White Paper Como obter o máximo aproveitamento do firewall de última geração Visibilidade e controle de rede abrangentes aumentam a eficiência dos negócios e permitem o crescimento empresarial ao mesmo tempo que maximizam a segurança. Para enfrentar esse desafio empresarial: O firewall de última geração deve: Manter a conformidade regulamentar Executar inspeção determinística de estado Oferecer controle e visibilidade intensos Identificar e controlar os aplicativos e microaplicativos, independentemente das portas e protocolos usados Identificar os usuários por meio de métodos de autenticação ativa e passiva Oferecer suporte às necessidades de negócio ao mesmo tempo que restringe o comportamento de risco Identificar e controlar comportamentos específicos nos microaplicativos permitidos Autorizar o uso apropriado de dispositivos pessoais Oferecer suporte ao acesso diferenciado para uma ampla variedade de dispositivos móveis Proteger contra ameaças da Internet Controlar os sites e aplicativos baseados na Web com base na análise de reputação dinâmica Habilitar o legítimo acesso à Internet ao mesmo tempo que bloqueia as categorias da Web indesejáveis Proteger contra ameaças de dia zero em tempo quase real Habilitar o uso seguro de criptografia Descriptografar e inspecionar o tráfego criptografado baseado em políticas Equilibrar os requisitos de segurança e de desempenho Manter as expectativas de desempenho quando vários serviços de segurança estão habilitados Os administradores da rede estão encontrando os mais altos níveis de mudança da história enquanto tentam equilibrar a segurança com a produtividade. As tendências de negócios em rápida evolução lhes impõem desafios para que forneçam amplo acesso à Internet, porém seguro, permitindo que os funcionários usem aplicativos corporativos legítimos ao mesmo tempo que usam os dispositivos de sua escolha. Os aplicativos evoluíram para serem altamente dinâmicos e multifacetados, dificultando a distinção entre os aplicativos corporativos legítimos e aqueles que desperdiçam o tempo e aumentam a exposição da empresa às ameaças baseadas na Internet. No passado, o uso aceitável era relativamente bem definido, mas a mídia social, o compartilhamento de arquivos e os aplicativos de comunicações da Internet evoluíram para servirem a mesma quantidade de casos de uso empresariais que os casos estritamente pessoais; esses aplicativos agora são amplamente usados em todos os níveis de uma organização. Para complicar ainda mais a situação, a força de trabalho atual está se tornando cada vez mais móvel, com usuários que necessitam de acesso à rede em qualquer lugar, a qualquer hora, de uma variedade de dispositivos móveis pessoais e de propriedade da empresa. Isso fez com que as empresas de todos os portes e tipos adotassem as políticas “traga seu próprio dispositivo” (BYOD) para aumentar a produtividade e a satisfação do funcionário. Devido a essas e outras tendências de negócios, os administradores da rede enfrentam um desafio cada vez maior: aplicar as políticas de uso aceitáveis necessárias para proteger a rede ao mesmo tempo que permite a flexibilidade de alcançar e manter o nível de produtividade necessário para promover o crescimento empresarial. Uma nova abordagem de segurança é necessária – sem abandonar os métodos testados no tempo – para melhorar a visibilidade de rede e o controle, acelerar a inovação empresarial e proteger proativamente contra as ameaças novas e emergentes. No entanto, em vez de abandonar seus firewalls de inspeção de estado já © 2012 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 1 de 7 utilizados, os administradores precisam complementar esse dispositivo de segurança comprovado com controles adicionais de segurança baseados em rede, para operações de segurança otimizadas e inteligência de rede de ponta a ponta. Desafios empresariais Conforme discutido anteriormente, a mídia social, o compartilhamento de arquivos e os aplicativos de comunicações da Internet que foram uma vez banidos das redes corporativas, agora, estão sendo adotados como métodos legítimos, eficientes e econômicos para acessar os clientes e os parceiros em todo o mundo. Conforme o Relatório Anual de Segurança Cisco 2013, 