Segurança
Leitura de 12 minutos

Zero Trust, segurança de aplicativos do Windows e GO-Global

Última atualização:
11 de abril de 2024
Voltar ao blog
Zero Trust, segurança de aplicativos do Windows e GO-Global

Zero Trust, segurança de aplicativos do Windows e GO-Global

O termo "Zero Trust" foi criado em 2010 pelo analista da Forrester™ Research, John Kindervag, para descrever uma nova abordagem, consideravelmente mais rigorosa, para os controles de acesso do usuário e a postura de segurança cibernética do que a que era praticada na época. O termo deriva de um provérbio russo "confie, mas verifique", que foi adotado e repetido com frequência por Ronald Reagan durante sua presidência.

O modelo de segurança de confiança zero é uma abordagem para a estratégia, o projeto e a implementação de sistemas de TI. Assim como o provérbio, a base para a confiança zero é que os usuários e dispositivos não devem ser confiáveis por padrão, independentemente do local ou de relacionamentos confiáveis anteriores.

Embora o termo tenha sido usado pela primeira vez em 2010, demorou uma década para que as arquiteturas de computação de confiança zero prevalecessem sobre as práticas tradicionais de segurança cibernética e de acesso do usuário. Tradicionalmente, quando um usuário ou dispositivo obtém acesso a uma rede, ele geralmente recebe uma confiança significativa e privilégios de acesso amplos.

No entanto, com o surgimento da computação em nuvem, a proliferação de dispositivos móveis, o aumento dos tipos de rede e os cenários de usuários que trabalham de qualquer lugar que se tornaram onipresentes durante a pandemia, essa abordagem tradicional se mostrou tristemente insuficiente contra as ameaças avançadas de hoje.

Os ISVs do Windows® que fornecem seus aplicativos a partir da nuvem para clientes localizados em qualquer lugar têm operado com esse cenário há anos. No entanto, como os ataques se tornaram mais sofisticados e generalizados, tornou-se extremamente crítico para os ISVs do Windows protegerem seus aplicativos, dados de clientes e infraestrutura de fornecimento de aplicativos. Aqui na GO-Global, observamos um aumento significativo de ISVs do Windows que incluem a GO-Global® como parte de uma iniciativa de confiança zero para a segurança de aplicativos do Windows.

O que está incluído em uma iniciativa de confiança zero e como a GO-Global pode ajudar?

Princípios do Zero Trust

A segurança do perímetro já foi o foco de um plano abrangente de segurança de TI. No entanto, a confiança zero identifica cinco princípios que a TI precisa adotar como parte de sua estratégia.

Proteger a superfície:

Consiste em todos os usuários, dispositivos, aplicativos, dados, serviços e a rede na qual os dados confidenciais da empresa são transportados. Devido à pandemia, os usuários agora estão muito mais dispersos, de modo que a superfície de proteção de uma organização se estende muito além da LAN corporativa.

As ferramentas de segurança cibernética nessa categoria incluem aquelas que vão além da borda da rede para chegar o mais próximo possível de aplicativos, dados e dispositivos, para que as equipes de segurança possam identificar e priorizar os aplicativos, dados, dispositivos e usuários que precisam ser protegidos. Além disso, os arquitetos de segurança precisam entender a localização dos recursos essenciais e quem deve ter acesso a eles para implementar a solução mais adequada.

Controles atuais de segurança cibernética:

Depois de mapear a superfície de proteção, as equipes de segurança e TI precisam identificar os controles que já estão em vigor. Eles estão implantados no local mais adequado? Devem ser reimplantados, reaproveitados ou substituídos?

Modernize a arquitetura e aproveite as novas ferramentas de segurança cibernética:

Depois de identificar a superfície de proteção atualizada e o conjunto atual de ferramentas de segurança cibernética, o que uma organização precisa aplicar para preencher as lacunas ou substituir as ferramentas desatualizadas?

Exemplos de ferramentas que estão sendo usadas como parte de uma modernização de confiança zero incluem microssegmentação de rede e controles de acesso seguro para aplicativos e dados usando logon único e autenticação multifator. Para identificar ameaças emergentes, novas ferramentas avançadas de proteção contra ameaças, muitas delas com suporte de IA, podem levar as políticas de segurança para onde elas são necessárias em todo o serviço de proteção.

