Prévia do material em texto
Soluções de Rede e Cibersegurança Maximiliano de Carvalho Jácomo Rafael Alves Amaral 2024 2 SUMÁRIO Capítulo 1. Sobre o Módulo .......................................................................................... 5 1.1. Apresentação .................................................................................................................... 5 1.2. Um Pouco sobre o Professor .......................................................................................... 5 Capítulo 2. Fundamentos e Conceitos de Redes de Computadores ................... 7 2.1. Uma Casa................................................................................................................................. 7 2.2. Ativos e Passivos de Rede ............................................................................................... 8 Capítulo 3. Arquitetura, Tecnologia, Modelos e Protocolos de Rede .................. 10 3.1. Arquitetura .......................................................................................................................... 10 3.2. Modelos de Rede ............................................................................................................... 11 3.3. Topologias de Rede ......................................................................................................... 12 3.4. Camadas de Rede ............................................................................................................. 13 3.5. Protocolos de Rede .......................................................................................................... 15 Capítulo 4. Endereçamento e Mascaramento de Redes (IPV4 e IPV6) ............. 19 4.1. IPV4 e operações binárias ........................................................................................... 19 4.2. Máscara de Subrede ........................................................................................................ 21 4.3. Classes de IPV4 ................................................................................................................ 23 4.4. Problemas com IPV4 ...................................................................................................... 23 4.5. IPV6 ........................................................................................................................................ 24 Capítulo 5. Roteamento e Rotas ............................................................................. 28 5.1. Roteadores e regras ACLs ............................................................................................ 28 Capítulo 6. Soluções de Alta Disponibilidade em redes e Balanceamento de carga .............................................................................................. 35 6.1. Conceitos de alta disponibilidade ............................................................................ 35 6.2. Redundância, Failover e Balanceamento de carga. .......................................... 37 6.3. Clusterização e Replicação de Dados ..................................................................... 38 3 Capítulo 7. Fundamentos e Conceitos sobre Segurança da Informação e Segurança Cibernética ............................................................................................... 41 7.1. Defesa em Profundidade .............................................................................................. 42 7.2. De onde vem a defesa em profundidade e como funciona? ........................ 43 7.3. Quais são os elementos de defesa em profundidade? ................................... 46 Capítulo 8. Ferramentas de Segurança, DLP e Criptografia de dados .................. 49 8.1. Firewall: inspeção de estado (stateful inspection) ........................................... 50 8.2. Firewall de aplicações web (firewall application web – WAF) ..................... 50 8.3. Firewall pessoal e appliance de hardware ............................................................ 55 8.4. DMZ – Zona Desmilitarizada (Demilitarized Zone)........................................... 55 8.5. Criptografia de dados ..................................................................................................... 57 8.6. SIEM (Centralizadores de Logs de Segurança) .................................................. 59 Capítulo 9. Serviços de Conectividade e rede e segurança na nuvem ................. 63 9.1. VPN – Virtual Private Network ................................................................................... 63 Capítulo 10. Melhores Práticas de Segurança em Cloud ............................ 69 10.1. Identificação e Avaliação de Riscos ..................................................................... 69 10.2. Responsabilidade Compartilhada .......................................................................... 69 10.3. Mitigação de Riscos e Controles de Segurança .............................................. 70 10.4. Conscientização e Treinamento ............................................................................. 70 Capítulo 11. Soluções de apoio a LGPD .............................................................. 73 11.1. Soluções da Azure para LGPD ................................................................................. 73 Referências ......................................................................................................................... 78 1 5 Capítulo 1. Sobre o Módulo 1.1. Apresentação Nesse módulo, vamos conhecer e aprofundar o conhecimento em Soluções de Rede e Cibersegurança entendendo melhor conceitos como endereçamento, roteamento, balanceamento de carga defesa em profundidade e muito mais além de entender quais são principais ferramentas para tratar desses temas. Os vídeos serão um grande complemento dessa apostila, onde será fácil de acompanhar pois seguirá a mesma ordem. A ideia é trazer não só Teoria, mas exemplos práticos pautados em experiências reais do dia a dia. Mas antes, vamos falar um pouco sobre o professor desse modulo: 1.2. Um Pouco sobre o Professor Rafael Alves Amaral é um profissional com mais de 15 anos de experiência na área de TI, sempre focando sua experiência em produtos Microsoft, responsável por projetos em pequenas, médias e grandes empresas possuindo, até o momento da confecção dessa apostila, 18 certificações Microsoft relacionadas a Nuvem. Figura 1 – Professor Rafael Amaral. LinkedIn do Professor: Rafael Alves Amaral | LinkedIn https://www.linkedin.com/in/rafaelalvesamaral/ 2 7 Capítulo 2. Fundamentos e Conceitos de Redes de Computadores 2.1. Uma Casa Como arquitetos, temos que pensar no funcionamento de toda a nossa estrutura como uma casa a ser feita, é essencial o planejamento do nosso projeto levando em consideração cada ponto. Fonte: https://i.pinimg.com/originals/1a/50/44/1a50448bfe9532978e18e2b3178cc1e3. jpg Por exemplo, não adianta construirmos quatro paredes, um chão e um teto sem pensar na parte elétrica, hidráulica, nas janelas, passagens etc. No geral, boa parte disso tem que ser planejada na hora de construir o alicerce da casa. No TI não é diferente, não adianta, em um projeto de infraestrutura, apenas pensarmos na parte de servidores, aplicações e banco de dados, temos que ter o nosso alicerce devidamente planejado, que basicamente é a rede. Planejar como vão funcionar todas as comunicações levando em conta a parte de segurança é essencial para o sucesso do nosso projeto. Quando falamos de redes de computadores estamos falando da comunicação entre todos os nossos ativos de rede, ou seja, entre tudo o que está conectado de alguma forma dentro da nossa estrutura desde um servidor até uma impressora de rede. https://i.pinimg.com/originals/1a/50/44/1a50448bfe9532978e18e2b3178cc1e3.jpg https://i.pinimg.com/originals/1a/50/44/1a50448bfe9532978e18e2b3178cc1e3.jpg8 2.2. Ativos e Passivos de Rede Ativos de rede são componentes essenciais na construção de uma rede de computadores, responsáveis pela conexão e comunicação entre dispositivos. Eles não apenas facilitam a interconexão entre máquinas, mas também desempenham um papel crucial na organização e gerenciamento de dados. Entre os exemplos mais comuns de ativos de rede estão os roteadores, que distribuem o sinal de internet, e outros dispositivos como servidores, hubs, switches, firewalls e placas de rede, todos projetados para gerar, receber e converter sinais eletrônicos. Fonte: https://2.bp.blogspot.com/- jdGFyhqy0JU/U4elqwd4yEI/AAAAAAAAACQ/uZPEHi-gqQc/s1600/switch.jpg Por outro lado, os passivos de rede têm a função primordial de interligar diferentes fontes, aparelhos e dispositivos, atuando como condutores de dados sem modificar ou interagir com o conteúdo transmitido. Equipamentos passivos, como fontes de alimentação, cabos de rede, switches não gerenciados são dedicados exclusivamente ao transporte de energia necessária para o funcionamento dos dispositivos, sem qualquer outra forma de manipulação das informações Fonte: mundialmegastore.com.br https://2.bp.blogspot.com/-jdGFyhqy0JU/U4elqwd4yEI/AAAAAAAAACQ/uZPEHi-gqQc/s1600/switch.jpg https://2.bp.blogspot.com/-jdGFyhqy0JU/U4elqwd4yEI/AAAAAAAAACQ/uZPEHi-gqQc/s1600/switch.jpg mundialmegastore.com.br 3 10 Capítulo 3. Arquitetura, Tecnologia, Modelos e Protocolos de Rede 3.1. Arquitetura Quando falamos de arquitetura de rede, temos que primeiro entender quais são os principais tipos de rede existentes e as tecnologias empregadas nos mesmos, seguem os modelos mais usados no nosso dia a dia (tanto pessoal quanto professional): Fonte: https://thestudygenius.com/wp- content/uploads/2020/03/Types-of-Network-PAN-LAN-MAN-WAN.png LAN (Local Area Network): Uma rede de área local conecta computadores dentro de um espaço físico limitado, como uma casa, escritório ou edifício. É ideal para compartilhar recursos como arquivos e impressoras. WLAN (Wireless Local Area Network): É uma LAN que utiliza ondas de rádio para a conexão sem fio entre dispositivos. Comum em residências e locais de trabalho, permite mobilidade aos usuários dentro de uma área limitada. https://thestudygenius.com/wp-content/uploads/2020/03/Types-of-Network-PAN-LAN-MAN-WAN.png https://thestudygenius.com/wp-content/uploads/2020/03/Types-of-Network-PAN-LAN-MAN-WAN.png 11 WAN (Wide Area Network): Uma rede de longa distância que cobre uma grande área geográfica, podendo ser um país ou até mesmo um continente. A internet é um exemplo de WAN. MAN (Metropolitan Area Network): Conecta redes LAN em uma área metropolitana, como uma cidade ou campus universitário, e pode abranger até algumas dezenas de quilômetros. PAN (Personal Area Network): Uma rede de pequena escala projetada para uso pessoal. Bluetooth é um exemplo de tecnologia que permite a criação de PANs. SAN (Storage Area Network): Uma rede projetada para lidar com grandes volumes de armazenamento de dados, conectando servidores a dispositivos de armazenamento de dados. CAN (Campus Area Network): Semelhante a uma MAN, mas é específica para um campus universitário ou corporativo, interligando edifícios e recursos dentro dessa área limitada. VPN (Virtual Private Network): Uma rede privada virtual que usa a internet para conectar usuários ou locais remotos de forma segura. As VPNs criptografam os dados transmitidos, proporcionando segurança e privacidade (falaremos mais a fundo sobre quando formos falar de segurança). Cada tipo de rede é adequado para diferentes necessidades e cenários, variando em escala, alcance e funcionalidades específicas. 