O documento discute estratégias de segurança para ambientes on-premises e na nuvem, incluindo desenho de rede, patch management, criptografia, autenticação e proxy reverso.
1. PROXY E SECURE WEB GATEWAY
Segurança em Plataforma Microsoft
On-Premisses e Cloud
Uilson Souza MCTS | MTAC
Senior Infrastructure Analyst
IT Security Coordinator
http://uilson76.wordpress.com
http://facebook.com/usouzajr
@usouzajr
3. Desenho do ambiente
Fluxo das informações
Função de cada VLAN
App, FS, DB´s - Distribuição
Segregação de ambientes
Acessos – lógicos / Físicos
4. Desenhando um ambiente seguro – On Premisses
Rack – Failover Clustering / NLB
3 U Node 1
3 U Node 2
3 U Node 3
3 U Node 4
25 U LUN´s
Rack 2 - Storage
3 U NLB - 1
3 U NLB - 2
3 U NLB - 3
3 U NLB - 4
3 U
Router
5. Desenhando um ambiente seguro
Rack – Failover Clustering / NLB
3 U Node 1
3 U Node 2
25 U LUN´s
Rack 2 - Storage
3 U NLB - 1
3 U NLB - 2
3 U
Router
3 U
Rack – Failover Clustering / NLB -
Contingência
3 U Node 3
3 U Node 4
3 U NLB - 3
3 U NLB - 4
3 U 3 U
Router
25 U LUN´s
Rack 2 - Storage
Desenhando um ambiente seguro – OnPremisses
6. Desenhando um ambiente seguro
Web Server Farm
sistemas.xpto.com
Web Server Farm
sistemas.xpto.com
Definir sempre alta disponibilidade – Failover
Cluster ou NLB (Windows ou via hardware)
Os nodes devem estar em locais distintos
Se mau pensado estes serviços não
funcionam
A continuidade também deve contemplar
crescimento
Auditorias levam o tema em consideração
Desenhando um ambiente seguro – OnPremisses
8. Desenhando um ambiente seguro - OnPremisses
WWW
DMZ Servers
Edge Firewall
Back Firewall
DMZ – DB Servers
ADFS – Pre-Authentication
App/Web Servers
Router
Router
DMZ - Extranet
AD Servers
DB Servers
Patch Management ServerFile Server
Reverse Proxy
DNS DHCP
Forward Proxy
Root CA Sub CA SCCM
Internal
Usuários
9. WWW
DMZ Servers
DMZ – DB Servers
ADFS – Pre-Authentication
App/Web Servers
Router
AD Servers
DB Servers
Patch Management ServerFile Server DNS DHCP
Root CA Sub CA SCCM
Internal
Usuários
Desenhando um ambiente seguro - OnPremisses
10. Desenhando um ambiente seguro – OnPremisses/Híbrido
WWW
DMZ Servers
Edge Firewall
Back Firewall
DMZ – DB Servers
ADFS – Pre-Authentication
App/Web Servers
Router
Router
DMZ - Extranet
AD Servers
DB Servers
Patch Management ServerFile Server
Reverse Proxy
DNS DHCP
Root CA Sub CA SCCM
Cloud Proxy
Content Filter
Internal
Usuários
13. Proxy via DNS – Distribuição WPAD
Microsoft constatou essa vulnerabilidade em Junho de 2009
A partir do Windows Server 2008 o uso do WPAD depende de liberação
no Global Query Block List do DNS a partir de linhas de comando
DNSCMD ou PowerShell
Comunicado de Segurança Microsoft – 971888
https://technet.microsoft.com/library/security/971888
19. Desenhando um ambiente seguro - OnPremisses
Acesso RDP direto a servidores
DMZ Servers
Back Firewall
DMZ – DB Servers
ADFS – Pre-Authentication
App/Web Servers
Router
AD Servers
DB Servers
Terminal Server
File Server DNS DHCP
Root CA Sub CA SCCM
Internal
Usuários
22. Mitigação de vulnerabilidades
• A preocupação com a segurança no
ambiente começa no deploy
• Pense em mitigação de riscos e
vulnerabilidades já na instalação do
ambiente
• Uma das vulnerabilidades de sistema
operacional exploradas são as de
“password required” e share de pastas
