Em memória de Giordani Rodrigues
Total Security - infoguerra.com.br
Segurança
Segunda - 03 de Dezembro de 2007 às 17:22
Por: Luiz Celso

    Imprimir


A vida atrás do firewall de rede às vezes se assemelha à vida atrás das grades quando se trata de comércio eletrônico colaborativo, que está exigindo a abertura das redes corporativas para parceiros de negócio.

O Jericho Fórum é a organização empenhada em convencer executivos corporativos e a indústria de segurança de que precisam criar opções de segurança menos dependentes da defesa do perímetro, como os firewalls tradicionais.

Há algumas semanas, a instituição exibiu sua influência crescente em uma conferência que atraiu importantes arquitetos de software da Microsoft, Oracle e grandes empresas usuárias.

A idéia de uma borda sem firewall é polêmica. Um grande número de empresas, entre elas Citigroup e JP MorganChase, foi ouvir se o firewall é uma necessidade ou um obstáculo.

Bill Cheswick, líder da equipe técnica da AT&T Research e notório pioneiro na área de firewalls, reconheceu no discurso de abertura que às vezes é possível “nadar nu na internet”, isto é, usar a internet com segurança sem firewall ou mesmo defesa antivírus.

“Podemos usar a internet de maneira rica e segura sem uma defesa do perímetro?”, Cheswick perguntou aos participantes da conferência. “O risco de as pessoas atacarem o software existe”, ele ressaltou, e “você está abrindo mão de uma camada de segurança”, acrescenta.

Mas é possível “mergulhar” na internet sem defesa do perímetro. “Tenho nadado nu, sem software antivírus. Estou revigorado. Nadar nu funcionou para mim? Funcionou bem”, disse Cheswick. Porém, por experiência própria, ele considera fundamental pôr “caixas de areia” ao redor de serviços, como proteção.

Para as empresas, hoje, abster-se da defesa do perímetro significa “não deter um ataque DDoS (sigla, em inglês, para Distributed Denial of Service Attack, que em português quer dizer ataque de negação de serviço distribuído), por isso talvez ainda precisemos de um jardim cercado”, observou.

Para Cheswick, uma das melhores possibilidades que o futuro da segurança oferece está no software de virtualização. “A virtualização me permite criar uma máquina com uma caixa de areia muito robusta”, compara.

Carl Ellison, arquiteto da Microsoft responsável por projetar melhorias para o Windows, admitiu a existência do que ele definiu como “limites do isolamento”, que não oferecem mais a segurança adequada, já que muitas empresas, atualmente, precisam abrir brechas na rede para fazer negócio.

“Temos direcionado tudo através da Porta 80 porque ela está aberta no firewall”, revelou Ellison. “O perímetro se foi. Desapareceu. As pessoas é que pensam que ainda não se foi.”

Ellison confessou que gosta de “nadar nu” na internet com o Windows Vista. “Estou confiante por causa do firewall de host. Mas ainda temos que abri-lo para e-mail, a web e compartilhamento de arquivos”, explica.

Os servidores Microsoft , hoje, podem “traçar o limite do isolamento em torno da atividade”, explica Ellison, usando a chamada tecnologia Microsoft Server and Domain Isolation. Baseada em autenticação IPSec, a tecnologia da Microsoft permite que gerentes de rede emitam um certificado para computadores para permitir que eles unam domínios baseados em políticas de segurança e grupos do Active Directory.

“Para ser admitido no limite do isolamento não tem que ser uma máquina pertencente apenas à minha empresa”, diz Ellison. Mas, quando alguém na platéia perguntou como será possível rastrear todas as conexões IPSec neste ambiente vislumbrado, Ellison foi obrigado a admitir que ainda não existem bons produtos de gerenciamento para isso.

Como Cheswick, Ellison acha que uma das melhores oportunidades de desenvolver o tipo de segurança “desperimetrizada” defendido pelo Jericho Forum pode estar na vrtualização. A Microsoft, embora mais lenta do que a rival VMware na liberação de software de virtualização, pretende lançar um produto que funciona como servidor virtual em meados do ano que vem.

“Com o que está vindo em breve aí, podemos dividir máquinas em várias coisas endereçáveis, que podem se juntar a diferentes domínios”, disse Ellison. “Planejamos implementar políticas de firewall para estes domínios”, complementa.

O Jericho Forum, formado por 45 corporações, principalmente grandes empresas européias, mas também uma lista crescente de empresas sediadas nos Estados Unidos, como a Johnson & Johnson, foi combatido por analistas que taxaram de irreal a missão do grupo de tirar o perímetro (também chamado de “desperimetrarizar”).

