sysvalue – “the reliability company”apresentação Sitic ’06
novembro 2006
tendências em segurança de redesou “dos mainframes à web e de volta”
in “Briefing – Privacidade, Protecção de Dados e Segurança”Diário Tecnológico
2© SysValue 2006 (C) Direitos reservados, distribuição livre.
contactos
como encontrar a SysValue
João Barreto, CISSP – Partner & Business Development Manageremail: [email protected] tel: (351) 210108881 e (351) 963965628
Rua Serpa Pinto, nº 14ª - 1º1200-445 Lisboa, Portugal
http://www.sysvalue.comtel: (351) 210108800fax: (351) 210108899
João Barreto, CISSP – Partner & Business Development Manageremail: [email protected] tel: (351) 210108881 e (351) 963965628
Rua Serpa Pinto, nº 14ª - 1º1200-445 Lisboa, Portugal
http://www.sysvalue.comtel: (351) 210108800fax: (351) 210108899
3© SysValue 2006 (C) Direitos reservados, distribuição livre.
agenda
porque existe a necessidade de segurança em redes?
1 – amor-ódio entre IT Management e Security Management
2 – Como evoluiram as arquitecturas IT e como se tornaram mais complexas e inseguras
3 – Como sobreviver – Tendências
- “Unified Threat Management”
- “Network Access Control”
- “Integrated Security Management”
- “Single-Sign On” transparente
3 – Outros modos de sobrevivência – Uma visão do futuro
- garantindo a continuidade de um parque informático alargado
- forçando a integridade de sistemas operativos e aplicacionais
- libertando os gestores de IT das tarefas “do costume”
1 – amor-ódio entre IT Management e Security Management
2 – Como evoluiram as arquitecturas IT e como se tornaram mais complexas e inseguras
3 – Como sobreviver – Tendências
- “Unified Threat Management”
- “Network Access Control”
- “Integrated Security Management”
- “Single-Sign On” transparente
3 – Outros modos de sobrevivência – Uma visão do futuro
- garantindo a continuidade de um parque informático alargado
- forçando a integridade de sistemas operativos e aplicacionais
- libertando os gestores de IT das tarefas “do costume”
4© SysValue 2006 (C) Direitos reservados, distribuição livre.
Amor-ódio entre
IT Management e
Security Management
5© SysValue 2006 (C) Direitos reservados, distribuição livre.
onde está o amor-ódio?
... ou porque não são os dois os melhores amigos?
Ciclo de vida das aplicações
Gestão de utilizadores
Help-Desk
Suporte à análise funcional
Levantamento de requisitos
Gestão do Parque IT
Operacionalização do ciclo de vida dos dados
Operacionalização do âmbito de acções de salvaguarda
Negociação de Service Level Agreements (SLAs)
Responsabilização sobre os SLAs
.....
Ciclo de vida das aplicações
Gestão de utilizadores
Help-Desk
Suporte à análise funcional
Levantamento de requisitos
Gestão do Parque IT
Operacionalização do ciclo de vida dos dados
Operacionalização do âmbito de acções de salvaguarda
Negociação de Service Level Agreements (SLAs)
Responsabilização sobre os SLAs
.....
IT Manager Security Manager
Disponibilidade
Integridade
Confidencialidade
Classificação de informação
Credenciação
Auditoria
Definição do ciclo de vida dos dados
Definição do âmbito de acções de salvaguarda
Conformidade com a Lei
Responsabilização sobre “falhas de segurança”
.....
Disponibilidade
Integridade
Confidencialidade
Classificação de informação
Credenciação
Auditoria
Definição do ciclo de vida dos dados
Definição do âmbito de acções de salvaguarda
Conformidade com a Lei
Responsabilização sobre “falhas de segurança”
.....
“quem manda
em quem?”
“deveria alguém
mandar?”
“deveria ser uma
só função?”
“deveria a
segurançasubir?”
6© SysValue 2006 (C) Direitos reservados, distribuição livre.
onde está o amor-ódio?
as prioridades são por vezes conflituosas
• o PC avariou e o utilizador tem urgência (sempre) – faz-se a rotação de um equipamento ainda
não “preparado” ou espera-se pela realização do protocolo definido?