• Ficar atento a vulnerabilidades de Web
Server e Banco de Dados, seguindo as
orientações do fabricante para mitiga-las
23. Mitigação de vulnerabilidades - ATA
A Microsoft oferece o ATA - Microsoft Advanced Threat Analytics
Análise e detecção de ameaças
Incidência de falso positivo reduzida
Análise continua do ambiente
Relatórios completos e recomendações sobre como remediar os
dispositivos vulneráveis
Licenças por user ou device - https://www.microsoft.com/pt-br/cloud-platform/advanced-threat-analytics-pricing
26. Mitigação de vulnerabilidades – na nuvem
Segurança
Privacidade e Controle
Transparência
Compliance
Key Vault
Virtual Networks
Network Security Groups
VPN + ExpressRoute
Azure Active Directory
Partner solutions
27. Mitigação de vulnerabilidades – Azure Security Center
Aumento dos níveis de agilidade e
segurança
Visibilidade e controle
Sempre atualizado com as principais
cyber threats
28. Mitigação de vulnerabilidades – Azure Security Center
Compute
Virtual Machines (Windows e Linux)
Service Fabric
Monitora/Recommenda:
Antimalware
Configuração de +150 OS Baselines
System Update Status
Disk Encryption
PaaS Services
Azure SQL & Databases
Monitora/Recommenda:
SQL - Auditoria
SQL Transparent Data
Encryption
Networking
Virtual Networks
Monitors/Recommends:
Network Security Groups e
Inbound Traffic Rules
Web Application Firewalls
Next Generation Firewalls
31. Patche Management – WSUS ou SCCM
Comece pelo planejamento – análise do seu ambiente, impactos
Planeje as janelas de aplicação
Divida a aplicação em ondas – Dev, QA, Prod
Defina key users para testes dos ambientes críticos e aplicações core
A maturidade do processo é alcançada com o tempo
Ambientes sem processo levam tempo para adquirir o hábito de aplicar patches
Em alguns lugares podemos nos surpreender – positiva ou negativamente
Alguns simplesmente rejeitam o processo
34. Patche Management
O CAU (Cluster Aware Updating)
é um recurso automatizado que
permite atualizar servidores em
cluster com pouca ou nenhuma
perda de disponibilidade durante
o processo de atualização
35. Patche Management – Cluster Aware Updating
O recurso CAU surgiu no Windows Server 2012
Compatível somente com failover de cluster Windows Server a partir do 2012
e as funções de cluster que são suportadas no Windows Server 2012.
Executa nos modos Self-Update Mode ou Remote-Update Mode
Pode trabalhar em conjunto com um servidor WSUS ou diretamente
conectado a internet. Também é possível definir uma pasta onde ele irá buscar
as atualizações
Para usar um proxy deve-se configurar o acesso ao proxy via System Mode
usando o comando netsh:
netsh winhttp set proxy server.dominio.com:8080 "<local>"
36. Patche Management
Para ambientes de cluster com recursos de file server é necessário declarar
o domínio interno:
netsh winhttp set proxy proxy.uilson.net:8080 "<local>;*.uilson.net“
37. Protegendo a rede com 802.1x
Padrão de controle de acesso a rede por
RADIUS
Com o 802.1x é possível determinar que só
as estações criadas no padrão da
corporação tenham acesso a rede
Evita infecção por acesso de estações de
terceiros
O DHCP da rede só concede IP a estação
após validação pelo Network Policy Server
que processará regras pré-definidas pelo
administrador, garantindo a segurança no
ambiente.
