Tamanho da fonte: -A+A 2vl4s
Leonardo Goldim.
Por Leonardo Goldim*
Quem já atua há alguns anos com TI/SI deve lembrar do famoso perímetro de segurança, das ferramentas de proteção de perímetro. Basicamente, o perímetro era responsável por isolar seu ambiente, criando uma barreira onde apenas usuários confiáveis e autorizados eram capazes de ar as aplicações, informações, sistemas, etc. Era claro o limite entre ambiente interno e externo, o público e , rede interna e dmz, etc.
Historicamente, sempre que falamos em proteger nosso ambiente e infraestrutura, pensamos em montar um perímetro de segurança, reforçar as soluções de segurança de borda e segregar a infraestrutura, buscando proteger nosso ambiente de ameaças externas que possam comprometer nossos sistemas.
Porém, o perímetro da forma que conhecemos tornou-se obsoleto rapidamente por inúmeras razões, dentre elas:
- os atacantes podem facilmente obter o aos dispositivos dentro do perímetro e atacar a infraestrutura a partir de um ponto interno;
- conceitos como BYOD aumentam as chances de ter um dispositivo comprometido dentro do perímetro de segurança estabelecido;
- as infraestruturas tradicionais (internas e datacenters) estão sendo migradas para nuvem, fazendo com que os sistemas e aplicações sejam migrados para fora do perímetro de segurança
A grande movimentação de dispositivos, entrando e saindo do perímetro, e a migração de sistemas e aplicações para fora do ambiente controlado, tornou o perímetro uma abordagem cada vez menos eficiente.
Se estamos mudando a forma como consumimos tecnologia, devemos também mudar a forma como a protegemos.
Software Defined Perimeter
Agora que já estamos cientes da mudança de perímetro (e os principais motivos da mudança), podemos perceber o porque as ferramentas e abordagens tradicionais de segurança de rede não são eficientes para proteção deste novo ambiente.
As ferramentas amplamente conhecidas e utilizadas para proteção do perímetro tradicional, deixam as aplicações e infraestruturas expostas na internet, garantindo o excessivo a usuários não autorizados, ou não confiáveis. Gera assim uma brecha grave de segurança e expõe nossa infraestrutura a uma série de ataques de rede.
SDP (Software Defined Perimeter) é um novo conceito de perímetro definido por software, que permite ao proprietário da aplicação proteger sua infraestrutura, independente do ambiente. A iniciativa de pesquisa do conceito de Software Defined Perimeter foi lançada em 2013, pela CSA, com o objetivo de encontrar uma forma eficiente de barrar ataques de rede a infraestrutura da aplicação.
O modelo de SDP usa como base o conceito originário da Defense Information Systems Agency (DISA), onde o o e as conexões a rede são feitas usando o princípio de “need-to-know”, a própria CSA define o SDP como “on-demand, dynamically-provisioned, air gapped networks”.
Enquanto o perímetro tradicional de segurança busca montar um perímetro em torno das aplicações e sistemas, a abordagem de SDP é montá-lo em torno do usuário. Dessa forma, temos um perímetro dinâmico, refletindo o tipo de ambiente de constante mudança usado atualmente, e capaz de proteger usuários e aplicações enquanto se movem.
O conceito de SDP integra, entre outros:
- autenticação e validação do dispositivo;
- o com base em identidade;
- provisionamento dinâmico de conexões para esconder aplicações de usuários não autorizados
Os componentes utilizados no modelo de SDP já são velhos conhecidos, a grande inovação fica por conta da forma como eles foram integrados e implantados.
Até hoje, a sequência de o a um ambiente era: conectar -> identificar -> autorizar. Com a implantação do SDP a a ser: identificar -> autorizar -> conectar. O modelo de SDP esconde a infraestrutura, deixando as aplicações invisíveis a todos usuários. Após o usuário ser autenticado, o dispositivo validado, e ambos autorizados, um túnel dinâmico é criado entre o usuário e a aplicação.
Ao longo das pesquisas e desenvolvimento de um protótipo para validar o conceito, o modelo de SDP se mostrou eficaz para barrar todas formas de ataque de rede, incluindo DDoS, Man-in-the-Middle, Sever Query e Advanced Persistent Threat (APT).
O modelo de SDP tem chamado muita atenção nos últimos meses, sendo citado inclusive pelo Gartner:
“Through the end of 2017, at least 10% of enterprise organizations (up from less than 1% today) will leverage software-defined perimeter (SDP) technology to isolate sensitive environments.” (Gartner Predicts 2016: Security Solutions, Ruggero Contu et al., 4 December 2015)
Como podemos ver, nossos ambientes de rede e tecnologia mudaram drasticamente ao longo dos anos, da mesma forma, devemos mudar nossas abordagens para garantir a segurança dos mesmos.
* Leonardo Goldim é sócio da gaúcha IT2S e membro do Certification Board da CSA.
Júlia Merker 563o2f
Repórter no Baguete Diário