• Artigo

Cobertura especial: Windows Server 2008

Acesso à rede orientado a diretivas com o Windows Server 2008

Ian Hameroff and Amith Krishnan

 

Visão geral:

  • Equilíbrio entre o acesso e a segurança de rede
  • Uma abordagem orientada a diretivas para o acesso à rede
  • Novas tecnologias de segurança no Windows Server 2008

Já se escreveu muito sobre o desaparecimento dos perímetros de rede tradicional decorrentes de uma crescente força de trabalho móvel e da crescente diversidade de usuários e dispositivos que requerem

acesso aos recursos de TI de uma empresa. Para acelerar a produtividade, os usuários e os proprietários da linha de negócios também estão criando uma demanda por experiência de conexão que seja fluida e sem procedimentos entediantes. Somam-se a essa situação já complexa as cargas de conformidade normativa, o cenário de ameaças em constante evolução e os riscos associados à descentralização de dados.

Isso tende a fazer com que os administradores do Windows® fiquem estagnados no meio de um desafiador equilíbrio de segurança: como permitir o fácil acesso a recursos e, ao mesmo tempo, atender aos crescentes requisitos de segurança de rede e informações.

Embora não haja uma única solução para todos esses desafios, como os administradores do Windows, você tem várias ferramentas à sua disposição que podem ajudá-lo a aprimorar os controles de segurança – como os firewalls de borda – já existentes. Uma excelente forma de obter o equilíbrio apropriado entre o acesso e a segurança é mudar de modelos de conectividade tradicionais para um que busque definir o acesso à rede de modo mais lógico e centralizado em diretivas.

Uma abordagem orientada a diretivas para o acesso à rede

Recursos de rede

O acesso à rede orientado por diretivas tem como objetivo eliminar as limitações existentes encontradas quando se tentar basear a confiança principalmente em bordas de topologia de rede. Por exemplo, você pode realmente determinar se um dispositivo é confiável e tem autorização para se conectar aos servidores que executam seu aplicativo CRM (gerenciamento de relacionamento com o cliente) apenas porque está conectado em uma das suas portas de comutador Ethernet atrás do firewall corporativo?

Em vez disso, o novo modelo orienta decisões de acesso ao autenticar a postura de segurança do dispositivo e a identidade do usuário solicitando acesso, não importa de onde ele esteja se conectando. Assim que for autenticado, essa mesma estrutura poderá então ser usada para autorizar quais informações e recursos podem ser acessados.

Mudar de uma postura defensiva para uma que é mais focalizada no acesso envolve vários itens fundamentais, incluindo ter mecanismos que possam validar a identidade e a conformidade com a diretiva dos hosts conectados, emitir uma identidade de usuário confiável e controlar dinamicamente o acesso à rede com base nesses atributos. Para simplificar o gerenciamento dessas várias partes dinâmicas, um armazenamento de diretiva centralizado também é um importante componente.

A adoção de uma abordagem orientada por diretivas pode ajudá-lo a transformar vários controles de segurança de host e acesso à rede possivelmente distintos em uma solução mais abrangente. Isso, por sua vez, permite que você defina as regras básicas de acesso à rede em uma camada lógica acima da trama da conectividade, evoluindo, assim, as tradicionais práticas recomendadas de defesa em profundidade.

Por exemplo, quando um usuário conecta seu laptop à rede sem fio da organização, o dispositivo pode ser verificado quanto à conformidade com os mais recentes requisitos de configuração de segurança. Assim que for determinado que o laptop tem todas as atualizações atuais de antivírus e patches de segurança fundamentais, além de todos os seus controles de segurança de ponto de extremidade habilitados – como um firewall de host – o acesso à rede corporativa poderá ser concedido. Então, quando o usuário tentar acessar um aplicativo comercial, a combinação do estado de integridade do laptop e a identidade de rede do usuário poderá ser usada para determinar se ele é autorizado para conexão com os recursos que hospedam o aplicativo. Ao operar em sua camada lógica sobre a infra-estrutura de rede física, as diretivas podem ser continuamente impostas, mesmo se o usuário mudar de uma conexão sem fio para uma com fio ou até mesmo uma conexão de acesso remoto.

