Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft podem te ajudar

SESSÃO: INFRAESTRUTURA

TRILHA: SEGURANÇA

© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.

MVP ShowCast 2013

Defesa em profundidadeVeja como as tecnologias da Microsoft podem ajudar!

Rodrigo Immaginario

Enterprise Security

CIO – Universidade de Vila Velha

@rodrigoi

http://mvp.microsoft.com/pt-br/mvp/Rodrigo%20Immaginario-9837

https://twitter.com/rodrigoi


TRILHA: SEGURANÇA


Internet

Intranet

`

Remote Employees

Remote Access Gateway

Web Server

Customers

Perimeter

X Infrastructure ServersExtranet

Server

`

♦ Interconexão de redes

♦ Dados Distribuídos

♦ Mobile workers

♦ Business extranets

♦ Remote access

♦ Web services

♦ Wireless

♦ Mobile smart devices

Novos Desafios de TI


TRILHA: SEGURANÇA


Definição daFronteira

Controle de IdentidadesAcesso

Universal

Autenticação eAutorização

Saúde do Ambiente

Acesso de qualquer pontoIPSec Policies

Active Directory

2-factor and biometricsClaims-based Security

IPv6

Network Access ProtectionAnti-malware

Per-application VPNand Firewalls

Novos Desafios de TIPolítica, não a topologia, define a fronteira


TRILHA: SEGURANÇA


Cenário Atual …

IndependentConsultant

PartnerOrganization

Home

Mobile Devices

USB Drive

• Não há fronteira para o fluxo da informação• Informação é compartilhada, armazenada e

acessada sem o controle do owner• Segurança do Host e da Rede são

insuficientes


TRILHA: SEGURANÇA


O que fazer ?

Oferecer acesso remoto seguroSuporta autenticação de máquinas e usuários com IPsecNetwork Access Protection com VPNs e IPsecSecure routing compartments aumenta o isolamento em conexões VPN

Proteger dádos sensíveis e a propriedade intelectualComunicação autenticada ponto-a-ponto nas comunicações de redeProteger a confidencialidade e integridade dos dados

Reduzir o risco de ameaças à segurança da redeUma camada adicional no “defense-in-depth”Reduzir a superficie de ataques em máquinas conhecidasAumentar o gerenciamento e a “saúde” dos clientes


TRILHA: SEGURANÇA


Nova Pilha TCP/IP

Insp

ectio

n

AP

I

IPv4

802.3

WSK

WSK Clients TDI Clients

NDIS

WLANLoop-back

IPv4 Tunnel

IPv6 Tunnel

IPv6

RAWUDPTCP

Next Generation TCP/IP Stack (tcpip.sys)

AFD

TDX

TDI

Winsock User Mode

Kernel Mode

♦ Arquitetura Dual-IP layer, para suportar IPv4 and IPv6 nativos

♦ Melhor Integração com IPSEC para aumentar a segurança

♦ Aumento da performace via hardware

♦ Network auto-tuning e otimização

♦ Melhores APIs para ampliar as funcionalidades da pilha


TRILHA: SEGURANÇA


Isolamento de Servidores e Domínio

Segmentar dinamicamente seu ambiente Windows® com base em políticas

LabsUnmanaged guests

Server Isolation

Domain Isolation Proteger computadores de máquinas não gerenciadas ou desconhecidas

Proteger servidores e dados específicos


TRILHA: SEGURANÇA


Isolamento de Servidores e Domínio

Untrusted

Unmanaged/Rogue Computer

Domain Isolation

Active Directory Domain Controller

X

Server Isolation

Servers with Sensitive DataHR Workstation

Managed Computer

X

Managed Computer

Trusted Resource Server

Corporate Network

Define os limites lógicosDistribui políticas e credenciaisComputadores controlados podem se comunicarBloquei conexões de computadores não confiáveisRestringe acesso a dados críticos


TRILHA: SEGURANÇA



TRILHA: SEGURANÇA


Network Access Protection - NAP

Remediation

ServersExample: PatchRestricted

NetworkWindows

ClientPolicy

compliant

NPSDHCP, VPN

Switch/Router

Policy Serverssuch as: Patch, AV

Corporate Network

Not policy compliant

O que é o Network Access Protection?

Integração Cisco e Microsoft

Health Policy Validation Health Policy Compliance

Limitar o acesso a rede Aumentar a segurança

Aumentar o valor do negócio


TRILHA: SEGURANÇA


Como Surgiu o NAP ...

♦ Virus Blaster causa problemas nas empresas

♦ Computadores conectados na rede começam a infectar os demais

♦ Criação de uma verificação de “saúde” do computador♦ Valida a conformidade com a política de segurança da

organização

♦ Deve ser aplicado sem a necessidade de um chamado no Service Desk


TRILHA: SEGURANÇA


O que é o NAP ?

♦ Adiciona o status de “saúde” na política de acesso da rede

♦ Definição dos requisitos de software e configuração para o computador acessar a rede

♦ Nativo no Windows Server “Longhorn” e Windows Vista

♦ Agentes para o Windows XP e Windows 2003


TRILHA: SEGURANÇA


NAP – Como Funciona ...

