Proteção. Controle. Rendimento. UM RELATÓRIO TÉCNICO DA IPSWITCH. Como o MOVEit Aborda os Requisitos da Segurança e Conformidade da Proteção de Dados

Transcrição

1 Proteção. Controle. Rendimento. UM RELATÓRIO TÉCNICO DA IPSWITCH Como o MOVEit Aborda os Requisitos da Segurança e Conformidade da Proteção de Dados

2 Introdução Não existe uma solução única e holística que possa abordar todos os requisitos de conformidade e segurança da proteção de dados em uma determinada organização. Existem muitos sistemas que as empresas instalam para proteger os dados dentro do firewall. Quando as informações confidenciais ficam dentro de uma organização, é muito mais fácil para a equioe de TI controlar e gerenciar. O que acontece quando dados confidenciais são enviados externamente além das paredes do firewall? Os dados confidenciais estão agora vulneráveis e podem ser manipulados, roubados ou vendidos no mercado negro. Os seus dados podem acabar nas mãos dos destinatários não intencionados, com risco de roubo e violações regulatórias. É aí que um sistema de transferência de arquivo gerenciada (Managed File Transfer - MFT) seguro e confiável pode se provar um investimento inestimável para uma organização que precisa compartilhar informações sensíveis com terceiros. Uma solução MFT pode abordar muitos requisitos de proteção de segurança e conformidade ao mesmo tempo em que proporciona à TI controle, visibilidade e flexibilidade para as atividades de transferência de arquivos. Isso permite que a gerência de TI supervisione as operações diárias da empresa, que envolvem a transferência de grandes quantidades de dados para outras organizações, funcionários, parceiros e fornecedores. Neste relatório oficial, exploraremos os sete controles-chave de segurança exigidos pelos regulamentos de proteção de dados e como o pacote de produtos MOVEit (MOVEit Transfer + MOVEit Automation) permite a sua implementação. Por fim, o relatório mostra como o MOVEit vai acima e além do típicos requisitos mínimos de proteção de dados para garantir a segurança, conformidade, visibilidade e controle sobre seus dados mais sensíveis. Proteção de Dados na Transferência de Arquivos Uma vez que os dados confidenciais estejam fora do firewall, eles serão expostos a potencial roubo e uso indevido. 2

3 Requisitos de Conformidade Assegurar que as trocas de dados externas sejam realizadas de forma segura e em conformidade com os mandatos de proteção de dados requer uma avaliação criteriosa de sua solução de MFT, em comparação aos seguintes sete requisitos de segurança. Requisito de Segurança Arquivo 1. Conformidade Controle da Transferência de Automação 2. Segurança das Comunicações Controle e Visibilidade 3. Políticas de Segurança da Segurança da Informação 4. Controle de Acesso Autenticação 5. Criptografia Criptografia 6. Segurança Física e Ambiental Arquitetura Segura 7. Segurança na Continuidade Failover Vamos mergulhar profundamente em cada um destes sete controles de transferência de arquivos e explorar como uma Solução MOVEit pode abordar exaustivamente cada um dos requisitos de segurança descritos acima. AUTOMAÇÃO As operações de transferência de arquivo automatizadas têm vários benefícios. Elimina a probabilidade de perda de receitas devido a submissões de SLAs atrasadas. Também reduz o risco de violação aos requisitos de segurança, necessários para cumprir os regulamentos de proteção de dados. A automação das tarefas baseadas em arquivos e fluxos de trabalho do negócio permite a TI: Minimizar a necessidade de manter vários scripts Atender aos requisitos dos Contratos de Serviço (Service Level Agreement - SLA) Permanecer flexível para se adaptar a mudanças nas condições da empresa Eliminar a necessidade de monitorar manualmente onde os arquivos estão em um determinado momento. TI muitas vezes depende de scripts para transferir arquivos regularmente. Manter 3

