Deperimetrização e Externalização
"O perímetro de rede não funciona mais como modelo de segurança". "O firewall está morto". Você provavelmente já leu isso várias vezes, e a tese se tornou até um chavão frequente nos eventos de segurança. Os motivos normalmente alegados são a grande quantidade de laptops que se conectam na rede interna depois de usarem redes externas, os computadores de terceiros eventualmente se plugando e usando a rede interna, o acesso remoto que parceiros precisam ter a aplicações de negócios, etc. Estas situações, na opinião de vários especialistas, criam tantos "buracos" na muralha de proteção erguida pelos firewalls de rede que uma estratégia de segurança baseada somente no perímetro se tornou na prática inefetiva.
Mas o fato importantíssimo que a maior parte destas análises não leva em conta, e que na minha opinião é o que realmente representará o fim do perímetro como paradigma de segurança, é que o que chamamos de "rede interna" irá desaparecer no futuro. Em uma época não muito distante as pessoas vão se admirar em saber que organizações tinham que investir tempo e recursos em manter suas próprias redes. Elas não vão entender como se gastava tanto para manter uma estrutura que não traz nenhum diferencial competitivo, e que terceiros podem prover com maior qualidade e economia de escala.
[Por exemplo, eu acesso os servidores da Microsoft para ler e-mail e outros fins usando o link de 2Mbps da minha casa com a GVT. Muito mais do que os 1 Mbps de link dedicado disponível no escritório da Microsoft em Brasília. E ainda pago muito menos pelo acesso. Por que então a Microsoft tem mesmo que ter uma rede em Brasília?? Claro que para muitos a equação pode ainda não fechar, mas a tendência de comoditização e onipresença do acesso a Internet é clara e é apenas questão de tempo].
Estamos caminhando rapidamente para um mundo onde desktops e notebooks podem estar conectados em qualquer lugar, usando qualquer método disponível: WiFi, EVDO, cabo, business centers. Onde pequenas filiais podem funcionar simplesmente com um router ADSL e um ponto Wireless, e sitios maiores contratando serviço de rede de uma empresa especializada. E com os servidores mantidos em datacenters, próprios ou mantidos por terceiros, e estes sim ainda protegidos por um perímetro.
Essa mudança de contexto vai obrigatoriamente forçar a mudança da estratégia de segurança da maioria das organizações. Ao invés de procurar garantir a segurança da rede, a estratégia de segurança terá que se focar na segurança do host - onde quer que ele esteja conectado. Este excelente artigo do Rational Security conceitua bem este novo modelo:
Take a host with a secured OS, connect it into any network using whatever means you find appropriate, without regard for having to think about whether you're on the "inside" or "outside." Communicate securely, access and exchange data in policy-defined "zones of trust" using open, secure, authenticated and encrypted protocols.
Este é um resumo dos mandamentos do Jericho Forum, um consórcio de empresas que discute modelos e soluções de segurança para ambientes sem o limite de um perímetro. O Jericho Forum introduziu o conceito de "deperimetrização" ou "externalização", e desafiou o mercado de TI a adaptar e criar soluções para estes ambientes. Alguns membros do Jericho Forum já partiram da palavra para a ação, e destes a British Petroleum foi a mais ousada. A BP começou um programa para 18 mil dos seus funcionários onde eles recebem um valor anual para comprar e manter o seu próprio notebook, não mais usando mais os recursos de TI da organização. Estes notebooks sequer se conectam à rede da BP, se conectando diretamente à Internet mesmo quando eles estão nos escritórios da BP.