22% de todas as solicitações no trabalho são para a visualização online de vídeos e um adicional de 20% são visitas a sites de redes sociais. Como resultado, empresas de todos os tamanhos estão adotando as mídias sociais e o compartilhamento de vídeos on-line. A maioria das marcas tem presença no Facebook e no Twitter e muitos estão integrando as mídias sociais em seus próprios produtos. De maneira semelhante, embora os dispositivos que “tocavam” a rede fossem limitados aos dispositivos que eram de propriedade ou rigidamente controlados pelo departamento de IT, agora uma vasta gama de dispositivos pessoais também pode ganhar acesso seguro. Apesar dos benefícios de produtividade comercial, essas tendências de rede também apresentam graves novos riscos à segurança. Como resultado, os principais desafios comerciais que as organizações enfrentam atualmente são como aplicar políticas de uso aceitáveis, controlar aplicativos evasivos, autorizar dispositivos pessoais e proteger contra ameaças da Internet. Como aplicar políticas de uso aceitáveis Duas das principais organizações de problemas comerciais precisam resolver as políticas de uso aceitáveis centrais. Primeiro, uma filtragem robusta de URL baseada em conteúdo é necessária para bloquear os sites possivelmente ilegais, impróprios e ofensivos, como aqueles com conteúdo adulto, violento ou com injúria racial; aqueles que reduzem a produtividade ou consomem quantidades exorbitantes de largura de banda, como YouTube; e aqueles que podem colocar em risco a conformidade legal da empresa, como BitTorrent e eDonkey. De maneira semelhante, uma inspeção profunda do aplicativo é necessária para bloquear softwares malintencionados conhecidos, como o gerador de anônimos no proxy, que pode ser usado pelos funcionários para ignorar os controles do departamento de IT. A aplicação do uso aceitável ficou ainda mais complicada com aplicativos como Facebook, Twitter, LinkedIn e Skype. Eles evoluíram para aplicativos empresariais legítimos, mas várias organizações estão relutantes em permiti-los na rede, porque sua utilização pode difundir o mau uso da largura de banda e perda da produtividade do funcionário. Como controlar aplicativos evasivos Em relação a esse desafio, vêm ganhando visibilidade e controle de salto de protocolo e porta, aplicativos como Skype e BitTorrent. Como a natureza desses aplicativos é encontrar uma saída, independente do que está acontecendo na rede, eles podem apresentar desafios únicos para os administradores que estão tentando bloquear sua utilização. Na realidade, os administradores podem criar dezenas de políticas que tentam bloquear apenas um desses aplicativos evasivos, ainda assim falham em controlá-los adequadamente. Como autorizar dispositivos pessoais O Relatório Anual de Segurança Cisco 2011 revelou que 81% dos estudantes universitários acreditam estar aptos a escolher o dispositivo de que precisam em suas funções profissionais. Além disso, 77% dos funcionários entrevistados no mundo todo usam diversos dispositivos para acessar a rede corporativa e mais de um terço deles © 2012 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 2 de 7 usam pelo menos três dispositivos para o trabalho. Como resultado, de acordo com o Relatório Cisco 2012 Global IBSG Horizons, 84% dos líderes de IT relataram que os departamentos de IT de suas empresas estão se tornando mais baseados no consumidor. O Relatório Anual de Segurança Cisco 2013 sustenta tais descobertas, observando que, somente nos últimos dois anos, a Cisco viu um aumento de 79% no número de dispositivos móveis em uso por seus funcionários - e que a grande maioria destes dispositivos é do tipo "traga o seu". Essas tendências fizeram com que o BYOD se tornasse uma prioridade para a maioria das organizações. Esperase que as iniciativas de mobilidade consumam uma média de 23 % dos orçamentos de IT até 2014, em comparação aos 18 % em 2012. Há alguns anos uma organização apenas precisava determinar quem teria acesso à rede e dados corporativos confidenciais, mas o BYOD incluiu novas camadas de complexidade a essas decisões. Agora as organizações devem determinar se os funcionários que receberam acesso a esses dados terão apenas acesso enquanto