3.2. Modelos de Rede Os modelos e topologias de rede são fundamentais para entender como as redes de computadores são estruturadas e como elas operam. Aqui estão alguns dos principais modelos e topologias: 12 Rede Centralizada: nesse modelo, todas as decisões e controle estão concentrados em um único ponto central. É comum em redes pequenas e simples, onde um servidor ou dispositivo central gerencia tudo. Rede Descentralizada: aqui, a tomada de decisões é distribuída entre vários pontos. Cada dispositivo tem autonomia para tomar decisões localmente. É mais flexível e escalável do que a rede centralizada. Exemplos incluem redes P2P (Peer-to-Peer). Rede Distribuída: nesse modelo, não há um ponto central de controle. Cada dispositivo é igual e contribui para o funcionamento da rede. É altamente resiliente e tolerante a falhas. Exemplos incluem a internet, onde milhões de servidores e dispositivos colaboram. Cliente-Servidor: este modelo envolve servidores que fornecem recursos ou serviços e clientes que os acessam. É comum em redes empresariais e na internet. Peer-to-Peer (P2P): neste modelo, todos os dispositivos na rede podem atuar tanto como cliente quanto como servidor, compartilhando recursos diretamente entre si. Um bom exemplo desse tipo de rede é o Torrent onde várias pessoas compartilham partes de um ou mais arquivos e se conectam. 3.3. Topologias de Rede Existem diversos tipos de topologias a considerar quando estamos arquitetando o nosso projeto, o tipo mais utilizado é o híbrido, onde usamos mais de um tipo de topologia afim de atender os nossos objetivos. Seguem os principais tipos: Estrela: conecta todos os dispositivos a um ponto central, como um switch ou hub. É fácil de instalar e gerenciar, mas se o ponto central falhar, toda a rede pode ser afetada. 13 Anel: cada dispositivo é conectado ao seu vizinho formando um círculo. Os dados viajam em uma direção, de um dispositivo para outro. Barramento: yodos os dispositivos são conectados a um único cabo central. É fácil de entender e implementar, mas problemas no cabo podem afetar toda a rede. Árvore: é uma variação da topologia estrela, onde os switches centrais estão conectados em uma hierarquia, formando uma estrutura semelhante a uma árvore. Malha: cada dispositivo é conectado a vários outros dispositivos, o que aumenta a redundância e a confiabilidade da rede. Híbrida: combina duas ou mais topologias diferentes para formar uma rede. Por exemplo, uma rede pode ter uma topologia de estrela para conectar departamentos e uma topologia de malha para conectar os switches centrais. Cada modelo e topologia tem suas vantagens e desvantagens, e a escolha depende das necessidades específicas da rede em termos de escala, desempenho e confiabilidade. 3.4. Camadas de Rede As camadas de rede são parte de modelos de arquitetura de rede que ajudam a padronizar e organizar a comunicação de dados em sistemas complexos. Os dois modelos mais conhecidos são o Modelo OSI e o Modelo TCP/IP. Ambos dividem as funções da rede em camadas, cada uma com responsabilidades específicas. No Modelo OSI (Open Systems Interconnection), existem sete camadas: 14 Fonte: https://3.bp.blogspot.com/-V5Y- Er8QNIU/Ui11o4coXtI/AAAAAAAAAOk/JGQt64DTXVM/s1600/OSI.jpg Camada Usabilidade 1 - Física Lida com a transmissão e recepção de dados brutos através de um meio físico. 2 – Enlace Responsável pelo endereçamento físico, controle de acesso ao meio e detecção de erros. 3 – Rede Gerencia endereços lógicos, como IPs, e define como os dados são roteados. 4 – Transporte Assegura a transferência de dados confiável e eficiente entre sistemas finais. 5 – Sessão Controla as sessões de comunicação entre computadores. 6 – Apresentação Traduz os dados entre o formato da rede e o formato que o aplicativo entende. 7 – Aplicação É a camada mais próxima do usuário final, fornecendo serviços de rede para aplicativos. https://3.bp.blogspot.com/-V5Y-Er8QNIU/Ui11o4coXtI/AAAAAAAAAOk/JGQt64DTXVM/s1600/OSI.jpg https://3.bp.blogspot.com/-V5Y-Er8QNIU/Ui11o4coXtI/AAAAAAAAAOk/JGQt64DTXVM/s1600/OSI.jpg15 Já o Modelo TCP/IP, que é a base da internet, tem quatro camadas: Camada Usabilidade 1 – Aplicação Combina as funções das camadas de sessão, apresentação e aplicação do OSI, fornecendo serviços de rede a aplicativos. 2 – Transporte Similar à sua contraparte no OSI, gerencia a entrega de dados entre hosts. 3 – Internet Correspondente à camada de rede do OSI, trata do endereçamento, empacotamento e roteamento de dados 4 – Host/Rede Equivalente às camadas física e de enlace do OSI, lida com todas as questões de transmissão física. Essas camadas trabalham juntas para permitir a comunicação de rede, desde o envio físico de dados até a interação com aplicativos de software. 3.5. Protocolos de Rede Já entendemos quais são os tipos de arquitetura, topologia e o que são ativos de rede e as suas camadas, agora vamos um pouco mais a fundo na parte de como essa comunicação realmente funciona. Os dispositivos de redes, para se comunicarem precisam de uma forma comum de enviar e 16 receber a informação, ou seja, um conjunto de regras e padrões para tratar os dados, a fim de garantir que esses dados sejam transmitidos de forma eficiente, segura e confiável essas normas e padrões são conhecidos como Protocolos. Existem muitos protocolos utilizados, cada uma com a sua função quando se trata de comunicação de rede, vamos entender os principais separados por camadas: Camada de Aplicação HTTP (Hypertext Transfer Protocol): utilizado para a transferência de documentos na web. Ele define como as mensagens são formatadas e transmitidas, e quais ações os servidores e navegadores devem tomar em resposta a vários comandos. FTP (File Transfer Protocol): permite a transferência de arquivos entre um cliente e um servidor na rede, facilitando o upload e download de arquivos. SMTP (Simple Mail Transfer Protocol): é o protocolo padrão para o envio de e-mails através da internet. Camada de Transporte TCP (Transmission Control Protocol): trabalha em conjunto com o IP (TCP/IP) para garantir a entrega confiável de pacotes de dados, estabelecendo uma conexão entre dois pontos e garantindo que os pacotes cheguem na ordem correta e sem erros. UDP (User Datagram Protocol): é um protocolo de comunicação essencial na suite de protocolos da internet, utilizado para enviar mensagens, que são transportadas como datagramas em pacotes, para outros hosts em uma rede IP. O UDP é conhecido por seu modelo de comunicação simples e sem conexão, o que significa que ele não requer uma comunicação prévia para estabelecer canais de dados ou caminhos de comunicação. 17 Camada de Rede IP (Internet Protocol): é a base para a transmissão de dados na internet e localmente, atribuindo endereços únicos (IPs) para dispositivos e roteando pacotes de dados entre eles podendo ser IPV4 e IPV6. Esses protocolos são a espinha dorsal da comunicação de dados, permitindo que diferentes dispositivos e sistemas se conectem e interajam uns com os outros. Se tratando da Camada de Rede temos que entender pensando nos nossos projetos futuros (e até os atuais) sobre os protocolos IPV4 e IPV6. Vamos tratar desses dois no próximo capítulo. 4 19 Capítulo 4. Endereçamento e Mascaramento de Redes (IPV4 e IPV6) Já vimos que os protocolos IPV4 e IPV6 são muito importantes para as comunicações de rede, mas, vamos entender agora a fundo como eles funcionam. 4.1. IPV4 e operações binárias Antes de entender o funcionamento desse protocolo, vamos ver um pouco de história, esse número no final do IPV não está ali por acaso, ele basicamente diz qual é a versão do protocolo que está sendo utilizada, ou seja, ele é a versão 4 desse protocolo. Antes dele ser criado a IANA (Internet Assigned Numbers Authority – http://www.iana.org) havia testado as três primeiras versões, mas só em 1981, conseguiram um modelo estável na sua quarta versão (IPV4). Foi definido que o IPV4 funcionará com 4 Octetos que vão de 0 a 255 e sua máscara de rede será definida nas quantidades de bits alocados para a entrega desses endereços, mas, o que isso quer dizer? Sabemos que a linguagem que o computador entende é a linguagem binária, ele basicamente entende 0 e 1 e faz diversos cálculos para representar esses valores de outras formas como caractere ou número, em binário, por exemplo a representação do número 4 é “100” e, para entender de endereçamento de rede precisamos primeiro entender como esse cálculo funciona, mas acredite! É simples! http://www.iana.org/ 20 Acima podemos ver a representação em binário de 1 a 10, apesar de parecer confuso quando olhamos, temos que entender que existe uma lógica envolvida nessa representação sendo que, o número da direita sempre que está como 1 representa 1 e se estiver como 0 representa 0. Já o segundo número (a esquerda) se estiver como 1 representa 2, o terceiro 4 e o quarto 8 respectivamente sempre dobrando o valor, o número 1 quer dizer que está “ligado” então basicamente você liga ou desliga o número sendo: Nesse primeiro exemplo todos os números estão “desligados” (como 0) então o valor é 0 (zero), no segundo todos estão “ligados” (como 1) então o valor final é 15 pois 8 + 4 + 2 + 1 = 15. Como já foi falado, o IPV4 trabalha com 4 Octetos, ou seja, ele possui 4 conjuntos de 8 números 0 que pode ser ligado ou desligado e, se você usar a lógica acima e fizer a soma de todos os números o resultado será 255 (por isso o ipv4 vai até 255 em cada uma das suas partes) sendo: 21 Analisando dessa forma, a representação de um número maior como 192 por exemplo será 11000000 se deixar como 1 os dois primeiros números da esquerda no octeto teremos a conta 128 + 64, a lógica é sempre pegar o número mais próximo da esquerda para a direita para “ligar”: Fazendo essa conta de bits agora fica fácil de entender como um endereçamento de ipv4 funciona, mais um exemplo seria a representação de 10.0.0.1: 00001010 . 00000000 . 00000000 . 00000001 10 0 0 1 Agora que nós sabemos como funciona o endereçamento, tem mais dois conceitos que precisamos abordar, a Máscara e as classes de IP. 4.2. Máscara de Subrede No nosso dia a dia em arquitetura é comum termos que configurar, nas placas de redes dos computadores, qual a máscara de subrede ou, em um projeto, que a rede será /24, /16 ou /8, essas informações estão diretamente ligadas ao que acabamos de ver sobre o IPV4. Basicamente esses números (subrede e /x) representam quantos bits podem ser alterados 22 nos octetos de rede, se uma rede for /24 CIDR quer dizer que só posso alterar o último octetos ou os 8 últimos zeros dentro do endereçamento, veja o exemplo abaixo para uma rede /24 CIDR (Classless Inter-Domain Routing): Logo, a máscara de rede de uma rede /24 será 255.255.255.0 dizendo que os números estão reservados por conta da reserva do octeto, pensando nessa lógica vamos fazer a conta para uma rede /28: O cálculo para a sua máscara será a soma de endereços reservados no octeto, fica fácil saber os 3 primeiros números pois estão reservados 255.255.255. para calcular o último número basta somar os números reservados na representação acima sendo 128 + 64 + 32 +16 = 240: Usando mais uma vez essa lógica, o número de ips que essa rede (/28) possui é 16 levando em consideração que o primeiro número da reserva sempre pode ser utilizado, nesse caso de 240 a 255. 23 4.3. Classes de IPV4 Os endereços de IPV4 de acordo com a IANA são divididos em dois tipos principais sendo ip privado e ip público e isso é uma convenção utilizada por todos a fim de não termos, na internet, ips duplicados. Os Ips considerados para uso interno são divididos em classes e só podem ser usados dentro de uma rede para a comunicação de dispositivos internos segue a tabela de ips que são usados: Classe Máscarade Subrede Ips por rede Range de IP A 255.0.0.0 /8 16777214 10.0.0.0 a 10.255.255.255 B 255.255.0.0 /16 65534 172.16.0.0 a 172.31.255.255 C 255.255.255.0 /24 254 192.168.0.0 a 192.168.255.255 Essas faixas de ips também não devem ser utilizadas: 0.0.0.0/8 é reservado para Rota Padrão 127.0.0.0/8 é reservado para Loopback 168.254.0.0/16 é reservado para link-local, esse range é chamado de ip privado atribuído automaticamente 4.4. Problemas com IPV4 Se fizermos as contas de todos os 32 bits que o IPV4 usa iremos chegar a um número considerável de ips (4 294 967 296) ou seja, temos quase 4,3 Bilhões de ips para serem utilizados, em 1981 esse número foi considerado suficiente para atender a demanda por muitos anos, porém, os ips externos que as empresa podem adquirir e reservar para disponibilizar seus serviços na internet está acabando (em muitos países já não é possível adquirir IPV4) por conta disso foi criado uma nova versão de IP que veio para resolver esse problema e está cada vez mais, a cada dia sendo utilizado, Essa 24 versão é a IPV6 que utiliza uma forma diferente e possui muito mais endereços para ser utilizado sendo 340 Undecilhões de endereços disponíveis e usa 128 bits ao invés de 32 bits (usados pelo ipv4) para criar seus endereços mas vamos falar dele no próximo capítulo. 