DOCUMENTAÇÃO TÉCNICA | Novembro de 2014 Sua agência está sujeita aos requisitos previstos no Regulamento do Exército 25-2 dos EUA? Chris Boswell North American Security 2 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2 ca.com/br Sumário Resumo executivo 3 Seção 1: 4 Requisitos detalhados do AR 2502 Seção 2: 10 Soluções da CA Technologies Seção 3: 14 Sobre o autor 3 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2 ca.com/br Resumo executivo Desafio O Regulamento do Exército 25-2 dos EUA inclui uma série de proteções técnicas, administrativas e operacionais projetadas para proteger informações não confidenciais, restritas ou confidenciais armazenadas, processadas, acessadas ou transmitidas por sistemas de informação. A conformidade com essa diretiva é obrigatória para os integrantes ativos do Exército, da Guarda Nacional do Exército e da Reserva Militar dos EUA, bem como para todos os usuários de sistemas de informação do exército, incluindo agências relacionadas, como o Departamento de Defesa, serviços coligados, como o Corpo de Engenheiros do Exército dos Estados Unidos, e quaisquer prestadores de serviços trabalhando em sistemas de informação do exército nos termos dos contratos do exército. Oportunidade A CA Technologies fornece uma série de recursos essenciais que abordam os requisitos principais do Regulamento do Exército 25-2. Esta documentação técnica explorará esses requisitos em detalhes, bem como as soluções desenvolvidas para ajudar a atingir e manter a conformidade no futuro. Benefícios O AR 25-2 descreve uma série de controles que devem estar em vigor para proteger os sistemas de informação do exército. A maioria desses controles é descrita no capítulo 4, sobre a diretiva de garantia de informações. A CA Technologies oferece uma série de soluções de segurança para atender aos requisitos mais técnicos descritos nesse capítulo, conforme realçado na figura abaixo: A CA Technologies possibilita a conformidade Requisito da diretiva Seção 1 Diretiva geral 4 Seção 2 Segurança de software 4 Seção 3 Segurança física, de hardware e de firmware Seção 4 Segurança processual Seção 5 Segurança pessoal Seção 6 Mídia de sistemas de informação Seção 7 Segurança da rede Seção 8 Geração de relatórios de incidentes e invasões Seção 9 Gerenciamento da vulnerabilidade da garantia de informações Seção 10 Disposições diversas 4 4 4 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2 ca.com/br Seção 1: Requisitos detalhados do AR 2502 Seção I: 4-5 - Requisitos mínimos de garantia de informações # 4-5.9.a Requisito Soluções da CA Technologies Desativar ou remover software de segurança ou proteção e seus mecanismos e logs associados de sistemas de informação. Os agentes com base em host do CA Privileged Identity Manager permitem que as organizações criem e estabeleçam uma base de computação confiável que pode ser utilizada para ajudar a garantir que o software de segurança ou proteção não será adulterado, nem mesmo por usuários raiz ou outros usuários com privilégios. 4-5.9.c O pessoal de garantia de informações implementará controles de acesso de sistema e dispositivo usando o POLP (Principle of Least Privilege - Princípio do Menor Privilégio) por meios automatizados ou manuais para proteger ativamente os sistemas de informação contra comprometimento, uso ou acesso não autorizado e manipulação. As diretivas de controle de acesso refinado do CA Privileged Identity Manager permitem que as organizações apliquem o POLP e mantenham a separação de tarefas, mesmo quando os usuários estiverem acessando contas com privilégios. 4-5.9.c.4 Verificar se os sistemas estão configurados para gerar automaticamente um registro auditável ou entrada de log para cada acesso concedido ou tentativa de acesso. O CA Privileged Identity Manager fornece seu próprio log gerenciado centralmente, seguro e assinado digitalmente que servirá como uma fonte confiável para todas as tentativas de acesso. O pessoal de garantia de informações pode acessar os relatórios do CA Privileged Identity Manager para monitorar e relatar as atividades de sistema e demonstrar a conformidade com as determinações da agência. 4-5.9.c.5 Validar se os sistemas identificam os usuários por meio do uso de identificações de usuário exclusivas (USERIDs). O recurso de gerenciamento de contas compartilhadas do CA Privileged Identity Manager ajuda a controlar o acesso a contas de serviço de sistema compartilhadas e a outras contas de usuários com privilégios, obrigando os usuários a registrar formalmente a saída das contas e se identificarem exclusivamente antes de obterem acesso aos sistemas. Para sistemas *NIX, o CA Privileged Identity Manager também oferece um módulo PAM Kerberos que pode ser implementado para permitir que os usuários entrem nos sistemas usando suas USERIDs do Active Directory. Isso agiliza e simplifica a segurança, as operações e a garantia de informações, pois elimina a necessidade de armazenar e gerenciar a USERID localmente em cada servidor *NIX. Como resultado, tarefas importantes como o desprovisionamento se tornam muito mais fáceis de gerenciar e relatar. 