4 vários scripts escritos por diferentes funcionários em diferentes linguagens de script traz complexidade e reduz a sua capacidade de escalar atividades de transferência de arquivos. Se o autor de um script de transferência de arquivo deixa a empresa, a capacidade das equipes para fazer atualizações ou garantir eficácia torna-se um problema. Ainda mais problemático é o risco de que os scripts se tornam obsoletos e já não funcionam ou são inseguros e aumentam o risco de uma violação de dados. MOVEit Automation facilita o agendamento da maioria das atividades de transferência de arquivos sem a necessidade de scripts personalizados. A instalação fácil de usar dá à TI a capacidade de criar rapidamente novas tarefas e então modificá-las ao longo do tempo, conforme necessário. O programador de tarefas incorporado automaticamente empurrará e puxará arquivos entre servidores de compartilhamento de arquivos, servidores FTP ou MOVEit Transfer a intervalos programados predefinidos, garantindo a sua entrega, conforme necessário, para o destinatário pretendido. As transferências de arquivos podem ser facilmente configuradas para enviar tarefas para múltiplos sistemas simultânea e regularmente ou configurar como uma transação de transferência de arquivo de lote único. As tarefas podem ser facilmente criadas, modificadas ou excluídas por qualquer administrador que tenha recebido permissões de acesso e requer zero recurso de script por parte do usuário. Mesmo os fluxos de trabalho complexos, baseados na lógica, podem ser criados e modificados sem a necessidade de conhecimentos avançados de programação. MOVEit Automation também suporta a entrega garantida através de recursos de correção de erros e encaminhamento automático para todas as transferências de dados que ocorrem. A garantia de entrega é obtida pelo MOVEit ao reenviar automaticamente uma atividade de transferência de arquivos com erro, até que ela seja concluída com sucesso. Uma vez que os dados sejam entregues, o MOVEit fornece ao remetente uma notificação confirmando que os dados foram recebidos pelo destinatário(s) autorizado. CONTROLE E VISIBILIDADE Não há uma forma de garantir que os dados confidenciais da organização sejam 100% protegidos contra ataques cibernéticos. No entanto, o controle e a visibilidade da movimentação de seus dados podem ser ferramentas eficazes para minimizar consideravelmente a chance de os hackers obterem acesso não autorizado aos seus dados. Ao ter uma clara visão dos fluxos de dados e eventos que estão ocorrendo, a sua organização poderá estabelecer procedimentos de segurança eficazes para proteger os seus dados e ajudar a garantir a conformidade com os regulamentos de conformidade da proteção de dados. A visibilidade central pode alertar TI quanto à estranheza da atividade de acesso ao arquivo ou dos padrões de transferência de arquivo. O MOVEit fornece um grande conjunto de controles de autenticação que gerenciam quando e por quanto tempo os usuários estão autorizados a acessar dados confidenciais. Estes incluem o provisionamento de usuários e grupos, acesso à conta do usuário, permissões e quotas, bem como a definição de regras de expiração de acesso de arquivos. TI também pode definir as políticas de senha 4