39. Bitlocker e SMB Encryption
Bitlocker
Tecnologia que permite proteger com senha e criptografar o conteúdo de
mídias de armazenamento via senha ou smart card
Surgiu no Windows Vista com intuito de criptografar as unidades de disco
A partir do Windows 7 foi criado o “BitLocker To Go” que possibilitava a
proteção de conteúdo em unidades removíveis
A partir do Windows 8 você pode, além de imprimir suas informações de
acesso, também grava-las em sua conta Microsoft
Também é possível uso do bitlocker em discos de storage
40. Bitlocker e SMB Encryption
SMB Encryption
Criptografa os dados SMB em trânsito de fim a fim – Windows 8 e Windows
Server 2012
Protege dados contra ataques “eavesdropping”
O custo e tempo de implementação é muito menor do que outra solução de
criptografia de dados em trânsito – IPSEC
A configuração é simples – Via Server Manager em um share específico
41. Bitlocker e SMB Encryption
Pode ser configurado também via Power Shell:
Para uma share específica
Set-SmbShare –Name <sharename> -EncryptData $true
Para todo o servidor
Set-SmbServerConfiguration –EncryptData $true
42. AD Rights and Management
Services
Role do Windows para criação de
políticas de acesso no próprio arquivo
Surgiu no Windows Server 2003 como
uma feature a ser instalada a parte.
Virando native a partir do Windows
Server 2008
A partir do Windows Server 2012 dá
suporte a estações Apple
Disponível também no Microsoft
Azure
44. Proxy Reverso com Web Application Proxy – OnPremisses
Web Application Proxy
• Uma função agregada a role Remote
Access no Windows Server 2012 R2
• Executa o serviço de proxy reverso
para aplicações web provendo acesso
para conexões externas ao ambiente
• Faz a pré-autenticação usando o
Active Directory Federation Services
(AD FS) e também age como um
proxy para o AD FS
Web Application Proxy - Requisitos
• Active Directory® Domain Services – para ambientes
com KCD (Kerberos Constrained Delegation)
• Active Directory Federation Services – para serviços de
autorização e autenticação e armazenamento das
configurações do Web Application Proxy
• Remote Access – a role que contém o Web
Application Proxy
46. Proxy Reverso com Azure AD Application Proxy
• Faz a publicação de aplicações em núvem
• Liberado para as subscriptions Azure Active Directory
Premium e Basic
• Para acesso a partir da rede corporativa é necessário
download do Azure AD Application Proxy Connector
49. Windows Server 2016 – Alguns aspectos de segurança
Aspectos de segurança e melhorias interessantes implementadas nas features do
Remote Access – Web Application Proxy
Nano Server – menos reboot´s com aplicações de patches, segurança mais eficaz
PAM – Privilegied Access Management
JIT – Just in Time Administration
JEA – Just Enough Administration – Windows Management Framework 5.0
50. Referências para estudo
Nesta lista de links do docs.com você encontra vasto material de estudo que cobre
com detalhes todos os pontos desta palestra:
http://bit.ly/uilson_docs
54. •Malwarebytes, Santa Clara, CA
•420 funcionários em 15 países
•Malwarebytes foi nomeada pelo Deloitte’s Fast 500TM que
classifica as 500 empresas de mais rápido crescimento na
América do Norte, entre empresas de tecnologias, mídia,
telecomunicações, ciências da vida e tecnologia limpa.
55.
56. •Premiado por sua detecção & remediação
•Publicamente recomendado por outros fornecedores
de softwares de segurança
•Bloqueio de IP malicioso em tempo real previne
comandos de malware e phishing.
•Footprint minúsculo melhora o desempenho dos
endpoints (8MB vs. 300MB padrão industrial)**
•Instalação remota através da Console (push-install) ou por MSI usando linhas de comando,
permite a implementação e gerenciamento por software de distribuição como SCCM, GPO,
PSEXEC, Tanium e qualquer RMM.
•Tecnologia Chameleon para desviar de malwares que bloqueiam a instalação de
Malwarebytes.
•3 Modos de varredura – Quick, Flash and Full
•Registros em XML ou Syslog via Console, compatíveis com formato ArcSight CEF.
•Opção de notificações por e-mail.
•Opções de instalação e execução silenciosas
•Bloqueio de website malicioso
•Whitelist para objetos e endereços IP confiáveis
•Win 10, 8, 7, Vista & XP, Server 2012, 2008, and 2003 (32bit)
•Suporte Técnico 24/7 Platinum & Gold - com Engenheiro designado para
clientes empresariais.
58. Sorteio de um livro para participantes
http://www.editoranovaterra.com.br
Oferecimento:
CLOUD ESSENTIALS – GUIA PREPARATÓRIO
PROVA – CLO-001
Autores – Yuri Diógenes e Manoel Veras
facebook.com/NovaterraED