4-5.9.c.6 Validar se os sistemas autenticam os usuários por meio do uso do CAC como um mecanismo de autenticação de dois fatores. O CAC tem certificados no ICC (Integrated Circuit Chip - Chip de Circuito Integrado) e será usado como o principal identificador de usuários e autenticador de acesso para sistemas. O CA Privileged Identity Manager obtém a integração com o CAC por meio da integração com o CA Single Sign-On. 4-5.9.c.9 Validar se as configurações do sistema proíbem contas e acessos anônimos (por exemplo, Estudante1, Estudante2, Cliente1, Cliente2, anônimo). O recurso de gerenciamento de contas compartilhadas do CA Privileged Identity Manager obriga os usuários a registrar formalmente a saída das contas e se identificarem exclusivamente antes de obterem acesso aos sistemas. Como resultado, os usuários não podem entrar nos sistemas anonimamente. 5 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2 ca.com/br # Requisito Soluções da CA Technologies 4-5.9.c.10 Proibir o uso de contas genéricas de grupo. Permitir exceções somente conforme o caso ao atender a um requisito operacional ou administrativo, como a inspeção de contas permanentes ou de suporte técnico ou que exigem a continuidade das operações, funções ou recursos. IAMs implementarão procedimentos para identificar e auditar os usuários de contas de grupo por meio de outros mecanismos operacionais, como logs de obrigações. O CA Privileged Identity Manager pode bloquear e proibir totalmente o uso de contas genéricas de grupo. Nas situações em que o pessoal de suporte, operações ou administração exigir acesso, o CA Privileged Identity Manager pode exigir uma solicitação e uma aprovação formal de fluxo de trabalho antes de conceder o acesso. Quando a sessão terminar, a senha da conta será automaticamente revogada e o CA Privileged Identity Manager fornecerá um registro auditável do indivíduo que realmente usou a conta de grupo. 4-5.9.c.11 Verificar se as configurações do sistema limitam o número de tentativas de logon de usuário sem êxito a três antes de negar o acesso à conta (bloqueá-la), quando o bloqueio de conta for suportado pelo sistema de informação ou dispositivo. Se suportado pelo sistema de informação, o sistema impedirá tentativas rápidas quando um autenticador for digitado incorretamente e não exibir indicativos ou mensagens de erro de que o autenticador ou a ID foi digitada incorretamente (por exemplo, implementar esperas entre tentativas sem êxito). O CA Privileged Identity Manager gerencia e aplica centralmente o número permitido de tentativas de logon sem êxito, bem como a duração do bloqueio em diferentes plataformas. 4-5.9.c.12 Verificar se as configurações do sistema geram logs de auditoria e investigar as violações de eventos de segurança quando for excedido o número máximo de tentativas de autenticação, o número máximo de tentativas de um sistema de informação ou o número máximo de tentativas sem êxito durante um período definido. O CA Privileged Identity Manager fornece seu próprio log gerenciado centralmente, seguro e assinado digitalmente que servirá como uma fonte confiável para que o pessoal de garantia de informações investigue e relate as violações nas quais o número máximo de tentativas de autenticação for excedido. 4-5.9.c.14 Se documentados no pacote de C&A e autorizados pelo DAA, bloqueios com base na hora (isto é, o acesso é restrito com base na hora ou em controles de acesso com base no endereço IP, porta terminal ou combinações dessas opções) e barreiras que exigem um determinado tempo de espera antes de permitir a entrada poderão ser usados. O CA Privileged Identity Manager permite restringir o acesso do usuário com base na hora, endereço IP, porta terminal ou combinação dessas opções. 4-5.9.c.14.a Implementar trilhas de auditoria obrigatórias para gravar todas as tentativas de logon com e sem êxito. O CA Privileged Identity Manager fornece seu próprio log gerenciado centralmente, seguro e assinado digitalmente que servirá como uma fonte confiável para que o pessoal de garantia de informações investigue e relate as tentativas de logon com e sem êxito. 4-5.9.c.17 Criar e aplicar a auditoria de acesso, proteger os eventos de controle de acesso físico (por exemplo, acessos de leitor de cartão) e auditar logs de eventos de violações de segurança física ou controles de acesso para oferecer suporte aos esforços de investigação, conforme necessário. O CA Privileged Identity Manager aplica a auditoria de acesso e fornece seu próprio log gerenciado centralmente, seguro e assinado digitalmente que servirá como uma fonte confiável para que o pessoal de garantia de informações investigue e relate as tentativas de logon com e sem êxito. 6 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2 ca.com/br # Requisito Soluções da CA Technologies 4-5.9.f.8 Após a aceitação para uso operacional (desenvolvimento, GOTS ou COTS), manter o software sob controles de CM rígidos e contínuos para evitar alterações não autorizadas. O CA Privileged Identity Manager fornece um serviço de "Watchdog" que permite aos usuários criar uma linha de base de computação confiável e monitorá-la continuamente para evitar alterações não autorizadas. Esse recurso oferece suporte direto aos esforços de monitoramento contínuo da agência. 