La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Trustworthy Computing La apuesta presente y futura de Microsoft Hector Sanchez Montenegro Director de Seguridad Corporativa Director de Ingeniería de Preventa.

Presentaciones similares


Presentación del tema: "Trustworthy Computing La apuesta presente y futura de Microsoft Hector Sanchez Montenegro Director de Seguridad Corporativa Director de Ingeniería de Preventa."— Transcripción de la presentación:

1 Trustworthy Computing La apuesta presente y futura de Microsoft Hector Sanchez Montenegro Director de Seguridad Corporativa Director de Ingeniería de Preventa Microsoft Ibérica, SRL

2 Trustworthy Computing … is computing that is available, reliable and secure as electricity, water services and telephony … … is computing that is available, reliable and secure as electricity, water services and telephony … … we need to make it automatic for customers to get the benefits of these fixes. Eventually our software should be so fundamentally secure that customers never even worry about it … … we need to make it automatic for customers to get the benefits of these fixes. Eventually our software should be so fundamentally secure that customers never even worry about it … … So now, when we face a choice between adding features and resolving security issues, we need to choose security… … So now, when we face a choice between adding features and resolving security issues, we need to choose security… …Trustworthy Computing is the highest priority for all the work we are doing... Bill Gates (January 2.002) Informática fiable … sistemas de información accesibles, seguros como la electricidad, los servicios de distribución de agua, el teléfono etc… … sistemas de información accesibles, seguros como la electricidad, los servicios de distribución de agua, el teléfono etc… … los clientes deben beneficiarse automáticamente de estas correciones. Nuestro software debe ser tan seguro en esencia que nuestros clientes nunca deban preocuparse acerca de el… … los clientes deben beneficiarse automáticamente de estas correciones. Nuestro software debe ser tan seguro en esencia que nuestros clientes nunca deban preocuparse acerca de el… … asi que ahora, cuando afrontemos una elección entre añadir una nueva característica o solucionar un problema de seguridad escogeremos la seguridad… …Trustworthy Computing es la mayor prioridad en todo el trabajo que desarrollamos... Bill Gates (January 2.002)

3 TWC: No solo seguridad...

4 TrustWorthy Computing en Microsoft Ibérica Modificación del comportamiento de Internet Explorer 6.0 SP1 para facilitar el uso de Certificados Cualificados tal y como los requiere el proyecto del DNI electrónico. Modificación del comportamiento de Internet Explorer 6.0 SP1 para facilitar el uso de Certificados Cualificados tal y como los requiere el proyecto del DNI electrónico. Se admite desde Marzo del 2003 la auditoria europea ETSI TS v1.2.1, para la inclusión de la root de autoridades de certificación en Internet Explorer (además de la exigida hasta la fecha WEBTRUST). Colegio de Registradores + Accenture Se admite desde Marzo del 2003 la auditoria europea ETSI TS v1.2.1, para la inclusión de la root de autoridades de certificación en Internet Explorer (además de la exigida hasta la fecha WEBTRUST). Colegio de Registradores + Accenture Análisis, estudio y ajuste entre los requerimientos tecnológicos derivados del cumplimiento de la LOPD y configuraciones de seguridad de plataforma Microsoft capaz de almacenar datos. Publicado y accesible gratuitamente en: Análisis, estudio y ajuste entre los requerimientos tecnológicos derivados del cumplimiento de la LOPD y configuraciones de seguridad de plataforma Microsoft capaz de almacenar datos. Publicado y accesible gratuitamente en: Compartición del código fuente de Windows con el Centro Nacional de Inteligencia (CNI). Enero, 2004 Compartición del código fuente de Windows con el Centro Nacional de Inteligencia (CNI). Enero, 2004

5 La protección de datos personales: Soluciones en entornos Microsoft® Descargable gratuitamente en formato electrónico desde la WEB de seguridad de Microsoft Ibérica: CONTENIDOS (265 páginas) 1Introducción 2Datos de carácter personal 3La ley orgánica de protección de datos de carácter personal 4La legítima toma de posesión de los datos 5Durante la posesion de los datos 6Infracciones Y sanciones 7Conclusión 8La seguridad en sistemas Microsoft 9La aplicación del reglamento de seguridad en los sistemas microsoft® 10Tecnología aplicable a las medidas de nivel básico 11Tecnología aplicable a medidas de nivel medio 12Tecnología aplicable a medidas de nivel alto 13Política de seguridad Nueva versión: Handbook Microsoft de Seguridad empresarial: LOPD-ISO17799-LSSI-Firma Digital-Facturación electrónica. Finalización contenidos: Marzo 2004