• todos os utilizadores têm uma necessidade diferente todos os dias – se lhes é feita uma
instalação especializada, tendencialmente torna-se eterna!
• a actualização multi-diária das assinaturas antí-virus perturbam os SLAs assumidos – que
opção tomar? aumentam as queixas de “lentidão da rede”ou a probabilidade de incidência de
malware?
• o armazenamento e troca de dados “localmente” entre os utilizadores é confortável,
transmite-lhes segurança e privacidade e é um pedido frequente – que fazer? Impedir tal ou
correr o risco de existirem dados críticos espalhados por toda a organização?
• o PC avariou e o utilizador tem urgência (sempre) – faz-se a rotação de um equipamento ainda
não “preparado” ou espera-se pela realização do protocolo definido?
• todos os utilizadores têm uma necessidade diferente todos os dias – se lhes é feita uma
instalação especializada, tendencialmente torna-se eterna!
• a actualização multi-diária das assinaturas antí-virus perturbam os SLAs assumidos – que
opção tomar? aumentam as queixas de “lentidão da rede”ou a probabilidade de incidência de
malware?
• o armazenamento e troca de dados “localmente” entre os utilizadores é confortável,
transmite-lhes segurança e privacidade e é um pedido frequente – que fazer? Impedir tal ou
correr o risco de existirem dados críticos espalhados por toda a organização?
7© SysValue 2006 (C) Direitos reservados, distribuição livre.
onde está o amor-ódio?
... e os IT Managers já não querem ser o “bastard operator from hell”
mas a gestão de um parque alargado de PCs, onde se sentam todos os dias eventualmente milhares de utilizadores, todos com um telefone com um post-it do HelpDesk pode ser um pesadelo.
E torna-se frequente o recurso a expedientes de modo a acelerar a realização de algumas iniciativas.
Por outro lado, algumas tarefas mais estratégicas podem ser também uma ida ao inferno
Quem já não deu o “golpe” em situações como:
• Entrega de máquinas de substituição
• Instalação de aplicações supostamente temporárias;
• Fornecimento de acesso a dados ou redes também supostamente temporários
• Incorporação de regras em firewalls pessoais para “facilitar” o acesso a sistemas
• .....
Quem já não deu o “golpe” em situações como:
• Entrega de máquinas de substituição
• Instalação de aplicações supostamente temporárias;
• Fornecimento de acesso a dados ou redes também supostamente temporários
• Incorporação de regras em firewalls pessoais para “facilitar” o acesso a sistemas
• .....
• Migração do sistema operativo adoptado pela organização;
• Instalação de um pacote de produtos em todos os equipamentos da organização;
• Disponibilização rápida de elementos de segurança (assinaturas anti-vírus, e.g.)
como prática preventiva ou de resposta;
• Substituição de milhares de equipamentos infectados ou aplicação de um patch
• .....
• Migração do sistema operativo adoptado pela organização;
• Instalação de um pacote de produtos em todos os equipamentos da organização;
• Disponibilização rápida de elementos de segurança (assinaturas anti-vírus, e.g.)
como prática preventiva ou de resposta;
• Substituição de milhares de equipamentos infectados ou aplicação de um patch
• .....
8© SysValue 2006 (C) Direitos reservados, distribuição livre.
qual é o problema?
o problema é arquitectural!
De facto o elemento que está na base de todos os problemas identificados atrás é arquitectural e não derivado de práticas de gestão boas ou más nem da adopção de melhores ou piores produtos.
Distribuição dos meiosOs meios têm de ter acesso universal dada a dispersão geográfica das organizações. Adicionalmente, é hoje esperado que suportem a mobilidade intra-organização (não necessariamente apenas relativo a laptops).
Gestão localEmbora se utilizem hoje produtos (SMS, MoM, Marimba, etc.) e práticas de gestão centralizada de segurança e administração IT, cada PC é um PC em isolamento com elementos próprios não voláteis (disco) e fisicamente não totalmente fiáveis (discos, fontes de alimentação, etc.)
