Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft podem te ajudar

SESSÃO: INFRAESTRUTURA TRILHA: SEGURANÇA
MVP ShowCast 2013
Defesa em profundidade
Veja como as tecnologias da Microsoft podem ajudar!
Rodrigo Immaginario
Enterprise Security
CIO – Universidade de Vila Velha
@rodrigoi
© 2013, MVP ShowCast. Evento organizado por MVPs do Brasil com apoio da Microsoft.

Novos Desafios de TI
Internet
Intranet
`
Remote Access
Gateway
Web Server
Remote
Employees
Customers
Perimeter
`
X Infrastructur
Extranet e Servers
Server
♦ Interconexão de redes
♦ Dados Distribuídos
♦ Mobile workers
♦ Business extranets
♦ Remote access
♦ Web services
♦ Wireless
♦ Mobile smart devices

Controle de Identidades
Active Directory
Definição da
Fronteira
2-factor and biometrics
Claims-based Security
Network Access Protection
Anti-malware
Acesso
Universal
Autenticação e
Autorização
Saúde do
Ambiente
IPv6
Per-application VPN
IPSec Policies Acesso de qualquer ponto
and Firewalls
Novos Desafios de TI
Política, não a topologia, define a fronteira

Cenário Atual …
Independent
Consultant
Partner
Organization
Home
USB Drive
Mobile Devices
• Não há fronteira para o fluxo da informação
• Informação é compartilhada, armazenada e acessada sem o
controle do owner
• Segurança do Host e da Rede são insuficientes

O que fazer ?
Reduzir o risco de ameaças à segurança da rede
Uma camada adicional no “defense-in-depth”
Reduzir a superficie de ataques em máquinas conhecidas
Aumentar o gerenciamento e a “saúde” dos clientes
Proteger dádos sensíveis e a propriedade intelectual
Comunicação autenticada ponto-a-ponto nas comunicações de
rede
Proteger a confidencialidade e integridade dos dados
Oferecer acesso remoto seguro
Suporta autenticação de máquinas e usuários com IPsec
Network Access Protection com VPNs e IPsec
Secure routing compartments aumenta o isolamento em
conexões VPN

Nova Pilha TCP/IP
Winsock User Mode
WSK Clients TDI Clients
TDI
Next Generation TCP/IP Stack (tcpip.sys)
TCP UDP RAW
Inspection API
IPv4
802.3
WSK
NDIS
WLAN
Loop-back
IPv4
Tunnel
IPv6
Tunnel
IPv6
AFD
TDX
Kernel Mode
♦ Arquitetura Dual-IP layer, para suportar IPv4 and IPv6 nativos
♦ Melhor Integração com IPSEC para aumentar a segurança
♦ Aumento da performace via hardware
♦ Network auto-tuning e otimização
♦ Melhores APIs para ampliar as funcionalidades da pilha

Isolamento de Servidores e Domínio
Proteger servidores e dados específicos
Segmentar
dinamicamente seu
ambiente Windows®
com base em
Labs políticas
Unmanaged
guests
Server Isolation
Domain Isolation
Proteger computadores de máquinas não
gerenciadas ou desconhecidas

Isolamento de Servidores e Domínio
Unmanaged/Rogue
Computer
Untrusted
Domain
Isolation
Active Directory
Domain Controller
X
Servers with
Sensitive Data
HR Workstation
Server
Isolation
Managed
Computer
X
Managed
Computer
Trusted Resource
Server
Corporate Network
BClooqmupeui tcRaoDdenisoestrtxrDeriõinsebegfcusieonidneapet coo reclosíostlslamiicomdapoasiuts deetpa ascoddrlódoeogedrsei meccsnorníscsteiãiac ociosocsmonufniáicvaeris

Network Access Protection - NAP
O que é o Network Access Protection?
Health Policy Validation Health Policy Compliance
Limitar o acesso a rede Aumentar a segurança
Remediation
Servers
Example: Patch Restricted
Network
Windows
Client
Policy
compliant
NPS
DHCP, VPN
Switch/Router
Policy Servers
such as: Patch, AV
Corporate Network
Not policy
compliant
Integração Cisco e Microsoft
Aumentar o valor do negócio

Como Surgiu o NAP ...
♦ Virus Blaster causa problemas nas empresas
♦ Computadores conectados na rede começam a
infectar os demais
♦ Criação de uma verificação de “saúde” do
computador
♦ Valida a conformidade com a política de segurança da
organização
♦ Deve ser aplicado sem a necessidade de um
chamado no Service Desk

O que é o NAP ?
♦ Adiciona o status de “saúde” na política de
acesso da rede
♦ Definição dos requisitos de software e
configuração para o computador acessar a rede
♦ Nativo no Windows Server “Longhorn” e
Windows Vista
♦ Agentes para o Windows XP e Windows 2003