4.5. IPV6 Fonte: https://designer.microsoft.com/image-creator Como falado, os endereços IPV4 estão se esgotando e o novo padrão estabelecido é IPV6, vamos entender como ele funciona: No protocolo de endereçamento IPv4, como no exemplo 192.168.0.1, existem quatro conjuntos, conhecidos como octetos, que utilizam números para formar o endereço. Cada octeto corresponde a um grupo de oito bits, totalizando 32 bits para a composição de um endereço. Isso nos dá uma capacidade de aproximadamente 4,2 bilhões de endereços únicos. Em contraste, o IPv6 apresenta oito conjuntos de números. No entanto, diferentemente do IPv4, cada conjunto é composto por 16 bits, e não oito, e são separados por dois pontos “:”. Com isso, o IPv6 dispõe de 128 bits para a formação de endereços, o que equivale a cerca de 340 undecilhões de endereços, ou matematicamente, 3,4 x 10^38 endereços. Essa quantidade vasta de endereços indica que são praticamente ilimitados. Devido à magnitude desse número, os endereços IPv6 são https://designer.microsoft.com/image-creator 25 representados em formato hexadecimal, e não decimal, utilizando números de 0 a 9 e letras de A a F. Cada conjunto de 16 bits no IPv6, também referido como decahexateto ou duocteto, contém quatro caracteres hexadecimais. Isso nos mostra que cada caractere hexadecimal corresponde a 4 bits. Compreendendo isso, um endereço IPv6 pode ser representado assim: 2001:0BAA:0000:0000:0000:24D2:12AB:98BC. São oito conjuntos de quatro dígitos hexadecimais, cada um separado por dois pontos (:) o que nos leva a um questionamento: “Um endereço IPv6 é bem mais extenso que um IPv4, pode ser desafiador interpretá-lo, certo?” Fonte: https://designer.microsoft.com/image-creator Realmente, os endereços IPv6 são extensos se comparados aos IPv4, e para facilitar, existem métodos específicos para simplificá-los nós podemos excluir os zeros à esquerda ao escrever um endereço. Assim, o endereço reescrito seria: 2001:BAA:0:0:0:24D2:12AB:98BC Isso já reduz um pouco o tamanho, mas é possível diminuir ainda mais. Quando há uma sequência de blocos zerados, podemos condensá-los usando dois pontos duplos (::). Com essa regra, o endereço fica: 2001:BAA::24D2:12AB:98BC https://designer.microsoft.com/image-creator 26 No entanto, é importante lembrar que essa abreviação só pode ser aplicada uma vez. Se usada mais de uma vez, como em 2001:AB14::1205::35FE, os dispositivos de rede não poderão determinar a posição exata de cada bloco. Por exemplo, o grupo 1205 poderia estar em diferentes posições, resultando em endereços expandidos distintos, como 2001:AB14:0000:0000:1205:0000:0000:35FE ou 2001:AB14:0000:0000:0000:1205:0000:35FE. Por isso, a abreviação deve ser usada somente uma vez. Em relação ao IPv4, outra mudança no IPv6 é a máscara de rede. Utilizamos a notação CIDR para indicar quais partes do endereço pertencem à rede e quais ao host. Com isso, as máscaras de subrede tradicionais não são mais necessárias, pois a identificação da rede é parte integrante do próprio endereço. Para concluir, a complexidade dos endereços IPv6 reflete a necessidade de uma internet em expansão, capaz de suportar um número praticamente ilimitado de dispositivos. A simplificação na escrita dos endereços, como a omissão de zeros à esquerda e a condensação de sequências de zeros, não apenas facilita a leitura e escrita desses endereços, mas também reflete a eficiência e a adaptabilidade inerentes ao design do IPv6. Com a notação CIDR, a identificação clara da rede e do host é mantida, eliminando a necessidade de máscaras de subrede e simplificando a gestão de redes. Assim, o IPv6 está bem equipado para atender às demandas da internet do futuro, garantindo conectividade e organização em uma escala global. 5 28 Capítulo 5. Roteamento e Rotas Compreendemos agora o funcionamento dos Ips e protocolos. Para entender como ocorre a comunicação entre redes, é necessário conhecer o conceito de roteamento. E para isso, precisamos de um equipamento chamado roteador. 5.1. Roteadores e regras ACLs Um roteador (router, em inglês) é um equipamento de rede que efetua o encaminhamento de pacotes de dados entre redes de computadores distintas. Esses pacotes de dados são encaminhados de um roteador para outro até que atinjam o dispositivo de destino, ou sejam descartados. Os roteadores efetuam a leitura dos pacotes IP, podendo analisar o conteúdo de seus cabeçalhos, e então tomar decisões baseando- se nos lados lidos e os protocolos de transmissão implementados em suas configurações. Os roteadores são conectados em redes distintas, efetuando a conexão entre essas redes, em contraste com um Switch, que efetua a conexão de dispositivos finais, como computadores e notebooks, dentro de uma mesma rede. Figura 1 − Roteador como elemento central interligando duas redes distintas Os roteadores mantêm domínios de broadcast separados para cada rede que conectam, desta forma, isolando-as. Assim, dados direcionados à 29 rede local por um host qualquer permanecem nesta rede local, não sendo encaminhados para as outras redes que estejam conectadas ao roteador. Por exemplo, no diagrama acima, se um host na rede A enviar um pacote a outro host na mesma rede A, o roteador não encaminhará o pacote para a rede B; o pacote permanece no domínio de broadcast a que pertence. Agora, se um host na rede A enviar um pacote para um host localizado na rede B, o router irá encaminhar o pacote de uma rede para outra, efetuando, assim, seu roteamento. Os roteadores dependem de uma tabela de roteamento para identificar para onde um pacote de dados deve ser encaminhado. As tabelas de roteamento contêm informações sobre o destino, próximo salto, interface, métricas e rotas, que podem ser usadas para guiar o pacote de dados através das linhas de comunicação e em direção ao seu destino. Figura 2 − Exemplo tabela roteamento. Existem dois métodos pelos quais as tabelas de roteamento são atualizadas e mantidas em ordem. Isso pode ser feito de forma dinâmica ou estática. O método estático envolve a atualização manual das tabelas de roteamento. Por outro lado, os roteadores dinâmicos trocam automaticamente informações com dispositivos através de diferentes protocolos de roteamento. Com base nessas informações, as tabelas de roteamento são automaticamente atualizadas. 30 Todos os roteadores executam a função básica de receber e enviar dados entre a Internet e os dispositivoslocais conectados a uma rede. No entanto, existem diferentes tipos de roteadores que existem com base em como eles se conectam aos dispositivos ou como funcionam dentro de uma rede. Especificamente, os tipos de roteadores comumente disponíveis incluem: • Brouter – Um roteador B também é conhecido como roteador de ponte. Ele é um dispositivo de rede que executa tanto como uma ponte quanto como um roteador. Tanto uma ponte quanto um roteador conectam redes, entretanto, a ponte de rede envolve conectar 2 redes separadas para permitir que elas funcionem como uma única rede coesa. Considerando que um roteador fornece uma conexão que ainda mantém ambas as redes como redes privadas individuais; • Core Router – Um roteador core estabelece uma conexão de rede e facilita a transmissão de dados dentro da rede privada. Os roteadores core funcionam dentro do núcleo ou dentro da rede e não podem enviar ou receber dados fora dela. A distribuição de dados está limitada à rede, uma vez que este tipo de encaminhador é incapaz de realizar o intercâmbio de informações com outros sistemas; • Roteador de borda – Um roteador de borda é responsável pelas transferências de dados de condução entre várias redes. Ao contrário do roteador core, o roteador edge não facilita o intercâmbio de pacotes de dados dentro de uma rede privada, mas, em vez disso, gerencia a transmissão de dados para outros sistemas de rede separados; • Roteador virtual – Geralmente, um roteador virtual consiste em um software que permite que um dispositivo funcione como um 31 roteador físico padrão. É capaz de funcionar com o uso de um Protocolo de Redundância de Roteador Virtual (VRRP). • Roteador sem fio – Um roteador sem fio ainda mantém uma conexão com fio com o modem onde recebe sinais de dados da internet. No entanto, não há necessidade de uma conexão com fio do roteador para os dispositivos que estão conectados à rede. Um roteador sem fio usa antenas que enviam ondas de rádio ou infravermelho que carregam os pacotes de dados. O exemplo mais comum de um roteador sem fio são os roteadores Wi-Fi de casa que são largamente usados em escritórios e casas residenciais. Figura 3 – Esquema de interligação de roteadores Fonte: https://www.hardware.com.br/static/20110816/diagrama.png ACL – Access Control List, ou Lista de Controle de Acessos, trata-se de uma lista sequencial de instruções de permissão ou negação que se aplicam a endereços ou protocolos de camada superior, fornecendo uma forma eficiente de controlar o tráfego dentro e fora de uma rede. No geral, as ACLs podem ser configuradas em todos os tipos de roteadores e são principalmente encontradas nos roteadores de bordas. A razão mais importante para configurar as ACLs é fornecer segurança para a rede. Porém, podemos ainda utilizar ACLs para outras finalidades em conjunto com a proteção, como, por exemplo, a validação do https://www.speedcheck.org/pt/wiki/wi-fi/ https://www.hardware.com.br/static/20110816/diagrama.png 32 tráfego de pacotes entre as redes LAN e a rede WAN ou a qualidade do serviço (QoS). Uma das maneiras mais fáceis de se configurar ACLs em um roteador é memorizar o conceito dos três “Ps", no qual uma ACL pode ser configurada: 1. P - Por Protocolo – no qual a ACL é utilizada para controlar o fluxo de tráfego em uma interface do roteador, devendo ser definida para cada um dos protocolos habilitados na interface; 2. P – Por interface – no qual a ACL é utilizada para controlar o fluxo de tráfego de uma interface do roteador; 3. P – Por direção – no qual a ACL é utilizada para controlar o fluxo de tráfego em uma direção por vez em uma interface. Neste caso, deverão ser criadas duas ACLs separadas para controlar o fluxo de entrada e saída dos dados. Lembre-se de que uma ACL é uma lista sequencial de instruções de permissão ou negação que se aplicam a endereços IP ou protocolos de camada superior. A ACL pode extrair informações contidas no cabeçalho do pacote de dados e, testá-lo em relação às suas regras, tomando a decisão de “permitir” ou “negar” com base no endereço IP/Porta de origem TCP/UDP, no endereço IP/Porta de destino TCP/UDP ou tipo de mensagens ICMP. Figura 4 − Exemplo de um conjunto da ACLs. 33 Por fim, podemos ainda configurar um conjunto de ACLs em outros dispositivos de segurança, tais como: Switches layer 3 e 2, Firewall e Gateways de Comunicação. 6 35 Capítulo 6. Soluções de Alta Disponibilidade em redes e Balanceamento de carga Fonte: https://designer.microsoft.com/design Agora sabemos como funciona a rede e suas rotas, mas, não adianta termos a rede funcionando perfeitamente se não pensarmos em como se precaver de problemas que podem acontecer no nosso dia a dia, por exemplo na falha de algum equipamento ou, ter um plano para atualizar equipamentos (que precisam de atualizações de segurança de tempos em tempos) deixando o ambiente sempre ativo. 