4-5.9.h. Os SAs configurarão os sistemas de informação para registrar automaticamente todas as tentativas de acesso. As auditorias dos sistemas de informação serão automatizadas ou manuais. Os SAs implementarão mecanismos de auditoria para esses sistemas de informação que oferecem suporte a vários usuários. 1. Uso de servidores de auditoria para consolidar os logs de auditoria de sistema para verificação centralizada para remover o potencial de edição não autorizada ou exclusão de logs de auditoria em caso de incidentes ou comprometimentos. 2. Comandos, organizações, inquilinos, atividades e instalações oferecerão suporte a implementações de servidores de auditoria centralizados na empresa. 3. Logs de servidores de auditoria centralizados serão mantidos por um período mínimo de 1 ano. 4. Realização de inspeções pessoais pelo respectivo gerente de SA/NA ou IA. 5. Ativação e aperfeiçoamento dos recursos de log de sistemas de informação para identificar atividades locais ou de rede anormais ou potencialmente suspeitas: O User Activity Reporting Module (UARM) do CA Privileged Identity Manager agrega e correlaciona as informações de log de uma variedade de fontes e fornece mecanismos que consolidam a atividade de auditoria em um local gerenciado centralmente. Os gerentes de garantia de informações podem utilizar o UARM para realizar suas próprias inspeções, investigar tentativas de logon sem êxito e bloqueios de conta e reconstruir eventos para oferecer suporte ao pessoal de operações e segurança. a.Investigar todas as tentativas de logon sem êxito ou bloqueios de conta. b.Manter as trilhas de auditoria com detalhes suficientes para reconstruir eventos e determinar as causas do comprometimento e a magnitude do dano em caso de um defeito ou de uma violação de segurança. Manter logs de auditoria do sistema localmente por no mínimo 90 dias. c.Manter arquivos de auditoria confidenciais e restritos por 1 ano (5 anos para sistemas SCI, dependendo da capacidade de armazenamento). d. Fornecer os logs de auditoria para o pessoal do ACERT, Army–Global Network Operations and Security Center (A–GNOSC), LE ou CI para oferecer suporte a investigações forenses, criminais ou de contrainteligência, conforme necessário. e.Revisar os logs e as trilhas de auditoria no mínimo semanalmente, ou com mais frequência, se necessário, e tomar as medidas necessárias. 4-5.9. j.1 Implementar proteções para detectar e minimizar o acesso não autorizado e modificações inadvertidas, mal-intencionadas ou não, além da destruição de dados. O CA Privileged Identity Manager fornece controles de acesso refinados com base em recursos que podem ser utilizados para criar diretivas para proteger a integridade dos dados. Devido ao baixo nível de integração com o kernel do sistema operacional, o CA Privileged Identity Manager é excepcionalmente capaz de impedir o acesso não autorizado e modificações inadvertidas, mal-intencionadas ou não, além da destruição de dados, até mesmo de usuários com privilégios definidos no sistema. 4-5.9. j.6 Proteger dados em descanso (por exemplo, bancos de dados e arquivos) de acordo com o nível de classificação da informação com criptografia autorizada e medidas de controle de acesso rigorosas implementadas. Nem mesmo a criptografia fornece proteção absoluta contra usuários com privilégios e ameaças internas. O CA Privileged Identity Manager fornece controles de acesso refinados com base em recursos que podem ajudar a proteger dados em descanso até mesmo dos administradores mais avançados. 7 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2 ca.com/br Seção II: 4-6 e 4-7 - Controles de segurança de software e gerenciamento de banco de dados # Requisito Soluções da CA Technologies 4.6.a O pessoal de garantia de informações implementará controles para proteger o software do sistema contra comprometimento, uso não autorizado e manipulação. O CA Privileged Identity Manager fornece recursos de controle de acesso refinados para avaliar quem tem acesso ao software do sistema. Os recursos incluem a capacidade de restringir o acesso ao programa por usuários com privilégios, como administrador e raiz, bem como a capacidade de criar PACLs (Program Access Control Lists - Listas de Controle de Acesso a Programas), que impediriam que o software seja modificado por outros programas setuid ou setgid. O CA Privileged Identity Manager também inclui um serviço de "Watchdog" que permite aos usuários criar uma linha de base de computação confiável e executa o monitoramento da integridade do arquivo para evitar e detectar mudanças não autorizadas no software. 4.6.f Os gerentes de programa e o DAA restringirão a conexão dos sistemas usados ou designados como "plataformas de teste" à rede operacional. Os PMs e DAAs podem autorizar conexões temporárias para realizar atualizações, fazer download de patches ou executar verificações de vulnerabilidade quando os recursos de suporte offline forem insuficientes e as proteções forem validadas. Remover o sistema de informação de "plataforma de teste" imediatamente após a conclusão da ação até que tenha sido acreditado operacionalmente e esteja totalmente compatível. O CA Privileged Identity Manager pode ser usado para qualificar e rotular sistemas em ambientes virtuais e impedir que esses sistemas se conectem a redes operacionais com base em rótulos. Essa funcionalidade é totalmente automatizada para aprimorar a segurança e agilizar o processo de desenvolvimento de software. 