Gerenciamento de acesso à intranet

Capítulo 3: Questões e requisitos

Publicado em: 11 de maio de 2004 | Atualizado em: 26 de junho de 2006

Muitas organizações já implementaram com êxito as capacidades de gerenciamento de acesso à intranet prontas para usar da plataforma Microsoft, incluindo os serviços de arquivo e impressão, serviços de aplicativo para a Web do IIS (Internet Information Services), serviços de mensagens (Microsoft® Exchange Server) e serviços de banco de dados (Microsoft SQL Server™) já integrados aos serviços de segurança do Windows.

Com a finalidade de discutir a Contoso Pharmaceuticals, uma empresa fictícia criada para representar uma organização típica, os autores deste documento assumem a existência de uma infra-estrutura integrada entre clientes de desktop e recursos de rede (como discutido no documento "Plataforma e infra-estrutura"). Essas soluções básicas e prontas para usar não são consideradas com mais detalhes. Entretanto, este documento discute alguns dos desafios de integração heterogênea mais difíceis e interessantes.

A Microsoft optou pelos dois cenários comuns abaixo para o gerenciamento de acesso à intranet, uma vez que esses ou desafios semelhantes aparecem com regularidade em organizações que operam redes heterogêneas. São estes os dois cenários:

  • Autenticação dos usuários das estações de trabalho UNIX que usam o serviço de diretórios do Active Directory® e os serviços de segurança do Windows®.

  • Autenticação dos usuários do SAP R/3 Application Server que usam o Active Directory.

Esses cenários também abordam as duas maiores ameaças ao ambiente da Contoso Pharmaceuticals: o potencial de comprometimento das contas da estação de trabalho UNIX e o potencial de acesso não autorizado aos dados contábeis do sistema SAP.

Nesta página

Integração de estações de trabalho UNIX com o Active Directory
Integração da autenticação do SAP R/3 Application Server usando o protocolo Kerberos

Integração de estações de trabalho UNIX com o Active Directory

Muitas organizações enfrentam dificuldades ao gerenciar as contas de usuário das estações de trabalho UNIX, incluindo diretivas de segurança fracas ou que não podem ser implantadas e componentes fragmentados de gerenciamento de identidades e acessos.

Este cenário mostra como tratar dessas questões com as seguintes abordagens:

  • Integração de estações de trabalho UNIX com serviços de segurança do Windows.

  • Consolidação de contas de usuário no Active Directory.

  • Implementação do protocolo de autenticação Kerberos versão 5 para autenticar logons.

Os benefícios dessas abordagens incluem:

  • TCO (custo total de propriedade) mais baixo.

  • Gerenciamento melhor e mais seguro.

  • Uma experiência de usuário comum através de diferentes sistemas operacionais de estação de trabalho.

  • Mecanismos consistentes de autenticação e autorização de aplicativo.

Esse cenário usa o Sun Solaris 9 como a plataforma UNIX de desktop, mas os conceitos aplicam-se a qualquer sistema operacional UNIX que suporte o protocolo Kerberos versão 5.

Informações básicas

A Contoso tem várias centenas de estações de trabalho que executam o sistema operacional baseado no UNIX Solaris 9, da Sun. Os resultados de uma análise de risco de segurança mostram que as contas de usuário para acesso às estações de trabalho UNIX são pouco gerenciadas, ficam expostas devido a uma diretiva de segurança de conta e senha que não pode ser implantada e não interagem bem com outras plataformas e outros aplicativos.

Questões comerciais

No ambiente atual da Contoso, o gerenciamento de contas de usuário UNIX exige uma parte significativa do orçamento administrativo geral. O gerenciamento paralelo de contas de usuário em computadores baseados no UNIX e no Active Directory é redundante. Essa redundância não é economicamente viável porque aumenta o TCO do gerenciamento de identidades digitais.

Questões técnicas

No ambiente da Contoso, não há padrões de logon nem um mecanismo de autenticação para o desenvolvimento interno de aplicativos e avaliação de aplicativos. Além disso, a Sun divulgou oficialmente um aviso EOF (End-of-Feature) para o NIS+ (Network Information Name Service Plus) e indica que o NIS pode fazer a mesma coisa em relação ao uso de serviços de nomeação baseados no LDAP (Lightweight Directory Access Protocol).

Para obter outras informações sobre o aviso EOF da Sun para o NIS+, consulte a página Solaris Operating System Technical Questions da Sun Microsystems.

Questões de segurança

Uma auditoria externa de segurança da Contoso descobriu que as contas de usuários do UNIX têm uma diretiva de segurança de conta inadequada, incluindo senhas mal gerenciadas e que não são trocadas com freqüência. Essa inadequação de diretiva coloca em risco as contas e os dados que elas acessam. Uma questão de segurança relacionada é que os administradores UNIX da Contoso passam uma parte significativa de seu tempo gerenciando contas de usuários, em vez de dar segurança às estações de trabalho por meio do gerenciamento de patches e configuração de segurança.

Requisitos da solução

A solução para esse cenário deve atender aos sequintes requisitos originados das questões definidas na seção anterior.

  • As estações de trabalho UNIX devem integrar-se ao Active Directory por meio de protocolos baseados em padrões.

  • A autenticação de logon deve ocorrer por meio de um mecanismo de autenticação seguro e baseado em padrões.

