DOCUMENTAÇÃO TÉCNICA | Novembro de 2014
Sua agência está sujeita
aos requisitos previstos no
Regulamento do Exército
25-2 dos EUA?
Chris Boswell
North American Security
2 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2
ca.com/br
Sumário
Resumo executivo 3
Seção 1: 4
Requisitos detalhados do AR 2502
Seção 2: 10
Soluções da CA Technologies
Seção 3: 14
Sobre o autor
3 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2
ca.com/br
Resumo executivo
Desafio
O Regulamento do Exército 25-2 dos EUA inclui uma série de proteções técnicas, administrativas e operacionais
projetadas para proteger informações não confidenciais, restritas ou confidenciais armazenadas, processadas, acessadas
ou transmitidas por sistemas de informação. A conformidade com essa diretiva é obrigatória para os integrantes ativos
do Exército, da Guarda Nacional do Exército e da Reserva Militar dos EUA, bem como para todos os usuários de sistemas
de informação do exército, incluindo agências relacionadas, como o Departamento de Defesa, serviços coligados, como
o Corpo de Engenheiros do Exército dos Estados Unidos, e quaisquer prestadores de serviços trabalhando em sistemas de
informação do exército nos termos dos contratos do exército.
Oportunidade
A CA Technologies fornece uma série de recursos essenciais que abordam os requisitos principais do Regulamento do
Exército 25-2. Esta documentação técnica explorará esses requisitos em detalhes, bem como as soluções desenvolvidas
para ajudar a atingir e manter a conformidade no futuro.
Benefícios
O AR 25-2 descreve uma série de controles que devem estar em vigor para proteger os sistemas de informação
do exército. A maioria desses controles é descrita no capítulo 4, sobre a diretiva de garantia de informações.
A CA Technologies oferece uma série de soluções de segurança para atender aos requisitos mais técnicos descritos
nesse capítulo, conforme realçado na figura abaixo:
A CA Technologies
possibilita a conformidade
Requisito da diretiva
Seção 1
Diretiva geral
4
Seção 2
Segurança de software
4
Seção 3
Segurança física, de hardware e de firmware
Seção 4
Segurança processual
Seção 5
Segurança pessoal
Seção 6
Mídia de sistemas de informação
Seção 7
Segurança da rede
Seção 8
Geração de relatórios de incidentes e invasões
Seção 9
Gerenciamento da vulnerabilidade da garantia de informações
Seção 10
Disposições diversas
4
4
4 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2
ca.com/br
Seção 1:
Requisitos detalhados do AR 2502
Seção I: 4-5 - Requisitos mínimos de garantia de informações
#
4-5.9.a
Requisito
Soluções da CA Technologies
Desativar ou remover software
de segurança ou proteção e seus
mecanismos e logs associados de
sistemas de informação.
Os agentes com base em host do CA Privileged Identity Manager permitem
que as organizações criem e estabeleçam uma base de computação confiável
que pode ser utilizada para ajudar a garantir que o software de segurança
ou proteção não será adulterado, nem mesmo por usuários raiz ou outros
usuários com privilégios.
4-5.9.c
O pessoal de garantia de informações
implementará controles de acesso de
sistema e dispositivo usando o POLP
(Principle of Least Privilege - Princípio
do Menor Privilégio) por meios
automatizados ou manuais para proteger
ativamente os sistemas de informação
contra comprometimento, uso ou acesso
não autorizado e manipulação.
As diretivas de controle de acesso refinado do CA Privileged Identity
Manager permitem que as organizações apliquem o POLP e mantenham
a separação de tarefas, mesmo quando os usuários estiverem acessando
contas com privilégios.
4-5.9.c.4
Verificar se os sistemas estão
configurados para gerar automaticamente
um registro auditável ou entrada de log
para cada acesso concedido ou tentativa
de acesso.
O CA Privileged Identity Manager fornece seu próprio log gerenciado
centralmente, seguro e assinado digitalmente que servirá como uma
fonte confiável para todas as tentativas de acesso. O pessoal de garantia
de informações pode acessar os relatórios do CA Privileged Identity
Manager para monitorar e relatar as atividades de sistema e demonstrar
a conformidade com as determinações da agência.
4-5.9.c.5
Validar se os sistemas identificam
os usuários por meio do uso de
identificações de usuário exclusivas
(USERIDs).
O recurso de gerenciamento de contas compartilhadas do CA Privileged
Identity Manager ajuda a controlar o acesso a contas de serviço de sistema
compartilhadas e a outras contas de usuários com privilégios, obrigando
os usuários a registrar formalmente a saída das contas e se identificarem
exclusivamente antes de obterem acesso aos sistemas. Para sistemas
*NIX, o CA Privileged Identity Manager também oferece um módulo
PAM Kerberos que pode ser implementado para permitir que os usuários
entrem nos sistemas usando suas USERIDs do Active Directory. Isso agiliza
e simplifica a segurança, as operações e a garantia de informações, pois
elimina a necessidade de armazenar e gerenciar a USERID localmente
em cada servidor *NIX. Como resultado, tarefas importantes como
o desprovisionamento se tornam muito mais fáceis de gerenciar e relatar.