Quando implementado, o acesso à rede orientado por diretivas pode fornecer uma experiência de conexão perfeita para os usuários, sem sacrificar a segurança no processo. Para os administradores, os controles de acesso à rede de nível superior a partir de portas de comutador ou configurações de gateway de acesso remoto podem fornecer uma experiência de gerenciamento mais simples. Em ambos os casos, o resultado final é maior produtividade e uma aperfeiçoamento geral da integridade da rede da empresa, mesmo quando as redes possam ser um host para partes com diferentes direitos de acesso, como convidados (convidados ou não), fornecedores, parceiros e funcionários.

Como com qualquer projeto de segurança, a primeira etapa na implementação de acesso à rede orientado por diretivas significa desenvolver um conjunto holístico de diretivas operacionais. Isso geralmente inclui diretrizes para:

  • Conformidade de segurança de dispositivos – o que significa integridade do dispositivo?
  • Zoneamento lógico de rede – como você irá segmentar dispositivos sem integridade de zonas autorizadas?
  • Gerenciamento de risco de informações – como os dados confidenciais são classificados e protegidos?

Felizmente, uma variedade de recursos de desenvolvimento de diretivas está disponível no Microsoft® TechNet Security Center (microsoft.com/technet/security).

Assim que você tiver desenvolvido as diretivas de acesso, precisará selecionar as tecnologias que possam ser facilmente distribuídas e aplicá-las com eficácia. Para isso, você não precisará ir além do Windows Server® 2008. Isso porque o Windows Server 2008 não é apenas o Windows Server mais seguro até o momento; ele também oferece aos administradores uma plataforma de segurança robusta que pode ser fundamental para a solução de acesso à rede orientada por diretivas. Entre essa longa lista de recursos novos e aprimorados, o Windows Server 2008 fornece muitos dos componentes necessários para implementar acesso seguro baseado em diretivas na sua rede, ajudando a garantir que as informações confidenciais sejam protegidas.

Sistema de rede de última geração

No núcleo dos avanços em segurança de rede no Windows Server 2008 está a Pilha TCP/IP de última geração, a principal atualização para a funcionalidade do sistema de rede da plataforma e serviços relacionados. Além de fornecer desempenho de rede aprimorado e maior escalabilidade, o Windows Server 2008 aprimora a segurança através de uma série de recursos de rede integrados que fornecem uma base sólida na qual pode ser desenvolvida uma solução de acesso à rede orientada por diretivas.

Um dos recursos significativamente atualizados no Windows Server 2008 foi o Internet Protocol security (IPsec), para que pudesse exercer uma função fundamental em uma abordagem de acesso à rede orientada por diretivas. Agora, isso não sginifica usar o IPsec como um protocolo de criptografia e encapsulamento, mas sim, aproveitar seus recursos de autenticação de rede de host para host. Além disso, como o IPsec funciona na Camada 3, ele pode ser utilizado para impor diretivas de acesso à rede em uma variedade de tipos de rede.

Para ajudar a facilitar a implementação de controles de acesso à rede baseados em IPsec, o Windows Server 2008 introduz uma longa lista de melhorias e novos recursos visando à simplificação da criação, imposição e manutenção de diretivas. Por exemplo, o número e os tipos de métodos de autenticação IPsec disponíveis aumentaram. Isso foi realizado por meio da introdução do IP autenticado (AuthIP), uma extensão ao protocolo IKE. O AuthIP permite que você crie regras de segurança de conexão (outro nome para as diretivas IPsec no Windows Server 2008) que requerem que pontos de comunicação se autentiquem com êxito, não somente com as credenciais da máquina, mas, opcionalmente, com as credenciais do usuário ou de integridade. Essa flexibilidade adicional permite a criação de redes lógicas muito avançadas sem a necessidade de atualizar sua infra-estrutura de comutação e roteamento.

