a identidade como o novo perímetro: adotando a nuvem, a plataforma móvel e a mídia social com segurança agility made possible
A transformação da TI e as identidades em evolução Diversas tendências da tecnologia, incluindo a nuvem, mobilidade, mídia social e a consumerização da TI, transformaram não só a TI, mas também a maneira como funcionários, parceiros e clientes interagem com uma organização. E conforme os aplicativos de SaaS (Software as a Service - Software como Serviço) e na nuvem foram crescendo em popularidade, os ambientes de TI se tornaram mais distribuídos, fragmentados e nebulosos, com muitos componentes se situando fora do perímetro de segurança tradicional dos firewalls e das VPNs (Virtual Private Networks - Redes Privadas Virtuais). Como resultado, a proteção da empresa móvel da atualidade, com base na nuvem, requer uma nova abordagem. Como nossos aplicativos e dados são protegidos por muitos provedores de nuvem diferentes, a autenticação dos usuários nesses ambientes é o ponto de controle central que podemos manter. Em outras palavras, a identidade deve se tornar o novo controle de segurança de perímetro para o ambiente de TI distribuído. De acordo com uma pesquisa recente realizada pelo Ponemon Institute a pedido da CA, 64% dos profissionais de segurança e TI agora recorrem a soluções híbridas de gerenciamento de identidades e acesso, que suportam aplicativos no local e na nuvem. 1 1 Ponemon Institute, Security of Cloud Computing Users Study, março de 2013. 02
o desaparecimento do perímetro da rede tradicional Rede histórica com uma única camada externa Funcionário móvel Perímetro da rede Funcionário interno VPN Aplicativos corporativos No local No passado, o perímetro da rede fornecia uma camada externa de proteção em torno de todos os seus dados e aplicativos. Assim tudo ficava contido e as equipes de TI e segurança podiam facilmente gerenciar as identidades dos funcionários internamente. Então, conforme o número de funcionários remotos cresceu, as VPNs tornaram-se parte do perímetro e assumiram o trabalho de autenticar os funcionários quando eles estavam fora do local. A realidade de hoje com a atividade fora do perímetro de segurança Usuário do parceiro Cliente Funcionário móvel Perímetro da rede VPN Plataformas/aplicativos na nuvem e serviços web SaaS GOOGLE Entretanto, à medida que a popularidade das ofertas na nuvem, de infraestrutura como serviço (IaaS), de plataforma como serviço (PaaS) e de SaaS cresceu nos últimos anos, mais e mais aplicativos migraram para fora do firewall. Além disso, os usuários externos dos parceiros e clientes agora estão acessando aplicativos no local e na nuvem (alguns atrás de um firewall e alguns não), criando desafios adicionais para o gerenciamento de identidades fora do perímetro tradicional. No local Funcionário interno Aplicativos corporativos 03
o surgimento da TI sombra Com o perímetro tradicional desaparecendo e o aumento do uso dos aplicativos na nuvem, os gerentes de negócios agora podem comprar serviços na nuvem na hora tudo o que eles precisam é de um cartão de crédito. Em alguns casos, as organizações têm infraestruturas informais de servidores, aplicativos e dados que foram adquiridos dessa maneira. Quando isso acontece, o grupo de TI central geralmente tem pouco controle sobre o serviço, o que gera desafios significativos à segurança para o conteúdo na nuvem. a TI sombra com base na nuvem leva a identidades sombra Quando os componentes da TI sombra tornam-se parte da infraestrutura, os usuários criam novas identidades para acessá-los, possivelmente usando o mesmo nome de usuário e senha que usam nos sistemas corporativos, o que multiplica os riscos à segurança. Ou os usuários geram novos nomes de usuário e senhas para cada serviço, colecionando uma variedade de identidades sombra que devem ser gerenciadas junto com suas credenciais corporativas. O desafio para a segurança da TI é que quanto mais fragmentados esses componentes sombra ficam, mais difícil se torna gerenciar as identidades e o acesso. Por exemplo, se as identidades não estão sendo gerenciadas centralmente, pode se tornar impossível remover o acesso quando um funcionário muda de função ou sai da organização. 04
