Imagine o seguinte cenário: ao ser contratada para um assessment, uma empresa terceira descobriu que seu cliente, uma varejista de médio porte no segmento de varejo, não disponibiliza métodos para que os colaboradores em trabalho remoto acessem seus servidores com segurança.
A empresa tem parte da sua operação trabalhando em home office, alguns departamentos frequentando o escritório da filial em São Paulo durante 7 dias ao mês e demais colaboradores atuando de maneira presencial em Santos. Além disso, alguns sistemas, como o ERP, estão alocados em um data center local, enquanto que outras aplicações já rodam em cloud computing.
Quando chegou o momento de propor soluções para aumentar sua segurança no trabalho híbrido, a empresa responsável pelo assessment sugeriu 3 iniciativas: aplicar a VPN em todas as máquinas dos colaboradores em trabalho remoto, efetuar acesso remoto aos servidores por meio do protocolo RDP e implementar uma conexão lan-to-lan entre as filiais para uso do ERP através da cloud computing, visto que tanto a filial em São Paulo, quanto a de Santos, dependem do sistema.
Porém a proposta levantou uma discussão na diretoria, que não enxergava a vantagem de investir em conexão lan-to-lan e já tinha ouvido falar sobre a falta de segurança do protocolo RDP. Para chegar a um consenso, decidiu-se que seriam implementadas apenas as soluções realmente críticas para garantia da segurança da empresa.
Neste caso, acesso remoto , lan-to-lan ou VPN: qual é a solução mais segura? Acompanhe este estudo de caso comigo e entenda como fazer a melhor escolha para a sua empresa.
O que é e quais são os riscos de usar o acesso remoto?
Remote Desktop Protocol (RDP) é um protocolo com capacidade multicanal que permite o acesso a uma máquina de forma remota por meio de criptografia entre ambos os dispositivos. O protocolo RDP geralmente é usado para viabilizar o acesso remoto de um computador para o outro em situações em que há necessidade de acessar a estação de trabalho de maneira remota em um servidor localizado fisicamente ou em nuvem.
Por ser uma solução amplamente utilizada e que já está no mercado há muito tempo, o RDP também tem um grande repertório de vulnerabilidades e problemas de segurança detectados. Qualquer vulnerabilidade que permita que um invasor explore o protocolo, fará com que o ambiente esteja exposto e a empresa corra riscos.
As principais causas de falhas envolvem o uso de sistemas desatualizados, criação de senhas fracas e exposição do servidor à Internet (principalmente a porta 3839). Por ser uma porta bastante comum, é algo frequente uma ou mais formas de ataques, tais como “port scan”, onde um atacante busca portas abertas de protocolos mais comuns para detecção de alvos para ataques, “brute force” onde um atacante efetua diversas tentativas de conexão com diferentes combinações de usuários e senhas visando acesso com base em uma combinação de usuário e senhas fracas, e exploração de vulnerabilidades, que podem permitir acesso ou execução remota de código no alvo.
O que é e qual a importância da VPN para a segurança no trabalho híbrido?
De modo geral, a VPN estabelece um caminho seguro entre os dispositivos e a Internet utilizando mecanismos para trazer mais segurança a essa conexão. No contexto enterprise, podemos dizer que a VPN conecta os computadores dos colaboradores com a filial/empresa e o seu destino (no caso de uma empresa cujo ambiente computacional está em nuvem, o destino seria o data center virtual).
Por isso, a VPN é um artifício seguro para o home office, importante e bem vantajoso para a grande maioria das empresas no sentido de implementação, pois permite acessar recursos da rede da empresa de forma segura, impedindo que terceiros acessem as informações. A VPN também se destaca por estabelecer um caminho criptografado entre o cliente e o servidor, mesmo aplicações consideradas menos seguras podem ser utilizadas remotamente sem riscos adicionais.
