Como arquitetar a segurança sem fio empresarial

Metodologia de Planejamento e Design

Você provavelmente já ouviu falar de metodologias de design como 4D (Discover, Design, Develop and Deploy). O mundo Wi-Fi tem seu próprio conjunto de etapas de projeto que abordam as diversas fases do projeto e validação de RF. Embora todos sejam válidos, estes modelos tradicionais não se concentram no design nem abordam a complexidade da arquitetura que atravessa disciplinas e domínios.

Minha metodologia de design incorpora cinco fases interconectadas, emprestadas descaradamente das construções da estrutura Design for Six Sigma (DFSS). Para qualquer profissional do Six Sigma, espero que você me estique um pouco e me permita exercer alguma licença artística.

Essas cinco fases nem sempre são de natureza linear, mas estão ligadas a dois processos específicos de entrada e saída de uma arquitetura de design e podem ser agrupadas em três etapas: descobrir, projetar e iterar.

As cinco fases para projetar uma arquitetura sem fio segura são:

• Estágio de descoberta
• Fase 1: Definir (escopo)
• Fase 2: Caracterização (mapeamento de requisitos)
• Estágio do Arquiteto
• Fase 3: Design (mapeamento funcional)
• Estágio de Iteração
• Fase 4: Otimizar (ajuste de projeto)
• Fase 5: Validar (validar o projeto em relação aos requisitos)

Estágio de descoberta

O estágio de descoberta inclui tarefas que servem como entradas para o projeto arquitetônico. Isso envolve mapear o escopo e os requisitos para as duas primeiras fases:

• Fase 1: Definir (escopo)
• Fase 2: Caracterização (mapeamento de requisitos)

Concluídas essas duas fases, você passará para a etapa do arquiteto, que engloba a terceira fase, o projeto.

Fase 1: Definir

A fase de definição inclui a identificação dos requisitos do projeto, dos elementos do ambiente do escopo e dos limites do escopo.

Durante este tempo, o arquiteto deverá realizar atividades como:

• Identificação das equipes e funções envolvidas no projeto
• Descoberta de ambiente (componentes, recursos e topologia de infraestrutura de rede com e sem fio)
• Alcance da população e capacidades dos usuários e terminais
• Identificação de aplicações que serão suportadas pela rede sem fio
• Escopo da geografia/áreas de cobertura (por exemplo, campi, filiais, usuários domésticos)
• Identificação de requisitos de segurança e conformidade
• Descoberta de políticas ou orientações de apoio adicionais para segurança
• Documentação de itens descobertos

exercício da fase de definição de descoberta é reforçado pela fase de caracterização, que alinha os requisitos com os elementos do escopo.

Fase 2: Caracterização

A fase de caracterização aborda os elementos discretos para mapeamento de requisitos. Nesta fase, o arquiteto captura características de segurança qualitativas e quantitativas atribuídas a classes individuais de elementos de rede, como terminais, aplicativos e usuários. Esses recursos são então usados para mapeamento funcional na fase de design.

O arquiteto correlaciona elementos da fase de definição como:

• Identifique elementos (endpoints, usuários, infraestrutura ou ativos) que precisam de controles de segurança específicos para atender aos objetivos de negócios ou requisitos de conformidade (por exemplo, segmentos de rede no escopo PCI)
• Agrupar e categorizar itens com necessidades ou características semelhantes
• Identifique e documente quais elementos do escopo possuem requisitos ditados por políticas ou regulamentos, como autenticação ou criptografia
• Documentar requisitos para casos que exigem controles elevados, como monitoramento ou inspeção adicional, posturas de segurança, autenticação multifatorial

As fases de definição e caracterização juntas compreendem as tarefas de descoberta e são as entradas para as tarefas de design, otimização e validação da arquitetura.

Estágio de arquitetura

O estágio do arquiteto (aqui arquiteto é uma ação) envolve apenas a fase de design, onde as informações do estágio de descoberta são usadas para o mapeamento funcional.

Fase 3: Projeto

A fase de design abrange o trabalho pesado de obter as entradas da descoberta e realizar o mapeamento funcional para os controles e monitoramento de segurança necessários. Como parte deste trabalho, o arquiteto também deve documentar condições, variáveis e lacunas de projeto conhecidas ou previstas.