Not policy compliant

1

RestrictedNetwork

Cliente solicita o acesso a rede apresentando seu estado de saúde

1

4Se não houver conformidade o cliente é colocado em um VLAN restrita e terá acesso somente aos servidores de remediação (Repeat 1 - 4)

2 DHCP, VPN ou Switch/Router encaminha o status de saúde para o Microsoft Network Policy Server (RADIUS)

5 Havendo conformidade o cliente terá acesso completo a rede

MSFT NPS

3

Policy Serverse.g. Patch, AV

Policy compliant

DHCP, VPNSwitch/Router

3 Network Policy Server (NPS) valida de acordo com as políticas definida

2

WindowsClient

Fix UpServerse.g. Patch

Corporate Network5

4


TRILHA: SEGURANÇA


SHA2SHA1

Remediation Server 1

SHA API

NAP Agent

NAP EC_BNAP EC_A

Cliente NAP

Remediation Server 2

SHV1SHV2

SHV API

NAP Administration Server

Servidor NAP

SHV3

NAP ES_ANAP ES_B

NPS

RADIUS

Fornecido pelo NAP

Fornecido por terceiros

NPS

NAP EC API

Policy Server 1

Policy Server 2

NAP - Arquitetura


TRILHA: SEGURANÇA


Métodos de Quarentena do NAP

♦Internet Protocol security (IPsec)- autenticação da comunicação

♦IEEE 802.1X- autenticação na conexão de rede♦Acesso remoto via virtual private network (VPN) ♦Dynamic Host Configuration Protocol (DHCP)


TRILHA: SEGURANÇA



TRILHA: SEGURANÇA


Aqui está seu certificado de saúde.

Sim, pegue seu novo certificado

Acessando a rede X

Remediation Server

Policy Server

HCS

Posso ter um certificado de saúde?Aqui está meu SoH..

Cliente ok?

Não, precisa de correções

Você não possui um certificado de saúde. Faça sua atualizaçãoPreciso de

atualizações.

Aqui está.

Host

QuarantineZone

BoundaryZone

ProtectedZone

Exchange

NAP com IPSEC


TRILHA: SEGURANÇA


Public Key Infrastructure

Segurança Gerenciamento Interoperabilidade

Cryptography Next Generation

Granular Admin

V3 Certificates

Windows Server 2008 Server Role

PKIView

Novas GPOs

Suporte ao OCSP

Suporte ao IDP CRL

Suporte MSCEP


TRILHA: SEGURANÇA


PKI – Benefícios Secundários- Alterar autenticação do IPSEC de Kerberos para Certificados Digitais- Autenticação com 2 fatores (Token para acesso Administrativo)- Requisitos para diversas soluções de segurança (RMS, EFS, etc)- Segurança Wireless- Segurança Acesso Remoto- Interoperabilidade


TRILHA: SEGURANÇA


SSL Encryption para Servidores WebÉ a fundação para diversas soluções e recursos da Microsoft

♦Por que SSL encryption para Servidores Web é a fundação para muitas soluções e recursos

♦Escolhendo o provedor de certificados para servidores web

♦Deploy do certificados para servidores web♦Modelos de Certificados (templates)♦Emitindo Certificados de Servidor Web


TRILHA: SEGURANÇA


Autenticação 2 fatoresAutenticação Forte

Na SI, a autenticação é um processo que busca verificar a identidade digital do usuário. A autenticação normalmente depende de um ou mais "fatores de autenticação".

Os fatores de autenticação são normalmente classificados:

♦Aquilo que o usuário é♦Aquilo que o usuário tem♦Aquilo que o usuário conhece

♦Desafio:♦ Quando usar autenticação de 2 fatores?

♦Dispositivos (Smart card, Token USB, Token OTP)

♦Planejando e Gerenciando a entrega


TRILHA: SEGURANÇA


RMS BitLocker

Criptografar arquivos e Pastas de Usuários

Arquivamento das chaves em Smart Card

EFS

Fácil de configurar e implementarProteção dos dados entre o trabalho e casaCompartilhamento de Dados protegidos.

Proteção de Dados

Definição via Policy

Proteção da informação onde ela estiver

RMS Client Integrado


TRILHA: SEGURANÇA


AD RMSProteção de dados e Classificação da Informação

Hoje em dia, um dos desafios é proteger as informações sensíveis.

Nas Políticas de Segurança para os Usuários descreve:♦ Toda informação deverá ser classificada quanto ao seu sigilo;♦ Toda informação deverá ser protegida com base na sua classificação;♦ É de responsabiliade o usuário proteger a informação (geração,

manuseio, guarda, ..., descarte da informação).

♦Desafio:♦Em que momento usar o RMS?