4.6.i O uso de produtos de garantia de dados e integridade de sistemas operacionais – por exemplo, PKI (Public Key Infrastructure - Infraestrutura de Chave Pública), Tripwire, segurança do protocolo de internet (IPSec), wrappers de Protocolo de Controle de Transmissão/Protocolo de internet (TCP/IP) – serão incluídos no desenvolvimento de produtos e integrados a sistemas de produção de estado final. O CA Privileged Identity Manager fornece recursos de monitoramento de arquivos e segurança de rede semelhantes ao Tripwire, IPTables e wrappers de TCP, mas também fornece recursos adicionais de garantia de dados, como armazenamento de senha, gravação de sessão, o Kerberos Pluggable Authentication Module para sistemas UNIX e controles de acesso refinados. 4.6. j IAMs e desenvolvedores farão a transição de serviços de alto risco, tais como (sem limitação) FTP ou Telnet, para tecnologias e serviços seguros, como FTP seguro (SFTP) e Secure Shell (SSH). O CA Privileged Identity Manager fornece recursos com base em host para ajudar a aplicar não apenas os mecanismos usados para acessar sistemas, mas também os sistemas, os locais e os usuários autorizados a acessar esses sistemas. 4.7.h O proprietário do sistema colocará bancos de dados em servidores isolados e dedicados com controles de acesso restritos. Os DBAs não instalarão outros servidores ou serviços vulneráveis (por exemplo, servidores web, servidores de FTP) que possam comprometer ou permitem o acesso não autorizado ao banco de dados por meio de outra vulnerabilidade importante identificada nos servidores ou serviços adicionais. As diretivas de acesso refinadas do CA ControlMinder avaliam efetivamente o escopo dos privilégios dos administradores de banco de dados para que os servidores ou serviços vulneráveis não possam ser instalados, mesmo que o usuário obtenha privilégios de raiz ou administrador. 4.7. j.7 Medidas de controle para proteger servidores e interfaces de banco de dados contra o acesso direto, não autorizado ou não autenticado à internet por meio de dispositivos ou recursos de filtragem e controle de acesso (por exemplo, firewalls, roteadores, ACLs). O CA Privileged Identity Manager fornece recursos de acesso à rede com base em host semelhantes aos wrappers de TCP e IPTables para fornecer um mecanismo central para a proteção de servidores e interfaces de banco de dados contra o acesso direto, não autorizado ou não autenticado à internet. 8 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2 # 4-12 Requisito a.Implementar técnicas de autenticação de dois fatores como o mecanismo de controle de acesso em vez de senhas. Usar o CAC como a principal credencial de acesso, ou acesso biométrico ou com logon único em dispositivos de controle de acesso quando o sistema de informação não oferecer suporte ao CAC. b.O IAM ou a pessoa designada gerenciará a geração, a emissão e o controle de processos de senhas. Se for utilizado, gerar senhas de acordo com a BBP de padrões para senhas do exército. c.O titular de uma senha é o único usuário autorizado dessa senha. d. A utilização de senhas de uso único é aceitável, mas as organizações devem fazer a transição para recursos de acesso seguro, tais como SSH ou SSL (Secure Sockets Layer). Consulte os requisitos de acesso remoto no parágrafo 4-5d. e.Os SAs configurarão os sistemas de informação para evitar a exibição de senhas sem criptografia, a menos que operações táticas (por exemplo, um heads-up display enquanto uma aeronave estiver em voo) apresentarem riscos de vida ou de ferimentos graves. f.Os IAMs irão aprovar e gerenciar os procedimentos para auditar arquivos de senhas e contas de usuário em busca de senhas fracas, inatividade e histórico de mudanças. Os IAMs realizarão auditorias trimestrais de arquivos de senha em um sistema independente ou seguro com acesso limitado. g. Sistemas implantados e táticos com recursos limitados de entrada de dados incorporarão medidas de controle de senha de acordo com o possível. h.Os IAMs e SAs irão remover ou mudar senhas padrão, do sistema, de manutenção, definidas de fábrica ou incorporadas à tecla de função. i.Os IAMs e SAs proibirão scripts automatizados ou recursos de vinculação, incluindo, sem limitação, links de sites que incorporam conta e autenticação no link sem criptografia. j.Os SAs/NAs, com a aprovação do DAA, implementarão procedimentos para a autenticação ou a verificação do usuário antes de redefinir senhas ou desbloquear contas de acordo com o pacote de C&A. k.Os SAs/NAs realizarão auditorias semanais de contas de serviço em busca de indicadores de uso indevido. l.O uso de softwares ou dispositivos de geração de senhas é autorizado como um auxiliar de memória quando gerar aleatoriamente e aplicar os requisitos de tamanho, configuração e validade da senha, proteger contra divulgação não autorizada por meio de controles de autenticação ou de acesso e apresentar um nível de risco mínimo ou aceitável durante o uso. ca.com/br Soluções da CA Technologies O CA Privileged Identity Manager fornece recursos de controle de acesso refinados para avaliar quem tem acesso ao software do sistema. Os recursos incluem a capacidade de restringir o acesso ao programa por usuários com privilégios, como administrador e raiz, bem como a capacidade de criar PACLs, que impediriam que o software seja modificado por outros programas setuid ou setgid. O CA Privileged Identity Manager também inclui um serviço de "Watchdog" que permite aos usuários criar uma linha de base de computação confiável e executa o monitoramento da integridade do arquivo para evitar e detectar mudanças não autorizadas no software. 