Como as agências federais podem obter um Wi-Fi altamente seguro

Instalar tecnologia Wi-Fi moderna e segura em uma instalação federal parece relativamente fácil, mas para muitas agências é uma tarefa assustadora. As agências frequentemente não têm a experiência necessária para conceber e implementar uma solução Wi-Fi que possa ser usada para negócios oficiais ou não oficiais e cumprir os muitos controlos de segurança complexos exigidos pela Lei Federal de Gestão de Segurança da Informação (Federal Information Security Management Act, FISMA).

Uma agência reguladora federal enfrentou este desafio em 2020. A agência queria uma solução de Wi-Fi que estivesse em uma infraestrutura compatível com o Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP), era um serviço gerenciado, e que fornecesse cobertura Wi-Fi segura e controlada em seus cinco locais em todo o país para mais de 1.300 usuários finais, de acordo com um novo estudo de caso, Como as agências federais podem obter Wi-Fi altamente seguro — sem passar pelo processo ATO.

Segurança sem fios no escritório

Para permitir esta capacidade, os decisores da agência recorreram à Paliton Networks e à CommScope RUCKUS, que conceberam e implementaram uma solução altamente escalável que permite que todos os funcionários dessa agência realizem negócios oficiais nos seus computadores portáteis com equipamento fornecido pelo governo (GFE), sem a necessidade de implementar duas redes separadas – uma para negócios oficiais e outra para negócios não oficiais.

A solução, denominada Controlled Non-Official Business Internet, ou CNOBI de Paliton, foi concebida para fornecer cobertura Wi-Fi para negócios não oficiais governamentais - no entanto, também pode ser utilizada para fornecer cobertura Wi-Fi para negócios oficiais. É Controlado porque limita o acesso apenas aos explicitamente autorizados. É Controlado porque fornece serviços de filtragem de URL RUCKUS para limitar o acesso a conteúdo não seguro no local de trabalho. É Controlado porque o RUCKUS Analytics permite criar relatórios da atividade do utilizador. Como serviço central, não é oficial porque, embora cumpra muitos requisitos, reside fora do processo de segurança e acreditação da agência. Uma vantagem distinta quando combinada com outras soluções. 

Com uma solução gerenciada, diferentes tipos de usuários podem ser segregados na mesma rede. As agências podem autenticar os funcionários para realizar negócios oficiais nos seus dispositivos GFE, negócios não oficiais em dispositivos BYOD e patrocinar o acesso a visitantes de agências.

Como serviço gerenciado, a CNOBI e seus componentes são de propriedade, operados e mantidos pela Paliton. A solução é altamente segura, cumpre muitos controlos de segurança do National Institute of Standards and Technology (NIST), é compatível com a Federal Information Processing Standard (FIPS) e opera numa infraestrutura autorizada pelo FedRAMP – o Microsoft Azure GovCloud.

Benefícios CNOBI

Com a solução CNOBI implementada, os funcionários de agências podem estar em qualquer instalação de agência, usando os seus portáteis GFE e, sem fios e de forma segura, podem realizar negócios oficiais. 

Tal como muitas agências durante a pandemia, esta agência federal emitiu computadores portáteis GFE aos seus funcionários para que pudessem trabalhar em casa. Esses computadores portáteis estão equipados com software de segurança e funcionalidades que os forçam a ligar-se automaticamente à rede privada virtual (VPN) altamente segura da agência imediatamente após a ligação a uma rede Wi-Fi de confiança.

Se pode ser feito em casa, porque não num ambiente de escritório?

O casamento das duas soluções dá aos funcionários de agências um serviço de confiança para realizar trabalho oficial nos computadores portáteis GFE, mantendo a mobilidade dentro do escritório. Um utilizador pode simplesmente desencaixar e ser automaticamente reconectado através da VPN via Wi-Fi em qualquer lugar onde a CNOBI tenha cobertura. O hardware e software da CommScope RUCKUS certificado pela FIPS, que reside no topo da infraestrutura FedRAMP, fornece garantia de serviço e permite que os dispositivos GFE apliquem padrões de encriptação mais elevados.

A CNOBI também protege utilizadores e redes sem fios contra ataques de fragmentos, uma nova categoria de vulnerabilidades de dia zero que afetam a maioria dos dispositivos Wi-Fi, tanto clientes como redes. Os adversários podem explorar essas vulnerabilidades para executar códigos maliciosos, assumir o controle dos dispositivos, capturar dados e usar os dispositivos para iniciar outros ataques.

Os utilizadores da CNOBI estão inerentemente protegidos porque a solução depende do protocolo 802.1X EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) para autenticar identidades individuais baseadas em certificados em vez de palavras-passe partilhadas. Os sistemas baseados em EAP-TLS mitigam ataques de fissuras, ataques de homem no meio ou de fragmentos porque cada lado da conexão Wi-Fi — o sistema Wi-Fi e o dispositivo do usuário final — se autenticam. Se qualquer um dos lados desconfiar do outro, não pode ligar-se. Isto impede que o utilizador final se ligue acidentalmente a um dispositivo malicioso invasor, garantindo que apenas utilizadores autorizados podem ligar-se ao sistema Wi-Fi.  Depois de os utilizadores inscreverem os seus dispositivos, nunca mais terão de introduzir uma palavra-passe.

Além disso, a CommScope RUCKUS Analytics ajuda a melhorar a gestão e a eficiência da agência. Estes incluem análises preditivas para alertar os funcionários da agência sobre métricas de utilização antecipada de recursos para permitir ajustes de política preventiva ou de controlo, se necessário.

A CNOBI elimina a complexidade das TI enquanto fornece aos funcionários de agências Wi-Fi altamente seguro a partir de qualquer local onde o serviço seja implementado.

Para saber mais, transfira o estudo de caso federal: Como as agências federais podem obter Wi-Fi altamente seguro — sem passar pelo processo ATO