6 Marco de Seguridad TWC Compromiso claro con la seguridad Compromiso claro con la seguridad Miembro activo de la comunidad de seguridad Miembro activo de la comunidad de seguridad Microsoft Security Response Center Microsoft Security Response Center Arquitectura de seguridad en origen Arquitectura de seguridad en origen Reducir las vulnerabilidades en el código Reducir las vulnerabilidades en el código Reducir la superficie de ataque Reducir la superficie de ataque Funcionalidades deshabilitadas por defecto Funcionalidades deshabilitadas por defecto Protección, detección, defensa, recuperación, administración Protección, detección, defensa, recuperación, administración Procesos: Guías de Arquitectura, formación Procesos: Guías de Arquitectura, formación SD 3 + Comunicación Seguridad por Diseño Seguridad por Defecto Seguridad en el Despliegue Comunicación

7 Progresos hasta la fecha Avisos proactivos de los TAM a cuentas Premier MSRC severity rating system Asistencia gratuita telefónica a incidencias virus Plan de emergencia global en fase de diseño Office XP: Macros off por defecto No codigo ejemplo instalado por defecto 20 servicios desactivados en Windows 2003 Firewall on por defecto en Windows XP Herramientas: MBSA, IIS Lockdown, SUS, WU, SMS Value Pack Guias de securización Guías de arquitectura segura de Windows 2003 Reingenieria de procesos y responsabilidades Review de seguridad del código existente Evaluación externa de productos. Common Criteria Investigación básica. Nuevos desarrollos.NGSCB SD 3 + Comunicación Seguridad por Diseño Seguridad por Defecto Seguridad en el Despliegue Comunicación

8 Segurida d Virus Seguridad perimetral Auditorias Políticas de seguridad Cifrado Redes Privadas Virtuales Gestion de Parches Vulnerabilidades PKI Firma digitalHackers Intrusiones Protección de datos Seguridad física Exploits Gestión de Identidades Scanners Privacidad Autoridades de Certificación Desarrollo Seguro Informática de Confianza Legislación Gestión de derechos digitales

9 Tecnologías Microsoft para la protección de datos almacenados Confidencialidad Integridad Autenticación Disponibilidad Otros Tecnologías Microsoft para la protección de datos en transmisión Soluciones Windows Right Management Services Auth. Manager MS Operation Manager Criptoapi/CAPICOM PKI Windows 2000 MS ISA Server IPSEC(VPN)–Windows 2000 Windows for Smart Cards Kerberos Encrypted File System MS Application Center MS Data CenterNetwork Load Balancing Directorio Activo Kerberos L2TP, PPTP… Encrypted File System MS ISA Server PKI Windows 2000 L2TP, PPTP… Criptoapi/CAPICOM Cluster MS Base Security Analizer MS Security Toolkit MS Software Update Services IPSEC(VPN)–Windows 2000 Kerberos QoS-Windows2000 MS ISA Server ACL

10 A destacar … Gestión de Updates de Seguridad Gestión de Updates de Seguridad Monitorización del estado de actualizción (MBSA) Monitorización del estado de actualizción (MBSA) Distribución de los Updates de seguridad Distribución de los Updates de seguridad Software Update Services Software Update Services SMS ValuePack SMS ValuePack Gestión de Alertas (Microsoft Operation Management) Gestión de Alertas (Microsoft Operation Management) Gestión de identidades Gestión de identidades Autenticación… y algo mas Autenticación… y algo mas Microsoft Metadirectory Services (MMS) Microsoft Metadirectory Services (MMS) PKI Windows 2003 (EEMA PKI Challenge) + CAPICOM PKI Windows 2003 (EEMA PKI Challenge) + CAPICOM Windows XP. Políticas de Restricción de Software. Windows XP. Políticas de Restricción de Software. Guías de securización Windows Escenarios Guías de securización Windows Escenarios Confidencialidad de la información: Windows Right Management Services Confidencialidad de la información: Windows Right Management Services

11 Identidad Digital Servicios de Directorio Autenticación AutorizacionPrivacidad Aplicaciones Aprovisionamiento

12 Autenticación … y algo mas

13

14

15

16

17 Productos y Tecnologías usadas por OTG-Microsoft Windows Server 2003 Windows Server 2003 Servicios de Directorio Activo Servicios de Directorio Activo Servicios de Certificación (Certificate Server) Servicios de Certificación (Certificate Server) RAS Quarantine Service (RQS) RAS Quarantine Service (RQS) Routing and Remote Access Service (RRAS) Routing and Remote Access Service (RRAS) Internet Authentication Service (IAS) Internet Authentication Service (IAS) Windows XP Professional Windows XP Professional Connection Manager Connection Manager Connection Manager Administration Kit (CMAK) Connection Manager Administration Kit (CMAK) Smart Cards Smart Cards