Firewall do Windows com Segurança Avançada

o novo Firewall do Windows com Segurança Avançada foi desenvolvido com base nos recursos IPsec já descritos. Ao combinar as regras de segurança de conexão IPsec com filtros de firewall em uma única diretiva, o novo Firewall do Windows acrescenta outra dimensão de acesso à rede orientada por diretivas: ações de autenticação de firewall mais inteligentes.

Como mostra a Figura 1, agora você tem três opções de escolha ao definir a ação específica que um filtro de firewall de entrada ou saída pode realizar: permitir, bloquear ou permitir somente se seguro. Quando a opção "Permitir a conexão se for segura" for selecionada como a ação, o Firewall do Windows aproveitará os recursos de autenticação de rede de host para host do IPsec, a fim de determinar se um host ou um usuário solicitando conexão deve ser aprovado com base na diretiva definida por você. A regra de firewall permite que você estipule quais usuários, computadores e grupos têm o direito de fazer a conexão. É válido salientar que isso acrescenta uma camada adicional de proteção, suplementando controles de acesso de nível de aplicativo e sistema operacional existentes.

Figura 1 Definindo regras de firewall de autenticação

Figura 1** Definindo regras de firewall de autenticação **(Clique na imagem para aumentar a exibição)

Agora, você deve começar a visualizar como é possível reunir esses diferentes controles de segurança de rede por meio de uma diretiva centralizada para um modo mais eficaz e escalonável de gerenciar o acesso à rede.

Retornando ao exemplo de CRM: o administrador poderia criar uma regra de entrada para os servidores executando o aplicativo CRM da empresa (através das portas de serviço ou executável do programa) com a opção “Permitir a conexão se for segura” marcada. Na mesma diretiva de firewall, o administrador poderá especificar que somente membros do grupo “Usuários de aplicativo CRM” poderão se conectar a esse aplicativo de rede, como mostra a Figura 2. Se você utilizar esse mesmo conceito e dimensioná-lo para todas as comunicações de rede entre todos os computadores gerenciados na sua rede, você terá adicionado uma camada de isolamento do servidor e do domínio à sua estratégia de acesso à rede orientada por diretivas.

Figura 2 Os administradores podem especificar quem pode se conectar com base nessa diretiva

Figura 2** Os administradores podem especificar quem pode se conectar com base nessa diretiva **(Clique na imagem para aumentar a exibição)

Isolamento do servidor e do domínio

Com a maioria das empresas têm tido um número crescente de convidados e outros dispositivos não gerenciados se conectando às suas redes, torna-se cada vez mais fundamental ter meios para separar e proteger seus hosts confiáveis. A boa notícia é que há muitas formas de isolar computadores gerenciados e confiáveis de outros na rede. No entanto, você deve saber que muitas dessas opções são caras (por exemplo, a execução de sistemas de cabeamento físico separados) e difíceis de realizar manutenção (como VLANs baseadas em comutação) à medida que as redes crescerem.

O isolamento do servidor e do domínio pode fornecer um meio mais econômico e gerenciável para segmentar o seu ambiente em redes seguras e isoladas logicamente. Como a Figura 3 mostra, essencialmente você usa as mesmas regras de segurança de conexão (ou seja, as diretivas IPsec) mencionadas anteriormente, mas as mapeia para todos os seus computadores gerenciados por meio da Diretiva de grupo do Active Directory®. Isso resulta em uma diretiva de acesso à rede que requer que todos os pontos autentiquem-se com êxito entre si antes de iniciarem a comunicação. Como esse isolamento ocorre na Camada 3, a imposição desses controles de acesso distribui hubs, comutadores e roteadores em limites físicos e geográficos.

