SETEMBRO, 2010 | SÃO PAULO
CÓDIGO DA SESSÃO: SIA309
Segurança fim-a-fim:
Juntando as peças do quebra-cabeça
Rodrigo Immaginario
CISSP
MVP Security
http://rodrigoi.org.br
Vitor Nakano
Coord. de Segurança da Informação
Ecorodovias
Agenda
Desafio Atual
Empresas e dos Profissionais de SI
Endereçando as Tecnologias e Recursos de
Segurança
Demonstrações:
IPSEC, NAP, DirectAccess, PKI, RMS, SSL, EFS e
Autenticação 2 fatores
3
Novos Desafios de TI
Política, não a topologia, define a fronteira
Fronteira
2-factor
and biometrics
Autenticação
e
Autorização
Claims-based
Security
Controle
deDirectory
Identidades
Active
Acesso
IPv6
Universal
do Protection
Network Saúde
Access
Ambiente
Anti-malware
Definição da
Per-application
VPN
IPSec
Policies
Acesso de qualquer ponto
Fronteira
and Firewalls
4
Cenário Atual …
Home
USB Drive
Independent
Consultant
•
•
•
5
Mobile Devices
Não há fronteira para o fluxo da informação
Informação é compartilhada, armazenada e acessada sem o
controle do owner
Segurança do Host e da Rede são insuficientes
Partner
Organization
Informações perdidas e responsabilidade civil
são crescentes preocupações entre as
organizações
“Data Privacy is the most
important security concern in
the enterprise in 2007, outranking
Malware for the first time”
Data Privacy
Malware Protection
Reduce Security Costs
Defense in Depth
Simple and Easy to Integrate
“Regulatory and legal compliance is a top driver for enterprise and
government investment in information security”
6
Source: WW Security Perceptions Report, MSFT 2007; The Info Pro Information Security Wave 9, November 2007
O que fazer ?
Reduzir o risco de ameaças à segurança da rede
Uma camada adicional no “defense-in-depth”
Reduzir a superficie de ataques em máquinas conhecidas
Aumentar o gerenciamento e a “saúde” dos clientes
Proteger dádos sensíveis e a propriedade intelectual
Comunicação autenticada ponto-a-ponto nas comunicações de
rede
Proteger a confidencialidade e integridade dos dados
Oferecer acesso remoto seguro
Suporta autenticação de máquinas e usuários com IPsec
Network Access Protection com VPNs e IPsec
Secure routing compartments aumenta o isolamento em
conexões VPN
7
Labs
Unmanaged
guests
Segmentar
dinamicamente seu
ambiente Windows®
com base em
políticas
Server Isolation
Proteger servidores e dados específicos
Domain Isolation
Proteger computadores de máquinas não
gerenciadas ou desconhecidas
8
Isolamento de Servidores e Domínio
Corporate
Network
Active Directory
Domain Controller
Trusted Resource
Server
X
Servers with
HR Workstation Sensitive Data
Unmanaged/Rogue
Computer
X
Server
Isolation
Untrusted
Managed
Computer
Managed
Computer
Domain
Isolation
Distribui
políticas
credenciais
Bloquei
Computadores
conexões
Restringe
controlados
de
acesso
computadores
a edados
podem
críticos
se
nãocomunicar
confiáveis
Define
os
limites
lógicos
9
10
11
Network Access Protection - NAP
Policy Servers
such as: Patch, AV
O que é o Network Access
Protection?
Health Policy Validation
Windows
Client
DHCP, VPN
Switch/Router NPS
Limitar o acesso a rede
Not policy
Health
compliant
Policy
compliant
Policy Compliance Remediation
Servers
Restricted
Network
Example: Patch
Aumentar a segurança
Corporate Network
Aumentar o valor do negócio
12
Integração Cisco e Microsoft
NAP – Como Funciona ...