estiverem usando os dispositivos que são mantidos e de propriedade da empresa, ou se os seus dispositivos pessoais também podem ser usados. Se os dispositivos pessoais forem aceitos, todos os dispositivos são aceitáveis ou apenas alguns? Os funcionários precisam ser localizados na LAN da empresa ou as conexões VPN remotas também oferecem o nível de segurança apropriado? Como se proteger contra ameaças da Internet As ameaças da Internet são outra preocupação para organizações de todos os portes. Embora ferramentas como aplicativos de compartilhamento de arquivos e de mídia social tenham causado um efeito positivo na produtividade do funcionário, elas carregam riscos inerentes, pois podem ser exploradas por hackers e outros criadores malintencionados para obter acesso não autorizado ou espalhar malware pela rede. Os aplicativos de controle remoto, como TeamViewer e PC Anywhere, podem melhorar expressivamente a produtividade individual e da equipe, mas os criadores de malware podem usar as vulnerabilidades desses aplicativos para assumirem o controle dos ativos da rede. Além disso, o uso de aplicativos de compartilhamento de arquivo como Dropbox e o iCloud abrem a possibilidade de que dados confidenciais da empresa possam ser transferidos por upload para a nuvem, onde a organização não tem mais controle sobre sua distribuição. O malware também pode ser mascarado como aplicativos bem conhecidos que são executados em portas abertas; podem ser integrados em aplicativos legítimos onde as vulnerabilidades foram descobertas; ou podem ser instalados como um download “drive-by” de sites fraudulentos ou de sites legítimos que tenham sido infectados. As técnicas de engenharia social que visam usuários de mídia social também provaram ser eficazes; esses aplicativos ensinaram os funcionários que é perfeitamente normal clicar nos links integrados do e-mail e fazer download de conteúdo de sites desconhecidos, apesar dos avisos persistentes do departamento de IT para evitarem esse comportamento. É necessário desenvolver uma abordagem abrangente e proativa para a segurança da rede Os líderes empresariais entendem que a flexibilidade é essencial para maximizar a produtividade. Mas, como eles aproveitam os benefícios da produtividade e de custo oferecidos pelas tendências comerciais e tecnológicas, ao mesmo tempo que se protegem dos desafios de segurança que essas tendências apresentam? A resposta está na capacidade de maximizar a visibilidade de uma organização em seu tráfego de rede através do reconhecimento total do contexto. Os administradores poderão tomar decisões mais inteligentes quando puderem observar claramente os detalhes do tráfego de rede. A visibilidade dos aplicativos e do ID do usuário, embora valiosa, não permite o reconhecimento total do contexto para habilitar com segurança os novos aplicativos, dispositivos e casos empresariais. O reconhecimento total do contexto inclui, além da filtragem de URL de classe empresarial, a reputação dinâmica da web, o reconhecimento do dispositivo e um entendimento de onde o usuário e o dispositivo estão localizados. © 2012 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 3 de 7 Visibilidade e controle de aplicativos Conforme mencionado anteriormente, o reconhecimento do aplicativo é um requisito essencial para qualquer firewall de última geração. No entanto, é essencial para o firewall reconhecer mais do que apenas os próprios aplicativos; ele também deve reconhecer e oferecer a capacidade de bloquear microaplicativos que constituem esse aplicativo. Isso é especialmente importante para os aplicativos de mídia social, como Facebook e LinkedIn. O mero reconhecimento desses aplicativos oferece apenas a capacidade de bloquear ou permitir o aplicativo em sua totalidade. Por exemplo, uma organização talvez queira permitir o acesso ao Facebook para que a equipe de vendas e marketing publique a página corporativa da empresa no Facebook e se comunique com clientes e parceiros, mas ao mesmo tempo nega o acesso aos Jogos do Facebook. Ao reconhecer cada microaplicativo separadamente, os administradores podem conceder privilégios de acesso diferentes a cada um. Além disso, ao reconhecer os comportamentos específicos nesses