Aplique uma política detalhada de confiança zero:

Depois de implementar as tecnologias necessárias, os administradores de segurança precisam criar um conjunto rigoroso de padrões com base no "privilégio mínimo", que permite o acesso somente quando absolutamente necessário. Essas políticas de privilégio mínimo descrevem exatamente quais usuários e dispositivos devem ter acesso a quais aplicativos e serviços, quais aplicativos devem ter acesso a quais dados e quando esse acesso é permitido.

Depois que essas políticas são criadas, os administradores podem configurar dispositivos e ferramentas para aderir às políticas prescritas.

Monitoramento e alertas contínuos:

Mesmo com uma estrutura de confiança zero implementada, nada é totalmente seguro. As equipes de segurança de TI devem empregar ferramentas de monitoramento e alerta para verificar se as políticas estão funcionando e se a estrutura de segurança existente desenvolveu brechas que correm o risco de serem exploradas.

Quando ocorre uma atividade mal-intencionada, a equipe deve interromper imediatamente a atividade e realizar uma análise de causa raiz para identificar a causa e corrigir as falhas que criaram a vulnerabilidade. Ferramentas de segurança modernas, como detecção e resposta de rede, podem automatizar grande parte dessa atividade, reduzindo o tempo e o investimento em pessoal necessários.

Desafios para alcançar a confiança zero

Embora um modelo de segurança de confiança zero possa proporcionar um ROI significativo, ele é difícil de ser totalmente implementado. De acordo com o Gartner®, embora muitas organizações tenham implementado um modelo de segurança de confiança zero como parte de sua estratégia de segurança cibernética, "apenas 1% das organizações tem atualmente um programa maduro que atende à definição de confiança zero".

Os principais desafios para a implementação completa de uma arquitetura zero trust, conforme definido pelo Gartner, incluem

  • Até mesmo uma pequena falha na arquitetura do sistema pode invalidar o modelo de confiança zero.
  • Não existe um produto único que possibilite a confiança zero; em vez disso, cada organização precisa determinar a combinação de soluções e práticas que funcionam com sua infraestrutura e arquitetura de TI para alcançar a confiança zero.
  • As organizações que dependem de tecnologia e sistemas corporativos legados não podem adaptar um modelo de confiança zero devido à infraestrutura desatualizada.
  • A adoção da confiança zero exige um aumento imediato nos aplicativos, usuários e dispositivos que devem ser monitorados, uma adesão meticulosa às atualizações e à manutenção de software e hardware e auditorias regulares; muitas organizações não têm a equipe, a experiência ou o orçamento necessários para a implementação completa.
  • Conforme observado acima, uma organização não pode simplesmente implementar a confiança zero e "considerá-la boa". Para implementar a confiança zero, a TI deve seguir um modelo de processo contínuo que percorre os princípios listados acima e, em seguida, recomeça - o que exige um foco incansável que é difícil de manter ao longo do tempo.
  • O modelo de confiança zero deve evoluir continuamente para acomodar como as ameaças, a tecnologia e as metas e práticas comerciais mudam com o tempo. Como exemplo da rapidez com que o modelo pode mudar, observe que a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA lançou seu primeiro documento de referência do Modelo de Maturidade Zero Trust em agosto de 2021, publicou uma revisão em março de 2022 e uma segunda revisão em abril de 2023.

Para muitas organizações, a implementação completa da arquitetura zero trust, conforme definida pelo Gartner, é quase impossível devido ao custo, ao esforço e ao transtorno necessários para alcançá-la. Por exemplo, uma organização empresarial pode depender de um ou mais aplicativos, sistemas ou tecnologias legados essenciais aos negócios para ajudar a administrar a empresa e não conseguir continuar funcionando sem esse investimento em legado. Um ISV do Windows pode não ter tempo, largura de banda ou pessoal para garantir a segurança do aplicativo Windows, reescrevendo-o como um aplicativo baseado na Web para habilitar o SSO, ou pode relutar em alienar os clientes que adoram e dependem do aplicativo como ele é, substituindo-o por um aplicativo da Web.

No entanto, é absolutamente possível atingir uma porcentagem significativa de conformidade com o modelo de confiança zero. A Go-Global pode ajudar.

Como a GO-Global apóia o modelo Zero Trust

Os ISVs do Windows podem aproveitar o GO-Global para se alinhar ao modelo de confiança zero em várias áreas:

Proteger a superfície/rede

GO - Protocolo de sessão global:

A base do GO-Global é um protocolo proprietário e de baixa largura de banda para conectividade em linhas seriais chamado RapidX Protocol (RXP). O RXP é adaptável, usa várias camadas de compactação e é otimizado para garantir a menor utilização possível da largura de banda. Como o RXP é de código fechado, ele oferece uma defesa adicional contra invasores, em comparação com protocolos de código aberto, como o Microsoft® RDP, em que os pontos fracos de segurança foram encontrados e explorados.