18 Certificación Digital: Algunas aplicaciones Microsoft consumidoras de certificados Microsoft Office Microsoft Office

19 Microsoft Outlook Microsoft Outlook Certificación Digital: Algunas aplicaciones Microsoft consumidoras de certificados

20 Microsoft Outlook Web Access (OWA) Microsoft Outlook Web Access (OWA) Certificación Digital: Algunas aplicaciones Microsoft consumidoras de certificados

21 Enumeration types used with CAPICOM. Enumeration Types Interfaces that allow derivations of CryptoAPI to work together with CAPICOM 2.0. Interoperability Interfaces Objects used to change default behaviors and to manage certificates, certificate stores, and user interface (UI) messages. Auxiliary Objects Objects used to encrypt data and to decrypt encrypted data.Data Encryption Objects Objects used to create enveloped data messages for privacy and to decrypt data in enveloped messages. Enveloped Data Objects Objects used to digitally sign data and to verify digital signatures.Digital Signature Objects Objects available for using certificate stores and the certificates in those stores. Certificate Store Objects DescripciónCategoria CAPICOM CAPICOM : Proporciona servicios que permiten a los desarrolladores de aplicaciones añadir facilmente seguridad criptográfica a sus aplicaciones. CryptoAPI incluye funcionalidades para autenticación utilizando certificados, sobres digitales, cifrado y descifrado de datos etc.. Certificación Digital: Algunas aplicaciones Microsoft consumidoras de certificados

22 Represents the certificate extension template of the certificate.Template Provides the properties and methods to choose, manage, and use certificate stores and the certificates in those stores.Store Represents a public key in a Certificate object.PublicKey Represents a private key.PrivateKey Represents a collection of Extension objects.Extensions Represents a single certificate extension.Extension Represents a Microsoft-extended property.ExtendedProperty Represents a collection of ExtendedProperty objects.ExtendedProperties Creates and checks a certificate validation chain based on a digital certificate.Chain Provides status information on a certificate.CertificateStatus Collection of Certificate objects.Certificates A collection of PolicyInformation objects.CertificatePolicies A single digital certificate.Certificate Descripción Objecto Certificate Store Objects DescripciónCategoria Certificación Digital: Algunas aplicaciones Microsoft consumidoras de certificados

23 Descripción Objecto Digital Signature Objects DescripciónCategoria Collection of Signer objects.Signers Information on a single data signer, including the signer's certificate. Signer Object used to sign data and to verify the signature on signed data. SignedData Provides functionality for signing content with an Authenticode digital signature. SignedCode Certificación Digital: Algunas aplicaciones Microsoft consumidoras de certificados

24 Descripción Objecto Enveloped Data Objects DescripciónCategoria Collection of the Certificate objects of the intended recipients of an enveloped message. Recipients Objects used to create, send, and receive enveloped data. Enveloped data is encrypted so that only the intended recipients can decrypt it. EnvelopedData Certificación Digital: Algunas aplicaciones Microsoft consumidoras de certificados

25 Descripción Objecto Data Encryption Objects DescripciónCategoria Objects used to encrypt data. Encrypted data in an EncryptedData object can be decrypted. EncryptedData Certificación Digital: Algunas aplicaciones Microsoft consumidoras de certificados

26 Descripción Objecto Auxiliary Objects DescripciónCategoria …………………………………………………………………………….. ………….… Provides read-only access to key usage properties of certificates. KeyUsage Provides functionality for applying a hash algorithm to a string. HashedData Provides read-only access to the extended key usage properties of certificates. ExtendedKeyUsage Represents a block of encoded data. EncodedData Collection of EKU objects. EKUs Provides access to EKU properties of certificates. EKU Provides read-only access to basic constraints on the uses of a certificate. BasicConstraints Collection of Attribute objects. Attributes Provides a single piece of added information about a signature, such as the time of signing. Attribute Sets the algorithm and key length to be used in cryptographic operations. Algorithm Certificación Digital: Algunas aplicaciones Microsoft consumidoras de certificados

27 Descripción Interface Interoperability Interfaces DescripciónCategoria Provides access to the context of a CAPICOM Chain object. This context allows the CAPICOM certificate trust chain to be used in other derivations of CryptoAPI. IChainContext Provides access to the context of a CAPICOM Store object. This context allows the CAPICOM certificate store to be used in other derivations of CryptoAPI. ICertStore Provides access to the context of a CAPICOM X.509v3 Certificate object. This context allows the CAPICOM certificate to be used in other derivations of CryptoAPI. ICertContext Certificación Digital: Algunas aplicaciones Microsoft consumidoras de certificados