4-5.9.c.6
Validar se os sistemas autenticam os
usuários por meio do uso do CAC como
um mecanismo de autenticação de dois
fatores. O CAC tem certificados no ICC
(Integrated Circuit Chip - Chip de Circuito
Integrado) e será usado como o principal
identificador de usuários e autenticador
de acesso para sistemas.
O CA Privileged Identity Manager obtém a integração com o CAC por
meio da integração com o CA Single Sign-On.
4-5.9.c.9
Validar se as configurações do sistema
proíbem contas e acessos anônimos
(por exemplo, Estudante1, Estudante2,
Cliente1, Cliente2, anônimo).
O recurso de gerenciamento de contas compartilhadas do CA Privileged
Identity Manager obriga os usuários a registrar formalmente a saída das
contas e se identificarem exclusivamente antes de obterem acesso aos
sistemas. Como resultado, os usuários não podem entrar nos sistemas
anonimamente.
5 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2
ca.com/br
#
Requisito
Soluções da CA Technologies
4-5.9.c.10
Proibir o uso de contas genéricas de grupo. Permitir exceções
somente conforme o caso ao atender a um requisito operacional
ou administrativo, como a inspeção de contas permanentes ou
de suporte técnico ou que exigem a continuidade das operações,
funções ou recursos. IAMs implementarão procedimentos para
identificar e auditar os usuários de contas de grupo por meio de
outros mecanismos operacionais, como logs de obrigações.
O CA Privileged Identity Manager pode bloquear e proibir
totalmente o uso de contas genéricas de grupo. Nas situações em
que o pessoal de suporte, operações ou administração exigir acesso,
o CA Privileged Identity Manager pode exigir uma solicitação e uma
aprovação formal de fluxo de trabalho antes de conceder o acesso.
Quando a sessão terminar, a senha da conta será automaticamente
revogada e o CA Privileged Identity Manager fornecerá um registro
auditável do indivíduo que realmente usou a conta de grupo.
4-5.9.c.11
Verificar se as configurações do sistema limitam o número de
tentativas de logon de usuário sem êxito a três antes de negar o acesso
à conta (bloqueá-la), quando o bloqueio de conta for suportado pelo
sistema de informação ou dispositivo. Se suportado pelo sistema
de informação, o sistema impedirá tentativas rápidas quando um
autenticador for digitado incorretamente e não exibir indicativos
ou mensagens de erro de que o autenticador ou a ID foi digitada
incorretamente (por exemplo, implementar esperas entre tentativas
sem êxito).
O CA Privileged Identity Manager gerencia e aplica centralmente
o número permitido de tentativas de logon sem êxito, bem como
a duração do bloqueio em diferentes plataformas.
4-5.9.c.12
Verificar se as configurações do sistema geram logs de auditoria
e investigar as violações de eventos de segurança quando for
excedido o número máximo de tentativas de autenticação,
o número máximo de tentativas de um sistema de informação
ou o número máximo de tentativas sem êxito durante um
período definido.
O CA Privileged Identity Manager fornece seu próprio log gerenciado
centralmente, seguro e assinado digitalmente que servirá como
uma fonte confiável para que o pessoal de garantia de informações
investigue e relate as violações nas quais o número máximo de
tentativas de autenticação for excedido.
4-5.9.c.14
Se documentados no pacote de C&A e autorizados pelo DAA,
bloqueios com base na hora (isto é, o acesso é restrito com base
na hora ou em controles de acesso com base no endereço IP,
porta terminal ou combinações dessas opções) e barreiras que
exigem um determinado tempo de espera antes de permitir
a entrada poderão ser usados.
O CA Privileged Identity Manager permite restringir o acesso
do usuário com base na hora, endereço IP, porta terminal ou
combinação dessas opções.
4-5.9.c.14.a
Implementar trilhas de auditoria obrigatórias para gravar todas
as tentativas de logon com e sem êxito.
O CA Privileged Identity Manager fornece seu próprio log gerenciado
centralmente, seguro e assinado digitalmente que servirá como
uma fonte confiável para que o pessoal de garantia de informações
investigue e relate as tentativas de logon com e sem êxito.
4-5.9.c.17
Criar e aplicar a auditoria de acesso, proteger os eventos de controle
de acesso físico (por exemplo, acessos de leitor de cartão) e auditar
logs de eventos de violações de segurança física ou controles
de acesso para oferecer suporte aos esforços de investigação,
conforme necessário.
O CA Privileged Identity Manager aplica a auditoria de
acesso e fornece seu próprio log gerenciado centralmente,
seguro e assinado digitalmente que servirá como uma fonte confiável
para que o pessoal de garantia de informações investigue e relate
as tentativas de logon com e sem êxito.
6 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2
ca.com/br
#
Requisito
Soluções da CA Technologies
4-5.9.f.8
Após a aceitação para uso operacional (desenvolvimento, GOTS ou COTS),
manter o software sob controles de CM rígidos e contínuos para evitar alterações
não autorizadas.
O CA Privileged Identity Manager fornece um serviço
de "Watchdog" que permite aos usuários criar uma
linha de base de computação confiável e monitorá-la
continuamente para evitar alterações não autorizadas.
