Guia de Planejamento de Implementação dos Serviços de Quarentena com VPN da Microsoft

Capítulo 3 - Problemas e requisitos

Atualizado em: 24/5/2005

Nesta página

Introdução
O cenário do Woodgrove National Bank
Implementar o acesso VPN para telecomutadores
Usar o Microsoft Operations Framework

Introdução

A utilização da quarentena VPN (rede virtual privada) para ajudar a obter acesso remoto seguro requer que uma organização implemente várias tecnologias que devem ser facilmente integradas e funcionar de forma confiável como uma única unidade. Para ser bem-sucedida, uma organização deve entender com clareza os problemas e os requisitos subjacentes de cada tecnologia, e como elas interagem umas com as outras.

Este capítulo analisa o cenário da solução para o Woodgrove National Bank e as questões envolvidas nessa solução. O Capítulo 4, "Criar a solução" incorpora essa especificação técnica em uma solução aceitável para esses requisitos.

O cenário do Woodgrove National Bank

O Woodgrove National Bank é um banco de investimentos de liderança mundial fictício que serve a clientes institucionais, corporativos, governamentais e individuais em seu papel de intermediário financeiro. Seus negócios incluem concessão de crédito, vendas, negociações, serviços de assessoria financeira, pesquisa de investimento, capital de risco e serviços de corretagem para instituições financeiras.

O Woodgrove National Bank é uma subsidiária de propriedade da WG Holding Company. A WG Holding Company é uma empresa líder de serviços financeiros globais, sediada em Londres, Inglaterra. A WG possui cinco empresas: Woodgrove National Bank, Northwind Trading, Contoso, Ltd., Litware Financials e Humongous Insurance. Todas essas empresas são corporações de grande porte, e cada uma delas emprega mais de 5.000 usuários.

Perfil geográfico

O Woodgrove National Bank emprega mais de 15.000 pessoas em mais de 60 escritórios em todo o mundo. Possui matrizes corporativas (locais concentradores) com grande número de funcionários em Nova Iorque (5.000 funcionários), Londres (5.200 funcionários) e Tóquio (500 funcionários). Cada local concentrador oferece suporte a várias filiais

Para cada região atendida pela matriz corporativa, há vários pequenos locais secundários (por exemplo, Boston e Atlanta na América do Norte). Além dos locais dos hubs, há dois outros locais corporativos principais, Sydney e Johannesburg. Cada um deles tem seus próprios servidores dedicados de arquivos, impressão e aplicativos.

Perfil de TI da empresa

Embora o Woodgrove National Bank tenha um ambiente servidor misto que usa Microsoft® Windows® e UNIX, sua infra-estrutura é executada em backbone Windows Server. A maioria dos servidores está localizada nos três locais de matriz corporativa em Nova Iorque, Londres e Tóquio. A figura a seguir mostra o layout dos locais corporativos e os links entre eles.

Dd459122.PGFG0301_s(pt-br,TechNet.10).gif

Figura 3.1 Ambiente de rede do Woodgrove National Bank.

Atualmente, o Woodgrove National Bank usa diversos produtos e tecnologias da Microsoft para serviços de intranet e extranet. Ele usa a infra-estrutura de serviços de diretório Windows 2000 Active Directory® e está no processo de atualização de todos os controladores de domínio para o Microsoft Windows Server™ 2003. O Woodgrove não tem computadores clientes legados; todos os computadores desktop e laptop executam o sistema operacional Windows 2000 Professional com Service Pack 4 (SP4) ou posterior, ou o Windows XP Professional com SP2 ou posterior. O departamento de TI do Woodgrove National Bank tem vasta experiência no Windows Server 2003.

Atender a requisitos normativos

O Woodgrove National Bank deve operar dentro dos requisitos estabelecidos pela estrutura normativa financeira relevante para cada país/região em que opera. Além disso, também deve estar em conformidade com todas as legislações de proteção de dados aplicáveis e demonstrar segurança operacional eficaz.

Conceder acesso seguro a funcionários remotos

O Woodgrove National Bank concede aos vendedores, funcionários do suporte técnico e executivos acesso remoto à sua rede corporativa. A atual solução de acesso remoto utiliza rede de discagem através de circuitos privados em servidores de acesso remoto dedicados que têm modems ou adaptadores ISDN (Rede Digital de Serviços Integrados). Essas conexões são lentas e dispendiosas quando comparadas a conexões de banda larga, particularmente para os usuários remotos que fazem viagens internacionais.

