View
46
Download
0
Category
Preview:
Citation preview
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
MVP ShowCast 2013
Defesa em profundidadeVeja como as tecnologias da Microsoft podem ajudar!
Rodrigo Immaginario
Enterprise Security
CIO – Universidade de Vila Velha
@rodrigoi
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Internet
Intranet
`
Remote Employees
Remote Access Gateway
Web Server
Customers
Perimeter
X Infrastructure ServersExtranet
Server
`
♦ Interconexão de redes
♦ Dados Distribuídos
♦ Mobile workers
♦ Business extranets
♦ Remote access
♦ Web services
♦ Wireless
♦ Mobile smart devices
Novos Desafios de TI
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Definição daFronteira
Controle de IdentidadesAcesso
Universal
Autenticação eAutorização
Saúde do Ambiente
Acesso de qualquer pontoIPSec Policies
Active Directory
2-factor and biometricsClaims-based Security
IPv6
Network Access ProtectionAnti-malware
Per-application VPNand Firewalls
Novos Desafios de TIPolítica, não a topologia, define a fronteira
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Cenário Atual …
IndependentConsultant
PartnerOrganization
Home
Mobile Devices
USB Drive
• Não há fronteira para o fluxo da informação• Informação é compartilhada, armazenada e
acessada sem o controle do owner• Segurança do Host e da Rede são
insuficientes
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
O que fazer ?
Oferecer acesso remoto seguroSuporta autenticação de máquinas e usuários com IPsecNetwork Access Protection com VPNs e IPsecSecure routing compartments aumenta o isolamento em conexões VPN
Proteger dádos sensíveis e a propriedade intelectualComunicação autenticada ponto-a-ponto nas comunicações de redeProteger a confidencialidade e integridade dos dados
Reduzir o risco de ameaças à segurança da redeUma camada adicional no “defense-in-depth”Reduzir a superficie de ataques em máquinas conhecidasAumentar o gerenciamento e a “saúde” dos clientes
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Nova Pilha TCP/IP
Insp
ectio
n
AP
I
IPv4
802.3
WSK
WSK Clients TDI Clients
NDIS
WLANLoop-back
IPv4 Tunnel
IPv6 Tunnel
IPv6
RAWUDPTCP
Next Generation TCP/IP Stack (tcpip.sys)
AFD
TDX
TDI
Winsock User Mode
Kernel Mode
♦ Arquitetura Dual-IP layer, para suportar IPv4 and IPv6 nativos
♦ Melhor Integração com IPSEC para aumentar a segurança
♦ Aumento da performace via hardware
♦ Network auto-tuning e otimização
♦ Melhores APIs para ampliar as funcionalidades da pilha
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Isolamento de Servidores e Domínio
Segmentar dinamicamente seu ambiente Windows® com base em políticas
LabsUnmanaged guests
Server Isolation
Domain Isolation Proteger computadores de máquinas não gerenciadas ou desconhecidas
Proteger servidores e dados específicos
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Isolamento de Servidores e Domínio
Untrusted
Unmanaged/Rogue Computer
Domain Isolation
Active Directory Domain Controller
X
Server Isolation
Servers with Sensitive DataHR Workstation
Managed Computer
X
Managed Computer
Trusted Resource Server
Corporate Network
Define os limites lógicosDistribui políticas e credenciaisComputadores controlados podem se comunicarBloquei conexões de computadores não confiáveisRestringe acesso a dados críticos
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Network Access Protection - NAP
Remediation
ServersExample: PatchRestricted
NetworkWindows
ClientPolicy
compliant
NPSDHCP, VPN
Switch/Router
Policy Serverssuch as: Patch, AV
Corporate Network
Not policy compliant
O que é o Network Access Protection?
Integração Cisco e Microsoft
Health Policy Validation Health Policy Compliance
Limitar o acesso a rede Aumentar a segurança
Aumentar o valor do negócio
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Como Surgiu o NAP ...
♦ Virus Blaster causa problemas nas empresas
♦ Computadores conectados na rede começam a infectar os demais
♦ Criação de uma verificação de “saúde” do computador♦ Valida a conformidade com a política de segurança da
organização
♦ Deve ser aplicado sem a necessidade de um chamado no Service Desk
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
O que é o NAP ?
♦ Adiciona o status de “saúde” na política de acesso da rede
♦ Definição dos requisitos de software e configuração para o computador acessar a rede
♦ Nativo no Windows Server “Longhorn” e Windows Vista
♦ Agentes para o Windows XP e Windows 2003
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
NAP – Como Funciona ...