Criptografia de sessão do cliente:

Por padrão, o GO-Global criptografa sessões usando DES (DataEncryption Standard) com força de chave de 56 bits para todas as conexões de sessão do cliente para proteger contra sniffers de pacotes básicos e clientes que interceptam comunicações de dados brutos. É rápido, confiável e oferece um nível imediato de segurança para conexões baseadas em LAN via GO-Global.

Para comunicações pela Internet, a GO-Global oferece transporte baseado em TLS com os seguintes algoritmos de criptografia: RC4 de 128 bits, 3DES de 168 bits e AES de 256 bits. Esses algoritmos de criptografia mais altos exigem que o administrador aplique um certificado TLS assinado no host, que pode ser gerado usando qualquer autoridade de certificação padrão. Os administradores também podem gerar certificados TLS confiáveis para Hosts GO-Global por meio da guia Segurança da caixa de diálogo Opções de Host no Admin Console, onde o Host GO-Global tem um endereço DNS registrado publicamente. Isso permite que os administradores ativem a criptografia forte e a segurança TLS sem comprar um certificado de uma Autoridade de Certificação de terceiros.

Tunelamento de servidor proxy:

A GO-Global suporta o Tunelamento de Servidor Proxy, também conhecido como HTTP Connect. Isso permite que um usuário que acessa a Internet por meio de um servidor proxy da Web se conecte aos hosts GO-Global na Internet. Ao usar um servidor proxy, lembre-se de que, por padrão, todo o tráfego é negado em todas as portas do host, portanto, o GO-Global Host deve ser configurado para aceitar conexões somente na porta 443.

Autenticação integrada do Windows:

Os administradores podem aumentar a segurança da rede dos usuários finais da GO-Global desativando a autenticação padrão (solicitação de nome de usuário e senha) e ativando a autenticação integrada do Windows na guia Autenticação da caixa de diálogo Opções do host no Admin Console. Com essa configuração, todos os clientes que não são do Windows têm acesso negado aos Hosts GO-Global, de modo que os usuários finais da GO-Global devem fazer logon em seus sistemas operacionais Windows com uma conta do Active Directory na qual o Host GO-Global confia. Além disso, as contas de usuário locais do GO-Global Host não têm permissão de acesso. O usuário é autenticado como membro do grupo NETWORK e o acesso aos recursos de rede do GO-Global Host é restrito.

Proteja o acesso à superfície/usuário e ao dispositivo

Conforme observado acima, a confiança zero pressupõe que as redes internas e externas estão potencialmente comprometidas e que nenhum usuário ou dispositivo deve ser automaticamente confiável. A confiança zero determina que a verificação, a autenticação e a autorização dos usuários e de seus dispositivos devem ser aplicadas para que os usuários façam login e se envolvam com o sistema de TI, os aplicativos e os dados.

Veja a seguir como cada conceito é definido em uma arquitetura de confiança zero.

Verificação é o processo de confirmar a precisão de uma reivindicação, por exemplo, a identidade de um usuário. Quando um usuário digita um nome e uma senha, o sistema verifica se esse nome de usuário e essa senha estão associados a uma determinada conta.

A autenticação consiste em fornecer prova de identidade ao acessar um sistema. Antes da confiança zero, a autenticação era geralmente tão básica quanto um nome de usuário e uma senha. Com a confiança zero, a autenticação vai além de nomes de usuário e senhas e inclui autenticação multifatorial (MFA), senhas de uso único, PINs, cartões inteligentes e biometria.

A autorização determina os direitos de acesso de um usuário, ou seja, o que um usuário ou dispositivo tem permissão para acessar ou fazer no sistema; por exemplo, os aplicativos que um usuário tem permissão para abrir e usar.

As tecnologias de logon único (SSO) e autenticação multifatorial (MFA) são mais comumente aplicadas ao permitir o acesso de usuários e dispositivos em uma arquitetura de confiança zero. A GO-Global permite ambos.