microaplicativos, o firewall pode oferecer ainda mais controle granular aos administradores. Por exemplo, os comportamentos específicos no microaplicativo “Facebook Messages and Chat” são “upload de anexo”, “download de anexo” e “video chat”. Embora a maioria desses comportamentos possa ser considerada atividade comercial apropriada, o comportamento de “download de anexo” provavelmente será exibido pela equipe de segurança como inerentemente arriscado. Ao usar um firewall que possa reconhecer comportamentos específicos em um microaplicativo, os administradores podem permitir “Facebook Messages and Chat”, enquanto negam o “download de anexo”. Aplicativos evasivos como Skype também podem ser efetivamente controlados, se o firewall puder monitorar todas as portas e protocolos e habilitar que a definição de política seja baseada unicamente na identificação do próprio aplicativo. Como os aplicativos como Skype sempre carregam a mesma ID de aplicativo, independentemente da porta ou do protocolo que estão usando para sair da rede, adicionar uma política para “Bloquear o Skype” pode oferecer uma aplicação mais efetiva enquanto requer menos políticas, em comparação a criar dezenas de políticas de firewall de estado para bloquear cada combinação possível. Isso economiza o tempo dos administradores no desenvolvimento inicial e no gerenciamento contínuo das políticas, que é traduzido em eficiências operacionais para a empresa. Finalmente, ao controlar quem tem acesso aos aplicativos de compartilhamento de arquivo, além de quais comportamentos de aplicativo possuem permissão de uso, os administradores podem proteger os dados críticos da organização enquanto permitem que os funcionários utilizem as poderosas ferramentas empresariais. Identificação do usuário avançado O reconhecimento do usuário é outro componente fundamental de qualquer firewall de última geração; a maioria oferece autenticação passiva via serviço de diretório corporativo como Active Directory (AD). Esse recurso permite que os administradores apliquem as políticas com base em quem um usuário é ou a qual grupo ou grupos ele pertence. Embora essa identificação tenha pouco valor por si só, quando combinada ao reconhecimento do aplicativo destacado acima, os administradores podem usá-la para habilitar o acesso diferenciado a certos aplicativos. Por exemplo, os departamentos marketing e vendas podem ter uma necessidade de negócio legítima de acessar as ferramentas de mídia social, enquanto o departamento de finanças não. Além da autenticação passiva, alguns firewalls de última geração ampliaram esta capacidade para incluir o suporte para autenticação ativa em casos de uso empresarial que exigem medidas de segurança mais fortes. Embora a autenticação passiva dependa de uma simples consulta do serviço de diretório e confie que identificou corretamente o usuário através do mapeamento de endereço IP do nome do usuário, a autenticação ativa requer uma camada adicional de segurança usando mecanismos como Kerberos e NT LAN Manager (NTLM). Isso pode ser realizado perguntando ao navegador, que por sua vez envia uma resposta uniforme com base nas credenciais © 2012 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 4 de 7 de login do usuário ou desafiando o usuário com um prompt de autorização. Em qualquer dos casos, o administrador de segurança está autenticando o usuário em vez de contar com o mapeamento de endereço IP do nome do usuário. Isso é importante para as organizações que precisam oferecer acesso à informação confidencial, como dados de cartão de crédito do cliente ou um banco de dados que contém informações dos serviços de saúde. Reconhecimento do dispositivo Para organizações que adotaram o BYOD como uma realidade de negócios, encontrar um equilíbrio entre produtividade e segurança requer visibilidade granular dos dispositivos específicos que estão tentado acessar a rede, permitindo que os administradores apliquem políticas diferenciadas com base em cada dispositivo usado. Por exemplo, uma organização pode decidir permitir que os dispositivos iPhone 4 ganhem acesso à maioria dos recursos de rede, enquanto nega ou restringe o acesso a versões anteriores do iPhone, ou pode conceder acesso a um iPhone 