Figura 3 Definindo requisitos de autenticação para correspondência às suas necessidades de acesso de rede

Figura 3** Definindo requisitos de autenticação para correspondência às suas necessidades de acesso de rede **(Clique na imagem para aumentar a exibição)

Para criar uma rede isolada, os vários computadores na rede devem ser separados de acordo com o tipo de acesso desejado. As diretivas podem ser definidas de tal forma que esses computadores em uma rede isolada possam iniciar comunicações com todos os computadore na rede, incluindo os não localizados na rede isolada. Ao contrário, os computadores que não estiverem na rede isolada não poderão iniciar comunicações com os computadores na rede isolada. Na verdade, os computadores na rede isolada irão ignorar todas as solicitações para comunicação dos computadores fora dessa rede isolada.

Um associação de domínio e domínio do Active Directory são usados para aplicar a diretiva de rede. Os computadores membros do domínio aceitam somente comunicações autenticadas e protegidas de outros computadores membros do domínio. Como opção, também pode ser estabelecido que toda a comunicação no domínio isolado seja criptografada.

O isolamento do servidor e do domínio fornece significativas vantagens econômicas sem que precisem ser feitas grandes alterações na infra-estrutura de rede ou em aplicativos existentes. Essa solução cria umaa proteção habilitada por diretiva, que não apenas ajuda na defesa contra ataques caros à rede e acesso não autorizado a recursos da rede confiável, mas também não requer manutenção contínua com base nas alterações na topologia de rede.

Proteção de acesso à rede

Como descrito anteriormente, a solução de isolamento do servidor e do domínio garante a separação lógica de vários computadores e servidores na rede. Embora essa solução ajude a impedir o acesso não autorizado à rede, não há garantia de que um computador autorizado não será a causa de uma ameaça de segurança.

A NAP (Proteção de acesso à rede) é uma plataforma interna no Windows Server 2008 que ajuda a garantir que os computadores que irão se conectar ou comunicar em rede atendam aos requisitos de integridade do sistema (ou seja, conformidade com diretivas e segurança) definidos por você.

Até mesmo os usuários autorizados são freqüentemente responsáveis pela propagação de vírus e spyware na rede. Por exemplo, quando um usuário sair de férias, seu computador poderá não seguir a conformidade com os requisitos de segurança definidos pelo administrador. Isso poderia ter repercussões potencialmente sérias se um patch ou assinatura obrigatória for lançado durante a ausência ao computador.

Mas está muito além da largura de banda disponível do administrador controlar cada usuário que se conecta à rede. O que é necessário é uma ferramenta automatizada que verifique a conformidade de integridade de cada computador se conectando à rede, solucionando qualquer um que não esteja em conformidade, tudo com base em uma diretiva central. O NAP faz isso apenas acrescentando outra camada à sua solução de acesso à rede orientada por diretivas.

O agente NAP – incorporado no SO do computador cliente (como no Windows Vista®) ou instalável separadamente (para versões anteriores do Windows, bem como sistemas operacionais não Windows) – relata qualquer problema de conformidade ao NPS, que é o mecanismo de diretiva interno no Windows Server 2008. É no NPS que você define as diretivas de conformidade às quais cada dispositivo deve aderir.

Embora seja necessário restringir os dispositivos que falharem nas verificações de conformidade, é importante garantir que eles tenham a opção de ficar em quarentena e serem solucionados. A NAP fornece a opção de solucionar automaticamente o dispositivo em casos em que o firewall ou solução antivírus for ativado ou solucionar manualmente o dispositivo ao colocá-lo na zona de quarentena. Aqui, o dispositivo tem acesso a um servidor de resolução com os mais recentes patches, atualizações e assinaturas. Assim que o usuário atualizar manualmente o dispositivo, ele terá acesso à rede, estando sujeito à aprovação da verificação de conformidade.

Com a onipresença, o acesso à rede se tornou muito mais simples. No entanto, isso criou uma carga a mais ao garantir que os dispositivos tenham integridade e estejam em conformidade, independentemente do mecanismo de acesso. Os computadores podem acessar a rede por meio de um comutador em conformidade com 802.1X ou ponto de acesso sem fio ou podem se conectar remotamente usando uma conexão de acesso remoto baseada em VPN ou Serviços de Terminal. A NAP não somente garante a conformidade para computadores que se conectam por meio desses diferentes mecanismos, mas também fornece imposição no servidor DHCP, comutador 802.1X, gateway de Serviço de Terminal ou ponto de acesso sem fio em conformidade com 802.1X.