Administração “nem por isso” centralizadaOs elementos especializados na gestão e administração de parques informáticos e alargados não são omni-presentes pelo que embora seja esperado que façam uma administração centralizada, tal é relativamente errado pois apenas realizam centralmente uma gestão distribuída.
9© SysValue 2006 (C) Direitos reservados, distribuição livre.
Como evoluiram as arquitecturas IT e se tornaram mais complexas
...e intrinsecamente mais inseguras
10© SysValue 2006 (C) Direitos reservados, distribuição livre.
como evoluiram as arquitecturas IT?
dos mainframes à web e de volta
Sem perda de generalidade, pode-se considerar que a computação passou pelas seguintes fases:
Mainframe
ttytty
tty
tty
ttytty
tty
ttyMainframe
tty
tty
tty
tty
tty
tty
tty
tty
Sistemaslocais
Sistemaslocais
Sistemaslocais
Sistemaslocais
Existia uma grande diferença entreIT Management e Security Management?
E aqui ... era a diferença substancial?
11© SysValue 2006 (C) Direitos reservados, distribuição livre.
como evoluiram as arquitecturas IT?
dos mainframes à web e de volta
Sem perda de generalidade, pode-se considerar que a computação passou pelas seguintes fases:
PCs
PCs
PCs
PCs
PCs
PCs
PCs
PCs
Sistemaslocais
Sistemaslocais
Sistemaslocais
Sistemaslocais
Sistemascentrais
Sistemascentrais
Sistemascentrais
Sistemascentrais
Os PCs começam a serum pesadelo!
12© SysValue 2006 (C) Direitos reservados, distribuição livre.
como evoluiram as arquitecturas IT?
dos mainframes à web e de volta
Sem perda de generalidade, pode-se considerar que a computação passou pelas seguintes fases:
PCs
PCs
PCs
PCs
PCs
PCs
PCs
PCs
Sistemaslocais
Sistemaslocais
Sistemaslocais
Sistemaslocais
Sistemascentrais
Sistemascentrais
Sistemascentrais
Sistemascentrais
Web Servers
Web Servers
Web Servers
Web Servers
E a mudança para um“mundo web” não
resolve tudo!
13© SysValue 2006 (C) Direitos reservados, distribuição livre.
como evoluiram as arquitecturas IT?
dos mainframes à web e de volta
... e qual é o próximo passo? O modelo Google do mundo?
NetStation
NetStation
NetStation
NetStation
NetStation
NetStation
NetStation
NetStation
Sistemaslocais
Sistemascentrais
Sistemascentrais
Sistemascentrais
Sistemascentrais
Web Servers
Web Servers
Web Servers
Web Servers
Sistemaslocais
Sistemaslocais
Sistemaslocais
Excluídos?!
NetStation
Substituição?!
PCs
14© SysValue 2006 (C) Direitos reservados, distribuição livre.
como evoluiram as arquitecturas IT?
dos mainframes à web e de volta
... e qual é o próximo passo? O modelo Citrix/WAS do mundo?
thinclients
thinclients
PCs
thinclients
thinclients
thinclients
thinclients
thinclients
Sistemaslocais
Sistemascentrais
Sistemascentrais
Sistemascentrais
Sistemascentrais
Citrix Servers
CitrixServers
Citrix Servers
Citrix Servers
Sistemaslocais
Sistemaslocais
Sistemaslocais
Excluídos?!
thinStation
Substituição?!
thinclients
15© SysValue 2006 (C) Direitos reservados, distribuição livre.
como evoluiram as arquitecturas IT?
existirão problemas na visão Orweliana que a Google, Microsoft, Citrix nos apresentam?
• É a gestão de um enorme parque de sistemas centralizados mais fácil (o Google tem 450.000 servidores espalhados pelo mundo) que considerando sistemas distribuídos?
• Como fica toda a temática da privacidade e controlo do acesso à informação?
• Estamos preparados para confiar nos operadores de comunicações, ISP e great players como o Google?
• ... e que sentido faz desperdiçar todos os milhões de Terabytes que estão espalhados pelos equipamentos locais (PCs) nas organizações e em casa das pessoas?
• ... e que sentido faz desperdiçar todos os milhões de Teraflots que estão espalhados pelos equipamentos locais (PCs e servidores) nas organizações e em casa das pessoas?
