Módulo 19_Controle de acesso

Question 1

A segurança da informação trata da proteção da informação e dos sistemas de informação contra acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição. Dentro disso existe uma tríade, definida como:

Answer 1

Confidencialidade - Somente indivíduos, entidades ou processos autorizados podem acessar informações confidenciais.

Integridade - refere-se à proteção de dados contra alterações não autorizadas.

Disponibilidade - os usuários autorizados devem ter acesso ininterrupto aos recursos e dados da rede de que necessitam.

Question 2

O princípio de uma abordagem de confiança zero é: “Nunca confie, sempre verifique”. Assumir confiança zero sempre que alguém ou algo solicitar acesso a ativos. Uma estrutura de segurança de confiança zero ajuda a impedir acesso não autorizado, conter violações e reduzir o risco de movimento lateral de um invasor através de uma rede.

Tradicionalmente, o perímetro da rede, ou borda, era o limite entre dentro e fora, ou confiável e não confiável. Em uma abordagem de confiança Zero, qualquer lugar em que uma decisão de controle de acesso seja necessária deve ser considerado um perímetro.

VERDADEIRO OU FALSO

Answer 2

Verdadeiro

Isso significa que, embora um usuário ou outra entidade possa ter passado com êxito o controle de acesso anteriormente, eles não são confiáveis para acessar outra área ou recurso até que sejam autenticados. Em alguns casos, os usuários podem ser obrigados a autenticar várias vezes e de maneiras diferentes, para obter acesso a diferentes camadas da rede.

Question 3

Os três pilares da confiança zero são:

Answer 3

Força de trabalho, cargas de trabalho e local de trabalho.

Question 4

Os três pilares da confiança zero: para força de trabalho

Answer 4

Este pilar consiste em pessoas (por exemplo, funcionários, prestadores de serviços, parceiros e fornecedores) que acessam aplicativos de trabalho usando seus dispositivos pessoais ou gerenciados por empresas. Esse pilar garante que apenas os usuários certos e dispositivos seguros possam acessar aplicativos, independentemente da localização.

Question 5

Os três pilares da confiança zero: para cargas de trabalho

Answer 5

Esse pilar está preocupado com aplicativos que estão sendo executados na nuvem, em data centers e outros ambientes virtualizados que interagem uns com os outros. Ele se concentra no acesso seguro quando uma API, um microsserviço ou um contêiner está acessando um banco de dados dentro de um aplicativo.

Question 6

Os três pilares da confiança zero: para o local de trabalho

Answer 6

Este pilar se concentra no acesso seguro para qualquer e todos os dispositivos, inclusive na Internet das Coisas (IoT), que se conectam a redes empresariais, como terminais de usuário, servidores físicos e virtuais, impressoras, câmeras, sistemas de AVAC, quiosques, bombas de infusão, sistemas de controle industrial e muito mais.

Question 7

Modelo de controle de acesso: 1️⃣ MAC (Mandatory Access Control) – Controle de Acesso Obrigatório

Answer 7

📌 O acesso é definido por regras rígidas do administrador do sistema.
✅ Muito usado em governos e militares (exemplo: documentos “Confidenciais” ou “Segredo de Estado”).

Question 8

Modelo de controle de acesso: 2️⃣ DAC (Discretionary Access Control) – Controle de Acesso Discricionário

Answer 8

📌 O dono do recurso decide quem pode acessá-lo.
✅ Flexível, mas menos seguro – comum em redes corporativas e sistemas operacionais (exemplo: permissões de arquivos no Windows).

Question 9

Modelo de controle de acesso: 3️⃣ RBAC (Role-Based Access Control) – Controle Baseado em Papéis

Answer 9

📌 O acesso é definido com base no cargo ou função do usuário.
✅ Muito usado em empresas – um “Gerente” pode acessar relatórios financeiros, mas um “Estagiário” não.

Question 10

Modelo de controle de acesso: 4️⃣ ABAC (Attribute-Based Access Control) – Controle Baseado em Atributos

Answer 10

📌 O acesso é determinado por atributos do usuário (localização, horário, dispositivo, etc.).
✅ Exemplo: um funcionário só pode acessar o sistema se estiver no escritório e em horário comercial.

