SETEMBRO, 2010 | SÃO PAULO

Segurança fim-a-fim:Juntando as peças do quebra-cabeça

CÓDIGO DA SESSÃO: SIA309

Rodrigo ImmaginarioCISSPMVP Securityhttp://rodrigoi.org.br

Vitor NakanoCoord. de Segurança da InformaçãoEcorodovias

3

Agenda

Desafio AtualEmpresas e dos Profissionais de SI

Endereçando as Tecnologias e Recursos de SegurançaDemonstrações:

IPSEC, NAP, DirectAccess, PKI, RMS, SSL, EFS e Autenticação 2 fatores

4

Definição daFronteira

Controle de IdentidadesAcesso

Universal

Autenticação eAutorização

Saúde do Ambiente

Acesso de qualquer ponto

Fronteira

IPSec Policies

Active Directory

2-factor and biometricsClaims-based Security

IPv6

Network Access ProtectionAnti-malware

Per-application VPNand Firewalls

Novos Desafios de TIPolítica, não a topologia, define a fronteira

5

Cenário Atual …

IndependentConsultant

PartnerOrganization

Home

Mobile Devices

USB Drive

• Não há fronteira para o fluxo da informação• Informação é compartilhada, armazenada e acessada sem o

controle do owner• Segurança do Host e da Rede são insuficientes

6

Informações perdidas e responsabilidade civil são crescentes preocupações entre as organizações

Source: WW Security Perceptions Report, MSFT 2007; The Info Pro Information Security Wave 9, November 2007

“Regulatory and legal compliance is a top driver for enterprise and government investment in information security”

“Data Privacy is the most important security concern in

the enterprise in 2007, outranking Malware for the first time”

Data Privacy Malware ProtectionReduce Security Costs Defense in DepthSimple and Easy to Integrate

7

O que fazer ?

Oferecer acesso remoto seguroSuporta autenticação de máquinas e usuários com IPsecNetwork Access Protection com VPNs e IPsecSecure routing compartments aumenta o isolamento em conexões VPN

Proteger dádos sensíveis e a propriedade intelectualComunicação autenticada ponto-a-ponto nas comunicações de redeProteger a confidencialidade e integridade dos dados

Reduzir o risco de ameaças à segurança da redeUma camada adicional no “defense-in-depth”Reduzir a superficie de ataques em máquinas conhecidasAumentar o gerenciamento e a “saúde” dos clientes

8

Isolamento de Servidores e Domínio

Segmentar dinamicamente seu ambiente Windows® com base em políticasLabs

Unmanaged guests

Server Isolation

Domain IsolationProteger computadores de máquinas não gerenciadas ou desconhecidas

Proteger servidores e dados específicos

9

Isolamento de Servidores e Domínio

Untrusted

Unmanaged/Rogue Computer

Domain Isolation

Active Directory Domain Controller

X

Server Isolation

Servers with Sensitive DataHR Workstation

Managed Computer

X

Managed Computer

Trusted Resource Server

Corporate Network

Define os limites lógicosDistribui políticas e credenciaisComputadores controlados podem se comunicarBloquei conexões de computadores não confiáveisRestringe acesso a dados críticos

10

11

12

Network Access Protection - NAP

RemediationServers

Example: PatchRestrictedNetwork

WindowsClient

Policy compliant

NPSDHCP, VPN

Switch/Router

Policy Serverssuch as: Patch, AV

Corporate Network

Not policy compliant

O que é o Network Access Protection?

Integração Cisco e Microsoft

Health Policy Validation Health Policy Compliance

Limitar o acesso a rede Aumentar a segurança

Aumentar o valor do negócio

13

NAP – Como Funciona ...

