Definição de um acordo de nível de serviço voltado à segurança no Ambiente Computacional da CASAN Argos Luiz Martin Fleck Orientador: Carlos Becker Westphall Banca avaliadora: Rafael da Rosa Righi Carla Merkle Westphall
Sumário Motivações SLA: Service Level Agreement Sec-SLA Métricas Definidas Tecnologias e Recursos Utilizados SLS: Service Level Specifications O Contrato Conclusão Trabalhos Futuros 2
Motivações Inexistência de contratos deste gênero de forma prática e efetiva; Expandir a quantidade de métricas; Melhorar a cultura com a segurança do ambiente computacional da CASAN. 3
SLA: Service Level Agreement SLA é um acordo formal negociado entre duas partes, designando qualidade, prioridades e responsabilidades no serviço prestado. [RIGHI et al., 2006] Define-se que um SLA convencional, é um contrato firmado entre uma Provedora de Serviços e o usuário deste serviço, com punições se os níveis de serviço disponibilizados caiam abaixo dos níveis mínimos estabelecidos [TONDELLO, 2003] 4
Sec-SLA: O SLA para segurança Enfoques Diferentes: Métricas; Implementações paralelas; Poucos serviços de segurança alvos de SLAs; [HENNING, 1999] Complemento: não substitui políticas de segurança; [RIGHI et al., 2004] 5
Sec-SLA: Objetivos Descrever o ambiente; Levantar requisitos; Definir métricas; Estabelecer parâmetros para as métricas; Adequar o ambiente para atender o contrato; Criar o Contrato propriamente dito; 6
Ambiente Computacional 1.000 estações; 30 servidores; 2.000 colaboradores; MPLS para os links WAN; Rede de perímetro: Screened Subnet; T.I.: 30 colaboradores; 7
Sec-SLA: Pesquisa com Usuários Questão 8: Dos itens abaixo, qual mais lhe incomoda? 80% SPAM 60% 40% 20% 0% lembrar senhasvírus não achar arquivos de rede lembrar senhas 13% vírus 15% SPAM 70% não achar arquivos de rede 2% 8
Sec-SLA: Métricas Número de agentes maliciosos não detectados; Número de SPAM recebidos; Treinamento de usuários; Controle Físico dos Ativos; Política de Backup; Registro de Eventos; Número de Invasões; Gerência de Senhas; Tempo de Reparo; Plano de Contingência; Páginas web indevidas acessadas; Acessos não autorizados através de VPN; Uso de criptografia em enlaces não confiáveis; 9
Tecnologias e Recursos Utilizados Id 01 02 03 04 05 06 07 08 09 10 11* 12* 13* Definição da Métrica Número de agentes maliciosos não detectados. Número de SPAM recebidos Treinamento de usuários no período. Controle Físico dos Ativos Política de Backup Registro de Eventos Número de Invasões Gerência de Senhas Tempo de Reparo Plano de Contingência Páginas web indevidas acessadas Acessos não autorizados através de VPN. Uso de criptografia em enlaces não confiáveis. Tecnologia ou metodologia empregada Ferramenta de antivírus corporativa Etrust (Computer Associates) Aplicativo Spamassasin (Apache) Campanhas de conscientização mensais Utilização de sala fechada, sistema de alarme e vigilância eletrônica Utilização de Storage da HP com ferramenta da Backup Data Protector Armazenamento de eventos usando Kiwi Syslog Server Aplicativo Snort (Sourcefire) Administração de senhas através do próprio Windows Server 2003 Estipulação de tempo de reparo máximo Documento com regras criadas em caso de problemas sérios. Uso do servidor Proxy Squid Utilização de equipamentos de VPN da empresa Juniper que utilizam o protocolo IPSec Criptografia realizada por roteadores Cisco 10
SLS: Service Level Specification Id 01 02 03 04 05 06 07 08 09 10 11 12 13 Métrica Número de agentes maliciosos não detectados Número de SPAM recebidos Treinamento de usuários no período Controle Físico dos Ativos Política de Backup Registro de Eventos Número de Invasões Gerência de Senhas Tempo de Reparo Plano de Contingência Páginas Web indevidas acessadas Acessos não autorizados através de VPN Uso de criptografia em enlaces não confiáveis Especificação do Níveis de Serviço 5 vírus por ano 20 mensagens por mês 2 vezes por ano Uso de sala protegida, guarda noturno, sistema de alarme e monitoramento eletrônico 1 vez por dia Log distribuído e protegido Inadmissível Troca 1 vez por mês, utilizando letras, números, caracteres especiais e com histórico Máximo 4 horas Existente e também testado Inadmissível Inadmissível Existente 11
O Contrato 12
Conclusões Contribuições: Expansão das métricas; Criação de um Sec-SLA para a CASAN; Escrita propriamente dita; 13
Conclusões Definição do Sec-SLA é apenas o início; Com o contrato definido deve-se iniciar a validação; 14
Trabalhos Futuros Aux-SLA aplicativo de auxílio de ao monitoramento de métricas de um Sec-SLA 15
Dúvidas argos@inf.ufsc.br 16