Question 11

Modelo de controle de acesso: 5️⃣ RB-RBAC (Risk-Based Access Control) – Controle Baseado em Risco

Answer 11

📌 O sistema avalia riscos antes de conceder acesso (exemplo: detecção de login suspeito).
✅ Se o usuário tenta acessar de outro país, pode exigir autenticação extra.

Question 12

Operação AAA (Autenticação, Autorização e Auditoria) é usado para controlar acessos e garantir segurança em sistemas e redes. Ele se baseia em três pilares principais:

Answer 12

Autenticação, autorização e auditoria.

✅ Importância do AAA
✔️ Garante segurança e controle de acessos.
✔️ Ajuda na prevenção de fraudes e ataques cibernéticos.
✔️ Facilita auditorias e conformidade com normas (exemplo: LGPD, ISO 27001).

Question 13

Operação AAA: 1️⃣ Autenticação (Authentication) – “Quem é você?”

Answer 13

📌 Confirma a identidade do usuário antes de conceder acesso.
✅ Exemplo: Login com senha, biometria ou autenticação multifator (MFA).
Pode ter os dados salvos localmente ou em um servidor AAA remoto.

Question 14

Operação AAA: 2️⃣ Autorização (Authorization) – “O que você pode fazer?”

Answer 14

📌 Define quais recursos e ações o usuário tem permissão para acessar.
✅ Exemplo: Um funcionário de RH pode ver dados de colaboradores, mas não relatórios financeiros.

Question 15

Operação AAA: 3️⃣ Auditoria (Accounting) – “O que você fez?”

Answer 15

📌 Registra atividades do usuário para fins de monitoramento e conformidade.
✅ Exemplo: Log de acessos mostrando quem entrou, quando e o que fez.

Question 16

Benefício de um Sistema AAA centralizado, servidor remoto:

Answer 16

Um sistema AAA centralizado pode manter bancos de dados independentemente para autenticação, autorização e contabilidade. Ele pode aproveitar o Active Directory ou o Lightweight Directory Access Protocol (LDAP) para autenticação de usuário e associação de grupo, mantendo seus próprios bancos de dados de autorização e contabilidade.

Os dispositivos se comunicam com o servidor AAA centralizado usando os protocolos RADIUS (Remote Authentication Dial-In User Service) ou Terminal Access Controller Access Control System (TACACS +).

Question 17

Protocolo RADIUS (Remote Authentication Dial-In User Service) - resumo

Answer 17

📌 Autenticação, Autorização e Auditoria (AAA) juntas em um único processo.
📌 Usa UDP (porta 1812 e 1813) – mais rápido, mas menos seguro.
📌 Criptografa apenas a senha, deixando outros dados visíveis.
📌 Muito usado para Wi-Fi corporativo e VPNs.

✅ Vantagem: Eficiência e menor latência.
❌ Desvantagem: Segurança menor, pois não criptografa tudo.

Question 18

Protocolo TACACS+ (Terminal Access Controller Access-Control System Plus) - resumo

Answer 18

📌 Autenticação, Autorização e Auditoria (AAA) separadas – mais controle.
📌 Usa TCP (porta 49) – mais confiável e seguro.
📌 Criptografa toda a comunicação.
📌 Usado para acesso a switches, roteadores e servidores (mais comum em redes Cisco).

✅ Vantagem: Segurança maior e melhor controle sobre permissões.
❌ Desvantagem: Mais processamento e latência.

Question 19

Em um sistema AAA, qual protocolo escolher?

Answer 19

✔ RADIUS → Melhor para autenticação de usuários em redes sem fio e VPNs.
✔ TACACS+ → Melhor para controle de acesso detalhado em equipamentos de rede.

Question 20

Registros de contabilidade AAA:

Answer 20

O AAA centralizado também permite o uso do método de contabilidade. Os registros contábeis de todos os dispositivos são enviados para repositórios centralizados, o que simplifica a auditoria das ações do usuário.

AAA Accounting coleta e relata dados de uso em registros AAA. Esses logs são úteis para auditoria de segurança. Os dados coletados podem incluir os horários de conexão inicial e final, comandos executados, número de pacotes e número de bytes.

Question 21

Tipos de contabilidade AAA:

Answer 21

De rede, de conexão, EXEC, sistema, comando e recursos.

Detalha tudo feito por um usuário autenticado, maior segurança.