28 Enumeration Types DescripciónCategoria ………………………………………………………………….. CAPICOM_EXPORT_FLAG CAPICOM_ERROR_CODE CAPICOM_ENCRYPTION_KEY_LENGTH CAPICOM_ENCRYPTION_ALGORITHM CAPICOM_ENCODING_TYPE CAPICOM_EKU CAPICOM_CHECK_FLAG CAPICOM_CHAIN_STATUS CAPICOM_CERTIFICATES_SAVE_AS_TYPE CAPICOM_CERTIFICATE_SAVE_AS_TYPE CAPICOM_CERTIFICATE_INCLUDE_OPTION CAPICOM_CERTIFICATE_FIND_TYPE CAPICOM_CERT_INFO_TYPE CAPICOM_ATTRIBUTE CAPICOM_ACTIVE_DIRECTORY_SEARCH_LOCATION Certificación Digital: Algunas aplicaciones Microsoft consumidoras de certificados

29 Microsoft Identity Integration Server (MIIS) Microsoft Identity Integration Server (MIIS) Microsoft Identity Integration Server (MIIS) Proporciona servicios que permiten la sincronización y el provisioning de información de identidades a través de una extensa cantidad de almacenamientos y sistemas Proporciona servicios que permiten la sincronización y el provisioning de información de identidades a través de una extensa cantidad de almacenamientos y sistemas MIIS contiene los Management Agents que permiten la Integración con varios tipos diferentes de repositorios. MIIS contiene los Management Agents que permiten la Integración con varios tipos diferentes de repositorios. Ejemplo de las capacidades de conectividad de MIIS: Ejemplo de las capacidades de conectividad de MIIS: Tipo de SistemaEjemplos Network Operating Systems & Directory Services Microsoft Windows NT ®, Active Directory ®, Active Directory Application Mode, Novell eDirectory, SunONE/iPlanet Directory, X.500 systems and other metadirectory products SystemsLotus Notes & Domino, Microsoft Exchange 5.5 Application SystemsPeopleSoft, SAP, ERP, telephone switches, XML & DSML based systems Database SystemsMicrosoft SQL Server, Oracle, IBM DB2, Informix, Sybase, OLE/DB based systems File-based SystemsDSMLv2, LDIF, CSV, delimited, fixed width, attribute value pairs, etc.

30 Gestión de Identidades Demasiados repositorios de usuarios Demasiados repositorios de usuarios Source: META Group research conducted on behalf of PricewaterhouseCoopers, June 2002 Provisionamiento de cuentas ineficiente Provisionamiento de cuentas ineficiente 68 RepositoriosInternos 12 RepositoriosExternos 75% Usuarios existen en mas de un repositorio 34% Del tiempo total de IT dedicado a administración de usuarios 16 Número medio de repositorios en los que se provisiona un usuario 45% de las llamadas a un help desk son para reestablecimiento de paswords 45% de las llamadas a un help desk son para reestablecimiento de paswords El 15% de los usuarios llamarán para un reset de la password El 15% de los usuarios llamarán para un reset de la password Las Organizaciones manejan de media 46 proveedores y se emplean Las Organizaciones manejan de media 46 proveedores y se emplean 1380 horas gestionando cambios para modificar privilegios de acceso horas gestionando cambios para modificar privilegios de acceso. Coste de operación de IT en aumento Coste de operación de IT en aumento

31 Microsoft Identity Integration Server (MIIS) Microsoft Identity Integration Server (MIIS) Microsoft Identity Integration Server (MIIS) Proporciona servicios que permiten la sincronización y el provisioning de información de identidades a través de una extensa cantidad de almacenamientos y sistemas Proporciona servicios que permiten la sincronización y el provisioning de información de identidades a través de una extensa cantidad de almacenamientos y sistemas MIIS contiene los Management Agents que permiten la Integración con varios tipos diferentes de repositorios. MIIS contiene los Management Agents que permiten la Integración con varios tipos diferentes de repositorios. Ejemplo de las capacidades de conectividad de MIIS: Ejemplo de las capacidades de conectividad de MIIS: Tipo de SistemaEjemplos Network Operating Systems & Directory Services Microsoft Windows NT ®, Active Directory ®, Active Directory Application Mode, Novell eDirectory, SunONE/iPlanet Directory, X.500 systems and other metadirectory products SystemsLotus Notes & Domino, Microsoft Exchange 5.5 Application SystemsPeopleSoft, SAP, ERP, telephone switches, XML & DSML based systems Database SystemsMicrosoft SQL Server, Oracle, IBM DB2, Informix, Sybase, OLE/DB based systems File-based SystemsDSMLv2, LDIF, CSV, delimited, fixed width, attribute value pairs, etc.