6.1. Conceitos de alta disponibilidade Entender os Conceitos de Alta Disponibilidade são fundamentais para garantir que sistemas e serviços estejam sempre disponíveis, especialmente em ambientes críticos. Vamos explorar esses conceitos: Conceitos de Alta Disponibilidade são fundamentais para garantir que sistemas e serviços estejam sempre disponíveis, especialmente em ambientes críticos. Vamos explorar esses conceitos: Definição: alta disponibilidade refere-se à capacidade de um sistema, serviço ou rede de estar operacional e acessível durante a maior parte do tempo, é uma característica crucial para ambientes onde a https://designer.microsoft.com/design 36 interrupção de serviços pode ter consequências graves, como data centers, sistemas bancários, serviços de emergência e infraestruturas críticas. Importância em Ambientes Críticos: Em setores como saúde, finanças e telecomunicações, a alta disponibilidade é essencial para garantir que os serviços não sejam interrompidos, mesmo em situações adversas, a alta disponibilidade minimiza o impacto de falhas, evitando perda de dados, tempo de inatividade e prejuízos financeiros isso mantem os clientes e usuários satisfeitos pois eles esperam serviços confiáveis. A indisponibilidade pode afetar a reputação e a confiança além de que as empresas frequentemente estabelecem SLAs (Service Level Agreements), que especificam metas de disponibilidade. Cumprir esses acordos é crucial. Métricas de Disponibilidade (SLAs): Tempo de Atividade (Uptime) é a porcentagem do tempo em que um sistema está operacional. Por exemplo, 99,9% de uptime significa que o sistema está inativo por no máximo 8,76 horas por ano. Já o oposto do tempo de atividade, Downtime, representa o período em que o sistema está indisponível. Outra métrica utiliza é a MTBF (Mean Time Between Failures) que representa a Média de tempo entre falhas. Quanto maior o MTBF, mais confiável é o sistema. Também é medido o tempo médio para reparar uma falha (MTTR -Mean Time To Repair), reduzir o MTTR é importante para minimizar o impacto. Em resumo, a alta disponibilidade é um pilar para a continuidade dos negócios, a satisfação do usuário e a confiabilidade dos serviços. Monitorar métricas e implementar estratégias de redundância e recuperação rápida são essenciais para alcançar esse objetivo. 37 6.2. Redundância, Failover e Balanceamento de carga. Fonte: https://k21academy.com/wp- content/uploads/2021/03/GCloudLoadBalancer_Diagram-03.png Alguns outros conceitos que temos que entender é sobre como ter um ambiente altamente disponível e, para isso usamos algumas estratégias sendo: Redundância: a redundância é uma estratégia vital para garantir a confiabilidade de sistemas e serviços. Ela envolve a duplicação de componentes críticos, como servidores e roteadores. Se um desses componentes falhar,outro assume automaticamente, evitando interrupções. A redundância é especialmente crucial em ambientes críticos, como data centers e serviços de emergência. Failover: o Failover é o processo pelo qual o tráfego é redirecionado automaticamente de um componente defeituoso para um funcional. Por exemplo, se um servidor web falhar, o tráfego é encaminhado para outro servidor em operação. Essa capacidade de resposta rápida minimiza o impacto de falhas e garante a continuidade dos serviços. Balanceamento de Carga: o balanceamento de carga distribui o tráfego entre vários servidores para evitar sobrecarga. Existem diferentes métodos como por exemplo: https://k21academy.com/wp-content/uploads/2021/03/GCloudLoadBalancer_Diagram-03.png https://k21academy.com/wp-content/uploads/2021/03/GCloudLoadBalancer_Diagram-03.png 38 • Round-Robin: distribui as solicitações sequencialmente entre os servidores. • Least Connections: encaminha para o servidor com menos conexões ativas. • IP Hash: baseia-se no endereço IP do cliente para determinar o servidor. 6.3. Clusterização e Replicação de Dados Clusterização e Replicação de Dados são estratégias essenciais para garantir alta disponibilidade e proteção dos dados. Vamos explorar cada um desses conceitos: Implementação de Clusters para Alta Disponibilidade: Clusters são grupos de servidores ou nós que trabalham juntos como uma unidade coesa com o objetivo de garantir que, se um nó falhar, outros assumam automaticamente. Fonte: https://www.nakivo.com/blog/wp-content/uploads/2018/07/All- components-of-the-cluster-are-working-properly.-1024x938.png Tipos de Clusters: • Cluster Ativo-Ativo: todos os nós estão ativos e compartilham a carga de trabalho. Se um falhar, o tráfego é redistribuído. • Cluster Ativo-Passivo: um nó está ativo e o outro em espera. Se o ativo falhar, o passivo assume. https://www.nakivo.com/blog/wp-content/uploads/2018/07/All-components-of-the-cluster-are-working-properly.-1024x938.png https://www.nakivo.com/blog/wp-content/uploads/2018/07/All-components-of-the-cluster-are-working-properly.-1024x938.png 39 Exemplos de Clusters: Bancos de dados, servidores web e sistemas de arquivos. A Replicação de Dados entre Servidores e Locais Geográficos envolve copiar dados de um servidor para outro. Mantendo cópias atualizadas para recuperação rápida e proteção contra falhas. Tipos de Replicação • Síncrona: os dados são replicados imediatamente. Garante consistência, mas pode afetar o desempenho. • Assíncrona: os dados são replicados periodicamente. Maior flexibilidade, mas pode haver perda de dados em caso de falha. • Replicação Geográfica: manter cópias em locais diferentes para proteção contra desastres naturais ou falhas regionais. Esses temas são fundamentais para criar uma infraestrutura de rede que não apenas permaneça operacional durante falhas ou picos de demanda, mas também seja capaz de se recuperar rapidamente de interrupções, garantindo a continuidade dos serviços e a satisfação do usuário. Alta disponibilidade e balanceamento de carga são, portanto, peças- chave na engenharia de redes modernas, permitindo que as organizações mantenham operações ininterruptas em um mundo cada vez mais dependente de conectividade constante e desempenho de rede otimizado. 7 41 Capítulo 7. Fundamentos e Conceitos sobre Segurança da Informação e Segurança Cibernética A cada dia, novos desafios passam a fazer parte do cotidiano do ambiente corporativo, principalmente os relacionados à segurança dos dados, informações, recursos computacionais e de suas infraestruturas telecomunicações. Neste contexto, as equipes de segurança da informação precisam se adaptar rapidamente aos novos requisitos necessários para os negócios e, ao mesmo tempo, estar preparadas para lidar com um ambiente que se torna cada vez mais hostil. Ou seja, os profissionais da área da segurança da informação e segurança cibernética, precisam aprender a trabalhar com as últimas tendências de tecnologia para conseguir projetar, dimensionar e implementar estratégias e mecanismos de segurança da informação e segurança cibernética que sejam eficientes e eficazes há diversos riscos e ameaças que possam causar qualquer tipo de dano a tecnologia da informação e a todo o sistema corporativo. Porém, definir e manter a proteção de toda a tecnologia da informação de um ambiente corporativo, por menor que seja esse ambiente, não é uma tarefa fácil para as equipes de segurança da informação. Isso porque envolve processos, tecnologias e pessoas. Garantir a segurança da informação dentro de um ambiente corporativo significa proteger os ativos de TI quanto a perda que qualquer um dos princípios básicos relacionados à segurança da informação, que são: confidencialidade, integridade, disponibilidade, autenticidade. Sendo assim, a segurança da informação não é uma única tecnologia fechada, mas sim um conjunto de ferramentas, estratégias e políticas de segurança que visam proteger a empresa de vários problemas, dos quais podemos destacar: 42 • Proteção e prevenção contra-ataques virtuais aos sistemas corporativos. • Prevenção e detecção de vulnerabilidades na área de TI da empresa. • Proteção dos dados e informações alocados em sistemas de informações. • Proteção e prevenção de acessos físicos e lógicos de pessoas não autorizadas aos dados, informações e sistemas corporativos etc. Dentre as diversas estratégias que podem ser adotadas para garantir a proteção dos ativos de TI dentro de um ambiente corporativo, a Defense in Depth (DiD), ou Defesa em Profundidade, torna-se uma das mais eficientes e eficazes contra diversos tipos de ameaças internas e externas, ou seja, contra diversos riscos associados a TI. 7.1. Defesa em Profundidade A Defesa em Profundidade é uma estratégia de segurança da informação e da segurança cibernética que se baseia na aplicação de uma série de medidas defensivas redundantes em camadas que tem como objetivo implementar políticas, controles, mecanismos e ferramentas tecnológicas redundantes disposta em camadas. Essa abordagem em várias camadas conhecida como “segurança em camadas” aumenta a segurança de uma infraestrutura de TI como um todo e aborda muitos vetores de ataque diferentes, tendo como princípio o conceito que: se um mecanismo de segurança falhar, outro será acionado imediatamente para impedir um ataque. A Defesa em Profundidade é comumente referida como a “abordagem do castelo” porque reflete as defesas em camadas de um castelo medieval. Antes de poder penetrar em um castelo, você se depara com diversos mecanismos de defesa como o fosso e as muralhas em volta 43 do castelo, a ponte levadiça, as torres de vigilância e os soldados arqueiros e assim por diante. Figura 5 – Camadas de proteção de um castelo medieval. O mundo digital revolucionou a forma como vivemos, trabalhamos e nos divertimos. No entanto, é um mundo digital constantemente aberto a ataques e, como existem muitos riscos e ameaças em potencial, precisamos garantir que temos a segurança certa para impedir que a infraestrutura de TI seja comprometida. Infelizmente, não existe um método único que possa proteger com êxito contra todos os tipos de ameaças. É aqui que entra em cena a defesa em profundidade. 7.2. De onde vem a defesa em profundidade e como funciona? A defesa em profundidade vem da Agência de Segurança Nacional (NSA). Foi concebida como uma abordagem abrangente para segurança da informação e segurança cibernética. O termo foi inspirado por uma estratégia militar com o mesmo nome. Na prática, a estratégia militar e a estratégia de segurança da informação diferem. A defesa em profundidade, como estratégia militar, gira em torno de ter uma defesa de perímetro mais fraca e ceder intencionalmente espaçopara ganhar tempo para construir um contra-ataque. Ponte Levadiça Fosso Portão Controle Externo Torres de Vigilância Externa Soldados Arqueiros Torres de Vigilância Interna Portão Controle Interno 44 Como estratégia de segurança da informação e segurança cibernética, a defesa em profundidade envolve sistemas paralelos de contramedidas físicas, técnicas e administrativas que trabalham juntas, mas não cedem intencionalmente o controle a um invasor. A coisa mais importante a entender sobre defesa em profundidade é que um ataque em potencial deve ser interrompido por vários métodos independentes. Isso significa que as soluções de segurança devem abordar vulnerabilidades de segurança durante o ciclo de vida do sistema, e não em um ponto no tempo. A sofisticação crescente dos ataques cibernéticos significa que as empresas não podem mais confiar em um produto único de segurança para protegê-las. Os profissionais de segurança precisam aplicar a defesa em profundidade em todos os ativos de TI. Desde laptops de funcionários que precisam de proteção contra-ataques do tipo intermediário advindos das redes Wi-Fi até prevenção de sequestro de dados e informações. Não existe uma única camada de segurança que proteja contra todas as ameaças cibernéticas. Os criminosos virtuais estão se tornando cada vez mais sofisticados em seus ataques e as organizações precisam responder melhorando suas defesas. Controle de acesso inadequado, phising, falsificação