Not policy compliant
1
RestrictedNetwork
Cliente solicita o acesso a rede apresentando seu estado de saúde
1
4Se não houver conformidade o cliente é colocado em um VLAN restrita e terá acesso somente aos servidores de remediação (Repeat 1 - 4)
2 DHCP, VPN ou Switch/Router encaminha o status de saúde para o Microsoft Network Policy Server (RADIUS)
5 Havendo conformidade o cliente terá acesso completo a rede
MSFT NPS
3
Policy Serverse.g. Patch, AV
Policy compliant
DHCP, VPNSwitch/Router
3 Network Policy Server (NPS) valida de acordo com as políticas definida
2
WindowsClient
Fix UpServerse.g. Patch
Corporate Network5
4
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
SHA2SHA1
Remediation Server 1
SHA API
NAP Agent
NAP EC_BNAP EC_A
Cliente NAP
Remediation Server 2
SHV1SHV2
SHV API
NAP Administration Server
Servidor NAP
SHV3
NAP ES_ANAP ES_B
NPS
RADIUS
Fornecido pelo NAP
Fornecido por terceiros
NPS
NAP EC API
Policy Server 1
Policy Server 2
NAP - Arquitetura
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Métodos de Quarentena do NAP
♦Internet Protocol security (IPsec)- autenticação da comunicação
♦IEEE 802.1X- autenticação na conexão de rede♦Acesso remoto via virtual private network (VPN) ♦Dynamic Host Configuration Protocol (DHCP)
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Aqui está seu certificado de saúde.
Sim, pegue seu novo certificado
Acessando a rede X
Remediation Server
Policy Server
HCS
Posso ter um certificado de saúde?Aqui está meu SoH..
Cliente ok?
Não, precisa de correções
Você não possui um certificado de saúde. Faça sua atualizaçãoPreciso de
atualizações.
Aqui está.
Host
QuarantineZone
BoundaryZone
ProtectedZone
Exchange
NAP com IPSEC
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Public Key Infrastructure
Segurança Gerenciamento Interoperabilidade
Cryptography Next Generation
Granular Admin
V3 Certificates
Windows Server 2008 Server Role
PKIView
Novas GPOs
Suporte ao OCSP
Suporte ao IDP CRL
Suporte MSCEP
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
PKI – Benefícios Secundários- Alterar autenticação do IPSEC de Kerberos para Certificados Digitais- Autenticação com 2 fatores (Token para acesso Administrativo)- Requisitos para diversas soluções de segurança (RMS, EFS, etc)- Segurança Wireless- Segurança Acesso Remoto- Interoperabilidade
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
SSL Encryption para Servidores WebÉ a fundação para diversas soluções e recursos da Microsoft
♦Por que SSL encryption para Servidores Web é a fundação para muitas soluções e recursos
♦Escolhendo o provedor de certificados para servidores web
♦Deploy do certificados para servidores web♦Modelos de Certificados (templates)♦Emitindo Certificados de Servidor Web
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Autenticação 2 fatoresAutenticação Forte
Na SI, a autenticação é um processo que busca verificar a identidade digital do usuário. A autenticação normalmente depende de um ou mais "fatores de autenticação".
Os fatores de autenticação são normalmente classificados:
♦Aquilo que o usuário é♦Aquilo que o usuário tem♦Aquilo que o usuário conhece
♦Desafio:♦ Quando usar autenticação de 2 fatores?
♦Dispositivos (Smart card, Token USB, Token OTP)
♦Planejando e Gerenciando a entrega
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
RMS BitLocker
Criptografar arquivos e Pastas de Usuários
Arquivamento das chaves em Smart Card
EFS
Fácil de configurar e implementarProteção dos dados entre o trabalho e casaCompartilhamento de Dados protegidos.
Proteção de Dados
Definição via Policy
Proteção da informação onde ela estiver
RMS Client Integrado
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
AD RMSProteção de dados e Classificação da Informação
Hoje em dia, um dos desafios é proteger as informações sensíveis.
Nas Políticas de Segurança para os Usuários descreve:♦ Toda informação deverá ser classificada quanto ao seu sigilo;♦ Toda informação deverá ser protegida com base na sua classificação;♦ É de responsabiliade o usuário proteger a informação (geração,
manuseio, guarda, ..., descarte da informação).
♦Desafio:♦Em que momento usar o RMS?