5 e pode colocar os usuários na lista negra e lista branca, conforme necessário. Qualquer violação a esse conjunto de políticas e controles alerta TI quanto ao acesso não autorizado ou a possíveis ciberataques e os capacita para responder a estas preocupações de segurança com rapidez e eficácia. O controle sobre os registros e emissão de relatórios simplifica o processo de auditoria e assegura a integridade das trilhas de auditoria. Os registros do sistema fornecem insights valiosos sobre o processo de transferência de arquivos ao manter o rastreamento de quando um arquivo é transferido, se foi recebido pela parte correta e se deve ou não ser excluído posteriormente. Se esses registros forem adulterados, a integridade de todo o processo de transferência de arquivo será comprometida. O MOVEit impede que isso aconteça ao utilizar a criptografia inviolável dos registros, garantindo que os registros de transferência de arquivo não sejam alterados de forma alguma. Uma outra maneira que o MOVEit auxilia no processo de trilha de auditoria é com relatórios predefinidos e personalizáveis. Uma interface de usuário simples facilita visualizar e puxar relatórios. Um formato de relatório consistente em todos os servidores FTP no sistema torna mais fácil para os auditores revisar, comparar e contrastar todas as informações da atividade de arquivo disponíveis. SEGURANÇA DA INFORMAÇÃO Os importantes requisitos de conformidade de transferência de arquivos incluem as verificações da integridade do arquivo, exclusão de dados após o recebimento, não repúdio e entrega garantida. Estas salvaguardas de segurança da informação asseguram que os dados sensíveis em trânsito sejam protegidos de alterações por um terceiro ou entregues erroneamente a um destinatário não intencionado. Receber os seus dados onde você quer parece fácil, mas requer várias proteções de retaguarda incorporadas à sua metodologia de transferência de arquivos para proteger os seus dados confidenciais. Ataques indiretos ocorrem quando um invasor maliciosamente altera a comunicação direta entre duas partes. O recurso de integridade de dados de não repúdio do MOVEit garante que o remetente e o destinatário estejam ambos autorizados e autenticados para acessar os dados. Em outras palavras, somente o remetente e o destinatário têm permissões para acessar os dados que estão sendo transmitidos. Se um terceiro de alguma forma consegue interceptar esta transmissão, ele não conseguirá ler ou alterar qualquer um dos dados. O MOVEit usa algoritmos SHA1 e MD5 ao realizar verificações da integridade de arquivos para garantir que os dados que são enviados originalmente são os mesmos dados que eventualmente serão entregues ao destinatário. O MOVEit permite a proteção de dados confidenciais com a opção de definir controles para automaticamente excluir dados em um tempo definido (por exemplo, 1 hora, 1 dia, 1 semana, etc.) ou limitar o número de vezes que um arquivo pode ser baixado depois de ser recebido pelo destinatário. Os limites de exclusão de dados e de download de arquivos ajudam a assegurar que os arquivos não sejam inadvertidamente deixados expostos para acesso não autorizados por parte de terceiros. 5

6 Outro grande recurso do MOVEit é que você sabe onde seus arquivos estão a todo momento. A entrega garantida assegura que os seus arquivos sejam de fato enviados para o seu destino. O MOVEit reenvia automaticamente uma atividade de transferência de arquivos com erro, até que ela seja concluída com sucesso. Uma vez que os dados sejam entregues, o MOVEit fornece ao remetente uma notificação confirmando que os dados foram recebidos pelo destinatário(s) autorizado. AUTENTICAÇÃO E AUTORIZAÇÃO Uma das primeiras camadas de defesa para atender aos requisitos de segurança e conformidade de dados pode ser estabelecida antes que a informação seja até mesmo acessada. Ao controlar o acesso a seus sistemas e dados, é possível assegurar que somente usuários autorizados tenham contato direto com os dados mais sensíveis da sua organização. O MOVEit aumenta a capacidade dos administradores em autenticar os usuários em comparação a várias fontes de autenticação, como o banco de dados de usuários locais, diretórios externos via LDAP ou RADIUS e IdPs externos via SAML/SSO. Por exemplo, o active directory (AD), implementação da Microsoft dos serviços de diretório LDAP, é um banco de dados que mantém o rastreamento de todas as contas e senhas de usuário em sua organização. Os administradores podem ter acesso ao AD para facilmente implementar políticas, credenciais e segurança em toda a empresa. Usar o AD limita o número de nomes de usuário e logins para os usuários finais para lembrar, reduzir o número de contas que TI tem de criar e gerenciar e aumentar a segurança, uma vez que todos os dados sejam armazenados em um local protegido. Integrar o controle de acesso com o AD garante que apenas usuários já autenticados no AD ou LDAP tenham acesso ao sistema de transferência de arquivos. Não há necessidade que TI monitore este processo, uma vez que esteja estabelecido, já que o sistema conseguirá manter e fornecer o acesso apropriado, alterar o status do funcionário (ou seja, funcionários novos ou demitidos). A autenticação de multifatores é suportada através de certificados SSL/TLS para HTTPS e FTPS, bem como chaves de cliente SSH para SFTP. Isso fornece outra camada de autenticação projetada para ajudar a garantir que a pessoa que está tentando acessar o sistema MOVEit tenha mesmo as permissões para fazê-lo. Quando um usuário recebe concessão de acesso ao servidor MOVEit, controles internos de autorização fornecem segurança para proteger os dados sensíveis de serem visualizados por partes não autorizadas. Por padrão, os usuários recebem os direitos de acesso com base no princípio de privilégio mínimo, ou seja, que eles não tenham acesso ou visibilidade até que as permissões sejam concedidas. Em outras palavras, os arquivos de cada usuário estão protegidos contra visualização ou alteração por pessoas não autorizadas. O MOVEit fornece aos administradores de sistemas a flexibilidade e granularidade para ajustar os controles de autorização, conforme necessário. Os administradores podem conceder permissões individuais aos usuários ou um conjunto de permissões através de um Grupo. A associação ao grupo pode ser sincronizada com o AD via LDAP ou SAML. Isso permite que os administradores do sistema tenham controle claro sobre o que os usuários podem e não podem acessar quando conectados a um 6