de e-mails, ransomware, violação de dados, vazamento de dados, negação de serviços e outros tipos diferentes de ameaças podem ser usados em conjunto para atacar um ambiente organizacional. Neste contexto, as organizações precisam de implementar várias camadas de segurança, cada qual com seus conjuntos de ferramentas de segurança específicas ao tratamento de cada vulnerabilidade e ameaça presente aquela camada. Para compreender melhor o funcionamento da estratégia de defesa em profundidade aplicada a segurança da informação e segurança 45 cibernética, vamos voltar ao exemplo das proteções contidas em um castelo medieval. Um invasor se depara com diversos mecanismos de defesa como o fosso e as muralhas em volta do castelo, a ponte levadiça, as torres de vigilância e os soldados arqueiros e assim por diante, conforme mencionado anteriormente. Cada um destes mecanismos de defesa estará distribuído em camadas, e cada camada será uma barreira responsável por realizar uma proteção específica para impedir que o invasor conquiste o castelo. Por exemplo, os primeiros mecanismos de defesa a serem vencidos pelo invasor são os controles de acesso físico como os portões externos antes da ponte levadiça que podem conter soldados que exercem a função de identificar e controlar o primeiro acesso ao castelo. Temos ainda nesta primeira camada de proteção a ponte levadiça e o fosso d’água, que são considerados outros mecanismos de segurança que limitam o acesso ao castelo. Caso o invasor consiga superar os mecanismos presentes na camada de segurança física do castelo, ele terá que enfrentar uma próxima camada de proteção, no caso podemos citar as torres externas de vigilância e os soldados arqueiros. Podemos perceber neste momento que nesta segunda camada de proteção há a presença de outros mecanismos de segurança que possuem um grau de dificuldade maior se comparados aos primeiros mecanismos presentes na primeira camada de proteção. Isto faz com que o invasor tenha uma maior dificuldade em superá-los. Mas, caso ele consiga superar essa segunda camada de proteção, haverá uma terceira camada de proteção, composta por outros mecanismos de segurança com maiores níveis de dificuldade. Este aumento do nível de dificuldade irá se repetir de forma exponencial a cada camada de proteção. Ou seja, a próxima camada de proteção, a quarta camada, possuirá novos mecanismos de proteção superiores à terceira camada, e assim por diante, dificultando e impedindo o acesso do invasor ao tesouro contido dentro do interior do castelo, ou fazendo com que este invasor desista de invadir o castelo. 46 Figura 6 − Estratégia de camadas (defesa em profundidade). Quanto mais funda for a camada de proteção, maior será o nível de proteção. Ou seja, maior será o fator dificultador para o invasor. 7.3. Quais são os elementos de defesa em profundidade? Existem três partes principais de qualquer estratégia de defesa em profundidade, a saber: • Controles físicos: medidas de segurança que impedem o acesso físico a sistemas de TI, como guardas de segurança, cartões-chave e portas trancadas. • Controles técnicos: medidas de segurança que protegem a segurança da rede e outros recursos de TI usando hardware e software, como sistemas de proteção contra intrusões, firewalls de aplicativos da web, gerenciamento de configurações, proxy, scanners da web, gestão de identidades e acessos, antivírus e antimalwares, sistemas de prevenção de perda de dados, sistemas de autenticação de dois fatores, biometria, gerenciadores de senhas, redes privadas virtuais, criptografia de dados, sistemas de backups etc. 1ª CAMADA 2ª CAMADA 3ª CAMADA 4ª CAMADA 47 • Controles administrativos: medidas de segurança que consistem em políticas e procedimentos direcionados aos funcionários de uma organização e seus fornecedores e parceiros comerciais. Os exemplos incluem: políticas de segurança da informação, políticas de segurança cibernética, políticas de privacidade e proteção de dados, gerenciamento de riscos de colaboradores terceiros, parceiros comerciais e fornecedores, estruturas de gerenciamento de riscos de terceiros, avaliações de riscos de segurança da informação e segurança cibernética, políticas de treinamento e conscientização, adoção de metodologias para promover a melhoria contínua e garantir as melhores práticas etc. Juntos, os controles físicos, técnicos e administrativos constituem uma estratégia básica de defesa em profundidade. Além disso, muitos profissionais e equipes de segurança usam ferramentas de segurança que monitoram continuamente toda a infraestrutura de TI quanto a possíveis falhas em suas defesas de segurança. Figura 7 – Elementos principais da defesa em profundidade. 8 49 Capítulo 8. Ferramentas de Segurança, DLP e Criptografia de dados A segurança em redes é uma preocupação fundamental para qualquer organização ou indivíduo que utilize sistemas conectados à internet. Ferramentas de segurança desempenham um papel crucial na proteção contra ameaças e na manutenção da integridade, confidencialidade e disponibilidade dos dados. Existem diversas ferramentas de mercado que podem auxiliar com: Prevenção de Ameaças: as redes estão constantemente sob risco de ataques cibernéticos, como malware, phishing, ransomware e intrusões. Ferramentas de segurança, como firewalls, antivírus e sistemas de detecção de intrusões (IDS), ajudam a prevenir e mitigar essas ameaças. Monitoramento e Detecção: ferramentas de monitoramento permitem que os administradores observem o tráfego de rede em tempo real. Isso ajuda a identificar atividades suspeitas, como tentativas de acesso não autorizado ou comportamento anômalo. Controle de Acesso: as ferramentas de segurança permitem definir políticas de acesso à rede com base em funções e permissões. Isso garante que apenas usuários autorizados tenham acesso aos recursos adequados. Criptografia: a criptografia protege a comunicação entre dispositivos na rede, garantindo que os dados transmitidos permaneçam confidenciais. Protocolos como SSL/TLS são amplamente usados para criptografar conexões. Auditoria e Conformidade: ferramentas de segurança registram eventos e atividades na rede. Isso é essencial para auditorias de segurança e para garantir a conformidade com regulamentaçõese políticas internas. 50 Resposta a Incidentes: quando ocorre um incidente de segurança, ferramentas como sistemas de gerenciamento de incidentes (SIEM) ajudam a investigar, responder e recuperar-se rapidamente. Quando falamos de rede, temos uma ferramenta essenciais para o nosso dia a dia o Firewall que pode ser de dois tipos: 8.1. Firewall: inspeção de estado (stateful inspection) Sendo tratado por alguns especialistas no assunto como uma evolução dos filtros dinâmicos, os firewalls de inspeção de estado (stateful inspection) trabalham fazendo uma espécie de comparação entre o que está acontecendo e o que é esperado para acontecer. Para tanto, firewalls de inspeção analisam todo o tráfego de dados para encontrar estados, isto é, padrões aceitáveis por suas regras e que, a princípio, serão usados para manter a comunicação. Essas informações são, então, mantidas pelo firewall e usadas como parâmetro para o tráfego subsequente. Para entender melhor, suponha que um aplicativo iniciou um acesso para transferência de arquivos entre um cliente e um servidor. Os pacotes de dados iniciais informam quais portas TCP serão usadas para estas tarefas. Se de repente o tráfego começar a fluir por uma porta não mencionada, o firewall pode então detectar esta ocorrência como uma anormalidade e efetuar o bloqueio. 8.2. Firewall de aplicações web (firewall application web – WAF) O WAF é um novo tipo de firewall criado para combater as ameaças que estão além das capacidades dos firewalls tradicionais. Ele cria uma barreira entre o seu serviço baseado na web e todo o resto da internet, bloqueando e protegendo a aplicação de ações criminosas, como manipulação de conteúdo exibido, conhecida como “pichação”, injeções indevidas em banco de dados de padrão SQL ou simplesmente “SQL 51 Injection”, determinados tipos de fraudes em acesso administrativo e várias outras espécies de ciberataques. A maneira como o WAF atua garante que todos os tipos de negócio/empresas tenham suas redes protegidas adequadamente, ajudando as equipes de segurança da informação e segurança cibernética no combate às principais ameaças e assegurando a continuidade das operações da empresa. O web application firewall trabalha para impedir qualquer exposição de dados não autorizada em um site ou aplicativo baseado na web. Não é exagero algum dizefr que um ataque organizado a um site é capaz de arruinar um modelo de negócio ou uma empresa, especialmente lojas virtuais que armazenam os dados dos usuários: sem a segurança adequada, essas informações podem facilmente cair nas mãos de criminosos cibernéticos. Neste contexto, o WAF trabalha monitorando, filtrando e bloqueando automaticamente o tráfego de dados potencialmente maliciosos, liberando a TI da sua empresa para decidir quem terá o acesso impedido. Além disso, ele também é altamente escalável, permitindo a definição de um conjunto de regras para evitar os ataques mais comuns. O WAF pode ser executado como uma aplicação de rede, plug-in de servidor ou serviço na nuvem. Cada tipo apresenta suas vantagens e desvantagens, como você pode ver a seguir. • WAF de Rede – esse modelo é normalmente baseado em hardware e, por ser instalado localmente, tende a ser mais rápido. Seu gerenciamento é normalmente oferecido como um serviço, o que pode tornar as coisas mais simples — e, por ter um conjunto central de assinaturas e opções de configuração, vários aplicativos podem ser protegidos com menos esforço. Como ponto negativo dos WAFs de rede, podemos apontar os altos custos não apenas do hardware 52 necessário para a implementação da tecnologia, mas de todas as suas dependências, tais como contingência de energia por gerador e links redundantes de internet de altíssima largura; • WAF de Host – a maior vantagem desse modelo é a possibilidade de incluir opções de personalização a um custo baixo — afinal, como é totalmente baseado em software, ele pode ser integrado no próprio código do aplicativo. Porém, a tarefa de gerenciar os WAFs de host pode ser um tanto desafiadora, já que eles demandam bibliotecas locais, ambientes compatíveis (como Java ou .net) e são dependentes de recursos de servidores locais para funcionarem de forma eficaz; • WAF na Nuvem – os WAFs hospedados na nuvem são geralmente administrados pelos provedores do serviço, que disponibilizam uma interface de configuração adequada às necessidades do cliente. Além de fáceis de implantar, são oferecidos em modelo de assinatura — o que os transforma na opção mais econômica e escalável de todas. Independentemente do tipo de WAF que for implementado, é recomendável que a equipe de segurança faça alguns treinamentos de administração. Em muitos casos, quanto mais uma empresa desejar ter um papel profundo nas configurações de gerenciamento, mais treinos serão necessários. Seja quem for que administre o web application firewall, é importante ter ainda um time de desenvolvimento envolvido na tarefa, já que um WAF configurado incorretamente pode ter impacto negativo na performance e disponibilidade da aplicação que protege. Uma alternativa para eliminar a necessidade desses esforços pela empresa é contratar os serviços de um IaaS (Infrastructure as a Service, ou Infraestrutura como um Serviço). Por uma taxa fixa mensal, você pode contar com o auxílio de profissionais especializados que cuidarão de todas https://www.eveo.com.br/blog/como-escolher-servidores-dedicados-com-redundancia/ https://www.eveo.com.br/blog/paas-ou-iaas-qual-solucao-se-encaixa-melhor-no-perfil-da-sua-empresa/ 53 as tarefas relacionadas ao WAF, liberando o seu time de TI para as tarefas estratégicas da companhia. O WAF fornece proteção garantida contra as dez ameaças de segurança mais