4, mas não a um 4S. De maneira semelhante, a organização pode conceder acesso a computadores baseados em Windows enquanto nega o acesso aos Macs. Além disso, se o firewall estiver equipado com reconhecimento de local, diferentes políticas podem ser aplicadas considerando se o dispositivo está localizado dentro da LAN ou se está efetuando login remotamente. Segurança da Web Os recursos de filtragem da Web e de URL permitem acesso aos aplicativos e conteúdo apropriados enquanto evitam o uso daqueles que podem aumentar o risco, drenar a produtividade ou causar uma perda de informações confidenciais. A maioria dos aplicativos de segurança da Web oferece filtragem básica baseada em amplas categorias, além da capacidade de colocar sites específicos na lista negra e branca. Vários fornecedores também incluem um banco de dados de URLs “ruins” conhecidas no próprio dispositivo. No entanto, devido à natureza dinâmica da Internet, esses recursos não são suficientes. De acordo com a organização sem fins lucrativos stopbadware.org, mais de um milhão de sites atualmente distribuem malware e outro software que executa ação sem a permissão de um usuário (também conhecidos como “greyware”). Como milhares de novas URLs são incluídas na lista toda semana, a segurança da Web, que está limitada a uma lista estática predefinida, nunca conseguirá acompanhar o ritmo. Portanto, além desses recursos, as organizações necessitam da filtragem de URL que é continuamente atualizada para proteção em tempo quase real do cenário de ameaça que está sempre evoluindo. Além disso, o firewall deve conseguir identificar e parar o malware que é mascarado em aplicativos bem conhecidos que são executados nas portas abertas, sem inibir o valor de negócios de ferramentas corporativas legítimas que utilizam essas portas. Esse recurso pode ser reforçado usando dados globais e tráfego do aplicativo para fornecer informações de ambientes de ameaça em tempo quase real, incluindo a análise de reputação que é baseada no comportamento exibido por um site ou aplicativo da Web específico. Se um provedor estiver recebendo o tráfego de um grande número de fontes de todo o mundo e disponibilizando atualizações com uma frequência suficientemente alta, os dados globais também podem ajudar a proteger a organização de ameaças de dia zero. Para habilitar esses casos de uso sem colocar a segurança em risco, algumas organizações de IT substituíram suas linhas de produto de firewall de estado por aquelas que fornecem níveis adicionais de visibilidade - e, portanto, controle superior. Embora a visibilidade adicional raramente seja considerada um aspecto negativo, a maioria dos firewalls de última geração vem com compensações, que são importantes para o entendimento dos administradores e líderes empresariais antes de tomarem uma decisão de compra. © 2012 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 5 de 7 Visibilidade limitada: um problema quase resolvido Não há dúvida de que a disponibilização de visibilidade adicional ao tráfego da rede traz vantagens de segurança enormes. A visibilidade de rede avançada oferece aos administradores a capacidade de desenvolver e aplicar políticas de segurança mais granulares para proteção superior de ativos corporativos. É por esse motivo que os recursos de reconhecimento de ID do usuário e do aplicativo são essenciais para os firewalls de última geração. Contudo, muitos dos firewalls de última geração centralizam a solução inteira exclusivamente nesses dois elementos em detrimento de todo o restante. Certamente, qualquer visibilidade é melhor do que nenhuma, mas, conforme descrito neste artigo, há tanta coisa acontecendo em uma rede corporativa típica que apenas o reconhecimento do ID do usuário e do aplicativo não chegam a atingir o que é necessário para fornecer a visibilidade suficiente para tomar decisões de segurança inteligentes. Além desses recursos, uma solução de segurança abrangente deve oferecer aos administradores a capacidade de controlar comportamentos específicos nos microaplicativos permitidos, restringir a Web e o uso de aplicativo da Web com base na reputação do site, proteger-se proativamente contra as ameaças da Internet e aplicar políticas diferenciadas