Esse recurso oferece suporte direto aos esforços de
monitoramento contínuo da agência.
4-5.9.h.
Os SAs configurarão os sistemas de informação para registrar automaticamente
todas as tentativas de acesso. As auditorias dos sistemas de informação serão
automatizadas ou manuais. Os SAs implementarão mecanismos de auditoria
para esses sistemas de informação que oferecem suporte a vários usuários.
1. Uso de servidores de auditoria para consolidar os logs de auditoria de sistema
para verificação centralizada para remover o potencial de edição não autorizada
ou exclusão de logs de auditoria em caso de incidentes ou comprometimentos.
2. Comandos, organizações, inquilinos, atividades e instalações oferecerão suporte
a implementações de servidores de auditoria centralizados na empresa.
3. Logs de servidores de auditoria centralizados serão mantidos por um período mínimo
de 1 ano.
4. Realização de inspeções pessoais pelo respectivo gerente de SA/NA ou IA.
5. Ativação e aperfeiçoamento dos recursos de log de sistemas de informação para
identificar atividades locais ou de rede anormais ou potencialmente suspeitas:
O User Activity Reporting Module (UARM) do
CA Privileged Identity Manager agrega e correlaciona
as informações de log de uma variedade de fontes
e fornece mecanismos que consolidam a atividade
de auditoria em um local gerenciado centralmente.
Os gerentes de garantia de informações podem utilizar
o UARM para realizar suas próprias inspeções, investigar
tentativas de logon sem êxito e bloqueios de conta
e reconstruir eventos para oferecer suporte ao pessoal
de operações e segurança.
a.Investigar todas as tentativas de logon sem êxito ou bloqueios de conta.
b.Manter as trilhas de auditoria com detalhes suficientes para reconstruir
eventos e determinar as causas do comprometimento e a magnitude
do dano em caso de um defeito ou de uma violação de segurança.
Manter logs de auditoria do sistema localmente por no mínimo 90 dias.
c.Manter arquivos de auditoria confidenciais e restritos por 1 ano (5 anos
para sistemas SCI, dependendo da capacidade de armazenamento).
d. Fornecer os logs de auditoria para o pessoal do ACERT, Army–Global
Network Operations and Security Center (A–GNOSC), LE ou CI para oferecer
suporte a investigações forenses, criminais ou de contrainteligência,
conforme necessário.
e.Revisar os logs e as trilhas de auditoria no mínimo semanalmente,
ou com mais frequência, se necessário, e tomar as medidas necessárias.
4-5.9. j.1
Implementar proteções para detectar e minimizar o acesso não autorizado
e modificações inadvertidas, mal-intencionadas ou não, além da destruição
de dados.
O CA Privileged Identity Manager fornece controles de
acesso refinados com base em recursos que podem ser
utilizados para criar diretivas para proteger a integridade
dos dados. Devido ao baixo nível de integração com
o kernel do sistema operacional, o CA Privileged
Identity Manager é excepcionalmente capaz de impedir
o acesso não autorizado e modificações inadvertidas,
mal-intencionadas ou não, além da destruição de
dados, até mesmo de usuários com privilégios definidos
no sistema.
4-5.9. j.6
Proteger dados em descanso (por exemplo, bancos de dados e arquivos)
de acordo com o nível de classificação da informação com criptografia autorizada
e medidas de controle de acesso rigorosas implementadas.
Nem mesmo a criptografia fornece proteção absoluta contra
usuários com privilégios e ameaças internas. O CA Privileged
Identity Manager fornece controles de acesso refinados com
base em recursos que podem ajudar a proteger dados em
descanso até mesmo dos administradores mais avançados.
7 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2
ca.com/br
Seção II: 4-6 e 4-7 - Controles de segurança de software e gerenciamento de banco de dados
#
Requisito
Soluções da CA Technologies
4.6.a
O pessoal de garantia de informações implementará controles para proteger
o software do sistema contra comprometimento, uso não autorizado
e manipulação.
O CA Privileged Identity Manager fornece recursos de
controle de acesso refinados para avaliar quem tem acesso
ao software do sistema. Os recursos incluem a capacidade de
restringir o acesso ao programa por usuários com privilégios,
como administrador e raiz, bem como a capacidade de criar
PACLs (Program Access Control Lists - Listas de Controle
de Acesso a Programas), que impediriam que o software
seja modificado por outros programas setuid ou setgid.
O CA Privileged Identity Manager também inclui um serviço
de "Watchdog" que permite aos usuários criar uma linha de
base de computação confiável e executa o monitoramento
da integridade do arquivo para evitar e detectar mudanças
não autorizadas no software.
4.6.f
Os gerentes de programa e o DAA restringirão a conexão dos sistemas usados
ou designados como "plataformas de teste" à rede operacional. Os PMs
e DAAs podem autorizar conexões temporárias para realizar atualizações,
fazer download de patches ou executar verificações de vulnerabilidade
quando os recursos de suporte offline forem insuficientes e as proteções
forem validadas. Remover o sistema de informação de "plataforma de teste"
imediatamente após a conclusão da ação até que tenha sido acreditado
operacionalmente e esteja totalmente compatível.