9 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2 ca.com/br Seção VII: 4-20 - Segurança de rede # Requisito Soluções da CA Technologies 4-20.e.3 Empregar tecnologias de identificação, autenticação e criptografia ao acessar dispositivos de rede. O CA Privileged Identity Manager fornece um mecanismo de armazenamento de senhas para credenciais com privilégios que permite o acesso seguro aos dispositivos de rede. Uma vez implantado, o CA Privileged Identity Manager converte efetivamente os sistemas existentes em um mecanismo de autenticação de senha de uso único para contas com privilégios em seu ambiente, permitindo aos usuários alternar as senhas medida que for feito o registro de entrada (e saída) das credenciais. O CA Privileged Identity Manager também pode ser implantado para aplicar como os usuários acessam dispositivos de rede. Por exemplo, o CA Privileged Identity Manager pode ser implantado para que as senhas não sejam exibidas para o usuário final, mas mecanismos autorizados, tais como SSH, sejam usados para efetuar o logon automático dos usuários em dispositivos de rede. 4-20.f.1. Configurar os sistemas de informação para usar criptografia quando disponível ou como parte da empresa global para proteger o conteúdo do email a fim de atender aos requisitos de proteção dos dados. O CA Data Protection fornece inspeção de conteúdo de mensagens de email e pode aplicar a criptografia de mensagens com base na confidencialidade do conteúdo e nos requisitos de proteção dos dados. 4-20.f.5 Todo o pessoal empregará sistemas de email ou dispositivos de propriedade do governo ou fornecidos por ele para comunicações oficiais. O CA Privileged Identity Manager pode impedir o uso de contas de email comerciais de terceiros para fins oficiais. É proibido o uso de ISP (Internet Service Provider - Provedor de Serviços da Internet) ou de contas de email comerciais para fins oficiais. 4-20.f.6 É proibido o encaminhamento automático de emails oficiais para contas ou dispositivos não oficiais. O CA Data Protection pode impedir que emails oficiais sejam encaminhados para contas e dispositivos não oficiais. 4-20.f.7 Permitir as comunicações com os fornecedores ou prestadores de serviços para negócios oficiais e implementar criptografia e medidas de controle adequadas para a confidencialidade das informações transmitidas. A tecnologia de inspeção de conteúdo do CA Data Protection pode aplicar a criptografia de mensagens para fornecedores ou prestadores de serviços para ajudar a garantir que as informações serão transmitidas com segurança. 4-20.g.5 O pessoal de gerenciamento de rede e IA irá implementar e aplicar controles de segurança e de acesso de gerenciamento de área local. Os sites publicamente acessíveis não serão instalados ou executados em uma conta com privilégios em nenhum servidor web. Servidores web não públicos serão configurados de forma similar, a menos que operacionalmente seja necessário que eles sejam executados como uma conta com privilégios e que os procedimentos adequados de mitigação de riscos tenham sido implementados. O CA Privileged Identity Manager fornece recursos de controle de acesso refinados que podem ser usados para bloquear os servidores web públicos e não públicos. Caso determinados servidores web exijam que contas com privilégios sejam executadas, o CA Privileged Identity Manager pode efetivamente proibir o aplicativo e avaliar o escopo dos privilégios da conta para limitar o impacto do comprometimento da conta ou serviço. 4-20.g.8 Servidores de extranet e intranet fornecerão criptografia adequada e autenticação do usuário. O CA Single Sign-On fornece controles robustos de acesso e autorização, bem como gerenciamento de sessões para proteger os recursos com base na web. 10 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2 ca.com/br # Requisito Soluções da CA Technologies 4-20.g.10 Os gerentes de rede e o pessoal de IA configurarão todos os servidores (incluindo servidores web) que estiverem conectados a redes de computadores de acesso público, como a internet, ou a redes protegidas, como a SIPRNET, para empregar controles de acesso e de segurança, por exemplo, firewalls, roteadores e IDSs (Intrusion Detection System - Sistema de Detecção de Invasão) com base em host, para garantir a integridade, a confidencialidade, a acessibilidade e a disponibilidade dos sistemas de informação e dados do DOD. O CA Single Sign-On fornece controles robustos de acesso e autorização, bem como gerenciamento de sessões para proteger os recursos com base na web. O CA Privileged Identity Manager fornece controles de acesso robustos e refinados para proteger os sistemas subjacentes que hospedam os aplicativos do exército. 