NAP – Como Funciona ...
Not policy
compliant
1
MSFT NPS
2 DHCP, VPN ou Switch/Router encaminha o status de saúde
para o Microsoft Network Policy Server (RADIUS)
4
Restricted
Network
Cliente solicita o acesso a rede apresentando seu estado de
saúde
1
4
Se não houver conformidade o cliente é colocado em um
VLAN restrita e terá acesso somente aos servidores de
remediação (Repeat 1 - 4)
5 Havendo conformidade o cliente terá acesso completo a rede
3
Policy Servers
e.g. Patch, AV
Policy
compliant
DHCP, VPN
Switch/Router
3 Network Policy Server (NPS) valida de acordo com as políticas
definida
2
Windows
Client
Fix Up
Servers
e.g. Patch
5 Corporate Network

SHA1 SHA2
Remediation
Server 1
SHA API
NAP Agent
NAP EC_A NAP EC_B
Cliente
NAP
Remediation
Server 2
SHV2 SHV1
SHV API
NAP Administration Server
Servidor NAP
SHV3
NAP ES_B NAP ES_A
NPS
RADIUS
Fornecido pelo
NAP
Fornecido por
terceiros
NPS
NAP EC API
Policy
Server 1
Policy
Server 2
NAP - Arquitetura

Métodos de Quarentena do NAP
♦ Internet Protocol security (IPsec)- autenticação da
comunicação
♦ IEEE 802.1X- autenticação na conexão de rede
♦ Acesso remoto via virtual private network (VPN)
♦ Dynamic Host Configuration Protocol (DHCP)

Aqui está seu certificado de
saúde.
Host 
Sim, pegue seu
novo certificado
Acessando a rede
Remediation
Server
Policy
Server
HCS
Posso ter um certificado de
saúde?
Aqui está meu SoH..
Cliente ok?
Não, precisa de
correções
Você não possui um certificado
de saúde. Faça sua atualização
Preciso de
atualizações.
Aqui está.
Quarantine
Zone
Boundary
Zone
Protected
Zone
Exchange
NAP com IPSEC

Public Key Infrastructure
Segurança Gerenciamento Interoperabilidade
Cryptography Next
Generation
Granular Admin
V3 Certificates
Windows Server 2008
Server Role
PKIView
Novas GPOs
Suporte ao OCSP
Suporte ao IDP CRL
Suporte MSCEP

PKI – Benefícios Secundários
- Alterar autenticação do IPSEC de Kerberos para Certificados Digitais
- Autenticação com 2 fatores (Token para acesso Administrativo)
- Requisitos para diversas soluções de segurança (RMS, EFS, etc)
- Segurança Wireless
- Segurança Acesso Remoto
- Interoperabilidade

SSL Encryption para Servidores Web
É a fundação para diversas soluções e recursos da Microsoft
♦Por que SSL encryption para Servidores Web é a
fundação para muitas soluções e recursos
♦Escolhendo o provedor de certificados para servidores
web
♦Deploy do certificados para servidores web
♦Modelos de Certificados (templates)
♦Emitindo Certificados de Servidor Web

Autenticação 2 fatores
Autenticação Forte
Na SI, a autenticação é um processo que busca verificar a
identidade digital do usuário. A autenticação normalmente
depende de um ou mais "fatores de autenticação".
Os fatores de autenticação são normalmente classificados:
♦ Aquilo que o usuário é
♦ Aquilo que o usuário tem
♦ Aquilo que o usuário conhece
♦ Desafio:
♦ Quando usar autenticação de 2 fatores?
♦ Dispositivos (Smart card, Token USB, Token OTP)
♦ Planejando e Gerenciando a entrega

RMS EFS
BitLocker
Criptografar arquivos e
Pastas de Usuários
Arquivamento das
chaves em Smart Card
Fácil de configurar e
implementar
Proteção dos dados
entre o trabalho e casa
Compartilhamento de
Dados protegidos.
Proteção de Dados
Definição via Policy
Proteção da informação
onde ela estiver
RMS Client Integrado

AD RMS
Proteção de dados e Classificação da Informação
Hoje em dia, um dos desafios é proteger as informações sensíveis.
Nas Políticas de Segurança para os Usuários descreve:
♦ Toda informação deverá ser classificada quanto ao seu sigilo;
♦ Toda informação deverá ser protegida com base na sua classificação;
♦ É de responsabiliade o usuário proteger a informação (geração, manuseio,
guarda, ..., descarte da informação).
♦ Desafio:
♦ Em que momento usar o RMS?
♦ Use o RMS no processo de Classificação da Informação
♦ Como proteger as informações de Alto Impacto