16© SysValue 2006 (C) Direitos reservados, distribuição livre.
como evoluiram as arquitecturas IT?
bottom-line, tentamos gerir a insegurança, nada mais!
Ubiquidade
Heterogeneidade
Massificação
Riscos e ameaças
=
+
+
+
Complexidade = Insegurança
17© SysValue 2006 (C) Direitos reservados, distribuição livre.
Como sobreviver?
1 - Tendências
18© SysValue 2006 (C) Direitos reservados, distribuição livre.
como sobreviver? tendências
unified threat management
O que é?Integração de múltiplos controlos (antí-virus, anti-spam, detecção e prevenção de intrusões, web filtering, etc.) nos pontos de acesso à rede (ou na gateway mas nos “pontos é que está a arte”, recorrendo inclusivamente a ASICs especializadas garantindo-se elevada performance.
IsolamentoContenção perimétrica
colateral
Baseadaem
Appliances
Gestão e monitorizaçãocentralizada
Independênciados
postosTransparência
19© SysValue 2006 (C) Direitos reservados, distribuição livre.
como sobreviver? tendências
unified threat management, quem a promove
Quem a fabrica?
Quase todos os grandes “players” da segurança e networking apresentam soluções ao mercado. E notoriamente, emergiu desta tendência uma convergência entre os dois ramos IT.
SideWinder da Secure Computing
FortinetSymantecCisco
CheckPoint ... e ainda outros!
Juniper NetScreen
20© SysValue 2006 (C) Direitos reservados, distribuição livre.
como sobreviver? tendências
network access (admission) control
O que é?Capacidade de autorizar ou não o acesso “físico” do equipamento (e não do utilizador) à rede. Possível hoje de realizar-se quer para acessos VPN quer já em acesso à LAN
IsolamentoContenção perimétrica
colateral
Baseadaem
Appliances e agentes
Gestão e monitorizaçãocentralizada
Independênciados
postos
Não transparente
para os postos
21© SysValue 2006 (C) Direitos reservados, distribuição livre.
como sobreviver? tendências
network access (admission) control
O que verifica?
Em resumo ... Políticas! A rede e o agente em conjunto, com a devida orquestração por um ambiente de gestão, valida se o equipamento que pretende ligar-se fisicamente à rede respeita a política de segurança em vigor (existência de antí-virus e anti-spam, actualizações dos mesmos, patches de segurança do sistema operativo, etc.)
Fonte: Juniper Fonte: Cisco
22© SysValue 2006 (C) Direitos reservados, distribuição livre.
como sobreviver? tendências
network access (admission) control, quem a promove
Quem a fabrica?
Quase todos os grandes “players” da segurança e networking apresentam soluções ao mercado. E notoriamente, emergiu desta tendência uma convergência entre os dois ramos IT.
FortinetSymantecCisco
... e ainda outros!
Juniper NetScreen
23© SysValue 2006 (C) Direitos reservados, distribuição livre.
como sobreviver? tendências
integrated security management
O que é?Capacidade de monitorizar e auditar, filtrar, consolidar, analisar e responder a “eventos de segurança” (incluindo-se naturalmente potenciais incidentes) em toda a rede e sistemas de uma organização.
Visãoholística
Visão sistémica
Baseadaem
“tudo”
Gestão e monitorizaçãocentralizada
Gestão deSegurança
Gestão deInsegurança
24© SysValue 2006 (C) Direitos reservados, distribuição livre.
Quem a fabrica?
Quem mais? Os do costume!
FortinetSymantecCisco
como sobreviver? tendências
integrated security management, quem a promove
25© SysValue 2006 (C) Direitos reservados, distribuição livre.
como sobreviver? tendências
single-sign on ”transparente”
O que é?Soluções que de modo “transparente às aplicações” (aqui reside a novidade relativamente a aproximações tradicionais baseadas em directórios e integração das aplicações com estes) possibilitam a consolidação de credenciais de acesso.
SimplicidadeSuporte quase
universalTransparência
Gestão e monitorizaçãocentralizada
Gestão deSegurança
26© SysValue 2006 (C) Direitos reservados, distribuição livre.
como sobreviver? tendências
single-sign on “transparente”
Como funciona?