críticas identificadas pela comunidade on-line OWASP (Open Web Application Security Project, ou Projeto Aberto de Segurança em Aplicações Web). São elas: 1. Injection; 2. Broken Authentication and Session Management; 3. Cross-Site Scripting (XSS); 4. Broken Access Control; 5. Security Misconfiguration; 6. Sensitive Data Exposure 7. Insufficient Attack Protection; 8. Cross-Site Request Forgery (CSRF); 9. Using Components with Known Vulnerabilities; 10. Underprotected APIs. O tráfego proveniente de ataques consome banda de internet, infraestrutura e recursos operacionais. Como o WAF bloqueia esses acessos inconvenientes, sua empresa acaba evitando todos esses gastos desnecessários. Por fim, é importante ressaltar que qualquer tipo de firewalls terá limitações, sendo que estas variam conforme o tipo de solução e a arquitetura utilizada. De fato, firewalls são recursos de segurança bastante 54 importantes, mas não são perfeitos em todos os sentidos. Resumindo este aspecto, podemos mencionar as seguintes limitações: • Um firewall pode oferecer a segurança desejada, mas comprometer o desempenho da rede (ou mesmo de um computador). Esta situação pode gerar mais gastos para uma ampliação de infraestrutura capaz de superar o problema; • A verificação das políticas e regras contidas no firewall precisam ser revisadas periodicamente para não prejudicar o funcionamento de novos serviços; • Novos serviços ou protocolos podem não ser devidamente tratados por proxies já implementados; • Um firewall pode não ser capaz de impedir uma atividade maliciosa que se origina e se destina à rede LAN; • Um firewall pode não ser capaz de identificar uma atividade maliciosa que acontece por descuido do usuário – quando este acessa um site falso de um banco ao clicar em um link de uma mensagem de e-mail, por exemplo; • Firewalls precisam ser “vigiados”. Malwares ou atacantes experientes podem tentar descobrir ou explorar brechas de segurança em soluções do tipo; Um firewall não pode interceptar uma conexão que não passa por ele. Se, porexemplo, um usuário acessar a internet em seu computador a partir de uma conexão 4G (justamente para burlar as restrições da rede, talvez), o firewall não conseguirá interferir. 55 8.3. Firewall pessoal e appliance de hardware Conforme observamos, as arquiteturas de firewall nos mostram as opções de configuração de firewalls em redes. Mas, como você provavelmente sabe, há firewalls mais simples destinados a proteger o seu computador, seja ele um desktop, um laptop, um tablet, enfim. São os firewalls pessoais (ou domésticos), que DEVEM ser utilizados por qualquer pessoa. Felizmente, sistemas operacionais atuais para uso doméstico ou em escritório costumam conter firewall interno por padrão, como é o caso de distribuições Linux, Windows ou Mac OS X. Além disso, é comum desenvolvedores de antivírus oferecerem outras opções de proteção junto ao software, entre elas, um firewall. Existem ainda outras soluções de firewall que podem ser utilizadas para proteger a infraestrutura de TI da empresa. Estas, por sua vez, são soluções “embarcadas”, ou seja, que possuem um conjunto de hardwares e softwares específicos e projetados exclusivamente para atuar com firewall. A grande vantagem de um firewall deste tipo “firewall de hardware” é que o equipamento, por ser desenvolvido especificamente para este fim, é preparado para lidar com grandes volumes de dados e não está sujeito a vulnerabilidades que eventualmente podem ser encontradas em um servidor convencional (por conta de uma falha em outro software, por exemplo. 8.4. DMZ – Zona Desmilitarizada (Demilitarized Zone) DMZ é uma sigla para Demilitarized Zone (Zona Desmilitarizada, em português); trata-se de uma sub-rede que se situa entre uma rede confiável (a rede da sua empresa, por exemplo) e uma rede não confiável (geralmente a internet), provendo assim isolamento físico entre as duas redes, garantido por uma série de regras de conectividade mantidas no firewall. O aspecto do isolamento físico do DMZ é importante por ele garantir que a rede WAN (a 56 internet no caso) acesse apenas os servidores isolados no DMZ, ao invés de acessar diretamente a rede interna (LAN) da empresa, como pode ser visto a seguir. Os servidores mais comumente encontrados no DMZ são os que prestam algum tipo de serviço externo, como, por exemplo os servidores de e-mail, arquivos FTP e páginas HTML. Apenas por curiosidade: O termo DMZ surgiu no meio militar e significava uma área entre as áreas aliadas e inimigas. A DMZ (no sentido original, não computacional) mais famosa do mundo fica entre as fronteiras da Coréia do Norte e Coréia do Sul, que desde o fim da Guerra da Coréia (1953) ainda não assinaram um tratado de paz. Quanto às arquiteturas do DMZ, podemos implementar as seguintes: • Single Firewall – trata-se de uma arquitetura comumente encontrada nas infraestruturas de TI das empresas. Qualquer firewall com pelo menos 3 interfaces de rede pode formar uma arquitetura desse tipo. Neste caso, a primeira interface de rede conecta o firewall à internet através do provedor de acesso (ISP), a segunda interface forma a rede interna (LAN) e a terceira interface é usada para criar a DMZ. Esse tipo de arquitetura é considerado vulnerável devido ao fato de o firewall ter que lidar com as requisições para a rede interna e o DMZ, sendo um ponto óbvio de ataque na arquitetura de segurança da rede. 57 • Multiple Firewall – considerada a arquitetura DMZ mais segura. Utiliza mais de um firewall (geralmente dois), onde o primeiro, também chamado de firewall exterior ou de "front-end", é utilizado para direcionar o tráfego da internet para a DMZ apenas, enquanto os demais são utilizados para direcionar o tráfego da DMZ para a rede interna (LAN). Esse tipo de arquitetura é considerado mais seguro, pois, para que a rede interna seja comprometida, é necessário que os dois firewalls sejam comprometidos. Por isso, quando essa arquitetura é utilizada, é comum que se usem firewalls de fabricantes diferentes, pois é mais difícil que as falhas de segurança encontradas no produto de um fabricante sejam encontradas no produto de outro, tornando, assim, a rede mais segura e confiável. Um exemplo dessa arquitetura pode ser visto na figura a seguir. Figura 8 − DMZ: Single Firewall e Multiple Firewall. 8.5. Criptografia de dados Fonte: https://designer.microsoft.com/image-creator https://designer.microsoft.com/image-creator 58 A criptografia de dados é uma técnica essencial para proteger informações contra acessos não autorizados, independentemente do estado em que os dados se encontram. Existem três estados principais dos dados e segue como a criptografia se aplica a cada um: Data at Rest (Dados em Repouso): Refere-se aos dados armazenados em dispositivos físicos, como discos rígidos, SSDs ou backups na nuvem. A criptografia nesse estado é crucial para proteger os dados contra acessos físicos não autorizados ou roubos de dispositivos. Métodos comuns incluem criptografia de disco completo (FDE) e criptografia de arquivos individuais. Data in Use (Dados em Uso): Diz respeito aos dados que estão sendo processados ou utilizados por aplicativos. A criptografia de dados em uso é desafiadora, pois os dados precisam estar em um formato descriptografado para serem processados. Soluções como a Enclave de Execução Segura (SGX) da Intel e a Memória Criptografada da AMD são exemplos de tecnologias que ajudam a proteger dados em uso, criando áreas seguras na memória onde os dados podem ser processados de forma segura. Data in Transit (Dados em Trânsito): Refere-se aos dados que estão sendo transferidos entre sistemas, como durante uma comunicação pela internet. A criptografia de dados em trânsito é implementada através de protocolos seguros como TLS/SSL, que criptografam os dados enquanto eles viajam de um ponto a outro, garantindo que interceptações não resultem em vazamentos de informações. A criptografia é uma ferramenta vital para garantir a segurança dos dados em todos os seus estados, protegendo contra uma variedade de ameaças e garantindo a privacidade e a conformidade com regulamentações de proteção de dados. 59 8.6. SIEM (Centralizadores de Logs de Segurança) Fonte: https://www.coresecurity.com/sites/default/files/what-is-siem.jpg Um host pode perder seus logs em caso de falhas de hardware/software e no caso de uma invasão, onde o atacante fará o possível para apagar os registros e encobrir os rastros de sua invasão ao sistema. Para garantir a integridade dos logs, a melhor abordagem é a de centralizar todos os logs em um único servidor, dedicado a tratar destes registros. Centralizar os logs é um primeiro passo, visando manter a integridade de qualquer infraestrutura de TI. Veremos que estes logs centralizados podem ser correlacionados para que se descubra qualquer atividade anormal mais facilmente. Existe um protocolo padrão para o redirecionamento de logs, o padrão do Syslog. O Syslog é muito utilizado nas variantes do UNIX e nos ativos de rede (roteadores, swithces etc.). No entanto, existem diversos softwares que possuem um formato proprietário de logs. Nestes casos, é preciso instalar um cliente do software centralizador de log para que eles cheguem ao centralizador. Já no caso dos sistemas operacionais Windows, o equivalente é o Windows Event Viewer. As equipes de segurança da informação e segurança cibernética devem utilizar alguma ferramenta que facilite a realização de uma análise regular dos logs visando identificar problemas, incidentes e fraudes. https://www.coresecurity.com/sites/default/files/what-is-siem.jpg 60 Existem diversas opções que vão desde a simples centralização do log até a correlação de eventos e geração de alertas automáticos. Quanto maior o investimento (tempoe/ou dinheiro) em criar o ambiente, maiores as chances de detecção. A geração de arquivos de log é exigida por várias leis e regulamentações nacionais e internacionais, mas para que tenham valor legal, os arquivos de log precisam de proteção quanto à sua origem e sua integridade. Existem diversas formas de se garantir a integridade dos logs, sendo que as soluções mais avançadas de gerenciamento de log provêm desta garantia como parte de seu funcionamento. Os de logs são um componente essencial para uma análise forense bem-sucedida, e a garantia de que estes logs não foram alterados é o que dá credibilidade às evidências coletadas e pode significar a aceitação ou não de uma evidência em corte, o que em última instância pode significar a capacidade da organização de provar suas argumentações e ganhar a causa. Os SIEMs coletam e agregam todos os eventos de segurança (logs de Firewall, Proxy, VPNs, IDS/IPS e outros dispositivos de perímetro como roteadores e switches de borda) e todos os eventos de gerenciamento de segurança como os logs das estações, servidores, roteadores, switches, aplicações. O SIEM oferece um console de acesso centralizado a todos os logs coletados, independente da tecnologia utilizada para gerar o log (um firewall proprietário, por exemplo), e possui a habilidade de correlacionar estes eventos tão diversos como uma mudança de configuração em um host e um anexo malicioso no antivírus, de forma que informações coletadas em vários sistemas gerem uma informação mais precisa sobre um possível ataque. Costumamos dizer que no SIEM 1 + 1 = 3, porque o sistema é capaz de detectar um possível incidente de maior magnitude (3) através da 61 associação dois eventos de menor magnitude (1), que passariam despercebidos. Dentre as vantagens que um SIEM proporciona, podemos destacar as seguintes características: • Detecta sistemas internos infectados; • Identifica sistemas infectados tentando enviar informações para fora da empresa; • Mitiga o impacto de sistemas infectados; • Detecta a saída de dados sensíveis (DLP); • Fundamental para algumas certificações, como o PCI, ISSO 27001 etc. Os SIEMs estão se tornando o padrão de fato para o tratamento de todos os eventos dentro das organizações e têm chamado a atenção da comunidade de software livre e de diversos fabricante. Fonte: https://monsterconnect.co.th/wp-content/uploads/2019/05/18847-3.png https://monsterconnect.co.th/wp-content/uploads/2019/05/18847-3.png 9 63 Capítulo 9. Serviços de Conectividade e rede e segurança na nuvem À medida que uma empresa cresce, ela pode se expandir para várias localidades em sua cidade, país ou em todo o mundo. Para manter as coisas funcionando de maneira eficiente, as pessoas que trabalham nesses locais precisam de uma maneira rápida, segura e confiável de compartilhar informações nas redes de computadores. Funcionários em viagem, como vendedores, precisam de uma maneira igualmente segura e confiável de se conectar à rede de computadores de seus negócios a partir de locais remotos. Mesmo em lazer, as pessoas desejam manter seus computadores em segurança em uma rede desconhecida ou não segura. 