12 Catalyst

Rede de campo

Aplicativos

Aplicações de Internet

Aplicações cliente/servidor

Compartilhamentos de arquivos

Bancos de dados

VoIP (Voice-over-IP)

Desktops virtuais

Diretórios

Lightweight Directory Access Protocol (LDAP)

LDAP

Serviço de diretórioMicrosoft® ActiveDirectory®

Remote Authentication Dial-In User Service (RADIUS)

Resguardando o acesso de dispositivos móveis Por Patrick Sweeney

Matéria da capa

Muitos funcionários levam dispositivos pessoais para o

trabalho para acessar dados e aplicativos. As organizações

estão rapidamente adotando essa abordagem “traga seu

próprio dispositivo” (BYOD) como uma maneira de aumentar

a produtividade de seus funcionários. No entanto, antes de

permitir o acesso à rede da empresa, o setor de TI precisa

encontrar uma forma de resguardar o ambiente corporativo

garantindo que os dispositivos móveis de funcionários não

introduzam malware e bots.

Ainda mais importante é o controle que a organização precisa ter sobre quem pode acessar quais dados. Além disso, a introdução de dispositivos não gerenciados pode diminuir a produtividade da rede consumindo a largura de banda necessária para aplicativos essenciais aos negócios.

Antes de ampliar as atuais políticas de acesso remoto para que incluam dispositivos móveis, recomenda-se que as organizações identifi quem as semelhanças e as diferenças entre a segurança para o acesso remoto de computadores portáteis e a segurança para o acesso remoto de smartphones. Com essas distinções em mente, as organizações de TI podem implementar melhores práticas para ajudar a garantir a segurança das comunicações dentro e fora do perímetro da rede.

A plataforma VPN SSL ofereceidentifi cação e controle de acessoSonicWALL AventailSecure Remote Access Appliance

O fi rewall de última geração proporciona inspeção detalhada de pacotesSonicWALL Network Security Appliance

Tráfego limpoe protegido

Verifi cação do tráfego na rede em um perímetro empresarial por meio de um fi rewall de última geração

132919_BR_SMB_MB_Q3W11_Catalyst.indd 12 10/22/13 10:43 AM

Catalyst 13

Diferenças de segurança entre PCs portáteis e smartphones

Devido à sua potência de computação, os smartphones de hoje podem ser considerados uma classe de computador portátil. No entanto, os computadores portáteis, como notebooks, são diferentes dos smartphones em vários aspectos importantes, incluindo alguns que afetam a segurança. Para manter uma rede segura, os administradores de TI precisam, primeiro, considerar problemas importantes relacionados ao acesso remoto; depois, precisam identificar quando deverão fazer provisões semelhantes para computadores portáteis e smartphones e quando deverão fazer provisões separadas ou especializadas.

A prática fundamental de segurança para dispositivos de acesso remoto, incluindo portáteis e smartphones, é começar com uma Rede Virtual Privada (VPN) com Secure Sockets Layer (SSL) de nível empresarial. Atuando como mediador entre a rede empresarial e o dispositivo móvel, um proxy reverso via VPN SSL permite um alto nível de controle sobre usuários finais e dados. Além disso, ajuda a proteger o ambiente contra os efeitos de malware. Nesse cenário, portáteis e smartphones beneficiam-se da mesma solução.

Também deve ser considerado o acesso à VPN SSL por túneis para usuários finais que precisam do acesso direto à rede. Contudo, nessa situação, todo o tráfego precisará ser verificado para evitar malware e invasões. Portanto, a estratégia básica consiste em implantar um firewall de última geração depois do ponto de encerramento do túnel da VPN SSL, ou integrado a ele. Um firewall de última geração foi criado para descriptografar e verificar o conteúdo de dispositivos remotos e, então, eliminar as ameaças antes que possam entrar na rede. É igualmente eficaz no tráfego de portáteis e de smartphones.

Também é importante considerar os aplicativos em dispositivos portáteis e smartphones ao definir a segurança do acesso remoto. No caso de notebooks fornecidos pela empresa e controlados pelo departamento de TI, existe a opção de bloquear o sistema operacional para impedir a instalação de aplicativos possivelmente não seguros. No entanto, no caso de notebooks de propriedade dos funcionários executando sistemas operacionais Microsoft® Windows®, Macintosh® e Linux® padrão, a consumerização e o fenômeno BYOD criaram um ambiente de aplicativos aberto e não controlado.