O CA Privileged Identity Manager pode ser usado para
qualificar e rotular sistemas em ambientes virtuais e impedir
que esses sistemas se conectem a redes operacionais
com base em rótulos. Essa funcionalidade é totalmente
automatizada para aprimorar a segurança e agilizar
o processo de desenvolvimento de software.
4.6.i
O uso de produtos de garantia de dados e integridade de sistemas operacionais –
por exemplo, PKI (Public Key Infrastructure - Infraestrutura de Chave Pública),
Tripwire, segurança do protocolo de internet (IPSec), wrappers de Protocolo
de Controle de Transmissão/Protocolo de internet (TCP/IP) – serão incluídos
no desenvolvimento de produtos e integrados a sistemas de produção de
estado final.
O CA Privileged Identity Manager fornece recursos de
monitoramento de arquivos e segurança de rede semelhantes
ao Tripwire, IPTables e wrappers de TCP, mas também
fornece recursos adicionais de garantia de dados, como
armazenamento de senha, gravação de sessão, o Kerberos
Pluggable Authentication Module para sistemas UNIX
e controles de acesso refinados.
4.6. j
IAMs e desenvolvedores farão a transição de serviços de alto risco, tais como
(sem limitação) FTP ou Telnet, para tecnologias e serviços seguros, como FTP
seguro (SFTP) e Secure Shell (SSH).
O CA Privileged Identity Manager fornece recursos
com base em host para ajudar a aplicar não apenas os
mecanismos usados para acessar sistemas, mas também
os sistemas, os locais e os usuários autorizados a acessar
esses sistemas.
4.7.h
O proprietário do sistema colocará bancos de dados em servidores isolados
e dedicados com controles de acesso restritos. Os DBAs não instalarão outros
servidores ou serviços vulneráveis (por exemplo, servidores web, servidores
de FTP) que possam comprometer ou permitem o acesso não autorizado ao
banco de dados por meio de outra vulnerabilidade importante identificada nos
servidores ou serviços adicionais.
As diretivas de acesso refinadas do CA ControlMinder
avaliam efetivamente o escopo dos privilégios dos
administradores de banco de dados para que os servidores
ou serviços vulneráveis não possam ser instalados, mesmo
que o usuário obtenha privilégios de raiz ou administrador.
4.7. j.7
Medidas de controle para proteger servidores e interfaces de banco de dados
contra o acesso direto, não autorizado ou não autenticado à internet por meio
de dispositivos ou recursos de filtragem e controle de acesso (por exemplo,
firewalls, roteadores, ACLs).
O CA Privileged Identity Manager fornece recursos de acesso
à rede com base em host semelhantes aos wrappers de
TCP e IPTables para fornecer um mecanismo central para
a proteção de servidores e interfaces de banco de dados
contra o acesso direto, não autorizado ou não autenticado
à internet.
8 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2
#
4-12
Requisito
a.Implementar técnicas de autenticação de dois fatores como o mecanismo
de controle de acesso em vez de senhas. Usar o CAC como a principal
credencial de acesso, ou acesso biométrico ou com logon único em
dispositivos de controle de acesso quando o sistema de informação não
oferecer suporte ao CAC.
b.O IAM ou a pessoa designada gerenciará a geração, a emissão e o controle
de processos de senhas. Se for utilizado, gerar senhas de acordo com a BBP
de padrões para senhas do exército.
c.O titular de uma senha é o único usuário autorizado dessa senha.
d. A utilização de senhas de uso único é aceitável, mas as organizações devem
fazer a transição para recursos de acesso seguro, tais como SSH ou SSL
(Secure Sockets Layer). Consulte os requisitos de acesso remoto no
parágrafo 4-5d.
e.Os SAs configurarão os sistemas de informação para evitar a exibição de senhas
sem criptografia, a menos que operações táticas (por exemplo, um heads-up
display enquanto uma aeronave estiver em voo) apresentarem riscos de vida ou
de ferimentos graves.
f.Os IAMs irão aprovar e gerenciar os procedimentos para auditar arquivos de
senhas e contas de usuário em busca de senhas fracas, inatividade e histórico
de mudanças. Os IAMs realizarão auditorias trimestrais de arquivos de senha
em um sistema independente ou seguro com acesso limitado.
g. Sistemas implantados e táticos com recursos limitados de entrada de dados
incorporarão medidas de controle de senha de acordo com o possível.
h.Os IAMs e SAs irão remover ou mudar senhas padrão, do sistema,
de manutenção, definidas de fábrica ou incorporadas à tecla de função.
i.Os IAMs e SAs proibirão scripts automatizados ou recursos de vinculação,
incluindo, sem limitação, links de sites que incorporam conta e autenticação
no link sem criptografia.
j.Os SAs/NAs, com a aprovação do DAA, implementarão procedimentos para
a autenticação ou a verificação do usuário antes de redefinir senhas ou
desbloquear contas de acordo com o pacote de C&A.
k.Os SAs/NAs realizarão auditorias semanais de contas de serviço em busca
de indicadores de uso indevido.