A disponibilidade cada vez maior de acesso à Internet por banda larga permite às organizações usar VPN para cenários de acesso remoto. Embora esse método gere economia eliminando o acesso dial-up e proporcione uma melhor experiência ao usuário, a vulnerabilidade a ataques mal-intencionados aumenta à medida que dados proprietários trafegam na Internet.

Cumprir requisitos normativos

Como o Woodgrove Bank é uma instituição financeira, ele deve cumprir requisitos legais rígidos em vários países/regiões. O banco deve manter a confiança dos clientes através da proteção dos ativos corporativos e dos clientes. O Woodgrove Bank implementou uma iniciativa computacional segura e definiu diretivas de segurança rígidas em todos os computadores que acessam a rede da empresa, seja na LAN ou através de conexões remotas.

Verificar atualizações de software

Com a solução existente de acesso remoto, é difícil garantir que computadores remotos tenham as atualizações de segurança, de aplicativos e de sistemas operacionais mais recentes. O departamento de TI do Woodgrove National Bank não conseguiu impedir o acesso de computadores não autorizados que usam programas antivírus desatualizados ou que tenham vírus ativos e possam infectar a rede. Como essa fragilidade pode colocar em risco a rede corporativa, o Woodgrove National Bank foi forçado a restringir a conectividade a um pequeno número de usuários.

O departamento de TI do Woodgrove deve superar esses desafios e fornecer um serviço seguro e confiável que beneficie funcionários remotos, porém, não expondo a rede corporativa a riscos. O restante deste documento refere-se aos fatores e às opções de planejamento com os quais o Woodgrove National Bank teve de lidar ao abordar as questões de implementação da quarentena VPN.

Implementar o acesso VPN para telecomutadores

Como muitas organizações, o Woodgrove National Bank percebeu que muitos executivos e gerentes de contas se tornam mais produtivos quando podem trabalhar em casa pelo menos um dia na semana. Por exemplo, os gerentes de contas podem elaborar propostas, planejar reuniões e modificar as informações de contato de clientes enquanto estão fora do escritório. O Woodgrove National Bank deseja estender a opção do trabalho residencial a outras divisões e departamentos, mas está preocupado com os riscos de permitir que computadores que não atendam aos requisitos de seu departamento de TI se conectem à rede corporativa. Portanto, o departamento de TI do Woodgrove permite que funcionários com computadores ingressados em um domínio se conectem a partir de locais remotos.

Questões comerciais

A equipe que planeja a implementação do acesso VPN para telecomutadores identificou os seguintes problemas:

  • Consistência. Para desenvolver e implantar um serviço de acesso remoto seguro e confiável na empresa, todas as organizações e subsidiárias do Woodgrove National Bank devem adotar uma estrutura de segurança consistente e claramente definida.

  • Funções e responsabilidade bem definidas. Vários grupos dentro da equipe de TI do Woodgrove National Bank enfrentaram funções e responsabilidades não claras para o fornecimento de um serviço seguro. Com o surgimento da estratégia de segurança, tornou-se óbvio que a organização precisava decidir quem deveria ser responsável pela rede de acesso remoto. As discussões sobre o processo levaram à avaliação das responsabilidades das equipes administrativas de TI.

Problemas técnicos

As fases de planejamento e de piloto iniciais identificaram os seguintes problemas técnicos:

  • Armazenamento de atualizações e hotfixes de segurança. O departamento de TI do Woodgrove decidiu usar o Windows Update para garantir que computadores com acesso remoto tenham as atualizações de segurança mais recentes. Como o SUS (Serviços de Atualização de Software) usa o BITS (Serviço de Transferência Inteligente de Plano de Fundo), o Woodgrove achou que os servidores SUS conectados à Internet eram muito lentos para atualizar computadores com acesso remoto. O departamento de TI do Woodgrove descobriu que o acesso do usuário ao Windows Update diretamente do Internet Explorer agilizou as atualizações, sem a sobrecarga de gerenciamento de dar suporte a servidores adicionais.