Um pequeno agente nos desktops/laptops intercepta pedidos de credenciais e obtém-nas junto de um serviço centralizado, fornecendo-as automaticamente às aplicações. Tal é feito por acesso, monitorização e controlo do GUI do sistema operativo (e.g. GINA, formulários de browsers, etc.).
27© SysValue 2006 (C) Direitos reservados, distribuição livre.
Quem a fabrica?
Aqui já não são os do costume ... mas provavelmente serão comprados por um desses.
Imprivata
como sobreviver? tendências
single-sign on “transparente”, quem a promove
28© SysValue 2006 (C) Direitos reservados, distribuição livre.
Como sobreviver?
2 - Uma visão do futuro
29© SysValue 2006 (C) Direitos reservados, distribuição livre.
como sobreviver?
a SysValue tem em desenvolvimento um produto, proof-of-concept, que prova que existem alternativas com vantagens claras sobre as anteriores.
-não necessita de servidores aplicacionais como estratégia de distribuição de sistemas operativos
-base instalada de equipamentos totalmente aproveitada
-mantém a centralização dos dados e sistemas aplicacionais necessariamente centrais
-proporciona a disponibilização automática de ambientes desktop controlados (certeza do sistema operativo, dos patches, dos produtos instalados, etc.)
-performance comparável ou superior a PCs convencionais, utilizando o mesmo hardware (mais RAM)
-possibilita substituição automática de equipamentos sem qualquer tipo de instalação (a rede é tudo)
30© SysValue 2006 (C) Direitos reservados, distribuição livre.
como sobreviver?
” the reliable desktop”
the reliable desktop
“trd” distribuition
server
Sistemascentrais
Sistemascentrais
Sistemascentrais
Sistemascentrais
the reliable desktop
the reliable desktop
the reliable desktop
“trd” distribuition
server
“trd” distribuition
server the reliable desktop
the reliable desktop
“trd” distribuition
serverthe
reliable desktop
the reliable desktop
“trd” distribuition
server
“trd” distribuition
server
“trd” distribuition
server
“trd” distribuition
server
Redes locais Redes locais
Redes locais
Federalização
31© SysValue 2006 (C) Direitos reservados, distribuição livre.
DisponibilidadeSegurança
porquê a SysValue, “the reliability company”
“uma visão integrada de fiabilidade em SI”
A SysValue desenvolve as suas competências com o objectivo de ser reconhecida pelo mercado como uma empresa especializada em “fiabilidade”, em toda a abrangência do termo.
Qualidadede Serviço
ManagedServices
“the reliabilitycompany”
A SysValue é uma empresa especializada em serviços e soluções que potenciem a elevação da Segurança, Disponibilidade e Qualidade de Serviço (i.e. Fiabilidade) dos SI das organizações, inclusive através de Managed Services.
32© SysValue 2006 (C) Direitos reservados, distribuição livre.
Formação
Exploraçãode
DataCentersda SysValue
Gestão deInfra-estruturas
e Serviços
Auditoria e Peritagem
ConsultoriaIntegração
deSoluções
P.E.T.E.P.E.T.E. “the reliable desktop”“the reliable desktop”
Estudo, integração, gestão e operação de grandes infra-estruturas IT
porquê a SysValue, “the reliability company”
competências transversais
A SysValue apoia as organizações em todas as fases do ciclo de vida dos seus sistemas de informação: estudo, desenho, integraçao, gestão e morte com um enfoque especializado na temática da segurança, da continuidade do negócio e da qualidade de serviço.
33© SysValue 2006 (C) Direitos reservados, distribuição livre.
porquê a SysValue, “the reliability company”
visão integrada
A oferta da SysValue assenta numa visão integrada da realidade empresarial com toda a temática da fiabilidade, baseada em pessoas, tecnologias e processos.
Esta abordagem é convergente com o respeito de uma cadeia de valor de serviços e soluções, devidamente alicerçados em parcerias tecnológicas estratégicas e na leitura adequada da realidade de cada cliente.
Pessoas
Processos Tecnologia