l.O uso de softwares ou dispositivos de geração de senhas é autorizado como
um auxiliar de memória quando gerar aleatoriamente e aplicar os requisitos
de tamanho, configuração e validade da senha, proteger contra divulgação
não autorizada por meio de controles de autenticação ou de acesso
e apresentar um nível de risco mínimo ou aceitável durante o uso.
ca.com/br
Soluções da CA Technologies
O CA Privileged Identity Manager fornece recursos
de controle de acesso refinados para avaliar quem
tem acesso ao software do sistema. Os recursos
incluem a capacidade de restringir o acesso ao
programa por usuários com privilégios, como
administrador e raiz, bem como a capacidade
de criar PACLs, que impediriam que o software
seja modificado por outros programas setuid
ou setgid. O CA Privileged Identity Manager
também inclui um serviço de "Watchdog" que
permite aos usuários criar uma linha de base de
computação confiável e executa o monitoramento
da integridade do arquivo para evitar e detectar
mudanças não autorizadas no software.
9 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2
ca.com/br
Seção VII: 4-20 - Segurança de rede
#
Requisito
Soluções da CA Technologies
4-20.e.3
Empregar tecnologias de identificação, autenticação e criptografia ao
acessar dispositivos de rede.
O CA Privileged Identity Manager fornece um mecanismo de
armazenamento de senhas para credenciais com privilégios
que permite o acesso seguro aos dispositivos de rede. Uma vez
implantado, o CA Privileged Identity Manager converte efetivamente
os sistemas existentes em um mecanismo de autenticação de
senha de uso único para contas com privilégios em seu ambiente,
permitindo aos usuários alternar as senhas medida que for feito
o registro de entrada (e saída) das credenciais. O CA Privileged
Identity Manager também pode ser implantado para aplicar como os
usuários acessam dispositivos de rede. Por exemplo, o CA Privileged
Identity Manager pode ser implantado para que as senhas não
sejam exibidas para o usuário final, mas mecanismos autorizados,
tais como SSH, sejam usados para efetuar o logon automático dos
usuários em dispositivos de rede.
4-20.f.1.
Configurar os sistemas de informação para usar criptografia quando
disponível ou como parte da empresa global para proteger o conteúdo
do email a fim de atender aos requisitos de proteção dos dados.
O CA Data Protection fornece inspeção de conteúdo de mensagens
de email e pode aplicar a criptografia de mensagens com base
na confidencialidade do conteúdo e nos requisitos de proteção
dos dados.
4-20.f.5
Todo o pessoal empregará sistemas de email ou dispositivos de
propriedade do governo ou fornecidos por ele para comunicações oficiais.
O CA Privileged Identity Manager pode impedir o uso de contas de
email comerciais de terceiros para fins oficiais.
É proibido o uso de ISP (Internet Service Provider - Provedor de Serviços da
Internet) ou de contas de email comerciais para fins oficiais.
4-20.f.6
É proibido o encaminhamento automático de emails oficiais para
contas ou dispositivos não oficiais.
O CA Data Protection pode impedir que emails oficiais sejam
encaminhados para contas e dispositivos não oficiais.
4-20.f.7
Permitir as comunicações com os fornecedores ou prestadores de
serviços para negócios oficiais e implementar criptografia e medidas
de controle adequadas para a confidencialidade das informações
transmitidas.
A tecnologia de inspeção de conteúdo do CA Data Protection
pode aplicar a criptografia de mensagens para fornecedores ou
prestadores de serviços para ajudar a garantir que as informações
serão transmitidas com segurança.
4-20.g.5
O pessoal de gerenciamento de rede e IA irá implementar e aplicar
controles de segurança e de acesso de gerenciamento de área local.
Os sites publicamente acessíveis não serão instalados ou executados
em uma conta com privilégios em nenhum servidor web. Servidores
web não públicos serão configurados de forma similar, a menos que
operacionalmente seja necessário que eles sejam executados como
uma conta com privilégios e que os procedimentos adequados de
mitigação de riscos tenham sido implementados.
O CA Privileged Identity Manager fornece recursos de controle
de acesso refinados que podem ser usados para bloquear os
servidores web públicos e não públicos. Caso determinados
servidores web exijam que contas com privilégios sejam
executadas, o CA Privileged Identity Manager pode efetivamente
proibir o aplicativo e avaliar o escopo dos privilégios da conta para
limitar o impacto do comprometimento da conta ou serviço.
4-20.g.8
Servidores de extranet e intranet fornecerão criptografia adequada
e autenticação do usuário.
O CA Single Sign-On fornece controles robustos de acesso
e autorização, bem como gerenciamento de sessões para proteger
os recursos com base na web.
10 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2
ca.com/br
#
Requisito
Soluções da CA Technologies
4-20.g.10
Os gerentes de rede e o pessoal de IA configurarão todos os servidores
(incluindo servidores web) que estiverem conectados a redes de
computadores de acesso público, como a internet, ou a redes protegidas,
como a SIPRNET, para empregar controles de acesso e de segurança,
por exemplo, firewalls, roteadores e IDSs (Intrusion Detection System
- Sistema de Detecção de Invasão) com base em host, para garantir
a integridade, a confidencialidade, a acessibilidade e a disponibilidade
dos sistemas de informação e dados do DOD.