Not policy compliant

1

RestrictedNetwork

Cliente solicita o acesso a rede apresentando seu estado de saúde

1

4Se não houver conformidade o cliente é colocado em um VLAN restrita e terá acesso somente aos servidores de remediação (Repeat 1 - 4)

2 DHCP, VPN ou Switch/Router encaminha o status de saúde para o Microsoft Network Policy Server (RADIUS)

5 Havendo conformidade o cliente terá acesso completo a rede

MSFT NPS

3

Policy Serverse.g. Patch, AV

Policy compliant

DHCP, VPNSwitch/Router

3 Network Policy Server (NPS) valida de acordo com as políticas definida

2

WindowsClient

Fix UpServerse.g. Patch

Corporate Network5

4

14

NAP - Arquitetura

MS Network Policy Server

Quarantine Server (QS)

Client

Quarantine Agent (QA)

Health policyUpdates

HealthStatements

NetworkAccessRequests

System Health Servers

Remediation Servers

HealthCertificate

Network Access Devices and Servers

System Health Agent (SHA)MS and 3rd Parties

System Health Validator

Enforcement Client (EC)(DHCP, IPSec, 802.1X, VPN)

ClientSHA – Health agents check client state

QA – Coordinates SHA/EC

EC – Method of enforcement

Remediation ServerServes up patches, AV signatures, etc.

Network Policy ServerQS – Coordinates SHV

SHV – Validates client health

System Health ServerProvides client compliance policies

15

Aqui está seu certificado de saúde.

Sim, pegue seu novo certificado

Acessando a rede X

Remediation Server

Policy Server

HCS

Posso ter um certificado de saúde?Aqui está meu SoH..

Cliente ok?

Não, precisa de correções

Você não possui um certificado de saúde. Faça sua atualizaçãoPreciso de

atualizações.

Aqui está.

Host

QuarantineZone

BoundaryZone

ProtectedZone

Exchange

NAP com IPSEC

Active Directory Certificate Services

Segurança Gerenciamento Interoperabilidade

Cryptography Next Generation

Granular Admin

V3 Certificates

Windows Server 2008 Server Role

PKIView

Novas GPOs

Suporte ao OCSP

Suporte ao IDP CRL

Suporte MSCEP

Melhorias no PKI

Enterprise PKI (PKIView)Microsoft Management Console snap-in Suporta caracteres Unicode

Online Certificate Status Protocol (OSCP)

Online Responders Responder Arrays

Network Device Enrollment Service

Implementação da Microsoft do Simple Certificate Enrollment Protocol (SCEP) Melhorias da segurança nad comunicações usando IPsec

Web EnrollmentRemovida a versão do ActiveX® XEnroll.dll Melhorias no novo compomente COM enrollment control - CertEnroll.dll

Cryptography Next Generation

Cryptography Next Generation (CNG)

Inclui algoritimos para encryption, digital signatures, key exchange, e hashingSuporta criptografia em modo KernelSuporta o algoritimo CryptoAPI 1.0 atualSuporta algoritimos elliptic curve cryptography (ECC) Executa operações de criptografia básica, como a criação de hashes e encriptar e decriptar dados

20

SSL Encryption para Servidores WebÉ a fundação para diversas soluções e recursos da Microsoft

Por que SSL encryption para Servidores Web é a fundação para muitas soluções e recursosEscolhendo o provedor de certificados para servidores webDeploy do certificados para servidores webModelos de Certificados (templates)Emitindo Certificados de Servidor Web

21

Encrypting File SystemProteção de DadosHoje em dia, um dos desafios é proteger as informações sensíveis.Nas Políticas de Segurança para os Usuários descreve que informação com conteúdo confidencial ou sigiloso deverá usar técnicas de criptografia, ou qualquer outra disponibilizada pela empresa.

Desafio:Em que momento usar o EFS?

Habilitando e desabilitando o EFSModelo de Certificado para EFSObtendo certificado para EFS

22

Autenticação 2 fatoresAutenticação Forte

Na SI, a autenticação é um processo que busca verificar a identidade digital do usuário. A autenticação normalmente depende de um ou mais "fatores de autenticação".Os fatores de autenticação são normalmente classificados:

Aquilo que o usuário éAquilo que o usuário temAquilo que o usuário conhece

Desafio:Quando usar autenticação de 2 fatores?

Dispositivos (Smart card, Token USB, Token OTP)Planejando e Gerenciando a entrega

23

24

AD RMSProteção de dados e Classificação da InformaçãoHoje em dia, um dos desafios é proteger as informações sensíveis.Nas Políticas de Segurança para os Usuários descreve:

Toda informação deverá ser classificada quanto ao seu sigilo;Toda informação deverá ser protegida com base na sua classificação;É de responsabiliade o usuário proteger a informação (geração, manuseio, guarda, ..., descarte da informação).