A Microsoft também entendeu o desafio do Jericho Forum, e a nossa estratégia de segurança está direcionada para fazer com que organizações possam caminhar para um mundo com conectividade universal, onde cada computador possa se manter seguro independente de perímetros. No Windows Server 2008 e o Windows Vista podemos encontrar diversos recursos que permitem que essa visão de uma organização sem perímetros se torne realidade:
¦ A integração entre o Windows Firewall e IPsec do Vista permite que cada computador possa ter políticas de acesso a rede que definem exatamente de quem eles vão aceitar conexões de rede, autenticando o sistema remoto ("se eu não conheço você então você não pode falar comigo") e criando um canal de comunicação seguro usando IPsec em modo de transporte. Essa que a proteção independe do meio de conexão que esteja sendo utilizado, e pode ser configurada para portas específicas ou em sentidos diferentes ("você não pode tentar falar comigo para mim mas eu posso tentar falar com você").
Em contraste, os firewalls pessoais tradicionais baseiam as suas políticas em endereços IP, permitindo a comunicação se o sistema remoto fizer parte de um determinado grupo de endereços. Não só isso é incrivelmente inseguro, já que não envolve autenticação, mas também não funciona se os sistemas remotos puderem estar em qualquer lugar da Internet. As políticas dos firewalls pessoais tradicionais somente funcionam dentro de um modelo de perímetro - o IPsec permite que as polítics do Windows Firewall possam ser efetivas em um mundo deperimetrizado.
¦ Os Read-Only Domain Controllers (RODCs) do Windows Server 2008 permite que o Active Directory possa estar agora diretamente exposto na Internet com toda a segurança. O RODC funciona como um proxy entre os clientes e os controladores de domínio do AD, repassando as solicitações de autenticação e as políticas de grupo mas impedindo que qualquer sistema externo possa tentar alterar o conteúdo do Active Directory. Com um RODC um notebook por exemplo pode se logar no seu domínio, receber sua política de Firewall e IPsec e autenticar sistemas remotos onde quer que ele esteja.
¦ Como inventariar e distribuir atualizações para clientes na Internet? O System Center Configuration Manager 2007, a nova versão do Microsoft SMS, permite que organizações possam gerenciar sistemas ligados diretamente à Internet, sem necessidade de uso de VPNs ou mecanismos similares - o dispositivo não precisa ter estado na rede corporativa nem uma única vez. O SCCM 2007 suporta inventário de hardware e software, distribuição de software e gerência de políticas de conformidade, fazendo toda a comunicação usando HTTP com SSL. O SCCM 2007 ainda otimiza o uso da banda de rede para suportar melhor cenários de conexão irregular.
¦ Como disponibilizar aplicações corporativas para estes clientes? O Windows Server 2008 traz o recurso de Terminal Services Gateway, que permite que o uso de Terminal Services utilizando HTTP com SSL, e se desejado com autenticação via smart card. Combinado com os novo recursos de Terminal Services RemoteApp e Single Signon, isso significa que usuários vão poder clicar em um ícone em seu desktop e usar uma aplicação de onde estiverem, sem nem desconfiar que ela está na verdade rodando em um servidor a centenas de quilômetros de lá.
¦ Para permitir o acesso a outros serviços corporativos o Windows também introduz o uso de VPN com protocolo SSTP. O SSTP faz toda a comunicação utilizando HTTP com SSL e suporta autenticação com smart cards, que faz com que clientes em qualquer lugar da Internet possam acessar os servidores com o máximo de segurança. Mas isso não é tudo - o SSTP também pode utilizar o Network Access Protection para validar se o cliente está de acordo com a política da empresa (i.e. se tem todos o patches, antivirus, firewall pessoal, etc.) antes de conceder o acesso, o que é fundamental em um ambiente deperimetrizado.
Para organizações onde a segurança está efetivamente alinhada com o negócio, não se trata de resistir à deperimetrização e sim pensar como se preparar para esse futuro. Este será na minha opinião o verdadeiro teste dos CSOs nos próximos anos e um desafio para a agilidade dessas áreas.
P.S. Um ponto ausente nesse post é o uso de IPv6, que pretendo discutir em breve.
UPDATE: Steve Riley mostra como utilizar o Windows Firewall e IPsec para proteger clientes deperimetrizados - em português.