O CA Single Sign-On fornece controles robustos de acesso
e autorização, bem como gerenciamento de sessões para proteger
os recursos com base na web. O CA Privileged Identity Manager
fornece controles de acesso robustos e refinados para proteger os
sistemas subjacentes que hospedam os aplicativos do exército.
4-20.g.14
Todos os sites particulares (não públicos) do exército que restringem o acesso
com proteção de senha ou filtragem de endereços específicos implementarão
protocolos SSL utilizando um certificado de PKI de Classe 3 do DOD como
requisito mínimo. A NETCOM/9th SC (A) emite e gerencia esses certificados.
O CA Single Sign-On fornece controles robustos de acesso
e autorização, bem como gerenciamento de sessões para
proteger os recursos com base na web utilizando certificados
de PKI de Classe 3 do DOD.
4-20.i
Todo o pessoal usará apenas softwares de segurança de IA que constarem
na lista de ferramentas de IA em sistemas e redes do exército. A lista de
ferramentas de IA aprovadas pelo exército está disponível no site de IA.
As solicitações de consideração e aprovação de pacotes de software de
segurança adicionais a serem adicionados à lista de ferramentas de IA
devem ser enviadas pelos canais da NETCOM/9th SC (A) ATTN: NETC–EST–I,
ATTN: OIA&C para CIO/G–6.
Atualmente, as soluções de segurança da CA Technologies estão
sendo utilizadas em todo o exército e estão incluídas na lista de
ferramentas de IA aprovadas ou estão em vias de serem certificadas
novamente para refletir as últimas versões disponíveis.
Seção 2:
Soluções da CA Technologies
CA Privileged Identity Manager
O CA Privileged Identity Manager é uma solução de segurança para proteção de recursos de TI e gerenciamento de
privilégios. Esse é um produto maduro que já está a serviço do governo federal dos EUA e do setor comercial e privado há
muitos anos. Além do AR 25-2, o CA Privileged Identity Manager também mapeia para NIST 800-53 em uma variedade
de áreas de controle, fornecendo a aplicação de segurança, o gerenciamento centralizado e os processos repetíveis que
uma organização deve ter para possibilitar a conformidade. O CA Privileged Identity Manager transforma a segurança de
TI em um processo padronizado que possibilita a continuidade das operações e ajuda a reduzir os riscos.
O CA Privileged Identity Manager ajuda a reduzir os riscos internos e externos controlando a maneira como os usuários
com privilégios ou de negócios acessam e usam os dados corporativos. O resultado é um nível mais alto de segurança,
um nível mais baixo de custos administrativos, processos de auditoria/conformidade mais fáceis e uma melhor
experiência do usuário.
O CA Privileged Identity Manager foi projetado para fornecer uma solução abrangente para o gerenciamento de
usuários com privilégios, protegendo servidores, aplicativos e dispositivos entre plataformas e sistemas operacionais.
O CA Privileged Identity Manager opera no nível do sistema a fim de permitir uma aplicação eficiente e consistente
entre os sistemas — incluindo o Windows, o UNIX, o Linux e ambientes virtualizados. Com a distribuição de diretivas
de segurança do servidor para dispositivos, servidores e aplicativos do terminal por meio de um recurso avançado de
gerenciamento de diretivas, você pode controlar os usuários com privilégios e fornecer uma abordagem proativa para
proteção de informações confidenciais e sistemas essenciais, sem afetar as atividades de negócios e de TI normais.
Além disso, você pode oferecer suporte à auditoria de cada mudança de diretiva e ação de aplicação com segurança,
a fim de cumprir com os regulamentos federais (IRS).
11 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2
ca.com/br
O CA Privileged Identity Manager fornece uma abordagem holística para o gerenciamento de acesso, pois inclui
importantes recursos para proteger e bloquear aplicativos e dados essenciais, gerenciar identidades com privilégios,
centralizar a autenticação UNIX com o Microsoft Active Directory e fornecer uma infraestrutura segura de auditoria
e geração de relatórios.
Principais recursos do CA Privileged Identity Manager:
• Regulamenta e faz a auditoria do acesso a seus servidores, dispositivos e aplicativos essenciais em várias plataformas
de maneira consistente.
• Gerencia senhas de usuários com privilégios.
• Permite que você demonstre de maneira proativa um controle refinado sobre os usuários e contas do sistema
com privilégios.
• Ajuda a aplicar seus requisitos de conformidade internos e regulamentares, criando e gerando relatórios sobre
diretivas de acesso aos servidores.
•Ajuda a reduzir os custos administrativos por meio do gerenciamento centralizado das diretivas de segurança
em toda a sua empresa distribuída globalmente.
• Permite autenticar usuários com privilégios do UNIX e do Linux a partir de um único armazenamento de usuários
do Active Directory.
•Reforça o sistema operacional, o que reduz os riscos de segurança externos e aumenta a confiabilidade do
ambiente operacional.
• Integra o OOTB a uma infraestrutura de auditoria que gera relatórios detalhados específicos de regulamentação.