  • Falta de alertas, métricas e monitores detalhados. Para que o Woodgrove National Bank gerencie efetivamente a experiência do usuário, o custo, a qualidade e a segurança da solução, suas equipes de suporte de TI precisam de medições precisas da qualidade do serviço referente à solução de acesso remoto.O Woodgrove National Bank pode monitorar os principais aspectos do desempenho do servidor de acesso remoto e a integridade geral do sistema de acesso remoto, mas não a integridade ou a qualidade das conexões VPN.

  • Atraso de aplicativo no modo de quarentena. A execução de um script de quarentena cria um atraso na conexão inicial até o momento em que o computador cliente limpa a quarentena. A duração do atraso depende de quanto tempo ele leva para executar o script de quarentena e enviar a notificação e para que o servidor de acesso remoto remova as restrições de quarentena. Contudo, alguns aplicativos tentam estabelecer conexões imediatamente depois que o computador cliente faz a conexão de rede inicial. Se os filtros de quarentena VPN não permitirem o tráfego do aplicativo, o servidor de acesso remoto descartará o tráfego de inicialização do aplicativo, causando falha neste. Os usuários de acesso remoto devem receber treinamento para não iniciarem os aplicativos até que a conexão seja concluída.

Questões de segurança

As questões a seguir afetam a estratégia de segurança para a implementação da quarentena VPN pelo Woodgrove National Bank:

  • Incapacidade de gerenciar clientes remotos. Atualmente, o Woodgrove National Bank não tem padrões estabelecidos nem aplicados para computadores clientes. Além disso, não tem meios de aplicar configurações de softwares clientes remotos, por exemplo, para ativar o Windows Firewall como parte do processo de logon.

  • Validar atualizações de software. O Woodgrove National Bank não tem como validar o status de atualizações antivírus e de outras atualizações de software relacionadas à segurança em um computador cliente antes de sua conexão à rede corporativa. Essa situação pode resultar no ataque de computadores clientes remotos infectados a ativos corporativos, causando períodos de inatividade e custos de atenuação.

Requisitos da solução

A solução implementada pelo Woodgrove National Bank para a quarentena VPN deve satisfazer aos seguintes requisitos:

  • Garantir que todos os requisitos de segurança do acesso remoto estejam de acordo com um período predeterminado, antes de permitir conexões de acesso remoto irrestrito na rede corporativa.

  • Garantir que, quando dispositivos se conectarem à rede corporativa, eles não possam ser acessados de outros computadores na rede.

  • Exigir que cada computador que se conecte à rede corporativa esteja em conformidade com diretivas de segurança padronizadas na rede. Essas diretivas incluem um programa antivírus especificado e total conformidade com assinaturas antivírus atualizadas e atualizações de segurança aprovadas.

  • Proporcionar ao usuário uma experiência não invasiva, rápida e fácil de usar.

  • Permitir uma implantação de software cliente simples e econômica.

  • Monitorar e registrar toda a atividade de acesso remoto.

  • Fornecer um serviço confiável e altamente disponível.

Com esses objetivos estabelecidos, o Woodgrove National Bank pesquisou e examinou extensivamente suas opções de design. O Capítulo 4, "Projeto da solução", apresenta os resultados dessa pesquisa.

Usar o Microsoft Operations Framework

O Woodgrove National Bank usa os princípios do MOF (Microsoft Operations Framework) para gerenciar e implementar alterações na rede da empresa. O MOF oferece um conjunto de práticas recomendadas princípios e modelos que dão orientação para fins de alta disponibilidade, confiabilidade e segurança. As duas principais áreas afetadas pelo MOF são operações e gerenciamento de alterações.

Para obter mais informações sobre o MOF, consulte o site da TechNet Microsoft Operations Framework (em inglês) em www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx.

Implementar o gerenciamento de alterações

Os arquitetos de sistema no Woodgrove National Bank apreciam o fato de que qualquer projeto desse porte necessite de planejamento e gerenciamento eficientes. Um comitê geral de gerenciamento deve supervisionar o orçamento, as programações, o desenvolvimento de componentes de solução e dar aprovação final para cada fase do projeto.

O departamento de TI do Woodgrove National Bank entende a necessidade de testar a solução e fazer implantações piloto antes da implantação no ambiente de produção. O Woodgrove opera em um ambiente global e percebe a necessidade de adotar processos específicos para alterações de programação e de proporcionar uma comunicação clara para o gerenciamento, os usuários e a equipe de suporte técnico.