32 Guías de seguridad de Windows Server 2003 La necesidad La necesidad El 95% de todos los problemas de seguridad son debidos a malas configuraciones (CERT 2002) El 95% de todos los problemas de seguridad son debidos a malas configuraciones (CERT 2002) Microsoft solución Microsoft solución Ofrece guias prescriptivas que reducen los riesgos de seguridad en función del role del servidor Ofrece guias prescriptivas que reducen los riesgos de seguridad en función del role del servidor Construidas por Microsoft, Partners, y Agencias de Seguridad y probadas en profundidad por PricewaterhouseCoopers. Construidas por Microsoft, Partners, y Agencias de Seguridad y probadas en profundidad por PricewaterhouseCoopers. Proporcionan templates de seguridad predefinidos, herramientas de gestión, metodologias de arquitectura, y configuraciones para maximizar la seguridad de una organización Proporcionan templates de seguridad predefinidos, herramientas de gestión, metodologias de arquitectura, y configuraciones para maximizar la seguridad de una organización Beneficios Beneficios Son soluciones ya probadas para fortalecer la seguridad Son soluciones ya probadas para fortalecer la seguridad Reducción de costes en el despliegue seguro de infraestructuras Reducción de costes en el despliegue seguro de infraestructuras

33 El 32% de los peores incidentes de seguridad son causados por empleados; 48% en grandes compañías! - Information Security Breaches Survey 2002, PWC Las compañías del Fortune 1000 perdieron mas de $45 billion debido al robo de información confidencial en – Trends in Proprietary Information Loss report, ASIS/PWC, 2000 El robo de informacióon confidencial provoca los mayores daños financieros de todos los problemas de seguridad. – CSI/FBI Computer Crime and Security Survey, 2001 Perímetros de Seguridad, ACLs, PKIs, son tecnologías imprescindibles pero no resuelven totalmente este problema Gestión de Derechos digitales (RMS)

34 Windows Rights Management Services Windows Media Rights Manager v1, v7, 9 Series (1997 ff) Digital Asset Server (2000) Windows Rights Management Services for Windows Server 2003 Evolución de los escenarios de uso y valor para la empresa User experience Windows Media ® Player & licensees of Windows Media Format SDK Rights Management Category: Digital Rights Management Enterprise benefits: Protection of both live and on- demand streamed audio and video files (e.g. sensitive internal or external audio/video communications, on-demand training, and corporate meetings User experience Microsoft Reader Rights Management Category: Digital Rights Management Enterprise benefits: Not an enterprise-focused solution User experience Users engage rights-protected content via a browser or with RM-enabled applications. Rights Management Category: Enterprise Rights Management Enterprise benefits: Allows for flexible and persistent policy expression and enforcement for information: material drawn from database or content management queries, messages, documents, spreadsheets, other Web content Tecnologías actuales de Rights Management Mayor flexibilidad para los escenarios corporativos, nuevas oportunidades de negocio

35 Lo que Rights Management no puede evitar …

36 Conclusiones … TrustWorthy Computing es una firme y PRIORITARIA iniciativa corporativa que busca el máximo nivel de confianza de los usuarios de tecnología IT TrustWorthy Computing es una firme y PRIORITARIA iniciativa corporativa que busca el máximo nivel de confianza de los usuarios de tecnología IT Las características y capacidades tecnológicas de seguridad implícitas en plataforma Microsoft aumentan a un ritmo muy elevado. Los mayores avances entre versiones se producen en Seguridad. Las características y capacidades tecnológicas de seguridad implícitas en plataforma Microsoft aumentan a un ritmo muy elevado. Los mayores avances entre versiones se producen en Seguridad. P.e- Windows XP – Software Restriction Policies P.e- Windows XP – Software Restriction Policies P.e-Windows 2003 – PKI, IPSec, RQS, Guías de Securización W2003, etc.. P.e-Windows 2003 – PKI, IPSec, RQS, Guías de Securización W2003, etc..

37 Recursos de seguridad Centralizados en Web de Seguridad de Microsoft Ibérica Centralizados en Web de Seguridad de Microsoft Ibérica

38 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.


Descargar ppt "Trustworthy Computing La apuesta presente y futura de Microsoft Hector Sanchez Montenegro Director de Seguridad Corporativa Director de Ingeniería de Preventa."

Presentaciones similares


Anuncios Google