com base no usuário, dispositivo, função e tipo de aplicativo. Buscar o melhor dos dois mundos Apesar de vários benefícios, algumas desvantagens também devem ser consideradas ao utilizar um firewall de última geração. Portanto, os líderes empresariais devem avaliar totalmente suas opções antes de tomar uma decisão de compra. Muitos dos fornecedores de firewall de última geração forçam os clientes a abandonarem seus firewalls já utilizados e todas as políticas de segurança associadas para que possam “começar do zero” com todas as novas políticas de segurança que são desenvolvidas especialmente para a plataforma de firewall de última geração. Esse “corta e substitui” é necessário porque a maioria dos firewalls de última geração é fundamentalmente diferente dos firewalls existentes clássicos ou de estado, operando em uma camada de computação completamente diferente. Embora os firewalls de estado operem nas camadas de rede e de transporte da arquitetura de computação, os firewalls de última geração operam na camada do aplicativo. Como resultado, as políticas de firewall já utilizadas na organização serão inúteis no novo paradigma e, portanto, devem ser completamente recriadas. De forma alguma essa tarefa é rápida e fácil - a maioria das organizações possui milhares de políticas e as organizações maiores podem ter dezenas de milhares. Pode levar meses e uma grande alocação do orçamento para que fique pronto. Além disso, a segurança realizada na camada do aplicativo é, por sua natureza, um nível mais profundo de inspeção e pode fazer com que o desempenho da rede seja prejudicado. Substituir o firewall de inspeção de estado de uma organização por um que seja construído exclusivamente para a camada do aplicativo também pode arriscar potencialmente a conformidade da organização com os regulamentos do setor, uma vez que várias agências reguladoras estipulam especificamente a necessidade da inspeção de estado. Como as políticas de firewall baseadas em aplicativo e ID do usuário não são deterministas, depender exclusivamente de um firewall de última geração pode colocar a organização em risco de uma auditoria com falha. No entanto, alguns provedores de firewall oferecem uma abordagem híbrida, na qual os recursos de firewall de estado e de última geração trabalham juntos. Como esses firewalls são compatíveis com ambos os recursos, de estado e de última geração, as organizações podem continuar usando suas políticas enquanto desenvolvem novas regras de última geração; elas não são forçadas a abandonar uma pela outra; portanto, podem substituir as antigas políticas com o tempo, conforme fizer mais sentido para suas necessidades de segurança. Além disso, nem todo o tráfego exige o nível mais profundo de inspeção realizado por firewalls de última geração; portanto, o modelo híbrido permite que as organizações preservem mais de seu desempenho da rede, executando apenas o © 2012 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 6 de 7 nível mais profundo de inspeção no tráfego e casos de uso que necessitam dele. Dessa maneira, as organizações podem alcançar um nível superior de segurança enquanto maximizam a flexibilidade empresarial. Conclusão Tendências como BYOD e a adoção da mídia social e outros aplicativos grey como ferramentas legítimas de negócios têm apresentado efeitos profundos em organizações de todos os portes. No entanto, os firewalls de última geração que oferecem apenas reconhecimento do aplicativo e da ID do usuário são ineficazes na disponibilização do nível de visibilidade de rede necessário para habilitá-los com segurança. Em vez disso, ao examinar o contexto completo do tráfego na rede, os administradores recebem o poder da aplicação de segurança acionável baseada em um alto nível de visibilidade de rede e inteligência. Ao empregar um firewall que combina os recursos de estado com o reconhecimento de contexto completo, as organizações podem trabalhar em um equilíbrio entre o alto nível de segurança da rede necessário para comportar esses novos casos de negócios e a flexibilidade necessária para maximizar sua agilidade nos negócios. Impresso nos EUA © 2012 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. C11-726002-00 02/13 Página 7 de 7