This post is also available in: Português English Español
A internet trouxe inúmeros benefícios para os negócios, e um deles foi a possibilidade rápida de interconexão entre unidades de negócio e também de usuários em trânsito, ou remoto, que pudessem conectar em suas empresas e conduzir seus trabalhos, mesmo distantes.
Existem diversas maneiras de oferecer esse tipo de acesso para empresas e colaboradores, mas é de suma importância que este processo seja analisado com um caráter mínimo de segurança, evitando exposições desnecessárias, fazendo com que o benefício se torne um problema grave para a organização.
Dentro desse contexto, as VPNs tem desempenhado um papel fundamental em garantir que empresas ou funcionários possam se conectar de maneira segura, de qualquer local, aos serviços que são oferecidos dentro dos escritórios, como se estivesse fisicamente no mesmo.
Muitas tecnologias de VPN estão disponíveis no mercado, umas com alto nível de interoperabilidade e outras nem tanto, aplicadas mais entre gateways de mesmo fabricante para interconectar matriz e filiais de maneira segura, forçando de alguma maneira que os dispositivos e versões sejam os mesmos em todos os pontos de interconexão.
A interoperabilidade é um elemento extremamente importante, especialmente atualmente, tendo em vista a vasta quantidade de fabricante de dispositivos “clientes”, como tablets, smartphones, notebooks e seus sistemas operacionais.
Para uma empresa que está buscando solução de VPN, o ponto de interoperabilidade é algo importante a ser validado além, obviamente, dos aspectos técnicos/funcionais e de segurança.
Neste sentido o protocolo SSL, largamente utilizado em conexões HTTP seguras (HTTPS) passou a ser empregado por diversos fabricantes como alternativas para outros protocolos, especialmente o IPSec.
O protocolo SSL oferece uma camada de segurança interessante, podendo trabalhar com uma suíte criptográfica bem extensa, não sendo necessário ser implantado a nível de sistema operacional, e em muitos casos, inclusive, sem necessidade de instalação de qualquer aplicativo, sendo acessado através de um navegador.
Com esse conjunto de características o SSL se torna uma alternativa de VPN bastante interessante para ser utilizada tanto em interligações entre empresas, que precisam de comunicações seguras e o alcance entre as redes, tanto para usuários finais, visto que boa parte das implantações contam com aplicativos multiplataforma, facilitando o acesso do usuário.
É importante deixar claro que a VPN oferece um meio de comunicação seguro entre duas ou mais partes, isso não quer dizer que uma pessoa não autorizada, com acesso VPN, poderá acessar, automaticamente, aplicações internas de uma empresa. Para isso, o usuário também precisa ter as credenciais de acesso aos sistemas.
VPN SSL com segurança baseada em certificados digitais
Muitas soluções de VPN SSL implementam uma autoridade certificadora (CA) privada para gerenciar os acessos a comunicação através de certificados digitais. Dessa maneira, somente certificados emitidos pelo produto, são aceitos para negociar a conexão com o concentrador de VPN.
Cada certificado pode ainda ter validades diferentes, por exemplo criar um certificado de 1 dia para acesso de um fornecedor, bem como validades maiores para colaboradores de confiança que precisam ter acesso remoto à estrutura da empresa.
Os certificados podem ser protegidos com senha, que são pessoais e adicionam uma camada a mais de segurança em caso de roubo ou perda do certificado. Desta forma, antes de iniciar a conexão a senha é verificada.
Um recurso importante associado ao uso de certificados digitais é o não repúdio, é muito mais seguro para as empresas garantirem a validade do acesso de uma determinada pessoa ou empresa/unidade de negócio.
Múltiplos fatores de autenticação com VPN SSL
Reforçando o aspecto do certificado, a proteção de senhas, é interessante que o SSL oferece possibilidade de trabalhar com múltiplos fatores de autenticação. Isso quer dizer que o acesso a VPN vai ser liberado somente mediante confirmação de pelo menos duas estruturas de identificação de um usuário.
Essa facilidade é uma camada muito importante de segurança que nada afeta na facilidade de uso por parte dos usuários. Geralmente são utilizados certificados digitais associado a validação de credenciais de acesso de um serviço de diretório, ou Radius, por exemplo.
Integração com Active Directory
Como trata-se de uma solução de diretório amplamente utilizada em meios corporativos, é muito comum que soluções de VPN SSL trabalhem com um backend de autenticação/validação de credenciais em uma base Active Directory.
Neste caso, o administrador cria um certificado individual ou coletivo para os usuários da VPN, e o acesso somente é garantido depois que as credenciais de acesso são informadas e validadas pelo serviço.
Isso confere uma facilidade muito grande de administração para o ambiente, especialmente pela possibilidade de trabalhar com grupos, onde pode-se definir que somente usuários pertencentes ao grupo VPN podem ter acesso ao recurso.
Quando um usuário precisa fazer o acesso, o administrador libera um certificado para o mesmo, e quando o acesso não é mais necessário, não precisa necessariamente revogar o certificado, somente retirando-o do grupo de acesso fará com que não seja mais possível o ingresso.
Controle granular de acesso
Como a VPN permite somente a conectividade entre determinados pontos, é comum que alguns perfis de acesso, mesmo conectados, não tenham acesso a conectividade de determinados equipamentos ou redes.
Os concentradores de VPN podem então atuar regulando o tráfego da VPN dos usuários remotos para os equipamentos e servidores dentro do segmento de rede interna, permitindo que um usuário possa ter acesso a um grupo de servidores, enquanto que outro, no mesmo serviço, somente acesse um equipamento.
Esse conjunto de facilidades, sobre a perspectiva do concentrador/servidor VPN, com os recursos de interoperabilidade, e portabilidade, possibilitando o uso em qualquer dispositivo, garante muito mais segurança para empresas que necessitam de mobilidade.
This post is also available in: Português English Español