♦Use o RMS no processo de Classificação da Informação♦Como proteger as informações de Alto Impacto
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Projeto Tradicional …
Access Control List Perimeter
Authorized
Users
Firewall Perimeter
Unauthorized
Users
Authorized
Users
Unauthorized
Users
YES
NO
Information Leakage
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
RMS Workflow
Information Author The Recipient
RMS Server
Microsoft® SQL Server®
Active Directory
2 3
4
5
2. Autor define as permissões e regras para o arquivo; A aplicação cria o “publishing license” e criptografa o arquivo
3. Autor distribui o arquivo
4. Cliente abre o arquivo; O aplicativo chama o RMS Server que valida o usuário e atribui um “use license”
5. Aplicação aplica e força as permissões
1. Autor recebe um Author receives a client licensor certificate na primeira que ele proteger um documento
1
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Identity-Based Information Protection
♦Persistent protection for sensitive/confidential data♦ Controla o acesso através do ciclo de vida da informação♦ Permite o acesso com base em Identidates confiáveis♦ Garante a segurança da transmissão e armazenamento de dados
importantes – Documento criptografados com 128-bit♦ Criação de tipos de permissão (print, view, edit, expiration, etc.)
Persistent Protection
Encryption Policy • Access Permissions• Use Right
Permissions
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Controle de Aplicação
Situação Hoje A partir do Windows 7
Elimina aplicações desconhecidas na redePossibilita padronização de aplicaçõesFacilidade de criação e gerenciamento das regras via GPO
AppLocker
Usuários podem executar e Instalar aplicações não aprovadasMesmo usuários comuns podem executar programasAplicações não autorizadas podem :
Conter MalwareAumenta Help-DeskReduz produtividade
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Estrutura Simples
♦Allow♦ Execução Limitada ao “known
good” e bloquear o resto
♦Deny♦ Negar o “known bad” e
permitir a execução do resto
♦Exception♦ Exceção de arquivos da
regras allow/deny
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Publisher
♦Regras baseadas em assinaturas digitais dos aplicativos
♦Pode especificar os atributos da aplicação
♦Permite que as regras funcionem mesmo com as atualizações das aplicações
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Targeting
♦Regras podem ser associadas a usuários e grupos
♦Controle Granular♦Ajuda nas Políticas de
Segurança por “forçar” quem pode executar determinadas aplicações
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Servidor DirectAcc
ess
Data Center e Outros
Recursos Críticos
Usuário Local
Rede Corporativa
Usuário
Remoto
Premissa que a infraestrutura de rede é sempre insegura
Redefinição do perímetro corporativo para proteger o datacenter
Políticas de acesso baseado na identidade e não na posição dentro da rede
Tendências de Mercado
Internet
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
DirectAccess
♦Oferecer um acesso seguro e transparente a sua Rede Corporativa de qualquer lugar
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
O que é DirectAccess?
♦Acesso transparente a rede corporativa♦Se o computador do usuário está conectada a Internet, ela está
conectada a rede corporativa
♦Gerenciamento remoto♦Computador do usuário é gerenciado em qualquer lugar em que
esteja ligado na Internet
♦Conectividade segura♦Comunicação entre a máquina do usuário e os recursos
corporativos é protegida
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Servidor DirectAccess
Cliente DirectAccess
Cliente DirectAccess
IPsec/IPv6
Data Center e Outros Recursos Críticos
Servidores NAP
Internet
Usuário CorporativoRede
Corporativa
Usuário Corporativo
IPsec/IPv6
IPsec/IPv6
Clientes tem conectividade IPv6 transparente de qualquer local, com segurança IPsec
Tráfego para a rede corporativa é roteada através de um servidor DirectAccess (Windows 2008 R2 Server)
Integração com NAP para controle de acesso baseado em políticas
Solução DirectAccess
Túnel sobre IPv4 UDP, TLS, etc.
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Links úteis ...
♦Windows Server 2012 R2 c/ System Center 2012 R2♦ http://technet.microsoft.com/pt-br/evalcenter/dn205286.aspx?CR_CC=200142594
♦System Center 2012 R2♦ http://technet.microsoft.com/pt-br/evalcenter/dn205295
♦Hyper-V R2♦ http://technet.microsoft.com/pt-br/evalcenter/dn205299
♦Windows Server 2012 Essentials R2♦ http://technet.microsoft.com/pt-br/evalcenter/dn205288.aspx
♦SQL 2014 CTP♦ http://technet.microsoft.com/pt-br/evalcenter/dn205290
SESSÃO: INFRAESTRUTURA
TRILHA: SEGURANÇA
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.
Perguntas & Respostas
Recommended