7 servidor do MOVEit. CRIPTOGRAFIA As normas de conformidade muitas vezes exigem que um certo nível de protocolos de segurança de dados seja estabelecido para evitar que informações confidenciais acabem nas mãos erradas, sejam roubados e vendidos no mercado negro. As intenções destes regulamentos de conformidade são boas, mas muitas vezes, algoritmos de criptografia são atualizados em um ritmo mais rápido do que podem ser mantidos atualizados por estes mandatos. Os algoritmos de criptografia têm uma vida útil limitada. Os seus sistemas devem ser continuamente atualizados para garantir a proteção mais atualizada de criptografia disponível para dados em trânsito e em repouso. O MOVEit usa algoritmos validados FIPS 140-2, como a criptografia AES 256, para proteger dados em repouso. Mesmo se alguém conseguir invadir seu sistema, todos os dados armazenados no servidor MOVEit Transfer estarão criptografados e inacessíveis para o intruso. Eles não conseguirão 'quebrar o código', assim falando, ter acesso a seus arquivos confidenciais. O MOVEit também protege os dados em trânsito, usando protocolos de transferência segura de arquivos SFTP (SSH), FTPS (SSL/TLS) e HTTPS (SSL). Estes protocolos são continuamente atualizados no MOVEit para aderir às normas mais recentes da indústria, garantindo que os seus dados estejam sempre seguros. ARQUITETURA SEGURA Uma solução robusta e segura do MFT não apenas tem salvaguardas para proteger os dados, tanto em repouso quanto em movimento, mas também oferece uma arquitetura de sistema com camadas adicionais de segurança para separar fisicamente dados marcados para trânsito a partir de bancos de dados de arquivos internos. O servidor MOVEit Transfer atua como um repositório temporário de dados que precisa ser compartilhado com terceiros. Ele fica fora do firewall da organização, de modo que os dados armazenados nele podem ser acessados pelas partes externas sem expor o resto da rede da organização. Todos os dados armazenados no MOVEit Transfer são protegidos com criptografia AES-256, garantindo que não haja nenhum dado não criptografado no DMZ. O Gateway da Ipswitch adiciona outra camada de proteção à sua arquitetura de soluções de transferência de arquivos. Ele fica dentro do DMZ e fornece terminação de solicitações de entrada para autenticação e transferências de dados. Também atua como um Proxy entre conexões de entrada da rede pública e uma rede interna confiável da organização. Esta configuração permite que o MOVEit Transfer seja implantado atrás do firewall, fornecendo camadas adicionais de segurança e minimizando o risco de exposição a recursos de rede segura, dados confidenciais e serviços de autenticação por terceiros não autorizados e hackers. FAILOVER A continuidade do negócio é um aspecto muito importante para qualquer organização que deva trocar dados sensíveis, dentro e fora dos limites do seu 7

