A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

SETEMBRO, 2010 | SÃO PAULO. Segurança fim-a-fim: Juntando as peças do quebra-cabeça C Ó DIGO DA SESS Ã O: SIA309 Rodrigo Immaginario CISSP MVP Security.

Apresentações semelhantes


Apresentação em tema: "SETEMBRO, 2010 | SÃO PAULO. Segurança fim-a-fim: Juntando as peças do quebra-cabeça C Ó DIGO DA SESS Ã O: SIA309 Rodrigo Immaginario CISSP MVP Security."— Transcrição da apresentação:

1 SETEMBRO, 2010 | SÃO PAULO

2 Segurança fim-a-fim: Juntando as peças do quebra-cabeça C Ó DIGO DA SESS Ã O: SIA309 Rodrigo Immaginario CISSP MVP Security Vitor Nakano Coord. de Segurança da Informação Ecorodovias

3 3 Agenda Desafio Atual Empresas e dos Profissionais de SI Endereçando as Tecnologias e Recursos de Segurança Demonstrações: IPSEC, NAP, DirectAccess, PKI, RMS, SSL, EFS e Autenticação 2 fatores

4 4 Definição da Fronteira Controle de Identidades AcessoUniversal Autenticação e Autorização Saúde do Ambiente Acesso de qualquer ponto Fronteira IPSec Policies Active Directory 2-factor and biometrics Claims-based Security IPv6 Network Access Protection Anti-malware Per-application VPN and Firewalls Política, não a topologia, define a fronteira Novos Desafios de TI Política, não a topologia, define a fronteira

5 5 Cenário Atual … IndependentConsultant PartnerOrganization Home Mobile Devices USB Drive • Não há fronteira para o fluxo da informação • Informação é compartilhada, armazenada e acessada sem o controle do owner • Segurança do Host e da Rede são insuficientes

6 6 Informações perdidas e responsabilidade civil são crescentes preocupações entre as organizações Source: WW Security Perceptions Report, MSFT 2007; The Info Pro Information Security Wave 9, November 2007 “Regulatory and legal compliance is a top driver for enterprise and government investment in information security” “Data Privacy is the most important security concern in the enterprise in 2007, outranking Malware for the first time”

7 7 O que fazer ? Oferecer acesso remoto seguro Suporta autenticação de máquinas e usuários com IPsec Network Access Protection com VPNs e IPsec Secure routing compartments aumenta o isolamento em conexões VPN Proteger dádos sensíveis e a propriedade intelectual Comunicação autenticada ponto-a-ponto nas comunicações de rede Proteger a confidencialidade e integridade dos dados Reduzir o risco de ameaças à segurança da rede Uma camada adicional no “defense-in-depth” Reduzir a superficie de ataques em máquinas conhecidas Aumentar o gerenciamento e a “saúde” dos clientes

8 8 Segmentar dinamicamente seu ambiente Windows ® com base em políticas Labs Unmanaged guests Server Isolation Domain Isolation Proteger computadores de máquinas não gerenciadas ou desconhecidas Proteger servidores e dados específicos

9 9 Isolamento de Servidores e Domínio Untrusted Unmanaged/Rogue Computer Domain Isolation Active Directory Domain Controller X Server Isolation Servers with Sensitive Data HR Workstation Managed Computer X Trusted Resource Server Corporate Network Define os limites lógicos Distribui políticas e credenciais Computadores controlados podem se comunicarBloquei conexões de computadores não confiáveisRestringe acesso a dados críticos

10 10

11 11

12 12 Network Access Protection - NAP Remediation Servers Example: Patch Restricted Network Windows Client Policy compliant NPS DHCP, VPN Switch/Router Policy Servers such as: Patch, AV Corporate Network Not policy compliant O que é o Network Access Protection? Integração Cisco e Microsoft Health Policy Validation Health Policy Compliance Limitar o acesso a rede Aumentar a segurança Aumentar o valor do negócio

13 13 NAP – Como Funciona... Not policy compliant 1 RestrictedNetwork Cliente solicita o acesso a rede apresentando seu estado de saúde 1 4 Se não houver conformidade o cliente é colocado em um VLAN restrita e terá acesso somente aos servidores de remediação (Repeat 1 - 4) 2 DHCP, VPN ou Switch/Router encaminha o status de saúde para o Microsoft Network Policy Server (RADIUS) 5 Havendo conformidade o cliente terá acesso completo a rede MSFT NPS 3 Policy Servers e.g. Patch, AV Policy compliant DHCP, VPN Switch/Router 3 Network Policy Server (NPS) valida de acordo com as políticas definida 2 WindowsClient Fix Up Servers e.g. Patch Corporate Network 5 4