4-20.g.14 Todos os sites particulares (não públicos) do exército que restringem o acesso com proteção de senha ou filtragem de endereços específicos implementarão protocolos SSL utilizando um certificado de PKI de Classe 3 do DOD como requisito mínimo. A NETCOM/9th SC (A) emite e gerencia esses certificados. O CA Single Sign-On fornece controles robustos de acesso e autorização, bem como gerenciamento de sessões para proteger os recursos com base na web utilizando certificados de PKI de Classe 3 do DOD. 4-20.i Todo o pessoal usará apenas softwares de segurança de IA que constarem na lista de ferramentas de IA em sistemas e redes do exército. A lista de ferramentas de IA aprovadas pelo exército está disponível no site de IA. As solicitações de consideração e aprovação de pacotes de software de segurança adicionais a serem adicionados à lista de ferramentas de IA devem ser enviadas pelos canais da NETCOM/9th SC (A) ATTN: NETC–EST–I, ATTN: OIA&C para CIO/G–6. Atualmente, as soluções de segurança da CA Technologies estão sendo utilizadas em todo o exército e estão incluídas na lista de ferramentas de IA aprovadas ou estão em vias de serem certificadas novamente para refletir as últimas versões disponíveis. Seção 2: Soluções da CA Technologies CA Privileged Identity Manager O CA Privileged Identity Manager é uma solução de segurança para proteção de recursos de TI e gerenciamento de privilégios. Esse é um produto maduro que já está a serviço do governo federal dos EUA e do setor comercial e privado há muitos anos. Além do AR 25-2, o CA Privileged Identity Manager também mapeia para NIST 800-53 em uma variedade de áreas de controle, fornecendo a aplicação de segurança, o gerenciamento centralizado e os processos repetíveis que uma organização deve ter para possibilitar a conformidade. O CA Privileged Identity Manager transforma a segurança de TI em um processo padronizado que possibilita a continuidade das operações e ajuda a reduzir os riscos. O CA Privileged Identity Manager ajuda a reduzir os riscos internos e externos controlando a maneira como os usuários com privilégios ou de negócios acessam e usam os dados corporativos. O resultado é um nível mais alto de segurança, um nível mais baixo de custos administrativos, processos de auditoria/conformidade mais fáceis e uma melhor experiência do usuário. O CA Privileged Identity Manager foi projetado para fornecer uma solução abrangente para o gerenciamento de usuários com privilégios, protegendo servidores, aplicativos e dispositivos entre plataformas e sistemas operacionais. O CA Privileged Identity Manager opera no nível do sistema a fim de permitir uma aplicação eficiente e consistente entre os sistemas — incluindo o Windows, o UNIX, o Linux e ambientes virtualizados. Com a distribuição de diretivas de segurança do servidor para dispositivos, servidores e aplicativos do terminal por meio de um recurso avançado de gerenciamento de diretivas, você pode controlar os usuários com privilégios e fornecer uma abordagem proativa para proteção de informações confidenciais e sistemas essenciais, sem afetar as atividades de negócios e de TI normais. Além disso, você pode oferecer suporte à auditoria de cada mudança de diretiva e ação de aplicação com segurança, a fim de cumprir com os regulamentos federais (IRS). 11 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2 ca.com/br O CA Privileged Identity Manager fornece uma abordagem holística para o gerenciamento de acesso, pois inclui importantes recursos para proteger e bloquear aplicativos e dados essenciais, gerenciar identidades com privilégios, centralizar a autenticação UNIX com o Microsoft Active Directory e fornecer uma infraestrutura segura de auditoria e geração de relatórios. Principais recursos do CA Privileged Identity Manager: • Regulamenta e faz a auditoria do acesso a seus servidores, dispositivos e aplicativos essenciais em várias plataformas de maneira consistente. • Gerencia senhas de usuários com privilégios. • Permite que você demonstre de maneira proativa um controle refinado sobre os usuários e contas do sistema com privilégios. • Ajuda a aplicar seus requisitos de conformidade internos e regulamentares, criando e gerando relatórios sobre diretivas de acesso aos servidores. •Ajuda a reduzir os custos administrativos por meio do gerenciamento centralizado das diretivas de segurança em toda a sua empresa distribuída globalmente. • Permite autenticar usuários com privilégios do UNIX e do Linux a partir de um único armazenamento de usuários do Active Directory. •Reforça o sistema operacional, o que reduz os riscos de segurança externos e aumenta a confiabilidade do ambiente operacional. • Integra o OOTB a uma infraestrutura de auditoria que gera relatórios detalhados específicos de regulamentação. CA Single Sign-On A web é aberta para negócios dia e noite, e o CA Single Sign-On permite de maneira confiável e eficiente que a presença online da sua organização seja segura, disponível e acessível aos usuários corretos. Reconhecido por ter os recursos de gerenciamento de segurança mais avançados e a administração de site de classe corporativa, o CA Single Sign-On pode