o surgimento da identidade como o novo perímetro da rede Usuário do parceiro Cliente Plataformas/aplicativos na nuvem e serviços web GOOGLE Os conceitos de dentro e fora da rede não têm mais sentido. O perímetro tradicional se foi, então as organizações têm de mudar sua maneira de gerenciar a segurança e as identidades dos usuários se querem manter seus dados e aplicativos seguros. Nesse novo cenário, a identidade deve se tornar o perímetro de segurança. SaaS Funcionário móvel No local Funcionário interno Aplicativos corporativos 05
uma nova abordagem ao gerenciamento de identidades Tradicionalmente, as organizações têm abordado a segurança sob uma perspectiva de conjunto tecnológico, infundindo o gerenciamento de identidades e acesso diretamente nos servidores (físicos e virtuais), bancos de dados, aplicativos, sistemas operacionais e redes que compõem suas infraestruturas de TI. No entanto, com o perímetro tradicional desaparecendo e as organizações consumindo mais serviços de negócios por meio do modelo como serviço, é hora de começar a pensar sobre a segurança sob uma perspectiva de intermediação. Nesse modelo, a organização intermedeia a segurança entre si e todas as instâncias de aplicativo onde seus dados residem: O provedor na nuvem: lida com a infraestrutura e a segurança do aplicativo como parte de seus acordos de nível de serviço (SLAs). A autenticação dos clientes corporativos deve ser deixada para a empresa. A equipe de segurança corporativa: poderá limitar a proliferação das identidades sombra se gerenciar todas as autenticações dos usuários para os serviços na nuvem. A empresa pode controlar a diretiva de senha e implementar autenticação de vários fatores conforme necessário para acesso aos serviços na nuvem, incluindo a proibição do acesso para funcionários demitidos. Criação e segurança da infraestrutura Agenciamento de serviços de negócios Middle ware Aplicativo BD Middle ware Aplicativo BD SERVIÇO DE NEGÓCIOS Sistema operacional Sistema operacional Virtualização REDE Virtualização SERVIÇO DE NEGÓCIOS SERVIÇO DE NEGÓCIOS USUÁRIO USUÁRIO 1 Copyright 2012 CA. Todos os direitos reservados. 06
a necessidade de autenticação centralizada dos usuários Para ter sucesso com esse modelo de intermediação de serviços de negócios, as equipes de segurança precisam encontrar uma maneira de eliminar as identidades sombra e autenticar todos os usuários através de seus serviços de identidade antes de os usuários acessarem os aplicativos de que necessitam. Essa abordagem pode simplificar o gerenciamento do acesso para todos os tipos de usuários, incluindo: Funcionários Embora os funcionários ainda possam ser autenticados em relação ao diretório corporativo, a autenticação contextual de vários fatores deve estar disponível para transações de alto valor ou acesso a aplicativos confidenciais. Por exemplo, se um usuário normalmente faz logon do escritório ou de sua casa nos EUA durante o horário comercial normal, mas uma tentativa de logon é feita a partir da Europa no meio da noite, o serviço deve recusar a autenticação ou exigir credenciais adicionais. Administradores privilegiados Os administradores privilegiados podem ser um desafio, porque frequentemente têm mais direitos de acesso do que precisam e compartilham o uso de uma conta comum (raiz, por exemplo). Para combater isso, um serviço de autenticação central deve agir de maneira semelhante à adotada para os funcionários, mas quando um usuário privilegiado fizer logon, ele receberá uma senha de uso único para essa sessão individual, eliminando a falta de responsabilização que é endêmica no uso de contas compartilhadas. 07