14 14 NAP - Arquitetura MS Network Policy Server Quarantine Server (QS) Client Quarantine Agent (QA) Health policyUpdates Health Statements Network Access Requests System Health Servers Remediation Servers Health Certificate Network Access Devices and Servers System Health Agent (SHA) MS and 3rd Parties System Health Validator Enforcement Client (EC) (DHCP, IPSec, 802.1X, VPN) Client SHA – Health agents check client state QA – Coordinates SHA/EC EC – Method of enforcement Remediation Server Serves up patches, AV signatures, etc. Network Policy Server QS – Coordinates SHV SHV – Validates client health System Health Server Provides client compliance policies

15 15

16 Aqui está seu certificado de saúde. Sim, pegue seu novo certificado Acessando a rede X Remediation Server Policy Server HCS Posso ter um certificado de saúde? Aqui está meu SoH.. Cliente ok? Não, precisa de correções Você não possui um certificado de saúde. Faça sua atualização Preciso de atualizações. Aqui está.  Host QuarantineZone BoundaryZone ProtectedZone Exchange NAP com IPSEC

17 Active Directory Certificate Services SegurançaGerenciamento Interoperabilidade Cryptography Next Generation Granular Admin V3 Certificates Windows Server 2008 Server Role PKIView Novas GPOs Suporte ao OCSP Suporte ao IDP CRL Suporte MSCEP

18 Melhorias no PKI Enterprise PKI (PKIView) Microsoft Management Console snap-in Suporta caracteres Unicode Online Certificate Status Protocol (OSCP) Online Responders Responder Arrays Network Device Enrollment Service Implementação da Microsoft Simple Certificate Enrollment Protocol (SCEP) Implementação da Microsoft do Simple Certificate Enrollment Protocol (SCEP) Melhorias da segurança nad comunicações usando IPsec Web Enrollment Removida a versão do ActiveX® XEnroll.dll OM enrollment control - CertEnroll.dll Melhorias no novo compomente COM enrollment control - CertEnroll.dll

19 Cryptography Next Generation Cryptography Next Generation (CNG) Inclui algoritimos para encryption, digital signatures, key exchange, e hashing Suporta criptografia em modo Kernel Suporta o algoritimo CryptoAPI 1.0 atual Suporta algoritimos elliptic curve cryptography (ECC) Executa operações de criptografia básica, como a criação de hashes e encriptar e decriptar dados

20 20 SSL Encryption para Servidores Web É a fundação para diversas soluções e recursos da Microsoft Por que SSL encryption para Servidores Web é a fundação para muitas soluções e recursos Escolhendo o provedor de certificados para servidores web Deploy do certificados para servidores web Modelos de Certificados (templates) Emitindo Certificados de Servidor Web

21 21 Encrypting File System Proteção de Dados Hoje em dia, um dos desafios é proteger as informações sensíveis. Nas Políticas de Segurança para os Usuários descreve que informação com conteúdo confidencial ou sigiloso deverá usar técnicas de criptografia, ou qualquer outra disponibilizada pela empresa. Desafio: Em que momento usar o EFS? Habilitando e desabilitando o EFS Modelo de Certificado para EFS Obtendo certificado para EFS

22 22 Autenticação 2 fatores Autenticação Forte Na SI, a autenticação é um processo que busca verificar a identidade digital do usuário. A autenticação normalmente depende de um ou mais "fatores de autenticação". Os fatores de autenticação são normalmente classificados: Aquilo que o usuário é Aquilo que o usuário tem Aquilo que o usuário conhece Desafio: Quando usar autenticação de 2 fatores? Dispositivos (Smart card, Token USB, Token OTP) Planejando e Gerenciando a entrega

23 23

24 24 AD RMS Proteção de dados e Classificação da Informação Hoje em dia, um dos desafios é proteger as informações sensíveis. Nas Políticas de Segurança para os Usuários descreve: Toda informação deverá ser classificada quanto ao seu sigilo; Toda informação deverá ser protegida com base na sua classificação; É de responsabiliade o usuário proteger a informação (geração, manuseio, guarda,..., descarte da informação). Desafio: Em que momento usar o RMS? Use o RMS no processo de Classificação da Informação Como proteger as informações de Alto Impacto

25 25 Projeto Tradicional … Access Control List Perimeter List Perimeter Authorized Users Firewall Perimeter Unauthorized Users Authorized Users Unauthorized Users YES NO Information Leakage