ser expandido para oferecer suporte a milhões de usuários e milhares de recursos protegidos. O CA Single Sign-On permite que as organizações enfrentem o desafio de implantar recursos via web e, ao mesmo tempo, de manter o alto desempenho e a disponibilidade. Ele controla quem está apto a acessar quais aplicativos e sob que condições, melhora as experiências online do usuário e simplifica a administração da segurança. Com a aplicação de diretivas e o monitoramento e a geração de relatórios de atividades online e privilégios dos usuários, o CA Single Sign-On também facilita a conformidade regulatória. O CA Single Sign-On fornece uma ampla gama de benefícios, incluindo: • Garantir que os usuários certos tenham o acesso certo: com o CA Single Sign-On, o gerenciamento seguro de identidades em sistemas web diversos permite que o sistema controle o acesso com a utilização do contexto dos usuários em relação à empresa (parceiro, consultor, cliente, etc.) e de seus direitos para cada aplicativo. O WAM do CA Single Sign-On permite aos usuários se conectarem às informações e aplicativos de que precisam para realizar seus trabalhos, fazer um pedido ou participar de transações de negócios. • Aumentar a segurança para minimizar riscos: o CA Single Sign-On reduz o risco de acesso não autorizado a recursos essenciais e informações confidenciais, protegendo o conteúdo de todo o portal web ou de um conjunto de aplicativos. A aplicação de segurança centralizada e de algoritmos criptográficos certificados para FIPS significa que não restam brechas em um ambiente web protegido pelo CA Single Sign-On. 12 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2 ca.com/br • Proporcionar aos usuários uma experiência online positiva: o CA Single Sign-On permite que os usuários façam logon uma única vez para acessar aplicativos web, envolvendo-os em uma experiência online unificada e personalizada, em vez de frustrá-los com vários logons. • Aumentar as oportunidades de negócios: o CA Single Sign-On permite que as organizações implantem aplicativos web com segurança em várias comunidades de usuários diferentes, gerando mais oportunidades de negócios que podem aumentar a receita. Estenda o CA Single Sign-On com federação de identidades para que sua organização possa aprimorar a cooperação com parceiros, melhorando ainda mais os relacionamentos para aumentar a receita, gerenciar custos e reduzir riscos. • Gerenciar custos: o CA Single Sign-On reduz os custos de administração de TI. Ele reduz a carga de segurança sobre os usuários e, portanto, a carga sobre o suporte técnico provocada por credenciais perdidas ou esquecidas. Também reduz os custos redundantes de manutenção e desenvolvimento de aplicativos relacionados à segurança. • Facilitar a conformidade regulatória: o gerenciamento, a aplicação, a geração de relatórios e a auditoria de diretivas centrais oferecem suporte à sua capacidade de cumprir com os regulamentos rigorosos de TI. O CA Single Sign-On fornece uma base de gerenciamento de segurança centralizada que permite o uso seguro da web para fornecer aplicativos e serviços na nuvem para clientes, parceiros e funcionários. O CA Single Sign-On é uma solução de WAM (Web Access Management - Gerenciamento do Acesso à Web) e, como tal, permite logon único na web, autenticação de usuários centralizada e gerenciamento de autenticação, autorização com base em diretiva, capacidade de gerenciamento de nível corporativo, auditoria e geração de relatórios. O CA Single Sign-On fornece o ponto central de integração e de gerenciamento por meio do qual credenciais e tecnologias específicas de autenticação podem ser usadas para logon em alguns ou em todos os aplicativos web e comunidades de usuários nas quais o CA Single Sign-On é usado para proteção, eliminando a necessidade de codificar ou integrar essas tecnologias aos aplicativos subjacentes. Esse recurso permite que as organizações aumentem a segurança sem afetar os aplicativos existentes ou a experiência do usuário. Por fim, o CA Single Sign-On é reconhecido como o líder de mercado em termos de WAM por ter os mais avançados recursos de gerenciamento de segurança e uma experiência comprovada de expansão para oferecer suporte a milhões de usuários e milhares de sites/recursos protegidos. O CA Single Sign-On foi o primeiro produto de WAM a fazer parte do Magic Quadrant de liderança da Gartner, no qual permanece desde 2001. O CA Single Sign-On é a solução de WAM mais amplamente implantada no setor (mais de 1.500 clientes implantados) e é usado para proteger alguns dos maiores sites e portais do mundo, incluindo mais de 83 milhões de usuários em um cliente, mais de 3.000 sites protegidos em outro e cerca de 40 milhões de autenticações e autorizações por dia em um terceiro cliente. 