Policy Servers
e.g. Patch, AV
3
1
2
Not policy
compliant
Windows
Client
MSFT NPS
DHCP, VPN
Switch/Router
Fix Up
Servers
e.g. Patch
Policy
compliant
Cliente solicita o acesso a rede apresentando seu
estado de saúde
2
DHCP, VPN ou Switch/Router encaminha o status de
saúde para o Microsoft Network Policy Server (RADIUS)
3
Network Policy Server (NPS) valida de acordo com as
políticas definida
Se não houver conformidade o cliente é colocado em um
VLAN restrita e terá acesso somente aos servidores de
remediação (Repeat 1 - 4)
5
13
Restricted
Network
1
4
4
Havendo conformidade o cliente terá acesso completo a rede
5
Corporate Network
NAP - Arquitetura
Remediation
Servers
System Health
Servers
Updates
Client
Health policy
Health
Statements
Network
Access
Requests
System Health Agent (SHA)
MS Network
Policy Server
MS and 3rd Parties
Quarantine Agent (QA)
Health
Certificate
Enforcement Client (EC)
(DHCP, IPSec, 802.1X, VPN)
Network Access Devices
and Servers
Client
SHA – Health agents check client state
QA – Coordinates SHA/EC
EC – Method of enforcement
Remediation Server
Serves up patches, AV signatures, etc.
14
System Health Validator
Quarantine Server (QS)
Network Policy Server
QS – Coordinates SHV
SHV – Validates client health
System Health Server
Provides client compliance policies
15
NAP com IPSEC
Quarantine
Zone
Boundary
Zone
Protected
Zone
Posso ter um certificado de
saúde?
Aqui está meu SoH..
Host
Aqui
Vocêestá
nãoseu
possui
certificado
um certificado
de
saúde.
de saúde. Faça sua atualização
Preciso de
Acessando a
atualizações.
Cliente ok?
Exchange
HCS
rede
Sim,
Não, pegue
precisaseu
de
novo
certificado
correções

Aqui está.
Remediation
Server
Policy
Server
Active Directory Certificate Services
Segurança
Gerenciamento
Interoperabilidade
Cryptography Next
Generation
Windows Server
2008 Server Role
Suporte ao OCSP
Granular Admin
PKIView
Suporte ao IDP
CRL
V3 Certificates
Novas GPOs
Suporte MSCEP
Melhorias no PKI
Enterprise PKI (PKIView)
Microsoft Management
Console snap-in
Suporta caracteres Unicode
Network Device Enrollment
Service
Implementação da Microsoft do
Simple Certificate Enrollment
Protocol (SCEP)
Melhorias da segurança nad
comunicações usando IPsec
Online Certificate Status
Protocol (OSCP)
Online Responders
Responder Arrays
Web Enrollment
Removida a versão do
ActiveX® XEnroll.dll
Melhorias no novo
compomente COM enrollment
control - CertEnroll.dll
Cryptography Next Generation
Cryptography Next Generation
(CNG)
Inclui algoritimos para encryption, digital signatures, key exchange, e
hashing
Suporta criptografia em modo Kernel
Suporta o algoritimo CryptoAPI 1.0 atual
Suporta algoritimos elliptic curve cryptography (ECC)
Executa operações de criptografia básica, como a criação de hashes e
encriptar e decriptar dados
SSL Encryption para Servidores
Web
É a fundação para diversas soluções e recursos
da Microsoft
Por que SSL encryption para Servidores Web é a
fundação para muitas soluções e recursos
Escolhendo o provedor de certificados para
servidores web
Deploy do certificados para servidores web
Modelos de Certificados (templates)
Emitindo Certificados de Servidor Web
20
Encrypting File System
Proteção de Dados
Hoje em dia, um dos desafios é proteger as informações sensíveis.
Nas Políticas de Segurança para os Usuários descreve que
informação com conteúdo confidencial ou sigiloso deverá usar
técnicas de criptografia, ou qualquer outra disponibilizada pela
empresa.
Desafio:
Em que momento usar o EFS?
Habilitando e desabilitando o EFS
Modelo de Certificado para EFS
Obtendo certificado para EFS
21
Autenticação 2 fatores
Autenticação Forte
Na SI, a autenticação é um processo que busca verificar a
identidade digital do usuário. A autenticação normalmente
depende de um ou mais "fatores de autenticação".
Os fatores de autenticação são normalmente classificados:
Aquilo que o usuário é
Aquilo que o usuário tem
Aquilo que o usuário conhece
Desafio:
Quando usar autenticação de 2 fatores?
Dispositivos (Smart card, Token USB, Token OTP)
Planejando e Gerenciando a entrega
22
23
AD RMS
Proteção de dados e Classificação da
Informação
Hoje em dia, um dos desafios é proteger as informações sensíveis.
Nas Políticas de Segurança para os Usuários descreve:
Toda informação deverá ser classificada quanto ao seu sigilo;
Toda informação deverá ser protegida com base na sua classificação;
É de responsabiliade o usuário proteger a informação (geração,
manuseio, guarda, ..., descarte da informação).