Desafio:Em que momento usar o RMS?

Use o RMS no processo de Classificação da InformaçãoComo proteger as informações de Alto Impacto

25

Projeto Tradicional …

Access Control List Perimeter

Authorized Users

Firewall Perimeter

Unauthorized Users

Authorized Users

Unauthorized Users

YES

NO

Information Leakage

26

Identity-Based Information Protection

Persistent protection for sensitive/confidential dataControla o acesso através do ciclo de vida da informaçãoPermite o acesso com base em Identidates confiáveisGarante a segurança da transmissão e armazenamento de dados importantes – Documento criptografados com 128-bitCriação de tipos de permissão (print, view, edit, expiration, etc.)

Persistent Protection

Encryption Policy • Access Permissions• Use Right Permissions

27

Policy• Access Permissions• Use Rights

Encryption

Policy• Access Permissions• Use Rights

Encryption

Rights Management ServicesProteção de Informação Persistente

28

RMS Workflow

Information Author The Recipient

RMS Server

Microsoft® SQL Server®

Active Directory

2 3

4

5

2. Autor define as permissões e regras para o arquivo; A aplicação cria o “publishing license” e criptografa o arquivo

3. Autor distribui o arquivo

4. Cliente abre o arquivo; O aplicativo chama o RMS Server que valida o usuário e atribui um “use license”

5. Aplicação aplica e força as permissões

1. Autor recebe um Author receives a client licensor certificate na primeira que ele proteger um documento

1

29

30

Servidor DirectAccess

Data Center e Outros Recursos Críticos Usuário

Local

Rede Corporativa

Usuário Remoto

Premissa que a infraestrutura de rede é sempre insegura

Redefinição do perímetro corporativo para proteger o datacenter

Políticas de acesso baseado na identidade e não na posição dentro da rede

Tendências de Mercado

Internet

31

DirectAccess

Oferecer um acesso seguro e transparente a sua Rede Corporativa de qualquer lugar

32

O que é DirectAccess?

Acesso transparente a rede corporativaSe o computador do usuário está conectada a Internet, ela está conectada a rede corporativa

Gerenciamento remotoComputador do usuário é gerenciado em qualquer lugar em que esteja ligado na Internet

Conectividade seguraComunicação entre a máquina do usuário e os recursos corporativos é protegida

33

Sempre ConectadoSempre ConectadoNão é necessário ação do usuárioSe adapta as mudanças de rede

34

Seguro

Criptografia por defaultSmartcardsControle de Acesso GranulaCoexiste com soluções atuais (Políticas de Acesso, Estado de Saúde e etc)

35

GerenciávelAcesso a máquinas antes “intocáveisPermite GPO para máquinas remotasIntegração com o NAP

36

Servidor DirectAccess

Cliente DirectAccess

Cliente DirectAccess

IPsec/IPv6

Data Center e Outros Recursos Críticos

Servidores NAP

Internet

Usuário CorporativoRede

Corporativa

Usuário Corporativo

IPsec/IPv6

IPsec/I

Pv6

Clientes tem conectividade IPv6 transparente de qualquer local, com segurança IPsec

Tráfego para a rede corporativa é roteada através de um servidor DirectAccess (Windows 2008 R2 Server)

Integração com NAP para controle de acesso baseado em políticas

Solução DirectAccess

Túnel sobre IPv4 UDP, TLS, etc.

37

38

39

Conteúdo relacionado

Sessões temáticas

Sessões temáticas

Sessões temáticas

Sessões temáticas

© 2008 Microsoft Corporation. Todos os direitos reservados. Microsoft, Windows, Windows Vista e outros nomes de produtos são ou podem ser marcas registradas e/ou marcas comerciais nos EUA e/ou outros países.Este documento é meramente informativo e representa a visão atual da Microsoft Corporation a partir da data desta apresentação. Como a Microsoft deve atender a condições de mercado em constante alteração, este

documento não deve ser interpretado como um compromisso por parte da Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação fornecida após a data desta apresentação. A MICROSOFT NÃO DÁ QUALQUER GARANTIA, SEJA ELA EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, REFERENTE ÀS INFORMAÇÕES DESTA APRESENTAÇÃO.

Por favor preencha a avaliação