9.1. VPN – Virtual Private Network Uma tecnologia popular para atingir esses objetivos é uma VPN (rede privada virtual). Uma VPN é uma rede privada que usa uma rede pública (geralmente a internet) para conectar sites ou usuários remotos. A VPN usa conexões “virtuais” roteadas pela internet da rede privada da empresa ou de um serviço VPN de terceiros para o site ou pessoa remota. As VPNs ajudam a garantir a segurança – qualquer pessoa que intercepte os dados criptografados não pode lê-los. O objetivo de uma VPN é fornecer uma conexão privada segura e confiável entre redes de computadores em uma rede pública existente, geralmente a internet. Entre os benefícios que uma VPN pode oferecer a uma empresa, citamos: • Conexões estendidas em várias localizações geográficas sem usar uma linha alugada; • Segurança aprimorada para troca de dados; 64 • Flexibilidade para escritórios e funcionários remotos usarem a intranet comercial através de uma conexão de internet existente, como se estivessem diretamente conectados à rede; • Economia de tempo e despesas para os funcionários comutarem se trabalharem em locais de trabalho virtuais; • Maior produtividade para funcionários remotos. Uma empresa pode não exigir todos esses benefícios de sua VPN, mas deve exigir os seguintes recursos essenciais de uma VPN: • Segurança – a VPN deve proteger os dados enquanto viaja na rede pública. Se os invasores tentarem capturar os dados, eles não poderão lê-los ou usá-los; • Confiabilidade – os funcionários e escritórios remotos devem poder se conectar à VPN sem problemas a qualquer momento (a menos que o horário seja restrito), e a VPN deve fornecer a mesma qualidade de conexão para cada usuário, mesmo quando estiver lidando com seu número máximo de simultâneas conexões; • Escalabilidade – à medida que a empresa cresce, deve poder estender seus serviços VPN para lidar com esse crescimento sem substituir completamente a tecnologia VPN. As equipes de segurança da informação e segurança cibernética, podem realizar a configuração de uma VPN de dois modos: • VPN site to client: permite que usuários individuais estabeleçam conexões seguras com uma rede de computadores remotos. Esses usuários podem acessar os recursos seguros nessa rede como se estivessem diretamente conectados aos servidores da rede. Um 65 exemplo de empresa que precisa de uma VPN de acesso remoto é uma grande empresa com centenas de vendedores em campo. • VPN site a site: permite que escritórios em vários locais fixos estabeleçam conexões seguras entre si através de uma rede pública como a internet. A VPN site a site estende a rede da empresa, disponibilizando recursos de computador de um local para funcionários de outros locais. Um exemplo de empresa que precisa de uma VPN site a site é uma empresa em crescimento, com dezenas de filiais em todo o mundo. As VPNs site a site, podem ser do tipo intranet – se uma empresa tiver um ou mais locais remotos nos quais deseja ingressar em uma única rede privada, poderá criar uma VPN na intranet para conectar cada LAN separada a uma única WAN ou do tipo extranet. Quando uma empresa tem um relacionamento próximo com outra empresa (como um parceiro, fornecedor ou cliente), pode criar uma VPN de extranet que conecta as LANs dessas empresas. Essa VPN de extranet permite que as empresas trabalhem juntas em um ambiente de rede compartilhado e seguro, impedindo o acesso às intranets separadas. Figura 9 − Exemplo de VPN - Site to cliente. 66 Figura 10 − Exemplo de VPN - Site to site. Atualmente as VPNs são consideradas por muitos especialistas de segurança da informação e segurança cibernética, mecanismos confiáveis de proteção para a interligação de infraestruturas de TI distintas e dispostas em regiões físicas diferentes, pois, além de proverem uma segurança fim a fim de forma segura (criptografada), fornecem economia. Atualmente os protocolos mais comuns utilizados em uma VPN são PPTP, L2TP, SSTP, IKEV2 e OpenVPN vamos entender um pouco mais sobre cada um deles: PPTP (Protocolo de Tunelamento Ponto-a-Ponto): o PPTP é um dos mais antigos protocolos VPN ainda em uso. Ele foi desenvolvido pela Microsoft para encapsular o protocolo PPP (Protocolo Ponto-a-Ponto), ele é rápido e computacionalmente eficiente além de ser suportado em dispositivos mais antigos, porém é considerado o tipo menos seguro devido a vulnerabilidades conhecidas seu uso é recomendado apenas em casos em que a segurança absolutamente não é essencial como em ambiente internos ou domésticos. L2TP (Protocolo de Tunelamento de Camada 2): o L2TP é usado para suportar redes virtuaisprivadas (VPNs) e é frequentemente combinado com o IPsec, ele é suportado em vários sistemas operacionais e pode lidar com vários tipos de protocolos usando o PPP para encapsular dados no túnel. Ele é recomendado para conexões seguras em redes corporativas, trabalho remoto e superação de bloqueios geográficos2 67 SSTP (Protocolo de Tunelamento Seguro por Soquete): o SSTP cria um túnel VPN usando SSL/TLS para transportar tráfego PPP, ele usa SSL/TLS para criptografar o tráfego sendo suportado no Windows e outros sistemas operacionais. Além de muito estável ele é recomendado para acesso remoto seguro a redes corporativas e superação de bloqueios. IKEv2 (Internet Key Exchange versão 2): o IKEv2 é usado para estabelecer uma associação de segurança (SA) no conjunto de protocolos IPsec, ele é rápido, estável, seguro pois suporta criptografia forte e autenticação e é uma das opções mais compatíveis. OpenVPN: o OpenVPN é um sistema VPN de código aberto que oferece segurança e flexibilidade, ele usa o OpenSSL para criptografar canais de dados e controle, suporta autenticação baseada em certificados, chaves pré-compartilhadas ou nome de usuário/senha. Ele é disponível em várias plataformas, incluindo Windows, macOS, Linux e roteadores. 10 69 Capítulo 10. Melhores Práticas de Segurança em Cloud Quando discutimos melhores práticas de segurança em cloud, é essencial abordar vários tópicos para garantir a proteção adequada dos dados e sistemas. Aqui estão algumas áreas importantes a considerar. 10.1. Identificação e Avaliação de Riscos Fonte: https://designer.microsoft.com/image-creator A primeira etapa na segurança em cloud é identificar os riscos potenciais que podem afetar os recursos na nuvem. Isso inclui ameaças externas, como ataques cibernéticos e internas, como configurações inadequadas de segurança. Uma vez identificados, os riscos devem ser avaliados em termos de probabilidade e impacto, permitindo que as organizações priorizem suas respostas e recursos de segurança. 10.2. Responsabilidade Compartilhada Fonte: https://designer.microsoft.com/image-creator https://designer.microsoft.com/image-creator https://designer.microsoft.com/image-creator 70 A segurança em cloud opera sob um modelo de responsabilidade compartilhada, onde o provedor de serviços em nuvem é responsável pela segurança da infraestrutura, enquanto o cliente é responsável pela segurança dos dados e aplicações que gerencia. É essencial que as organizações compreendam claramente suas responsabilidades e implementem controles de segurança adequados para proteger seus ativos. 10.3. Mitigação de Riscos e Controles de Segurança Fonte: https://designer.microsoft.com/image-creator Para mitigar os riscos identificados, as organizações devem implementar uma série de controles de segurança. Isso pode incluir criptografia de dados, autenticação multifator, políticas de acesso e monitoramento contínuo. Além disso, é importante que as organizações se mantenham atualizadas com as melhores práticas de segurança e adaptem- se rapidamente às novas ameaças. 10.4. Conscientização e Treinamento Fonte: https://designer.microsoft.com/image-creator https://designer.microsoft.com/image-creator https://designer.microsoft.com/image-creator 71 A segurança eficaz em cloud também depende da conscientização e do treinamento de todos os usuários. As organizações devem educar seus funcionários sobre os riscos de segurança e as melhores práticas para operar na nuvem, ajudando a prevenir incidentes de segurança causados por erro humano. 10.5. Governança e Políticas de Segurança Fonte: https://designer.microsoft.com/image-creator. Por fim, é vital estabelecer políticas claras de segurança e governança para gerenciar o uso de serviços em nuvem. Isso inclui definir quem tem acesso a quais dados, como os dados são compartilhados e como as violações de segurança são tratadas. Uma governança forte ajuda a garantir a conformidade com as regulamentações de proteção de dados e mantém a integridade dos sistemas de informação. A compreensão dos riscos e responsabilidades é fundamental para a segurança em cloud. As organizações devem ser proativas na identificação de riscos, claras em suas responsabilidades, rigorosas na implementação de controles de segurança, diligentes no treinamento de pessoal e estritas na governança para proteger seus ativos digitais na nuvem. https://designer.microsoft.com/image-creator 11 73 Capítulo 11. Soluções de apoio a LGPD 11.1. Soluções da Azure para LGPD A Lei Geral de Proteção de Dados (LGPD) é uma regulamentação brasileira que tem como objetivo proteger os dados pessoais dos cidadãos. Inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, a LGPD estabelece regras para a coleta, processamento, armazenamento e compartilhamento de informações pessoais por organizações públicas e privadas. Ela busca garantir a privacidade e a segurança dos dados, conferindo aos indivíduos maior controle sobre suas informações. A LGPD também estabelece direitos dos titulares dos dados, como o direito de acesso, retificação e exclusão das informações. Organizações que não cumprem com as normas da LGPD podem enfrentar penalidades financeiras significativas. A lei entrou em vigor em setembro de 2020, apesar de ter sido prorrogada por conta da pandemia, impactando a maneira como as empresas tratam os dados pessoais e promovendo uma cultura de respeito à privacidade. O Microsoft Azure oferece várias ferramentas e recursos para ajudar as organizações a se enquadrarem na LGPD. Aqui estão algumas delas: Entra ID ou Azure Active Directory (Azure AD): O Azure AD oferece recursos avançados de gerenciamento de identidade e acesso. Você pode usar a autenticação multifatorial (MFA), políticas de senha fortes e monitoramento de atividades para garantir que apenas pessoas autorizadas acessem os dados pessoais. 