Apesar disso, deve-se tomar cuidado durante a configuração de uma VPN para que não sejam selecionados protocolos e métodos de criptografia consideradas inseguras, como:
- MD5
- SHA1
- RC4
- DES
- 3DES
Utilizar esse tipo de criptografia pode causar uma falsa sensação de segurança e tornar o ambiente sujeito a ataques.
A desvantagem da VPN é que, com ela, a operação fica suscetível à variação da velocidade da internet, visto que não existe garantia de qualidade e disponibilidade da operadora. Portanto, uma VPN normalmente não é a principal recomendação para operações de alta criticidade, como o ERP da empresa do nosso exemplo, mas geralmente a VPN é uma alternativa viável em caso de falha do link principal, como solução de backup.
A conexão lan-to-lan é mais segura que a VPN?
Não necessariamente. Uma conexão lan-to-lan é um circuito virtual entre 2 pontos definidos, utilizando a infraestrutura da operadora. Esta conexão geralmente não é criptografada e eventualmente pode ser interceptada por terceiros, assim como qualquer link de conexão com a internet.
Se existe essa demanda, é interessante a adoção de camadas de segurança adicionais. Porém, o link estabelecido garante alta qualidade de serviço na banda contratada, entregando alta disponibilidade e baixa latência para o ambiente, ao contrário de uma conexão VPN convencional site-to-site, a qual não possui garantias de qualidade e disponibilidade.
Para entender o conceito de lan-to-lan, vamos dar um passo atrás e entender o que é LAN. A Local Area Network (LAN) conecta dispositivos dentro de uma mesma rede — por exemplo, a sua empresa — para possibilitar o compartilhamento de dados. Portanto, lan-to-lan é uma ligação que se estabelece entre as redes LAN instaladas nas filiais de uma companhia, por exemplo.
No contexto da cloud computing, como é o caso do nosso exemplo, uma opção seria subir o ERP em uma máquina virtual na nuvem e conectá-lo às filiais através da lan-to-lan. Com isso a empresa poderá acessar os recursos em nuvem com garantia de banda e latência, sem se preocupar com problemas derivados pelo uso de uma conexão com a Internet convencional, tais como:
- Alta latência
- Jitter
- Baixas taxas de transferência
Como redundância dessa conexão, a adoção de VPN via link de Internet é uma prática comum.
Como fazer a melhor escolha para garantir a segurança no trabalho híbrido?
Acesso remoto, VPN e lan-to-lan não são soluções que funcionam de maneira isolada na maioria dos casos, principalmente por atacarem vulnerabilidades diferentes. Enquanto o acesso remoto viabiliza acesso a aplicações, uma VPN estabelece um túnel seguro, e a conexão lan-to-lan garante uma conexão determinística e confiável para aplicações críticas.
Geralmente a adoção de mais de uma destas opções é a alternativa mais adequada para garantia de segurança e confidencialidade das informações. Por exemplo, os usuários em home office devem acessar as aplicações nos servidores remotamente apenas através da VPN corporativa.
Neste caso, a melhor escolha não é a opção por apenas uma dessas tecnologias, mas sim, o entendimento sobre qual é a melhor distribuição desses recursos para a sua empresa.
Algumas perguntas que a gestão de TI pode fazer para obter essas respostas são:
- Qual é o nível de acesso de cada dispositivo/colaborador?
- Quais são as aplicações críticas (ou seja, que impactam a continuidade do negócio se sofrerem uma parada)?
- Quantos dispositivos realmente precisam se conectar a aplicações críticas?
Fazer um mapeamento sobre esses aspectos do ambiente computacional é o primeiro passo para fazer a escolha que garantirá maior nível de segurança no trabalho híbrido. Por isso, a empresa do nosso exemplo já começou bem, uma vez que o assessment já foi realizado.
Se você quer continuar lendo sobre quais são as principais vulnerabilidades em ambientes de cloud computing e como manter a segurança no trabalho híbrido através do mapeamento do seu ambiente, confira este artigo.