstation
Managed Computer
X
Managed Computer
Trusted Resource Server
Corporate Network
Define os limites lógicosDistribui políticas e credenciaisComputadores controlados podem se comunicarBloquei conexões de computadores não confiáveisRestringe acesso a dados críticos
10
11
12
Network Access Protection - NAP
RemediationServers
Example: PatchRestrictedNetwork
WindowsClient
Policy compliant
NPSDHCP, VPN
Switch/Router
Policy Serverssuch as: Patch, AV
Corporate Network
Not policy compliant
O que é o Network Access Protection?
Integração Cisco e Microsoft
Health Policy Validation Health Policy Compliance
Limitar o acesso a rede Aumentar a segurança
Aumentar o valor do negócio
13
NAP – Como Funciona ...
Not policy compliant
1
RestrictedNetwork
Cliente solicita o acesso a rede apresentando seu estado de saúde
1
4Se não houver conformidade o cliente é colocado em um VLAN restrita e terá acesso somente aos servidores de remediação (Repeat 1 - 4)
2 DHCP, VPN ou Switch/Router encaminha o status de saúde para o Microsoft Network Policy Server (RADIUS)
5 Havendo conformidade o cliente terá acesso completo a rede
MSFT NPS
3
Policy Serverse.g. Patch, AV
Policy compliant
DHCP, VPNSwitch/Router
3 Network Policy Server (NPS) valida de acordo com as políticas definida
2
WindowsClient
Fix UpServerse.g. Patch
Corporate Network5
4
14
NAP - Arquitetura
MS Network Policy Server
Quarantine Server (QS)
Client
Quarantine Agent (QA)
Health policyUpdates
HealthStatements
NetworkAccessRequests
System Health Servers
Remediation Servers
HealthCertificate
Network Access Devices and Servers
System Health Agent (SHA)MS and 3rd Parties
System Health Validator
Enforcement Client (EC)(DHCP, IPSec, 802.1X, VPN)
ClientSHA – Health agents check client state
QA – Coordinates SHA/EC
EC – Method of enforcement
Remediation ServerServes up patches, AV signatures, etc.
Network Policy ServerQS – Coordinates SHV
SHV – Validates client health
System Health ServerProvides client compliance policies
15
Aqui está seu certificado de saúde.
Sim, pegue seu novo certificado
Acessando a rede X
Remediation Server
Policy Server
HCS
Posso ter um certificado de saúde?Aqui está meu SoH..
Cliente ok?
Não, precisa de correções
Você não possui um certificado de saúde. Faça sua atualizaçãoPreciso de
atualizações.
Aqui está.
Host
QuarantineZone
BoundaryZone
ProtectedZone
Exchange
NAP com IPSEC
Active Directory Certificate Services
Segurança Gerenciamento Interoperabilidade
Cryptography Next Generation
Granular Admin
V3 Certificates
Windows Server 2008 Server Role
PKIView
Novas GPOs
Suporte ao OCSP
Suporte ao IDP CRL
Suporte MSCEP
Melhorias no PKI
Enterprise PKI (PKIView)Microsoft Management Console snap-in Suporta caracteres Unicode
Online Certificate Status Protocol (OSCP)
Online Responders Responder Arrays
Network Device Enrollment Service
Implementação da Microsoft do Simple Certificate Enrollment Protocol (SCEP) Melhorias da segurança nad comunicações usando IPsec
Web EnrollmentRemovida a versão do ActiveX® XEnroll.dll Melhorias no novo compomente COM enrollment control - CertEnroll.dll
Cryptography Next Generation
Cryptography Next Generation (CNG)
Inclui algoritimos para encryption, digital signatures, key exchange, e hashingSuporta criptografia em modo KernelSuporta o algoritimo CryptoAPI 1.0 atualSuporta algoritimos elliptic curve cryptography (ECC) Executa operações de criptografia básica, como a criação de hashes e encriptar e decriptar dados
20
SSL Encryption para Servidores WebÉ a fundação para diversas soluções e recursos da Microsoft
Por que SSL encryption para Servidores Web é a fundação para muitas soluções e recursosEscolhendo o provedor de certificados para servidores webDeploy do certificados para servidores webModelos de Certificados (templates)Emitindo Certificados de Servidor Web
21
Encrypting File SystemProteção de DadosHoje em dia, um dos desafios é proteger as informações sensíveis.Nas Políticas de Segurança para os Usuários descreve que informação com conteúdo confidencial ou sigiloso deverá usar técnicas de criptografia, ou qualquer outra disponibilizada pela empresa.
Desafio:Em que momento usar o EFS?
Habilitando e desabilitando o EFSModelo de Certificado para EFSObtendo certificado para EFS
22
Autenticação 2 fatoresAutenticação Forte
Na SI, a autenticação é um processo que busca verificar a identidade digital do usuário. A autenticação normalmente depende de um ou mais "fatores de autenticação".Os fatores de autenticação são normalmente classificados:
Aquilo que o usuário éAquilo que o usuário temAquilo que o usuário conhece
Desafio:Quando usar autenticação de 2 fatores?