CA Single Sign-On
A web é aberta para negócios dia e noite, e o CA Single Sign-On permite de maneira confiável e eficiente que a presença
online da sua organização seja segura, disponível e acessível aos usuários corretos. Reconhecido por ter os recursos de
gerenciamento de segurança mais avançados e a administração de site de classe corporativa, o CA Single Sign-On pode
ser expandido para oferecer suporte a milhões de usuários e milhares de recursos protegidos.
O CA Single Sign-On permite que as organizações enfrentem o desafio de implantar recursos via web e, ao mesmo
tempo, de manter o alto desempenho e a disponibilidade. Ele controla quem está apto a acessar quais aplicativos e sob
que condições, melhora as experiências online do usuário e simplifica a administração da segurança. Com a aplicação de
diretivas e o monitoramento e a geração de relatórios de atividades online e privilégios dos usuários, o CA Single Sign-On
também facilita a conformidade regulatória.
O CA Single Sign-On fornece uma ampla gama de benefícios, incluindo:
• Garantir que os usuários certos tenham o acesso certo: com o CA Single Sign-On, o gerenciamento seguro de
identidades em sistemas web diversos permite que o sistema controle o acesso com a utilização do contexto dos
usuários em relação à empresa (parceiro, consultor, cliente, etc.) e de seus direitos para cada aplicativo. O WAM do
CA Single Sign-On permite aos usuários se conectarem às informações e aplicativos de que precisam para realizar seus
trabalhos, fazer um pedido ou participar de transações de negócios.
• Aumentar a segurança para minimizar riscos: o CA Single Sign-On reduz o risco de acesso não autorizado a recursos
essenciais e informações confidenciais, protegendo o conteúdo de todo o portal web ou de um conjunto de aplicativos.
A aplicação de segurança centralizada e de algoritmos criptográficos certificados para FIPS significa que não restam
brechas em um ambiente web protegido pelo CA Single Sign-On.
12 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2
ca.com/br
• Proporcionar aos usuários uma experiência online positiva: o CA Single Sign-On permite que os usuários
façam logon uma única vez para acessar aplicativos web, envolvendo-os em uma experiência online unificada
e personalizada, em vez de frustrá-los com vários logons.
• Aumentar as oportunidades de negócios: o CA Single Sign-On permite que as organizações implantem aplicativos
web com segurança em várias comunidades de usuários diferentes, gerando mais oportunidades de negócios que
podem aumentar a receita. Estenda o CA Single Sign-On com federação de identidades para que sua organização
possa aprimorar a cooperação com parceiros, melhorando ainda mais os relacionamentos para aumentar a receita,
gerenciar custos e reduzir riscos.
• Gerenciar custos: o CA Single Sign-On reduz os custos de administração de TI. Ele reduz a carga de segurança sobre os
usuários e, portanto, a carga sobre o suporte técnico provocada por credenciais perdidas ou esquecidas. Também reduz
os custos redundantes de manutenção e desenvolvimento de aplicativos relacionados à segurança.
• Facilitar a conformidade regulatória: o gerenciamento, a aplicação, a geração de relatórios e a auditoria de diretivas
centrais oferecem suporte à sua capacidade de cumprir com os regulamentos rigorosos de TI.
O CA Single Sign-On fornece uma base de gerenciamento de segurança centralizada que permite o uso seguro da web
para fornecer aplicativos e serviços na nuvem para clientes, parceiros e funcionários. O CA Single Sign-On é uma solução de
WAM (Web Access Management - Gerenciamento do Acesso à Web) e, como tal, permite logon único na web, autenticação
de usuários centralizada e gerenciamento de autenticação, autorização com base em diretiva, capacidade de gerenciamento de
nível corporativo, auditoria e geração de relatórios.
O CA Single Sign-On fornece o ponto central de integração e de gerenciamento por meio do qual credenciais
e tecnologias específicas de autenticação podem ser usadas para logon em alguns ou em todos os aplicativos web
e comunidades de usuários nas quais o CA Single Sign-On é usado para proteção, eliminando a necessidade de codificar
ou integrar essas tecnologias aos aplicativos subjacentes. Esse recurso permite que as organizações aumentem
a segurança sem afetar os aplicativos existentes ou a experiência do usuário.
Por fim, o CA Single Sign-On é reconhecido como o líder de mercado em termos de WAM por ter os mais avançados
recursos de gerenciamento de segurança e uma experiência comprovada de expansão para oferecer suporte a milhões
de usuários e milhares de sites/recursos protegidos. O CA Single Sign-On foi o primeiro produto de WAM a fazer parte do
Magic Quadrant de liderança da Gartner, no qual permanece desde 2001. O CA Single Sign-On é a solução de WAM mais
amplamente implantada no setor (mais de 1.500 clientes implantados) e é usado para proteger alguns dos maiores sites
e portais do mundo, incluindo mais de 83 milhões de usuários em um cliente, mais de 3.000 sites protegidos em outro
e cerca de 40 milhões de autenticações e autorizações por dia em um terceiro cliente.