Para garantir a implantação adequada da quarentena VPN, o Woodgrove National Bank planeja configurar equipes virtuais em todo o mundo. Essas equipes devem trabalhar em conjunto para projetar, desenvolver e testar o design e as tecnologias em diferentes cenários. Além disso, podem trabalhar para programar, comunicar e gerenciar alterações no ambiente de acesso remoto durante a implantação.

O departamento de TI do Woodgrove também deve trabalhar com as equipes de suporte de operações para programar alterações, normalmente baseadas na hora local que teria o menor efeito sobre usuários ou unidades de negócios. Na maioria dos cenários de acesso remoto, o melhor momento de fazer alterações importantes é durante o horário comercial de 9 às 17 h, de segunda a sexta-feira, pois a maioria das conexões de acesso remoto ocorre fora desse período. Contudo, com o aumento do uso do acesso remoto para dar suporte à estratégia de negócios durante o horário comercial no Woodgrove National Bank, esse nem sempre é o caso. Portanto, uma análise efetiva de acordo com o local é necessária para garantir que as alterações tenham o mínimo efeito possível nas operações.

Operações de monitoramento

O Woodgrove National Bank implementou uma estrutura de monitoramento e alerta em toda a rede corporativa, que usa o MOM (Microsoft Operations Manager) 2005. O departamento de TI do Woodgrove deve estender essa estrutura para abranger a implantação de soluções de acesso remoto. Antes de monitorar a quarentena VPN, você deve instalar o Pacote de Gerenciamento RRAS (Serviço de Roteamento e Acesso Remoto) para o MOM, disponível em www.microsoft.com/downloads/details.aspx?FamilyId=D1005486-2EEB-44A5-8196-5D4EB24F6EA0\&displaylang=en (site em inglês).

Para identificar áreas problemáticas durante as implantações, o Woodgrove National Bank usa métodos de coleta e análise de dados. O departamento de TI do Woodgrove National Bank usa um importante elemento de processo que é útil para o gerenciamento da integridade do serviço. Esse elemento consiste em um painel de controle de acesso remoto (um conjunto de medidores visuais) que monitora os dados ativos. O painel de controle pode capturar, plotar e realçar incidentes de um único usuário que indiquem problemas de conectividade.

A coleta e a análise de dados são essenciais para o gerenciamento de serviços durante alterações importantes e nas funções desse gerenciamento. Combinando relatórios e dados coletados com os dados do suporte técnico, o departamento de TI do Woodgrove National Bank pode determinar, a qualquer momento, a integridade geral de um serviço com alto grau de confiança. As equipes de operações podem usar esses dados para analisar qualquer evento que afete o serviço, correlacionar os efeitos ao serviço e criar planos de resposta proativos, bem como previsibilidade futura para o serviço.

O registro desses dados é extremamente útil, tanto para medir o uso diário como para identificar tendências de longo prazo. As equipes de suporte de operações de TI do Woodgrove usam o Microsoft SQL Server™ 2000 e o OLAP (Processamento Analítico Online) para gerar relatórios a fim de controlar, medir e analisar rapidamente:

  • A integridade geral do serviço, com a capacidade de se concentrar em áreas específicas.

  • Os dados da infra-estrutura que refletem a integridade e o desempenho do servidor.

  • Os dados de clientes que refletem experiências específicas do usuário, como hora de conexão, êxito no primeiro logon, ações específicas que possam falhar, local do usuário e número de acesso do provedor de serviços de Internet.

  • Problemas que afetam o serviço e a produtividade do usuário.

  • Detalhes sobre os mais altos custos operacionais para fins de orçamento e planejamento.

  • Resolução de tíquetes do suporte técnico de acordo com SLAs (contratos de nível de serviço) internos que tenha como alvo o aprimoramento de processos ou documentações.

Essa estrutura de monitoramento e operações proporciona ao Woodgrove National Bank um ambiente adequado à implementação da solução de quarentena VPN. O capítulo final deste manual descreve como o Woodgrove National Bank planejou a implementação da quarentena VPN e as decisões que ele tomou antes do processo implantação.

Neste artigo
Download

Dd459122.icon_exe(pt-br,TechNet.10).gifGuia de Planejamento de Implementação dos Serviços de Quarentena com VPN da Microsoft