Na Figura 4, a rede já foi isolada usando a solução de isolamento do servidor e do domínio. O uso da NAP com essa rede isolada fornece vantagens adicionais para garantir a conformidade de integridade a computadores conectando-se na rede. O cliente, na inicialização, envia sua declaração de integridade (SoH) à HRA, que é um servidor de certificado. A HRA envia a SoH ao NPS para validação da diretiva. Se a SoH for válida, a HRA emitirá ao cliente NAP um certificado de integridade e o cliente poderá iniciar a comunicação segura baseada em IPsec com recursos seguros. Se a SoH não for válida, a HRA informará ao cliente NAP como corrigir seu estado de integridade e não emitirá um certificado de integridade. O cliente NAP não poderá iniciar a comunicação com outros computadores que requeiram um certificado de integridade para a autenticação IPsec. No entanto, o cliente NAP poderá se comunicar com o servidor de resolução para ficar em conformidade.

Figura 4 Proteção de acesso à rede usando aplicação IPsec

Figura 4** Proteção de acesso à rede usando aplicação IPsec **(Clique na imagem para aumentar a exibição)

Juntando tudo isso

Embora tenhamos apenas introduzido os novos recursos e funcionalidade no Windows Server 2008, é importante reconhecer como cada componente foi desenvolvido com base no anterior. O que transforma isso a partir da abordagem tradicional de defesa em profunidade é a estrutura de diretiva subjacente que o Windows Server 2008 oferece por meio, por exemplo, da Diretiva de grup do Active Directory.

Graças a essa experiência integrada, você terá uma base de trabalho sólida para definir e implantar uma solução de acesso à rede orientada por diretivas sem precisar se desfazer dos investimentos existentes. Ao migrar o acesso para uma decisão de camada centralizada em diretivas mais lógica, você terá a oportunidade de equilibrar o “Acesso fácil” versus “Maior segurança” a seu favor.

A Microsoft publicou importantes orientações sobre as áreas de tecnologia mencionadas neste artigo. Recomendamos primeiro que você leia estes artigos e guias passo a passo para obter experiência operacional com os vários recursos. (Os links na barra lateral “Recursos do sistema de rede” podem ajudá-lo a iniciar.) Em seguida, considere iniciar cada fase de modo que forneça uma base sólida para a próxima fase.

Por exemplo, crie um conjunto dessas regras de autenticação de firewall para seus aplicativos de missão crítica, como descrito na seção Firewall do Windows com Segurança Avançada. Assim que você estiver familiarizado com isso, poderá expandir as regras de segurança de conexão para isolar o seu domínio de rede e, em seguida, criar uma camada NAP para ele. As vantagens de implementar uma estratégia de acesso à rede orientada por diretivas pode ser muito significativa e ajudá-lo, inclusive, a acompanhar as constantes demandas nas redes corporativas.

Ian Hameroff é gerente de produto sênior no grupo de marketing de produtos de segurança e acesso na Microsoft. Ele é responsável pelo gerenciamento e marketing de produto das tecnologias de sistema de rede da plataforma Windows Server. Ian é responsável pela estratégia de lançamento no mercado do sistema de rede Windows Server e soluções com foco em iniciativas de segurança e rede, como isolamento do servidor e do domínio, sistema de rede escalável e adoção IPv6.

Amith Krishnan é gerente de produto sênior no grupo de marketing de produtos de segurança e acesso na Microsoft e é responsável pelo gerenciamento e marketing do sistema de rede Windows Server e iniciativas de segurança, como Proteção de acesso à rede e Segurança Sem Fio. Ele também desenvolve a estratégia de lançamento no mercado e incentiva o reconhecimento dessas soluções.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..