a necessidade de autenticação centralizada dos usuários continuação Parceiros Para os parceiros, a organização pode federar o processo de autenticação para seus provedores na nuvem por meio de SAML (Security Assertion Markup Language). Fazendo isso, a empresa obtém os benefícios de um serviço de identidade centralizado, sem ter de gerenciar identidades de parceiros. Clientes Os clientes de hoje já acumularam uma infinidade de nomes de usuário e senhas, então as organizações só devem pedir a eles que criem novas credenciais para transações de alto valor. Por exemplo, uma organização pode se integrar com identidades de mídia social para proporcionar uma experiência de logon simplificada para seus clientes. Então, se um cliente busca uma transação de alto valor, o serviço de identidade centralizado poderia iniciar um processo de autenticação mais tradicional que irá proteger os aplicativos e dados confidenciais. O segmento comum em cada um desses cenários do cliente é um serviço de identidades centralizado que controla o acesso a todos os aplicativos corporativos, estejam no local ou na nuvem. 08
definindo um caminho de avanço Embora um serviço centralizado de gerenciamento de identidades e acesso possa ajudar as organizações a criar um novo perímetro de identidade que proteja os data centers fragmentados da atualidade, a pergunta de como implementar tal serviço permanece. Veja a seguir algumas recomendações de como definir um caminho de avanço da melhor forma: Etapa 1: Estabelecer uma arquitetura de intermediação na nuvem Devido à sua facilidade de uso e integração com os serviços na nuvem, muitas organizações estão optando por implementar o gerenciamento de identidades e acesso como um serviço. Na verdade, de acordo com a Gartner, o fornecimento de identidade como serviço na nuvem deverá crescer para 30% até 2016. 2 Mas por que você deveria considerar o gerenciamento de identidades e acesso como um serviço? Para começar, ele permite que você aumente a segurança que tem implementada hoje, em vez de recorrer a uma ruptura e substituição total. Você pode começar com aplicativos na nuvem muitos dos quais serão pré-integrados e adicionar aplicativos no local com o tempo. Por fim, essa arquitetura de intermediação na nuvem se transformará em um único perímetro de identidade centralizado. Etapa 2: Criar uma lista de verificação e avaliar os provedores na nuvem Antes de avaliar as soluções de gerenciamento de identidades e acesso como serviço, é fundamental que você elabore uma lista de verificação de segurança para poder avaliar os provedores na nuvem. O que a lista de verificação deve incluir? Procure recursos que ajudarão você a controlar as identidades em aplicativos na nuvem, como: Autenticação com base em SAML com a capacidade de desativar a autenticação local Provisionamento e desprovisionamento automatizados Uma consulta para os usuários atuais Acesso ao log de uso Capacidade de externalizar a autorização Práticas com base em padrões Etapa 3: Criar um catálogo Por fim, converse com os gerentes de negócios sobre seus projetos futuros, para que você possa criar um catálogo de serviços priorizado pelas iniciativas de TI e negócios mais recentes. Por exemplo, se você sabe quais são os novos tipos de aplicativos de SaaS que a organização está avaliando, você pode buscar proativamente aqueles que se alinhem com a lista de verificação desenvolvida na etapa anterior. Ao descobrir isso antecipadamente, você pode ajudar a organização a escolher aplicativos que não só atendem aos requisitos de funcionalidade centrais, mas também suportam uma implementação rápida e sem interrupções, acelerando o desenvolvimento de novos serviços. 2 Gartner The Growing Adoption of Cloud-based Security Services por Kelly M. Kavanagh, 3 de maio de 2012. 09