Mas Paul Simmonds, chief information security officer da ICI, fabricante inglês de produtos químicos e tintas e membro do board do Jericho Forum, deixou claro que o grupo não endossa o fim do firewall de rede. “Nunca dissemos que não queríamos nenhum firewall”, declarou Simmonds.

“Estamos simplesmente pedindo que você entenda por que está usando um firewall, e suas limitações. Você pode acabar usando mais firewalls se ele reduzirem sua superfície de ataque”, explica.

Em sua apresentação, Simmonds observou que a emergência do comércio business-to-business e business-to-consumer via internet, na década passada, junto com wireless, outsourcing e offshoring, significa que a “desperimetrarização, para a maioria das corporações, já faz parte da vida. Está acontecendo quer você se dê conta ou não”, sinaliza.

Para fazer negócio com a rede Wal-Mart, por exemplo, é necessário estabelecer uma conexão direta entre sistemas de ERP independentes. “Eles vão insistir que uma brecha seja aberta para que nós possamos vender tinta e eles possam fazer pedidos”, explicou Simmonds. Esta situação é cada vez mais a normal, fazendo do firewall um perímetro cheio de buracos.

A meta é “descobrir um modelo de segurança que se enquadre no seu negócio”, e o Jericho Forum está apenas tentando encontrar “um mix mais equilibrado”, que vá além de ver o firewall como essencial, disse John Meakin, diretor de segurança de informação do Standard Chartered Bank e membro da instituição.

Entre os fornecedores que se mostram cada vez mais conscientes das sugestões do Jericho Forum — sem mencionar o potencial poder de compra de seus membros — está a Oracle, que despachou seu principal arquiteto de gerenciamento de identidade, Nashant Kaushik, para proporcionar aos participantes da conferência uma visão da futuro Fusion, da Oracle, que virá com sistema de gerenciamento de identidade como serviço. “Isso encaixa com a desperimetrização”, afirma.

Analistas convidados para falar na conferência buscaram um denominador comum com a visão do Jericho Forum, admitindo que houve discussões e discordâncias. “Parece existir um conflito entre o que o Gartner prega e o que o Jericho diz”, apontou Jeffrey Wheatman, analista do Gartner que falou sobre segurança e privacidade na conferência do Jericho Forum.

Mas “a velha zona desmilitarizada [DMZ] não funciona mais, não suporta Web 2.0, conteúdo dinâmico e AJAX”, reconheceu Wheatman. O caminho à frente não está necessariamente claro e tecnologias como a virtualização podem acabar fazendo diferença para a segurança, disse Wheatman. “O Jericho Forum não diz que o perímetro está desaparecendo. A borda vai mudar, mas não desaparecerá”, prevê o analista.

Em sua apresentação, Daniel Blum, vice-presidente sênior e analista do Burton Group, disse que não vê a desperimetrização como uma proposição tudo ou nada, acrescentando que “a arquitetura de segurança corporativa tem que transferir os controles – da rede para endpoints, data centers, repositórios de informação e aplicações”. Além disso, “o modelo de um único firewall implodiu”, aponta.

Em resposta à pergunta se as organizações deveriam parar de comprar firewalls, Wheatman declarou: “Não parem de comprar. As organizações dependem de firewalls para fazer tudo”. Ao que Simmonds replicou: “Se depender do Jericho Forum, não há mais firewalls de borda e não há mais necessidade de firewalls”.

A TI depois do firewall
O Jericho Forum preconiza que se dependa menos de firewalls de perímetro para proteger redes corporativas e se confie mais em medidas de segurança mais próximas de estações de trabalho e servidores.

Abaixo, alguns dos princípios que o grupo recomenda para esta nova arquitetura de segurança:

- Use protocolos abertos seguros para comunicação entre dispositivos

- Capacite todos os dispositivos a manter suas próprias políticas de segurança

- Organizações e usuários individuais têm de estabelecer um sistema de confiança que defina as responsabilidades de cada parte pela segurança.

- Os dados devem ter atributos de segurança como: “tem que ser criptografado” ou “público, não confidencial”.

- Por padrão, os dados precisam ser protegidos apropriadamente, estejam inativos, em trânsito ou em uso.

- Todos os mecanismo de segurança têm que ser eficientes, escaláveis e simples.


Fonte: COMPUTERWORLD




Comentários

Deixe seu Comentário

URL Fonte: https://infoguerra.com.br/noticia/2101/visualizar/