Durante a fase de projeto, um arquiteto deve:

• Comece a mapear os requisitos definidos para projetos planejados para elementos de escopo (infraestrutura com e sem fio, endpoints).
• Documente as condições e variáveis ​​que podem afetar os resultados esperados e a postura de segurança (como incógnitas de projetos planejados, mas sem escopo, baseados em conectividade sem fio, como transformação digital ou programas de IoT, ou variáveis ​​desconhecidas que suportam endpoints para WPA3, ou uma futura fusão ou aquisição).
• Avalie a infraestrutura e as ferramentas atuais para determinar se elas podem atender aos objetivos.
• Identifique fornecedores, produtos e opções de configuração para atender aos objetivos de segurança e conectividade.
• Defina métricas e resultados para monitorar e testar com elementos mapeados.
• Produza documentação para projetos construídos de dispositivos de infraestrutura.

Estágio de iteração

Manter a segurança requer melhoria contínua e o estágio de iteração ajuda a atender a essa necessidade com as duas fases finais:

• Fase 4: Otimizar (ajuste de design)
• Fase 5: Validar (validar o projeto em relação aos requisitos)

O estágio de iteração se concentra em iterar o design e garantir que a arquitetura seja atualizada para atender às mudanças, incluindo aquelas relacionadas a novas vulnerabilidades, mudanças na infraestrutura de rede, mudanças em endpoints e aplicativos e mudanças em casos de uso, entre outras coisas.

As fases de design , otimização e validação são iterativas, e as fases de otimização e validação são frequentemente interligadas e não lineares.

Durante estas tarefas, é razoável esperar uma prova de conceito (PoC). Os PoCs podem ser tão básicos quanto fazer com que a equipe interna crie SSIDs de teste e validar a operação em relação à arquitetura de design ou tão complexos quanto um longo plano estruturado com um fornecedor que inclua instalação de hardware e/ou software.

Fase 4: Otimização

Durante a fase de otimização, o design é refinado para melhorar a robustez e a segurança do desempenho.

Com os padrões do setor evoluindo em um ritmo sem precedentes, os recursos de endpoint sem fio sempre mudando e as ameaças à segurança mudando diariamente, a rede sem fio não é mais algo do tipo “configure e esqueça”. Por razões de segurança, as tarefas arquitetônicas são otimizadas e validadas iterativamente.

Como parte das fases recorrentes de otimização, os arquitetos devem:

• Investigue mudanças nos padrões de protocolo de segurança e implemente melhorias arquitetônicas.
• Avaliar recursos de produtos de novos fornecedores para obter benefícios adicionais de segurança.
• Consumir resultados de validação para refinar ainda mais a arquitetura.
• Comunique às partes interessadas quaisquer alterações importantes no guia de práticas recomendadas de segurança.
• Atualizar padrões internos e processar documentos para refletir as alterações conforme necessário.

Fase 5: Validação

Como parte da fase de validação, o arquiteto verificará as capacidades e os resultados esperados do projeto em relação aos requisitos originalmente previstos nas tarefas da fase de descoberta (definir e caracterizar). O arquiteto também deve planejar a comunicação regular com outras equipes e solicitar feedback das partes interessadas para garantir que o escopo não mudou e que as expectativas estão sendo atendidas e documentadas de forma satisfatória.

Após uma implementação inicial e como parte da melhoria contínua, a fase de validação incluirá testes e validação do sistema, incluindo avaliações de segurança e testes de penetração, possivelmente juntamente com resultados de auditoria de conformidade.

Nas fases de validação iterativa, o arquiteto deve:

• Avaliar o projeto planejado face aos requisitos definidos no projeto e caracterizar as fases.
• Lacunas documentais a serem abordadas em uma fase de otimização iterativa
• Comunique as descobertas às equipes participantes.
• Apresentar as descobertas às partes interessadas e solicitar feedback.
• Incorpore dados de métricas identificadas na fase de design.

As cinco fases facilitam a recolha e organização de dados para planeamento sob a forma de entradas e saídas. As entradas são dados consumidos e tidos em conta no planeamento, e as saídas são requisitos acionáveis para a conceção da infraestrutura.

Extraído com permissão do Wiley Publishing, editor da Wireless Security Architecture por Jennifer Minella. Copyright © 2021 de John Wiley & Sons Ltd. Todos os direitos reservados.