13 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2
ca.com/br
CA Data Protection
O CA Data Protection permite que as organizações mantenham um melhor controle da informações. O CA Data
Protection é uma solução de proteção e controle das informações que ajuda a minimizar a utilização acidental,
negligente e mal-intencionada de dados e, ao mesmo tempo, a garantir a conformidade com vários padrões
e regulamentos de proteção de dados. Por meio da entrega de informações detalhadas e da cobertura de comunicações,
da aplicação precisa de diretivas e do Gerenciamento de identidades e acesso (IAM) orientado a conteúdo,
as organizações podem adotar uma abordagem abrangente para reduzir os riscos dos seus ativos mais importantes e,
ao mesmo tempo, viabilizar processos de negócios essenciais.
O CA Data Protection permite que a organização defina diretivas configuráveis de negócios e regulamentações,
detecte com precisão dados confidenciais e complexos, bem como monitore os processos de negócios conhecidos
e desconhecidos para garantir o comportamento apropriado dos funcionários. Ele fornece tudo isso com um nível de
controle personalizável em vários locais essenciais: pontos de extremidade, rede, servidores de mensagens e dados
armazenados. Ele, então, delega as violações para revisão com segurança e, ao mesmo tempo, define as métricas-chave
de desempenho ao longo do tempo para implementar aprimoramentos contínuos ao programa. Isso tudo é possível
por meio de uma plataforma central de gerenciamento que fornece um painel executivo, relatórios detalhados
e personalizáveis e recursos de fluxo de trabalho otimizados.
• Descobre o local em que residem suas informações confidenciais, classifica-as de acordo com o nível de
confidencialidade e aplica diretivas de tratamento dessas informações.
• Protege os dados onde quer que estejam — no ponto de extremidade, no servidor de mensagens, na rede ou
armazenados em um sistema de arquivos.
• O DLP orientado a identidades permite que diretivas sejam aplicadas com base na identidade do usuário; as diretivas
também podem ser alteradas dinamicamente com base na função do usuário.
Seção 1
Diretiva geral
CA Privileged
Identity Manager
Requisito da diretiva
CA Data Protection
CA Single Sign-On
• Fornece ações robustas para bloquear, avisar, colocar em quarentena, redirecionar, criptografar, mover, excluir,
substituir, monitorar e aplicar direitos digitais aos dados acessados.
4
Seção 2
Segurança de software
4
Seção 4
Segurança processual
4
Seção 7
Segurança da rede
4
4
4
14 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2
Seção 3:
Sobre o autor
Chris Boswell tem mais de 13 anos de experiência no desenvolvimento e implementação de soluções de segurança,
risco e conformidade. Durante o trabalho na CA Technologies, Chris ocupou vários cargos técnicos e de gerenciamento
em todas as nossas organizações de serviços de segurança, gerenciamento de produtos e vendas. Seu trabalho no
domínio de governança, risco e conformidade resultou em vários pedidos de patentes para a CA Technologies. Atualmente,
Chris coordena as atividades de vendas para as nossas soluções de proteção e controle de informações e trabalha em
estreita colaboração com as equipes de desenvolvimento e de produtos em nome dos clientes para enfrentar os desafios
emergentes de segurança, risco e conformidade.
Conecte-se com a CA Technologies em ca.com/br
A CA Technologies (NASDAQ: CA) cria software que acelera a transformação das empresas e permite que elas
aproveitem as oportunidades da era dos aplicativos. O software está no cerne de todas as empresas, em todos
os setores. Do planejamento ao desenvolvimento e do gerenciamento à segurança, a CA está trabalhando com
empresas de todo o mundo para mudar a maneira como vivemos, fazemos negócios e nos comunicamos – usando
dispositivos móveis, as nuvens privada e pública e os ambientes distribuídos e de mainframe. Obtenha mais
informações em ca.com/br.
Copyright © 2014 CA. Todos os direitos reservados. Microsoft Windows e Microsoft Active Directory são marcas registradas ou marcas comerciais da Microsoft Corporation
nos Estados Unidos e/ou em outros países. Linux® é marca registrada de Linus Torvalds nos EUA e em outros países. UNIX é uma marca registrada do The Open Group.
Todas as marcas comerciais, nomes de marcas, marcas de serviço e logotipos aqui mencionados pertencem às suas respectivas empresas. Este documento é apenas para
fins informativos. A CA não assume responsabilidade pela precisão ou integridade das informações. Na medida do permitido pela lei aplicável, a CA fornece este documento
"no estado em que se encontra", sem garantias de nenhum tipo, incluindo, sem limitações, garantias implícitas de comercialização, adequação a uma finalidade específica
ou não violação. Em nenhuma circunstância a CA será responsável por perdas ou danos, diretos ou indiretos, decorrentes do uso deste documento, incluindo, sem limitações,
perda de lucros, interrupção de negócios, reputação da empresa ou perda de dados, mesmo que a CA tenha sido expressamente informada sobre a possibilidade de tais danos
com antecedência. A CA não oferece aconselhamento jurídico. Este documento ou qualquer produto de software mencionado neste documento não serve como substituto de sua
conformidade com quaisquer leis — incluindo, sem limitações, qualquer ato, estatuto, regulamentação, regra, diretiva, padrão, política, sentença administrativa, decreto e assim
por diante (coletivamente, "Leis") — mencionadas neste documento ou quaisquer obrigações contratuais com terceiros. Você deve consultar a assessoria jurídica competente
sobre quaisquer Leis ou obrigações contratuais.
CS200_94652_1114