26 26 Identity-Based Information Protection Persistent protection for sensitive/confidential data Controla o acesso através do ciclo de vida da informação Permite o acesso com base em Identidates confiáveis Garante a segurança da transmissão e armazenamento de dados importantes – Documento criptografados com 128-bit Criação de tipos de permissão (print, view, edit, expiration, etc.) Persistent Protection Encryption Policy • Access Permissions • Use Right Permissions

27 27 Policy • Access Permissions • Use Rights Encryption Policy • Access Permissions • Use Rights Encryption Rights Management Services Proteção de Informação Persistente

28 28 RMS Workflow Information Author The Recipient RMS Server Microsoft ® SQL Server ® Active Directory Autor define as permissões e regras para o arquivo; A aplicação cria o “publishing license” e criptografa o arquivo 3.Autor distribui o arquivo 4.Cliente abre o arquivo; O aplicativo chama o RMS Server que valida o usuário e atribui um “use license” 5.Aplicação aplica e força as permissões 1.Autor recebe um Author receives a client licensor certificate na primeira que ele proteger um documento 1

29 29

30 30 Servidor DirectAccess Data Center e Outros Recursos Críticos Usuário Local RedeCorporativa Usuário Remoto Premissa que a infraestrutura de rede é sempre insegura sempre insegura Premissa que a infraestrutura de rede é sempre insegura sempre insegura Redefinição do perímetro corporativo para proteger o datacenter Redefinição do perímetro corporativo para proteger o datacenter Políticas de acesso baseado na identidade e não na posição dentro da rede Políticas de acesso baseado na identidade e não na posição dentro da rede Tendências de Mercado Internet

31 31 DirectAccess Oferecer um acesso seguro e transparente a sua Rede Corporativa de qualquer lugar

32 32 O que é DirectAccess? Acesso transparente a rede corporativa Se o computador do usuário está conectada a Internet, ela está conectada a rede corporativa Gerenciamento remoto Computador do usuário é gerenciado em qualquer lugar em que esteja ligado na Internet Conectividade segura Comunicação entre a máquina do usuário e os recursos corporativos é protegida

33 33 Sempre Conectado Não é necessário ação do usuário Se adapta as mudanças de rede

34 34 Seguro Criptografia por default Smartcards Controle de Acesso Granula Coexiste com soluções atuais (Políticas de Acesso, Estado de Saúde e etc)

35 35 Gerenciável Acesso a máquinas antes “intocáveis Permite GPO para máquinas remotas Integração com o NAP

36 36 Servidor DirectAccess Cliente DirectAcce ss IPsec/IPv6 Data Center e Outros Recursos Críticos Servidores NAP Internet Usuário Corporativo Rede Corporativa Usuário Corporativo IPsec/IPv6 Clientes tem conectividade IPv6 transparente de qualquer local, com segurança IPsec Tráfego para a rede corporativa é roteada através de um servidor DirectAccess (Windows 2008 R2 Server) Integração com NAP para controle de acesso baseado em políticas Solução DirectAccess Túnel sobre IPv4 UDP, TLS, etc.

37 37

38 38

39 39 Conteúdo relacionado Sessões temáticas

40 © 2008 Microsoft Corporation. Todos os direitos reservados. Microsoft, Windows, Windows Vista e outros nomes de produtos s ã o ou podem ser marcas registradas e/ou marcas comerciais nos EUA e/ou outros pa í ses. Este documento é meramente informativo e representa a vis ã o atual da Microsoft Corporation a partir da data desta apresenta çã o. Como a Microsoft deve atender a condi çõ es de mercado em constante altera çã o, este documento n ã o deve ser interpretado como um compromisso por parte da Microsoft, e a Microsoft n ã o pode garantir a precis ã o de qualquer informa çã o fornecida ap ó s a data desta apresenta çã o. A MICROSOFT N Ã O D Á QUALQUER GARANTIA, SEJA ELA EXPRESSA, IMPL Í CITA OU ESTATUT Á RIA, REFERENTE À S INFORMA ÇÕ ES DESTA APRESENTA ÇÃ O.

41 Por favor preencha a avaliação


Carregar ppt "SETEMBRO, 2010 | SÃO PAULO. Segurança fim-a-fim: Juntando as peças do quebra-cabeça C Ó DIGO DA SESS Ã O: SIA309 Rodrigo Immaginario CISSP MVP Security."

Apresentações semelhantes


Anúncios Google