O GO-Global Two-Factor Authentication é um recurso avançado de autenticação que fornece uma camada extra de segurança, exigindo opcionalmente que os usuários insiram um código de 6 dígitos do aplicativo autenticador do smartphone (por exemplo, Google Authenticator, Authy e Microsoft Authenticator), além do nome de usuário e da senha. Isso garante que, mesmo que a senha de um usuário seja comprometida, o invasor ainda não poderá acessar o sistema host sem acesso ao telefone desbloqueado do usuário. Isso torna inúteis as pesquisas de senhas por força bruta e dicionário, o que é especialmente importante quando o trabalho remoto com clientes de área de trabalho remota vulneráveis se torna a norma. A 2FA também reduz o ônus de forçar uma política de senhas complexas.

GO-Global+ SSO: o suporte da GO-Global ao OpenID Connect permite que os ISVs do Windows usem provedores de identidade modernos, como Okta™, OneLogin, Microsoft Active Directory Federated Services (ADFS) e Microsoft Azure® AD Seamless SSO, para permitir o logon único nos hosts Windows da GO-Global®.

O GO-Global permite que a TI integre qualquer provedor de identidade que ofereça suporte ao OpenID Connect diretamente em seus hosts, permitindo que eles compartilhem hosts Windows entre os usuários que já autenticam para aplicativos da Web. O suporte da GO-Global ao OpenID Connect elimina a necessidade de controladores de domínio na rede corporativa, de provedores de credenciais personalizados para autenticação forte e de logins interativos.

Sem o GO-Global, os ISVs do Windows que desejam adicionar o SSO teriam que adquirir soluções caras e complexas, como o Citrix NetScaler® Unified Gateway integrado ao Citrix Hypervisor®.

Proteger a superfície/segurança do aplicativo

A GO-Global não instala nem mantém seu próprio banco de dados de usuários ou aplicativos. Em vez disso, ele herda todos os aspectos da segurança do usuário e dos dados do sistema operacional Windows Server®. As configurações de segurança para o usuário e o aplicativo são definidas no nível do sistema operacional Windows® e são passadas para a GO-Global durante o processo de logon.

Além disso, as permissões de arquivo, pasta, compartilhamento, impressora e registro do Windows são respeitadas pela GO-Global e são fundamentais para a segurança de qualquer sistema Windows. A menos que os usuários finais recebam privilégios de administrador ou privilégios elevados, eles não poderão acessar as pastas do sistema, corromper ou quebrar o servidor ou causar ameaças à segurança.

A GO-Global recomenda o uso de Políticas de Grupo do Windows para todas as configurações de segurança do lado do sistema, especialmente em um farm de servidores com balanceamento de carga, para garantir a consistência em todos os hosts.

Aplicação de uma política detalhada de confiança zero

Instalação básica e configurações padrão: A GO-Global é facilmente instalada usando um único instalador executável no host que instalará ou atualizará o software GO-Global. Quando a instalação for concluída, o host deverá ser reiniciado para inicializar as configurações do registro e habilitar o software e os drivers GO-Global.

Por padrão, todas as opções de configuração da GO-Global que permitem o compartilhamento de recursos do servidor ou do cliente estão desativadas. Além disso, a GO-Global não publica aplicativos padrão. As funções relacionadas à configuração, ao gerenciamento e à segurança do GO-Global Host são acessadas por meio do Admin Console no menu Host Options. Os administradores podem publicar aplicativos, monitorar a atividade do usuário e do host e ativar recursos como impressão do cliente, área de transferência do cliente, criptografia e autenticação usando esse menu.

Se você é um ISV do Windows e está procurando soluções para habilitar uma arquitetura de confiança zero para fornecer seus aplicativos aos clientes, considere a GO-Global e seu sistema de segurança em várias camadas, incluindo SSO e MFA.

Para ver o preço de usuário simultâneo da GO-Global com SSO e calcular o preço estimado da GO-Global, clique aqui.

Para solicitar uma demonstração, clique aqui; para obter uma avaliação gratuita de 30 dias do GO-Global, clique aqui.

Teste gratuito de 30 dias
Solicite uma demonstração
Autor
Nannette Vilushis
Diretor de Marketing

Experimente o GO-Global

Uma solução simples, fácil de usar e econômica

Teste gratuito de 30 dias
Solicite uma demonstração

Publicações relacionadas

Procurar em todas as postagens
Vulnerabilidade Citrix Bleed
Segurança
5 minutos de leitura
Qual é o nível de segurança do RDP?
Segurança
5 minutos de leitura
O SSO de aplicativos do Windows é viável?
Segurança
5 minutos de leitura

Reduza o custo e a complexidade da entrega de seu aplicativo Windows

Assine nosso boletim informativo
Obrigado por participar de nosso boletim informativo.
Ops! Algo deu errado ao enviar o formulário.