  • A autenticação de logon deve resultar em um contexto de autorização local e informações de perfil.

  • A autenticação de logon deve ocorrer por meio de um protocolo integrado à diretiva de segurança de contas do Active Directory, para que as diretivas de complexidade e vencimento de senha sejam implantadas com rigidez.

  • As contas do UNIX devem ser gerenciadas no Active Directory da intranet.

  • As contas do UNIX devem estar sujeitas à mesma diretiva de conta e senha das contas de usuário do Active Directory.

  • Sempre que possível, os aplicativos UNIX devem ter a capacidade de usar os recursos de autenticação e proteção aos dados da plataforma.

A migração das contas de usuário do UNIX para o Active Directory marca uma etapa significativa na direção de um único ponto de gerenciamento para todas as contas de usuário da organização.

As diretivas fortes de segurança do Active Directory aumentam bastante a segurança das contas de usuário do UNIX por meio de recursos que incluem implantação de senha forte, intervalos obrigatórios de mudança de senha e armazenamento centralizado seguro das credenciais de usuário para o processo de logon. A combinação desses recursos atende aos requisitos de segurança estabelecidos pela Contoso.

Integração da autenticação do SAP R/3 Application Server usando o protocolo Kerberos

Muitas organizações têm potencial de exposição de segurança, porque os dados confidenciais de aplicativo podem ser vistos como texto sem formatação na rede durante as transmissões entre as estações de trabalho do cliente e o servidor de aplicativos. Um exemplo desse tipo de questão de segurança no ambiente da Contoso é o aplicativo ERP (enterprise resource planning) de seu SAP R/3 Application Server, versão 6.20 (mini-edição). A análise do ambiente da Contoso indica que esse é um risco de segurança sério.

Este cenário mostra como tratar dessas questões com as seguintes abordagens:

  • Configuração do SNC (Secure Network Communication) para ativar a GSS-API (Generic Security Services Application Provider Interface), versão 2.

  • Ativação da GSS-API para funcionar com a criptografia do protocolo Kerberos.

  • Proteção dos dados de aplicativo usando a criptografia do protocolo Kerberos.

Essas abordagens permitem atingir uma segurança significativamente maior para a transmissão de dados com um aplicativo ERP.

Informações básicas

A exposição de informações organizacionais confidenciais, como aquelas hospedadas nos aplicativos do sistema SAP R/3 ERP, pode resultar em desvantagem competitiva para a empresa. Além disso, algumas informações enquadram-se nas obrigações da regulamentação de confidencialidade e privacidade. A falta de proteção desses dados pode resultar em sérias penalidades legais por não atendimento.

Além disso, os usuários do aplicativo SAP fazem logon separadamente no aplicativo, usando um conjunto diferente de credenciais e, em seguida, utilizam o logon em suas estações de trabalho.

Questões comerciais

O sistema SAP implementa seu próprio armazenamento de identidade contendo as contas de usuário e senhas do aplicativo. Como a autenticação SAP não se integra à rede, os usuários do sistema SAP precisam fazer logon separado. Se esquecerem suas credenciais SAP, os usuários precisam ligar para o suporte técnico e redefinir suas senhas, o que implica maiores custos com suporte de aplicativo.

Questões técnicas

As questões técnicas da proteção dos dados de aplicativo SAP incluem:

  • O protocolo Kerberos deve estar configurado em cada servidor host SAP UNIX.

  • A seleção e padronização de uma distribuição específica do Kerberos para os hosts SAP UNIX representam um problema, porque cada distribuição do protocolo Kerberos tem suas próprias características e peculiaridades.

Questões de segurança

Várias questões de segurança surgem de uma implementação SAP. Entretanto, a principal questão é que os dados de aplicativo ficam visíveis na rede como texto sem formatação. É relativamente fácil para alguém que esteja no mesmo segmento de rede do cliente interceptar o tráfego cliente/servidor e identificar as informações financeiras. A implementação SAP também é vulnerável a transações em duplicata ou alteradas e à possibilidade de corrupção de dados.

O processo de autenticação das estações de trabalho para o servidor SAP também não é seguro, uma vez que depende de métodos criptográficos fracos vulneráveis a ataques. Essa situação pode levar ao comprometimento das credenciais de usuário. Existe também a preocupação com o comprometimento das credenciais empresariais caso os usuários usem o mesmo nome de usuário e senha do sistema SAP.

Requisitos da solução

A solução de gerenciamento de identidades e acessos da Contoso deve oferecer o seguinte:

  • A autenticação segura deve ser atingida para o SAP ERP Application Server.

  • Uma única experiência de SSO (logon único) deve ser atingida para o usuário que se autentica no SAP ERP Application Server usando as credenciais de domínio do Windows.

  • A proteção dos dados do SAP ERP Application Server na rede deve estar segura entre o cliente da GUI do sistema SAP e o SAP ERP Application Server.

  • Os custos de suporte e custos indiretos de administração devem ser reduzidos.

Neste artigo

Download

Obtenha a Série de Gerenciamento de Identidades e Acessos da Microsoft

Avisos de atualização

Inscreva-se para receber informações sobre atualizações e novas versões

Comentários

Envie seus comentários ou sugestões

Dd459061.pageLeft(pt-br,TechNet.10).gif 3 de 9 Dd459061.pageRight(pt-br,TechNet.10).gif