74 Azure Policy: essa ferramenta permite criar e aplicar políticas de conformidade e segurança em seu ambiente do Azure. Você pode criar políticas específicas para atender aos requisitos da LGPD, como criptografia de dados em repouso e controles de acesso. Fonte: https://learn.microsoft.com/pt-br/azure/cloud-adoption- framework/scenarios/cloud-scale-analytics/images/azure- governance.png Microsoft Defender for Cloud: essa plataforma oferece visibilidade completa sobre o ambiente de nuvem, ajudando a identificar e corrigir vulnerabilidades e ameaças de segurança. Ele também fornece recomendações para melhorar a postura de segurança e conformidade. Fonte: https://learn.microsoft.com/pt-br/azure/defender-for- cloud/media/defender-for-cloud-introduction/defender-for-cloud- pillars.png Azure Data Lake Storage: o armazenamento do Azure Data Lake oferece criptografia de dados em repouso e recursos avançados de controle de acesso. Isso ajuda a proteger dados pessoais armazenados na nuvem. https://learn.microsoft.com/pt-br/azure/cloud-adoption-framework/scenarios/cloud-scale-analytics/images/azure-governance.png https://learn.microsoft.com/pt-br/azure/cloud-adoption-framework/scenarios/cloud-scale-analytics/images/azure-governance.png https://learn.microsoft.com/pt-br/azure/cloud-adoption-framework/scenarios/cloud-scale-analytics/images/azure-governance.png https://learn.microsoft.com/pt-br/azure/defender-for-cloud/media/defender-for-cloud-introduction/defender-for-cloud-pillars.png https://learn.microsoft.com/pt-br/azure/defender-for-cloud/media/defender-for-cloud-introduction/defender-for-cloud-pillars.png https://learn.microsoft.com/pt-br/azure/defender-for-cloud/media/defender-for-cloud-introduction/defender-for-cloud-pillars.png75 Fonte: https://learn.microsoft.com/pt-br/azure/architecture/data- guide/scenarios/images/data-lake-use-cases.jpg Azure SQL Database: o Azure SQL Database oferece recursos de segurança avançados, como criptografia de dados em repouso e em trânsito, auditoria de banco de dados e controle granular de acesso. Fonte: https://techcommunity.microsoft.com/t5/image/serverpage/image- id/293830iE02EBD29F7985FCC/image-size/large?v=v2&px=999 Microsoft Sentinel: esta é uma plataforma de gerenciamento de informações e eventos de segurança (SIEM) que ajuda a detectar e responder a ameaças em tempo real. Pode ser usado para monitorar atividades de acesso a dados pessoais e detectar comportamentos suspeitos. https://learn.microsoft.com/pt-br/azure/architecture/data-guide/scenarios/images/data-lake-use-cases.jpg https://learn.microsoft.com/pt-br/azure/architecture/data-guide/scenarios/images/data-lake-use-cases.jpg https://techcommunity.microsoft.com/t5/image/serverpage/image-id/293830iE02EBD29F7985FCC/image-size/large?v=v2&px=999 https://techcommunity.microsoft.com/t5/image/serverpage/image-id/293830iE02EBD29F7985FCC/image-size/large?v=v2&px=999 76 Fonte: https://learn.microsoft.com/pt- br/azure/sentinel/media/overview/core-capabilities.png Azure Rights Management: Essa ferramenta ajuda a proteger os dados pessoais, permitindo que você controle quem pode acessar, visualizar e compartilhar informações confidenciais (mais informações em https://learn.microsoft.com/pt-br/azure/information-protection/what-is- azure-rms). Fonte: https://learn.microsoft.com/pt-br/azure/information- protection/media/azrms_documentconsumption1.png https://learn.microsoft.com/pt-br/azure/sentinel/media/overview/core-capabilities.png https://learn.microsoft.com/pt-br/azure/sentinel/media/overview/core-capabilities.png https://learn.microsoft.com/pt-br/azure/information-protection/what-is-azure-rms https://learn.microsoft.com/pt-br/azure/information-protection/what-is-azure-rms https://learn.microsoft.com/pt-br/azure/information-protection/media/azrms_documentconsumption1.png https://learn.microsoft.com/pt-br/azure/information-protection/media/azrms_documentconsumption1.png 77 Lembre-se de que o cumprimento da LGPD não se limita apenas às ferramentas, mas envolve também a implementação de práticas e políticas adequadas. Certifique-se de revisar a legislação e as necessidades específicas da sua organização para garantir que todos os requisitos da LGPD sejam atendidos (link para a lei: https://www.planalto.gov.br/ccivil_03/_ato2015- 2018/2018/lei/l13709.html) https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.html https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.html 78 8 Referências ABNT NBR ISO/IEC 27001:2013. Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos. ABNT NBR ISO/IEC 27002:2013. Tecnologia da Informação – Técnicas de Segurança – Código de prática para controles de segurança da informação. ACCENTURE. A importância da segurança na cloud. 2022. Disponível em: <https://www.accenture.com/pt-pt/insights/security/secure- cloud-future-proof>. Acesso em: 20 de mai, 2024. BING SEARCH. Compreensão dos Riscos e Responsabilidades em segurança em cloud. Disponível em: <https://bing.com/search?q=Compreens%c3%a3o+dos+Riscos+e+Re sponsabilidades+em+seguran%c3%a7a+em+cloud>. Acesso em: 20 de mai, 2024. BUGS. In: Wikipédia, a enciclopédia livre. Flórida: Wikimedia Foudation, 2019. Disponível em: https://pt.wikipedia.org/wiki/Bug. Acesso em: 31 ago. 2022. CERT.br. O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. c2016. Disponível em: https://www.cert.br/. Acesso em: 31 ago. 2022. COBB, Michael. Using 802.1X to control physical access to LANs. SearchMidmarketSecurity, 2009. Disponível em: https://searchmidmarketsecurity.techtarget.com/tip/Using-8021X-to- control-physical-access-to-LANs. Acesso em: 31 ago. 2022. https://www.accenture.com/pt-pt/insights/security/secure-cloud-future-proof https://www.accenture.com/pt-pt/insights/security/secure-cloud-future-proof https://bing.com/search?q=Compreens%c3%a3o+dos+Riscos+e+Responsabilidades+em+seguran%c3%a7a+em+cloud https://bing.com/search?q=Compreens%c3%a3o+dos+Riscos+e+Responsabilidades+em+seguran%c3%a7a+em+cloud https://pt.wikipedia.org/wiki/Bug https://www.cert.br/ https://searchmidmarketsecurity.techtarget.com/tip/Using-8021X-to-control-physical-access-to-LANs https://searchmidmarketsecurity.techtarget.com/tip/Using-8021X-to-control-physical-access-to-LANs 79 COMER, Douglas E. Redes de Computadores e Internet. 2. ed. São Paulo: Bookman, 2001. DANTAS, Mário. Tecnologia de Redes de Comunicação e Computadores. Rio de Janeiro: Axcel Books, 2002. HARRIS, Shon. CISSP All-in-one. 3. ed. [S. l.]: Mc Graw Hill, 2004. HOSTINGER TUTORIAIS. Segurança na Nuvem: Melhores Práticas e Como Implementá-las. 2023. Disponível em: <https://www.hostinger.com.br/tutoriais/seguranca-na-nuvem>. Acesso em: 20 de mai, 2024. IBM. O que é segurança na nuvem? Disponível em: <https://www.ibm.com/br-pt/topics/cloud-security>. Acesso em: 20 de mai, 2024. INTRUSION DETECTION SYSTEM. In: Wikipédia. Flórida: Wikimedia Foudation, 2020. Disponível em: https://en.wikipedia.org/wiki/Intrusion_detection_system. Acesso em: 31 ago. 2022. KIM, David; SOLOMON, Michael. Fundamentos de Segurança de Sistemas de Informação. São Paulo: LTC Exatas Didática, 2014. MACHADO, Felipe R. Nery. Segurança da Informação: Princípios e controle de ameaças. Rio de Janeiro: Editora Érica, 2014. OUELLET, Eric; LITAN, Avivah; MCSHANE, Ian. Magic Quadrant for Endpoint Protection Platforms. Gartner, 2017. Disponível em: https://www.gartner.com/en/documents/3588017. Acesso em: 31 ago. 2022. RITTINGHOUSE, John W; RANSOME, F. James. Cloud Computing: Implementation, Management and Security. CRC PRESS, 2009. https://www.hostinger.com.br/tutoriais/seguranca-na-nuvem https://www.ibm.com/br-pt/topics/cloud-security https://en.wikipedia.org/wiki/Intrusion_detection_system https://www.gartner.com/en/documents/3588017 80 SCARFONE, Karen; MELL, Peter. Guide to Intrusion Detection and Prevention Systems. CSRC, 2007. Disponível em: https://csrc.nist.gov/publications/detail/sp/800-94/final. Acesso em: 31 ago. 2022. SÊMOLA, Marcos. Gestão da Segurança da Informação. 2. ed. São Paulo: Gen-LTC, 2013. SOARES, Luís Fernando; LEMOS, Guido; COLCHER, Sérgio. Redes de computadores: das LANs, MANs e WANs às redes ATM. Rio de Janeiro: Campus, 1995. SPONH, Marco Aurélio. Desenvolvimento e análise de desempenho de um “Packet Session Filter”. Porto Alegre, RS: CPGCC/UFRGS, 1997. STALLINGS, Willian. Criptografia e Segurança de Redes: Princípios e Práticas. 6. ed. São Paulo: Pearson, 2016. STALLINGS, Willian; BROWN, Lawrie. Segurança de Computadores: Princípios e Práticas. 2. ed. São Paulo: Elsevier, 2017. TANENBAUM, Andrew S. Redes de Computadores. 4. ed. Rio de Janeiro: Editora Campus (Elsevier), 2011. TREND MICRO INCORPORATED. Segurança na nuvem: principais conceitos, ameaças e soluções. Disponível em: <https://www.trendmicro.com/vinfo/br/security/news/virtualization- and-cloud/cloud-security-key-concepts-threats-and-solutions>. Acesso em: 22 de mai, 2024. V., John. Overview: Forward Proxy vs. Reverse Proxy. Blog Managed File Transfer and Network Solutions, 2012. Disponível em: https://www.jscape.com/blog/bid/87783/Forward-Proxy-vs-Reverse- Proxy. Acesso em: 31 ago. 2022. https://csrc.nist.gov/publications/detail/sp/800-94/final https://www.trendmicro.com/vinfo/br/security/news/virtualization-and-cloud/cloud-security-key-concepts-threats-and-solutions https://www.trendmicro.com/vinfo/br/security/news/virtualization-and-cloud/cloud-security-key-concepts-threats-and-solutions https://www.jscape.com/blog/bid/87783/Forward-Proxy-vs-Reverse-Proxyhttps://www.jscape.com/blog/bid/87783/Forward-Proxy-vs-Reverse-Proxy 81 VPN Tunneling Protocols. Microsoft Docs, 7 mar. 2012. Disponível em: https://docs.microsoft.com/en-us/previous-versions/windows/it- pro/windows-server-2008-R2-and- 2008/cc771298(v=ws.10)?redirectedfrom=MSDN. Acesso em: 31 ago. 2022. ZWICKY, Elizabeth D.; COOPER, Simon; CHAPMAN, D. Brent. Building Internet Firewalls: Internet and Web Security. 2. ed. Sebastopol, CA: O’Reilly Media, 2000. https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc771298(v=ws.10)?redirectedfrom=MSDN https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc771298(v=ws.10)?redirectedfrom=MSDN https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc771298(v=ws.10)?redirectedfrom=MSDN
Mais conteúdos dessa disciplina
[LOG]ANO2C1B3S20A1ALUNO- [LOG]ANO2C1B3S20A2ALUNO
- Screenshot_20250906_122437_UNIASSELVI Leo App
- image
- Prova
- 391514514-Como-Crescer-Espiritualmente-Adotando-Uma-Rotina-Devocional-Helio-Peixoto
- Captura de tela 2025-08-16 145729
- catalogo-google-v_3-0-1
- catalogo-unilateral-autodesk-2-0-0-publi
- [LOG]ANO2C1B3S21A3ALUNO
- [LOG]ANO2C1B3S21A1ALUNO
- [LOG]ANO2C1B3S21A2ALUNO
- Screenshot_20250902-122755
- A gestão de dependências no desenvolvimento de software é fundamental para garantir que as alterações feitas em um sistema sejam controladas e que ...
- ENTRO UNIVERSITÁRIO LEONARDO DA VINCI Período Letivo: 2025/2 Turma: FLD2360839 Segunda/Noturno Disciplina: Tópicos Especiais (TE2015) Prova: 104611...
- No contexto da sociedade da informação, essa passa a ser um direito e seu acesso por parte de todos cidadãos remete à realização de uma sociedade d...
- A relação entre alfabetização digital e inclusão digital pode ser observada em: Questão 4Resposta a. Como as tecnologias digitais não têm impacto ...
- A ciência e tecnologia desempenham papéis fundamentais no avanço das sociedades modernas,
- Trecho da BNCC (Educação Infantil e Ensino Fundamental): “O uso de tecnologias da informação e comunicação (TICs) deve favorecer a mediação pedagógica
- Atualmente muitas inovações estão implementadas nas cadeias produtivas do agronegócio. Os avanços das tecnologias de informação e comunicação (TICs...
- Logística (16947210) junuico UI asticiro, ssinale a alternativa correta: A) A autoria é 0 reconhecimento técnico de quem fez a invenção, enquanto 0...
- Comunicação e Tecnologia A comunicação eficaz na escola, aliada ao uso consciente da tecnologia, contribui para: a. Fortalecer a colaboração entre edu
- A rápida evolução tecnológica impacta a sociedade e os negócios, demandando atualização constante por parte dos profissionais. As tecnologias emerg...
- O conceito de propriedade intelectual, pertencente ao sub-ramo do direito intelectual, refere-se à proteção legal concedida às invenções originadas da
- desde os anos 1950 o BRasil vem organizando tanto a formação de pesquisadores quanto a criação/expansão
- A inclusão de tecnologias na EJA é importante para: Evitar o contato com novas ferramentas. Tornar a educação mais complexa. Manter ...
- Rede de Computadores
- big data