O login na rede, por acesso remoto, de um notebook comprometido por aplicativos não seguros representa uma ameaça direta aos recursos de uma organização. A natureza altamente flexível dos notebooks permite que usuários finais façam download de qualquer aplicativo. Da mesma maneira, as organizações de TI devem realizar verificações em notebooks remotos para determinar se aplicativos inapropriados estão ativos e se os aplicativos de segurança adequados estão em execução.

Um software de controle e verificação de pontos de extremidade ajuda a impor políticas de segurança por meio da correlação de informações sobre o dispositivo, sobre seu conteúdo, sobre a pessoa que está utilizando o dispositivo e sobre o que não está presente no dispositivo. Essa correlação permite que o software modifique a segurança de maneira imediata e automática para autorizar ou restringir o acesso a informações. Estão disponíveis ferramentas avançadas que permitem a verificação detalhada de notebooks sem que seja necessária infraestrutura além de uma VPN SSL de nível empresarial.

Em contraste, os problemas criados pela presença de aplicativos aleatórios em smartphones são diferentes dos problemas de computadores portáteis devido aos variados modelos de distribuição dos dispositivos. A maioria dos aplicativos em smartphones é instalada por meio de lojas on-line confiáveis. Os operadores das lojas realizam inspeções no código dos aplicativos que ajudam a tornar os aplicativos confiáveis, mas vale lembrar que eles não podem garantir que os aplicativos são seguros. Ferramentas de provisionamento, software de distribuição e soluções de gerenciamento de dispositivos móveis (MDM) também podem ajudar a fortalecer a segurança.

No entanto, é possível usar smartphones como root ou desbloquear o sistema operacional para que qualquer aplicativo possa ser carregado no dispositivo. Uma vez comprometido, o celular passa a ser tão perigoso quanto um notebook não gerenciado e não inspecionado. Então, como parte de uma abordagem de segurança fundamental para smartphones de propriedade de funcionários, sistemas de acesso remoto devem realizar a verificação de dispositivos, inclusive do desbloqueio do sistema operacional antes de permitir o acesso à rede. Os sistemas devem bloquear automaticamente a conectividade de smartphones comprometidos.

Conexões de dentro da rede A ascensão da popularidade da computação remota pressiona

significativamente a segurança do acesso remoto. No entanto, os dispositivos móveis não são usados apenas remotamente, mas também de dentro do perímetro da rede. Como resultado, as organizações de TI também devem considerar quais impactos esses dispositivos poderão causar do lado de dentro.

Os dispositivos móveis podem introduzir malware nas redes, intencionalmente ou não. Podem ocorrer problemas quando computadores portáteis ou smartphones comprometidos fora da

132919_BR_SMB_MB_Q3W11_Catalyst.indd 13 10/22/13 10:43 AM

14 Catalyst

• Verificartodootráfegodeacessoremoto: um firewall de última geração deve ser implantado para controlar o malware, definir políticas sobre aplicativos aceitáveis e gerenciar como smartphones e computadores portáteis consomem recursos importantes.

• Adicionarautenticação: a solução deve ser integrada a métodos de autenticação padrão, como autenticação em duas etapas e senhas de uso único.

Dentro do perímetroAs organizações devem considerar as melhores práticas a seguir

para computadores portáteis e smartphones que se conectam à rede de dentro do perímetro:

• Integrarumfirewalldeúltimageração: o firewall deve verificar todo o tráfego, mesmo o proveniente de notebooks e smartphones de propriedade de funcionários, para proteger a rede contra invasões, malware e spyware.

• Definirquaisaplicativossãoessenciais: os recursos de inteligência e controle de aplicativos dos firewalls de última geração devem ser usados para alocar a largura de banda priorizada para aplicativos essenciais e restringir ou eliminar largura de banda para aplicativos de baixa prioridade.

• Monitoraralarguradebandadarede: a equipe de TI deve estar ciente de que smartphones são basicamente computadores portáteis com a capacidade de gerar tráfego de vídeos e jogos na rede.

• Ativarafiltragemdeconteúdo: os recursos de filtragem de conteúdo dos firewalls de última geração devem ser ativados para manter a conformidade com as políticas de navegação da empresa, além de definições jurídicas e de regulamentação.

Plataformas integradas para a implementação de segurança para programas BYOD

Os smartphones se juntaram aos notebooks como os pontos de extremidade nas redes de organizações, desde instituições acadêmicas até entidades governamentais. Quando funcionários usam seus próprios notebooks e smartphones para o trabalho, é imperativo manter seguro o acesso de dispositivos móveis.