13 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2 ca.com/br CA Data Protection O CA Data Protection permite que as organizações mantenham um melhor controle da informações. O CA Data Protection é uma solução de proteção e controle das informações que ajuda a minimizar a utilização acidental, negligente e mal-intencionada de dados e, ao mesmo tempo, a garantir a conformidade com vários padrões e regulamentos de proteção de dados. Por meio da entrega de informações detalhadas e da cobertura de comunicações, da aplicação precisa de diretivas e do Gerenciamento de identidades e acesso (IAM) orientado a conteúdo, as organizações podem adotar uma abordagem abrangente para reduzir os riscos dos seus ativos mais importantes e, ao mesmo tempo, viabilizar processos de negócios essenciais. O CA Data Protection permite que a organização defina diretivas configuráveis de negócios e regulamentações, detecte com precisão dados confidenciais e complexos, bem como monitore os processos de negócios conhecidos e desconhecidos para garantir o comportamento apropriado dos funcionários. Ele fornece tudo isso com um nível de controle personalizável em vários locais essenciais: pontos de extremidade, rede, servidores de mensagens e dados armazenados. Ele, então, delega as violações para revisão com segurança e, ao mesmo tempo, define as métricas-chave de desempenho ao longo do tempo para implementar aprimoramentos contínuos ao programa. Isso tudo é possível por meio de uma plataforma central de gerenciamento que fornece um painel executivo, relatórios detalhados e personalizáveis e recursos de fluxo de trabalho otimizados. • Descobre o local em que residem suas informações confidenciais, classifica-as de acordo com o nível de confidencialidade e aplica diretivas de tratamento dessas informações. • Protege os dados onde quer que estejam — no ponto de extremidade, no servidor de mensagens, na rede ou armazenados em um sistema de arquivos. • O DLP orientado a identidades permite que diretivas sejam aplicadas com base na identidade do usuário; as diretivas também podem ser alteradas dinamicamente com base na função do usuário. Seção 1 Diretiva geral CA Privileged Identity Manager Requisito da diretiva CA Data Protection CA Single Sign-On • Fornece ações robustas para bloquear, avisar, colocar em quarentena, redirecionar, criptografar, mover, excluir, substituir, monitorar e aplicar direitos digitais aos dados acessados. 4 Seção 2 Segurança de software 4 Seção 4 Segurança processual 4 Seção 7 Segurança da rede 4 4 4 14 | Documentação técnica: REGULAMENTO DO EXÉRCITO 25-2 Seção 3: Sobre o autor Chris Boswell tem mais de 13 anos de experiência no desenvolvimento e implementação de soluções de segurança, risco e conformidade. Durante o trabalho na CA Technologies, Chris ocupou vários cargos técnicos e de gerenciamento em todas as nossas organizações de serviços de segurança, gerenciamento de produtos e vendas. Seu trabalho no domínio de governança, risco e conformidade resultou em vários pedidos de patentes para a CA Technologies. Atualmente, Chris coordena as atividades de vendas para as nossas soluções de proteção e controle de informações e trabalha em estreita colaboração com as equipes de desenvolvimento e de produtos em nome dos clientes para enfrentar os desafios emergentes de segurança, risco e conformidade. Conecte-se com a CA Technologies em ca.com/br A CA Technologies (NASDAQ: CA) cria software que acelera a transformação das empresas e permite que elas aproveitem as oportunidades da era dos aplicativos. O software está no cerne de todas as empresas, em todos os setores. Do planejamento ao desenvolvimento e do gerenciamento à segurança, a CA está trabalhando com empresas de todo o mundo para mudar a maneira como vivemos, fazemos negócios e nos comunicamos – usando dispositivos móveis, as nuvens privada e pública e os ambientes distribuídos e de mainframe. Obtenha mais informações em ca.com/br. Copyright © 2014 CA. Todos os direitos reservados. Microsoft Windows e Microsoft Active Directory são marcas registradas ou marcas comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros países. Linux® é marca registrada de Linus Torvalds nos EUA e em outros países. UNIX é uma marca registrada do The Open Group. Todas as marcas comerciais, nomes de marcas, marcas de serviço e logotipos aqui mencionados pertencem às suas respectivas empresas. Este documento é apenas para fins informativos. A CA não assume responsabilidade pela precisão ou integridade das informações. Na medida do permitido pela lei aplicável, a CA fornece este documento "no estado em que se encontra", sem garantias de nenhum tipo, incluindo, sem limitações, garantias implícitas de comercialização, adequação a uma finalidade específica ou não violação. Em nenhuma circunstância a CA será responsável por perdas ou danos, diretos ou indiretos, decorrentes do uso deste documento, incluindo, sem limitações, perda de lucros, interrupção de negócios, reputação da empresa ou perda de dados, mesmo que a CA tenha sido expressamente informada sobre a possibilidade de tais danos com antecedência. A CA não oferece aconselhamento jurídico. Este documento ou qualquer produto de software mencionado neste documento não serve como substituto de sua conformidade com quaisquer leis — incluindo, sem limitações, qualquer ato, estatuto, regulamentação, regra, diretiva, padrão, política, sentença administrativa, decreto e assim por diante (coletivamente, "Leis") — mencionadas neste documento ou quaisquer obrigações contratuais com terceiros. Você deve consultar a assessoria jurídica competente sobre quaisquer Leis ou obrigações contratuais. CS200_94652_1114