Nesse período em que muitos colaboradores estão sendo movidos para remote office, que soluções podem ser adotadas rapidamente para isso?
Cenário 1 – Uso de VPN
A primeira solução é o uso de VPNs, onde o colaborador irá acessar de sua casa o ambiente de rede da empresa via internet.
Quais as vantagens?
Esse método é bem interessante por ser rápido de implementar, em geral no firewall que a empresa já utiliza. O usuário poderá acessar seus e-mails, servidores e aplicações como se estivesse fisicamente dentro da empresa, usando seu computador pessoal. Como utiliza um produto já existente na maioria dos ambiente, o custo é mínimo para habilitar no firewall e muitos fabricantes basta habilitar.
Quais as desvantagens?
O maior risco no uso de VPNs é a falta de segurança advindo de conexões externas diretas, de equipamentos desconhecidos. Por exemplo, imagine que a maquina do colaborador é a mesma que ele baixa conteúdos da internet, joguinhos e outros. Que garantia eu tenho que não entrará um worm ou vírus por essa conex��o? Nenhuma.
Quais soluções posso usar para complementar a segurança?
NAC (Network Access Control) são protocolos e proteções instaladas no firewall que ao tentar se conectar um script é executado no equipamento remoto para validar se ele tem anti-virus valido, atualizações de sistema operacional, etc por meio de uma regra NPS (Network Policy Service/Server). Porem, os NPSs costumam ser limitados no que podem checar e ai é quando precisamos instalar um agente antecipadamente e só validam no momento de entrada na rede sem validar configurações que possam ser alteradas ou permitam que o equipamento fique desprotegido.
Já a solução de MDM no portfólio de Microsoft é o Microsoft Intune que agora se chama Microsoft Endpoint Management Service por ter se juntado ao SCCM (System Center Configuration Manager).
O Intune é uma solução em nuvem com funções similares ao SCCM, mas com módulos para dispositivos como telefone e tablets. Ele permite que o administrador crie regras de validação para serem aplicadas na máquina do usuário a partir do software de monitoramento e essas regras podem envolver:
• Atualizações de sistema operacional
• Instalação de aplicações corporativas automaticamente
• Regras de Compliance como obrigatoriedade e tipo de senha, uso de recursos compartilhados entre diferentes ambientes no mobile (KNOX e Apple Secure)
• Restrição a troca de informações entre aplicativos classificados como corporativos (copiar e colar)
• Diversas outras regras que variam entre Android, iOS, MAC e Windows
• Se integram com vários modelos de NAC físicos
Cenário 2 – Uso de PaaS e SaaS para aplicações de trabalho
Muito conhecido como Modern Workplace essas soluções no portfolio de Microsoft estão no Microsoft Office 365.
Vendidos em pacotes individuais de serviços, pacote Business (até 300) e enterprise (Office 365 e Microsoft 365) possibilitam que um colaborador trabalhe remoto sem qualquer tipo de acesso a rede interna.
Quais as vantagens?
Por terem diferentes modelos de aquisição contratual (CSP por demanda, MPSA e EA com preços fixados) é acessível a todos os clientes.
A segurança dos dados é maior pois o usuário acessa arquivos e email diretamente da Microsoft por meio da internet comum e não tem acesso aos servidores internos da empresa. Por ser um modelo de serviços em nuvem, não precisa de instalações, servidores e infraestrutura local além do TCO de manutenção e operação desses serviços.
Bem, não precisamos falar muito porque hoje já é consolidado o modelo de PasS e SaaS com Exchange, Teams, SharePoint, OneDrive e outros produtos da suíte.
Quais as desvantagens?
Existem poucos pontos negativos, já que aqui estamos tratando de serviços essenciais (email, mensageria, áudio e vídeo conferencia, troca de arquivos). Mas o acesso irrestrito dos dados sem a facilidade de criar regras de segurança que temos com ACL em um servidor de arquivos físicos assusta muita gente... Uma vez que os arquivos estão na nuvem e acessíveis de qualquer lugar e dispositivo como evitar o acesso indevido?
Quais as soluções que protegem o meu conteúdo?
Nesse ponto é que as coisas ficam mais fáceis! No modelo de PaaS e SaaS do Office 365 temos pacotes de segurança disponíveis para qualquer uma das opções tanto contratuais como tipo de pacote:
• Criptografar, categorizar e identificar conteúdo protegido temos o AIP (Azure Information Protection) que é o antigo RMS do Windows, agora em nuvem, que pode identificar por exemplo que um usuários está passando CPFs e Passaportes para outras pessoas dentro ou fora da empresa
• Detectar atividades suspeitas temos o ATP (Azure Advanced Threat Protection) que analisa a atividade no AD local e em nuvem
• Com o CASB (Cloud App Security) Fazer detecções avançadas de uso, integrando aplicações de terceiros e identificando possíveis violações e problemas como logins em diferentes localidades simultâneas ou em deslocamentos impossíveis (chile e Australia em menos de 2 horas por exemplo)
• Permitir a criação de regras de acesso e login (similar ao NAC) com o AD Premium, que também possibilita relatórios detalhados de atividades
Esses recursos citados são os que cobririam a segurança do acesso aos dados da empresa em qualquer dispositivo!
Cenário 3 – Virtual Desktop
Solução já muito conhecida, pode ser implementada em modelo de acesso direto a aplicativos a partir de servidores (RDS) ou maquinas virtuais independentes para os usuários (VDI).
Quais as vantagens?
Nada está fora da empresa, não existe troca de dados via internet.
Nesse modelo, os dados são acessados de dentro da empresa, uma vez que o usuário irá ver a tela do servidor ou de sua VM pessoal que está na infraestrutura e rede da corporação.
Então o acesso aos dados é muito controlado e 100% similar ao que o colaborador estaria vendo e fazendo sentado na sua mesa de escritório.
Quais as desvantagens?
Custo, tanto de equipamentos quanto licenciamento.
Para montar uma estrutura de RDS (Remote Desktop Service) é possível usar direto o Windows Server e ter um custo bem mais atrativo ou soluções como VMWare Horizon e Citrix.
Já para a solução de VDI (Virtual Desktop Infrastructure) temos um alto custo, já que para cada usuário logado é necessário ter uma VM Windows 10 ativada.
Sendo assim, se houver 200 usuários remotos será necessário ter 200 VMs ativas em servidores físicos, que acabando o surto deixariam de ser necessárias.
Quais alternativas para a falta de Hardware nesse momento de isolamento?
A Microsoft possui um serviço chamado WVD (Windows Virtual Desktop) que é um VDI hospedado, com a vantagem de ser escalável podendo ir de 1 a 25.000 VMs em minutos! Esse serviço é aberto a todos os clientes por meio de uma conta no Azure e o licenciamento de Windows Enterprise com SA ou Windows E3 que é subscrição.
Usuários que já tem o Microsoft 365 (exceto F1) já estão habilitados, uma vez que o M365 E3 e E5 incluem o licenciamento de Windows Enterprise.
E para os que não tem, pode fazer a subscrição de licenças Windows E3 no modelo CSP mensal, onde irá pagar apenas pelo que ativar de WVDs.