venda isso à organização como uma discussão de negócios, não de tecnologia Quando uma organização busca uma abordagem centralizada de gerenciamento de identidades e acesso, ela vê benefícios de segurança imediatos nas seguintes áreas: Acesso aos ativos de TI no local e na nuvem Visibilidade das ações de usuários privilegiados Garantia das identidades dos usuários Proteção das informações do cliente Governança aprimorada dos direitos de acesso de todos os usuários (ou seja, quem tem acesso a o quê?) Outro benefício menos óbvio é o aumento na agilidade dos negócios. Quando as identidades são gerenciadas centralmente, novos serviços de negócios podem ser implantados com mais facilidade e rapidez do que se cada um exigisse integração manual da segurança. Como resultado, as organizações podem reagir mais rapidamente às condições variáveis do mercado, acelerar a criação de novos serviços de negócios e criar vantagem competitiva. Além disso, os executivos de segurança podem mostrar valor a todo o conselho de executivos, ajudando-os a garantir seu lugar na mesa: Os Gerentes de negócios beneficiam-se com auditorias mais fáceis, implantações mais rápidas de SaaS e melhor experiência para seus clientes (por exemplo, redução no logon único) Os CIOs beneficiam-se com a redução nos custos operacionais e de suporte técnico, além do aumento da confiabilidade Autoridades de conformidade beneficiam-se com relatórios automatizados e melhoria na visibilidade A Segurança da TI atinge suas metas de segurança e possibilita adoção melhor e mais rápida de novos serviços de negócios 10
sobre as soluções da CA Technologies As soluções de Segurança da CA podem ajudar não só a proteger seus negócios, mas a capacitar a empresa para crescer, possibilitando que você aproveite com segurança os benefícios da nuvem, mobilidade, virtualização e grandes volumes de dados. Com as nossas soluções, você pode: Acelerar o fornecimento de novos serviços de negócios seguros aos seus clientes Proteger o acesso aos dados por toda a sua empresa estendida Utilizar novos canais com segurança para ajudar a expandir sua base de clientes e aumentar a fidelidade Proteger contra ameaças internas e ataques externos Melhorar a eficiência por meio da automação de processos importantes relacionados a identidade Proteger informações confidenciais contra roubo ou revelação Nós fornecemos esses benefícios por meio dos seguintes recursos: Governança de acesso e gerenciamento de identidades Gerenciamento do acesso à web e SSO Autenticação avançada e prevenção contra fraude Gerenciamento de contas compartilhadas (administrador) Segurança móvel Classificação e controle das informações Serviços de identidade com base na nuvem 11 Para obter mais informações sobre as soluções de segurança da CA, visite www.ca.com/br/security.
A CA Technologies (NASDAQ: CA) é uma empresa de software e soluções de gerenciamento de TI com experiência em todos os ambientes de TI desde ambientes distribuídos e de mainframes até ambientes virtuais e na nuvem. A CA Technologies gerencia e protege os ambientes de TI, e permite que os clientes prestem serviços de TI mais flexíveis. Os produtos e serviços inovadores da CA Technologies fornecem a visão e o controle essenciais para que as organizações de TI aumentem a agilidade dos negócios. A maioria das empresas que compõe a lista Global Fortune 500 conta com a CA Technologies para gerenciar seus ecossistemas de TI em constante evolução. Para obter mais informações, visite a CA Technologies, em ca.com/br. Copyright 2013 CA. Todos os direitos reservados. Microsoft e o logotipo da Microsoft são marcas comerciais ou marcas registradas da Microsoft Corporation nos Estados Unidos e/ou em outros países. Todas as marcas registradas, nomes de marcas, marcas de serviço e logotipos aqui mencionados pertencem a suas respectivas empresas. Este documento destina-se apenas a fins informativos. A CA não assume nenhuma responsabilidade quanto à precisão ou integridade das informações. Na medida do permitido pela lei aplicável, a CA fornece este documento no estado em que se encontra, sem garantias de nenhum tipo, incluindo, sem limitações, garantias implícitas de comerciabilidade, adequação para uma finalidade específica ou não violação. Em nenhuma circunstância a CA será responsável por quaisquer perdas ou danos, diretos ou indiretos, decorrentes do uso deste documento, incluindo, sem limitações, perda de lucros, interrupção dos negócios, reputação da empresa ou perda de dados, mesmo que a CA tenha sido expressamente informada sobre a possibilidade de tais danos com antecedência.