Dispositivos (Smart card, Token USB, Token OTP)Planejando e Gerenciando a entrega
23
24
AD RMSProteção de dados e Classificação da InformaçãoHoje em dia, um dos desafios é proteger as informações sensíveis.Nas Políticas de Segurança para os Usuários descreve:
Toda informação deverá ser classificada quanto ao seu sigilo;Toda informação deverá ser protegida com base na sua classificação;É de responsabiliade o usuário proteger a informação (geração, manuseio, guarda, ..., descarte da informação).
Desafio:Em que momento usar o RMS?
Use o RMS no processo de Classificação da InformaçãoComo proteger as informações de Alto Impacto
25
Projeto Tradicional …
Access Control List Perimeter
Authorized Users
Firewall Perimeter
Unauthorized Users
Authorized Users
Unauthorized Users
YES
NO
Information Leakage
26
Identity-Based Information Protection
Persistent protection for sensitive/confidential dataControla o acesso através do ciclo de vida da informaçãoPermite o acesso com base em Identidates confiáveisGarante a segurança da transmissão e armazenamento de dados importantes – Documento criptografados com 128-bitCriação de tipos de permissão (print, view, edit, expiration, etc.)
Persistent Protection
Encryption Policy • Access Permissions• Use Right Permissions
27
Policy• Access Permissions• Use Rights
Encryption
Policy• Access Permissions• Use Rights
Encryption
Rights Management ServicesProteção de Informação Persistente
28
RMS Workflow
Information Author The Recipient
RMS Server
Microsoft® SQL Server®
Active Directory
2 3
4
5
2. Autor define as permissões e regras para o arquivo; A aplicação cria o “publishing license” e criptografa o arquivo
3. Autor distribui o arquivo
4. Cliente abre o arquivo; O aplicativo chama o RMS Server que valida o usuário e atribui um “use license”
5. Aplicação aplica e força as permissões
1. Autor recebe um Author receives a client licensor certificate na primeira que ele proteger um documento
1
29
30
Servidor DirectAccess
Data Center e Outros Recursos Críticos Usuário
Local
Rede Corporativa
Usuário Remoto
Premissa que a infraestrutura de rede é sempre insegura
Redefinição do perímetro corporativo para proteger o datacenter
Políticas de acesso baseado na identidade e não na posição dentro da rede
Tendências de Mercado
Internet
31
DirectAccess
Oferecer um acesso seguro e transparente a sua Rede Corporativa de qualquer lugar
32
O que é DirectAccess?
Acesso transparente a rede corporativaSe o computador do usuário está conectada a Internet, ela está conectada a rede corporativa
Gerenciamento remotoComputador do usuário é gerenciado em qualquer lugar em que esteja ligado na Internet
Conectividade seguraComunicação entre a máquina do usuário e os recursos corporativos é protegida
33
Sempre ConectadoSempre ConectadoNão é necessário ação do usuárioSe adapta as mudanças de rede
34
Seguro
Criptografia por defaultSmartcardsControle de Acesso GranulaCoexiste com soluções atuais (Políticas de Acesso, Estado de Saúde e etc)
35
GerenciávelAcesso a máquinas antes “intocáveisPermite GPO para máquinas remotasIntegração com o NAP
36
Servidor DirectAccess
Cliente DirectAccess
Cliente DirectAccess
IPsec/IPv6
Data Center e Outros Recursos Críticos
Servidores NAP
Internet
Usuário CorporativoRede
Corporativa
Usuário Corporativo
IPsec/IPv6
IPsec/I
Pv6
Clientes tem conectividade IPv6 transparente de qualquer local, com segurança IPsec
Tráfego para a rede corporativa é roteada através de um servidor DirectAccess (Windows 2008 R2 Server)
Integração com NAP para controle de acesso baseado em políticas
Solução DirectAccess
Túnel sobre IPv4 UDP, TLS, etc.
37
38
39
Conteúdo relacionado
Sessões temáticas
Sessões temáticas
Sessões temáticas
Sessões temáticas
© 2008 Microsoft Corporation. Todos os direitos reservados. Microsoft, Windows, Windows Vista e outros nomes de produtos são ou podem ser marcas registradas e/ou marcas comerciais nos EUA e/ou outros países.Este documento é meramente informativo e representa a visão atual da Microsoft Corporation a partir da data desta apresentação. Como a Microsoft deve atender a condições de mercado em constante alteração, este
documento não deve ser interpretado como um compromisso por parte da Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação fornecida após a data desta apresentação. A MICROSOFT NÃO DÁ QUALQUER GARANTIA, SEJA ELA EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, REFERENTE ÀS INFORMAÇÕES DESTA APRESENTAÇÃO.
Por favor preencha a avaliação