Desafio:
Em que momento usar o RMS?
Use o RMS no processo de Classificação da Informação
Como proteger as informações de Alto Impacto
24
Projeto Tradicional …
Firewall Perimeter
Access Control
List Perimeter
25
Authorized
Users
Authorized
Users
Unauthorized
Users
Unauthorized
Users
Identity-Based Information Protection
Persistent
Protection
Encryption
Policy
•
•
Access Permissions
Use Right Permissions
Persistent protection for sensitive/confidential data
Controla o acesso através do ciclo de vida da informação
Permite o acesso com base em Identidates confiáveis
Garante a segurança da transmissão e armazenamento de dados importantes –
Documento criptografados com 128-bit
Criação de tipos de permissão (print, view, edit, expiration, etc.)
26
Rights Management Services
Proteção de Informação Persistente
Encryption
Policy
• Access Permissions
• Use Rights
Encryption
Policy
• Access Permissions
• Use Rights
27
RMS Workflow
Active
Directory
Microsoft®
SQL Server®
RMS Server
4
1
2
Information Author
28
3
5
The Recipient
1.
Autor recebe um Author receives a client
licensor certificate na primeira que ele
proteger um documento
2.
Autor define as permissões e regras para o
arquivo; A aplicação cria o “publishing
license” e criptografa o arquivo
3.
Autor distribui o arquivo
4.
Cliente abre o arquivo; O aplicativo chama
o RMS Server que valida o usuário e
atribui um “use license”
5.
Aplicação aplica e força as permissões
29
Tendências de Mercado
Premissa que a infraestrutura de rede é
sempre insegura
Redefinição do perímetro corporativo para
proteger o datacenter
Rede
Corporativa
Políticas de acesso baseado na identidade e
não na posição dentro da rede
Servidor
DirectAccess
Internet
Data Center e Outros
Recursos Críticos
Usuário
Local
Usuário
Remoto
30
DirectAccess
Oferecer um acesso seguro e transparente a sua
Rede Corporativa de qualquer lugar
31
O que é DirectAccess?
Acesso transparente a rede corporativa
Se o computador do usuário está conectada a
Internet, ela está conectada a rede corporativa
Gerenciamento remoto
Computador do usuário é gerenciado em qualquer
lugar em que esteja ligado na Internet
Conectividade segura
Comunicação entre a máquina do usuário e os
recursos corporativos é protegida
32
Sempre Conectado
Sempre Conectado
Não é necessário ação do
usuário
Se adapta as mudanças
de rede
33
Seguro
Criptografia por default
Smartcards
Controle de Acesso
Granula
Coexiste com soluções
atuais (Políticas de
Acesso, Estado de
Saúde e etc)
34
Gerenciável
Acesso a máquinas antes “intocáveis
Permite GPO para máquinas remotas
Integração com o NAP
35
Solução DirectAccess
Cliente
DirectAcce
ss
Servidores
NAP
Cliente
DirectAcce
ss
Internet
Túnel sobre IPv4 UDP, TLS, etc.
Servidor
DirectAccess
Clientes tem conectividade IPv6 transparente de
qualquer local, com segurança IPsec
Usuário
Corporativo
Tráfego para a rede corporativa é roteada através de
um servidor DirectAccess (Windows 2008 R2 Server)
Data Center e Outros
Recursos Críticos
Rede
Corporativa
36
Usuário
Corporativo
Integração com NAP para controle de acesso
baseado em políticas
37
38
Conteúdo relacionado
Sessões temáticas
Sessões temáticas
Sessões temáticas
Sessões temáticas
39
© 2008 Microsoft Corporation. Todos os direitos reservados. Microsoft, Windows, Windows Vista e outros nomes de produtos são ou podem ser marcas registradas e/ou marcas comerciais nos EUA e/ou outros países.
Este documento é meramente informativo e representa a visão atual da Microsoft Corporation a partir da data desta apresentação. Como a Microsoft deve atender a condições de mercado em constante alteração, este
documento não deve ser interpretado como um compromisso por parte da Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação fornecida após a data desta apresentação. A MICROSOFT NÃO DÁ
QUALQUER GARANTIA, SEJA ELA EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, REFERENTE ÀS INFORMAÇÕES DESTA APRESENTAÇÃO.
Por favor preencha a
avaliação