Para maior segurança de dispositivos móveis, as organizações podem implantar soluções como os equipamentos Dell SonicWALL, que têm a capacidade de impor as melhores práticas sugeridas. Os firewalls SonicWALL de última geração são dispositivos baseados em equipamentos que fornecem inteligência, controle e visualização de aplicativos. A solução de VPN SSL SonicWALL pode ser adquirida como um equipamento independente ou como um equipamento virtual executado em um ambiente VMware® em servidores Dell PowerEdge.

Os equipamentos SonicWALL minimizam a complexidade de proporcionar acesso de qualquer lugar, a qualquer momento, aos aplicativos de uma ampla variedade de dispositivos, ajudando a aumentar a produtividade de usuários finais e da equipe de TI.

Patrick Sweeney é diretor executivo da Dell, onde supervisiona as linhas de produtos de segurança de rede, segurança de conteúdo e gerenciamento de políticas Dell SonicWALL.

Matéria da capa continuação

Saiba mais

Mobilidade com segurança

bit.ly/1fCWeWx

rede corporativa são posteriormente introduzidos no perímetro. Muitas tecnologias usadas nos clientes ajudam a corrigir os problemas antes que se espalhem. Ainda assim, para uma segurança mais sólida, o perímetro interno exige uma estratégia em camadas. As organizações devem aproveitar os recursos fornecidos por um firewall de última geração para verificar o tráfego dentro da rede (especialmente Wi-Fi) assim como o tráfego que entra na rede vindo de fora do perímetro.

Para ajudar a resguardar o ambiente contra essas ameaças de malware, a equipe de TI deve verificar o tráfego de computadores portáteis e de smartphones que se conectam de dentro do perímetro. Os firewalls de última geração foram criados para fornecer proteção rígida de dentro do ambiente por meio da verificação de cada pacote de tráfego que passa pela LAN wireless interna usando serviços de gateway contra invasões, antivírus e antispyware (consulte a figura).

Os firewalls de última geração permitem que as organizações controlem o malware e definam políticas sobre o que constitui aplicativos aceitáveis e inaceitáveis. Dessa maneira, um firewall de última geração ajuda o departamento de TI a gerenciar o modo como dispositivos consomem recursos essenciais, como a largura de banda da rede.

O recurso do firewall de controle de aplicativos foi criado para alocar largura de banda para aplicativos essenciais e restringir ou eliminar a largura de banda para aplicativos supérfluos.

A alocação de largura de banda pode ser definida no nível de usuários ou grupos, o que ajuda a melhorar substancialmente a experiência e a produtividade dos usuários internos, além de minimizar atividades que apenas desperdiçam recursos. Os firewalls de última geração também oferecem a filtragem de conteúdo da rede wireless e com fio, permitindo que o departamento de TI consolide os recursos de um gateway da Web seguro no próprio firewall.

Melhores práticas para manter dispositivos móveis seguros Com base em anos de experiência, a equipe Dell SonicWALL

desenvolveu as melhores práticas a seguir para ajudar grupos de TI a implementar uma solução segura de BYOD. Como cada organização tem seus próprios requisitos específicos, essas melhores práticas devem ser consideradas orientações e passar por avaliação interna da organização.

Acesso remotoAs melhores práticas a seguir aplicam-se a computadores portáteis

e a smartphones que se conectam à rede de fora do perímetro:

• EstabelecerumproxyWebreverso: fornecendo acesso padrão por um navegador, proxies reversos podem autenticar e criptografar o acesso da Web a recursos de rede para notebooks e smartphones.

• ImplementartúneisdeVPNSSL: túneis baseados em agentes adicionam o acesso fácil no nível da rede a recursos cliente-servidor essenciais.

• Utilizarcontroleeverificaçãodepontosdeextremidade: existem ferramentas avançadas disponíveis para impor políticas de segurança por meio da VPN correlacionando qual dispositivo está sendo usado, quem está utilizando o dispositivo e o que está, ou não, presente no dispositivo.

• Presumirquesmartphonesestejamexecutandoaplicativosalémdos confiáveis: o departamento de TI deve aplicar medidas de detecção de usuários root ou sistemas operacionais desbloqueados e automaticamente bloquear a conectividade de smartphones comprometidos.

132919_BR_SMB_MB_Q3W11_Catalyst.indd 14 10/22/13 10:43 AM