♦Use o RMS no processo de Classificação da Informação♦Como proteger as informações de Alto Impacto


TRILHA: SEGURANÇA


Projeto Tradicional …

Access Control List Perimeter

Authorized

Users

Firewall Perimeter

Unauthorized

Users

Authorized

Users

Unauthorized

Users

YES

NO

Information Leakage


TRILHA: SEGURANÇA


RMS Workflow

Information Author The Recipient

RMS Server

Microsoft® SQL Server®

Active Directory

2 3

4

5

2. Autor define as permissões e regras para o arquivo; A aplicação cria o “publishing license” e criptografa o arquivo

3. Autor distribui o arquivo

4. Cliente abre o arquivo; O aplicativo chama o RMS Server que valida o usuário e atribui um “use license”

5. Aplicação aplica e força as permissões

1. Autor recebe um Author receives a client licensor certificate na primeira que ele proteger um documento

1


TRILHA: SEGURANÇA


Identity-Based Information Protection

♦Persistent protection for sensitive/confidential data♦ Controla o acesso através do ciclo de vida da informação♦ Permite o acesso com base em Identidates confiáveis♦ Garante a segurança da transmissão e armazenamento de dados

importantes – Documento criptografados com 128-bit♦ Criação de tipos de permissão (print, view, edit, expiration, etc.)

Persistent Protection

Encryption Policy • Access Permissions• Use Right

Permissions


TRILHA: SEGURANÇA


Controle de Aplicação

Situação Hoje A partir do Windows 7

Elimina aplicações desconhecidas na redePossibilita padronização de aplicaçõesFacilidade de criação e gerenciamento das regras via GPO

AppLocker

Usuários podem executar e Instalar aplicações não aprovadasMesmo usuários comuns podem executar programasAplicações não autorizadas podem :

Conter MalwareAumenta Help-DeskReduz produtividade


TRILHA: SEGURANÇA


Estrutura Simples

♦Allow♦ Execução Limitada ao “known

good” e bloquear o resto

♦Deny♦ Negar o “known bad” e

permitir a execução do resto

♦Exception♦ Exceção de arquivos da

regras allow/deny


TRILHA: SEGURANÇA


Publisher

♦Regras baseadas em assinaturas digitais dos aplicativos

♦Pode especificar os atributos da aplicação

♦Permite que as regras funcionem mesmo com as atualizações das aplicações


TRILHA: SEGURANÇA


Targeting

♦Regras podem ser associadas a usuários e grupos

♦Controle Granular♦Ajuda nas Políticas de

Segurança por “forçar” quem pode executar determinadas aplicações


TRILHA: SEGURANÇA


Servidor DirectAcc

ess

Data Center e Outros

Recursos Críticos

Usuário Local

Rede Corporativa

Usuário

Remoto

Premissa que a infraestrutura de rede é sempre insegura

Redefinição do perímetro corporativo para proteger o datacenter

Políticas de acesso baseado na identidade e não na posição dentro da rede

Tendências de Mercado

Internet


TRILHA: SEGURANÇA


DirectAccess

♦Oferecer um acesso seguro e transparente a sua Rede Corporativa de qualquer lugar


TRILHA: SEGURANÇA


O que é DirectAccess?

♦Acesso transparente a rede corporativa♦Se o computador do usuário está conectada a Internet, ela está

conectada a rede corporativa

♦Gerenciamento remoto♦Computador do usuário é gerenciado em qualquer lugar em que

esteja ligado na Internet

♦Conectividade segura♦Comunicação entre a máquina do usuário e os recursos

corporativos é protegida


TRILHA: SEGURANÇA


Servidor DirectAccess

Cliente DirectAccess

Cliente DirectAccess

IPsec/IPv6

Data Center e Outros Recursos Críticos

Servidores NAP

Internet

Usuário CorporativoRede

Corporativa

Usuário Corporativo

IPsec/IPv6

IPsec/IPv6

Clientes tem conectividade IPv6 transparente de qualquer local, com segurança IPsec

Tráfego para a rede corporativa é roteada através de um servidor DirectAccess (Windows 2008 R2 Server)

Integração com NAP para controle de acesso baseado em políticas

Solução DirectAccess

Túnel sobre IPv4 UDP, TLS, etc.


TRILHA: SEGURANÇA


Links úteis ...

♦Windows Server 2012 R2 c/ System Center 2012 R2♦ http://technet.microsoft.com/pt-br/evalcenter/dn205286.aspx?CR_CC=200142594

♦System Center 2012 R2♦ http://technet.microsoft.com/pt-br/evalcenter/dn205295

♦Hyper-V R2♦ http://technet.microsoft.com/pt-br/evalcenter/dn205299

♦Windows Server 2012 Essentials R2♦ http://technet.microsoft.com/pt-br/evalcenter/dn205288.aspx

♦SQL 2014 CTP♦ http://technet.microsoft.com/pt-br/evalcenter/dn205290

http://technet.microsoft.com/pt-br/evalcenter/dn205286.aspx?CR_CC=200142594

http://technet.microsoft.com/pt-br/evalcenter/dn205286.aspx?CR_CC=200142594

http://technet.microsoft.com/pt-br/evalcenter/dn205295




http://technet.microsoft.com/pt-br/evalcenter/dn205288.aspx

http://technet.microsoft.com/pt-br/evalcenter/dn205288.aspx




TRILHA: SEGURANÇA


Perguntas & Respostas

Education

Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft podem te ajudar