8 firewall. Quando você precisa proteger seus dados em movimento e assegurar que eles não sejam "perdidos em um vazio" de algum lugar durante um desastre natural, falta de energia ou período de alto volume de transferência dentro de sua organização, a confidencialidade, integridade e disponibilidade das atividades de transferência de arquivos tornam-se altas prioridades. A arquitetura flexível e escalável do MOVEit permite alta disponibilidade, melhorando o desempenho da transferência de arquivos da rede. A alta disponibilidade pode ser adquirida ao eliminar pontos únicos de falha com a implementação de uma web farm distribuída dos componentes do MOVEit Transfer. A web farm do MOVEit Transfer opera como sistema MOVEit Transfer único que manipula todas as solicitações clientes e distribui a carga do sistema MFT por vários nós. Esta arquitetura distribuída garante a distribuição mais eficiente das atividades de transferência de arquivo para o seu sistema, e permite que TI escale a disponibilidade e aumente o desempenho ao simplesmente adicionar mais nós de aplicação à web farm. O failover automático e seguro tem um papel importante ao assegurar que as atividades de transferência de arquivos tenham sucesso em 100% do tempo. A opção de failover do MOVEit garante que os arquivos sejam reiniciados com sucesso ou continuamente até serem concluídos, mesmo durante um desastre ou paralisação. Isso garante operações de transferência de arquivos confiáveis, 24 horas por dia, 7 dias por semana, com zero downtime e protege contra perdas de dados para garantir a conformidade regulatória e com a política. Combinar a alta disponibilidade do MOVEit com as opções de failover garante que o seu sistema MFT estará pronto, disponível e equipado para proporcionar uma entrega segura e garantida de todos os seus dados, quando eles precisarem ser transferidos. 8

9 Resumo dos Recursos de Segurança e Conformidade da Proteção de Dados do Ipswitch MOVEit O MOVEit é um sistema MFT que permite gerenciar, visualizar, proteger e controlar a troca de dados confidenciais com partes externas, assegurando a conformidade com os regulamentos de proteção de dados. Com o MOVEit a sua equipe de TI pode: Controlar a movimentação de dados críticos entre parceiros, pessoas e sistemas para garantir a segurança dos dados e conformidade regulatória Simplificar a criação de fluxos de trabalho automatizados para aumentar a confiabilidade, segurança e conformidade Automatizar o monitoramento do desempenho, SLA e conformidade Do ponto de vista de conformidade o MOVEit ataca muitas das preocupações de proteção de dados: Salvaguardas de Proteção de Dados: O MOVEit foi projetado para se destacar na implementação de salvaguardas de proteção de dados: criptografia em repouso, exclusão com segurança, integridade na transferência de arquivos (não repúdio), IDs exclusivas para usuários, logoff automático Controle de Acesso: O MOVEit permite que os administradores configurem e apliquem automaticamente uma política de controle de acesso forte para usuários internos que acessam ephi Registros e Relatórios: O MOVEit produz registros detalhados de auditoria para suportar as revisões das atividades dos usuários, incluindo atividade de login Recuperação de Desastres: O Ipswitch Failover para MOVEit elimina muito da complexidade envolvida em uma implementação técnica do planejamento de contingência exigido para dados críticos de ephi 9

10 A tabela a seguir resume como uma Solução de MFT MOVEit se compara a outras implementações de transferência de arquivos disponíveis no mercado. ÁREA DE SEGURANÇA SERVIDORE S FTP COMPARTILHAMENTO DE ARQUIVOS NA NUVEM SERVIDORES DE E- MAIL SERVIDORES MFT MOVEit A Frost & Sullivan premiou o Ipswitch MOVEit com o seu 2016 Secure File Transfer Product Leadership Award. No decorrer da Pesquisa de Melhores Práticas do setor, o MOVEit foi considerado o que melhor aborda as necessidades-chave de segurança, flexibilidade e escalabilidade de clientes e indústria, enquanto assegura aos clientes uma experiência e facilidade de uso inigualáveis. Automação Fluxo de Trabalho Controle e Visibilidade Segurança da Informação Autenticação Criptografia Arquitetura Segura Failover 1

11 Sobre a Ipswitch Com soluções simples, a Ipswitch ajuda a resolver problemas complexos de TI. Milhões de pessoas em todo o mundo confiam no software da empresa para transferir arquivos entre sistemas, parceiros comerciais e clientes, bem como para monitorar redes, aplicativos e servidores. A Ipswitch foi fundada em 1991 e está baseada em Lexington, Massachusetts, com escritórios nos Estados Unidos, Europa e Ásia. Para obter mais informações, visite Faça o Download de sua VERSÃO GRATUITA DE 30-Dias do Ipswitch MOVEit 10