Projeto Tradicional …
Firewall Perimeter
Access Control
List Perimeter
Authorized
Users
Unauthorized
Users
Authorized
Users
Unauthorized
Users

RMS Workflow
RMS Server
Microsoft® SQL
Server®
Active
Directory
2 3
4
5
Information Author The Recipient
1. Autor recebe um Author receives a client
licensor certificate na primeira que ele
proteger um documento
2. Autor define as permissões e regras
para o arquivo; A aplicação cria o
“publishing license” e criptografa o
arquivo
3. Autor distribui o arquivo
4. Cliente abre o arquivo; O aplicativo
chama o RMS Server que valida o
usuário e atribui um “use license”
5. Aplicação aplica e força as permissões
1

Identity-Based Information Protection
Persistent
Protection
Encryption Policy
♦ Persistent protection for sensitive/confidential data
♦ Controla o acesso através do ciclo de vida da informação
♦ Permite o acesso com base em Identidates confiáveis
♦ Garante a segurança da transmissão e armazenamento de dados importantes
– Documento criptografados com 128-bit
♦ Criação de tipos de permissão (print, view, edit, expiration, etc.)
• Access Permissions
• Use Right Permissions

Controle de Aplicação
Situação Hoje A partir do Windows 7
AppLocker
Elimina aplicações
desconhecidas na rede
Possibilita padronização de
aplicações
Facilidade de criação e
gerenciamento das regras via
GPO
Usuários podem executar e
Instalar aplicações não
aprovadas
Mesmo usuários comuns podem
executar programas
Aplicações não autorizadas
podem :
Conter Malware
Aumenta Help-Desk
Reduz produtividade

Estrutura Simples
♦ Allow
♦ Execução Limitada ao “known
good” e bloquear o resto
♦ Deny
♦ Negar o “known bad” e
permitir a execução do resto
♦ Exception
♦ Exceção de arquivos da regras
allow/deny

Publisher
♦Regras baseadas em
assinaturas digitais dos
aplicativos
♦Pode especificar os atributos
da aplicação
♦Permite que as regras
funcionem mesmo com as
atualizações das aplicações

Targeting
♦Regras podem ser
associadas a usuários e
grupos
♦Controle Granular
♦Ajuda nas Políticas de
Segurança por “forçar”
quem pode executar
determinadas aplicações

Servidor
DirectAccess
Rede
Corporativa
Data Center e
Outros Recursos
Críticos
Usuário
Local
Premissa que a infraestrutura de rede é
sempre insegura
Redefinição do perímetro corporativo para
proteger o datacenter
Políticas de acesso baseado na identidade e
não na posição dentro da rede
Usuário
Remoto
Tendências de Mercado
Internet

DirectAccess
♦ Oferecer um acesso seguro e transparente a sua Rede
Corporativa de qualquer lugar

O que é DirectAccess?
♦Acesso transparente a rede corporativa
♦ Se o computador do usuário está conectada a Internet, ela está conectada a
rede corporativa
♦Gerenciamento remoto
♦ Computador do usuário é gerenciado em qualquer lugar em que esteja
ligado na Internet
♦Conectividade segura
♦ Comunicação entre a máquina do usuário e os recursos corporativos é
protegida

Cliente
DirectAccess
Servidor
DirectAccess
Servidores
NAP
Cliente
DirectAccess
Data Center e Outros
Recursos Críticos
Internet
Usuário
Corporativo Rede
Corporativa
Usuário
Corporativo
Clientes tem conectividade IPv6 transparente de
qualquer local, com segurança IPsec
Tráfego para a rede corporativa é roteada através de
um servidor DirectAccess (Windows 2008 R2 Server)
Integração com NAP para controle de acesso
baseado em políticas
Solução DirectAccess
Túnel sobre IPv4 UDP, TLS, etc.

Links úteis ...
♦ Windows Server 2012 R2 c/ System Center 2012 R2
♦ http://technet.microsoft.com/pt-br/evalcenter/dn205286.aspx?CR_CC=200142594
♦ System Center 2012 R2
♦ http://technet.microsoft.com/pt-br/evalcenter/dn205295
♦ Hyper-V R2
♦ Windows Server 2012 Essentials R2
♦ http://technet.microsoft.com/pt-br/evalcenter/dn205288.aspx
♦ SQL 2014 CTP

Perguntas & Respostas

Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft podem te ajudar

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft podem te ajudar

Similar a Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft podem te ajudar (20)

Más de Rodrigo Immaginario

Más de Rodrigo Immaginario (10)

Último

Último (20)

Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft podem te ajudar