Infraestrutura

De modo geral, o Certificado digital é usado para assinar documentos ou acessar serviços que exijam a autenticidade de uma pessoa ou empresa.

Exemplo de serviços são do INSS e Receita federal.

Este certificado também substitui as assinaturas em papel.

O SSL (Secure Sockets Layer), substituido posteriormente pelo TLS (Transport Layer Security), são protocolos de criptografia desenvolvida para serviços na internet. O uso destes protocolos permite uma comunicação segura entre cliente e servidor. Podendo ser usado para diversos serviços publicados na internet ou intranet.

O SSL é considerado um protocolo inseguro e obsoleto, porém muitos ainda falam SSL para se referenciarem a certificados em sites e serviços, mas o termo correto atualmente seria TLS.

O LDAP (Lightweight Directory Access Protocol) é um protocolo de código aberto, usado para acessar e manter serviços de informação de diretório distribuído.

De modo simplificado, ele é usado para efetuar autenticação de serviços diversos em uma base unificada de usuários.

Ele também pode ser usado em conjunto com o protocolo TLS para aumentar a segurança durante o processo de autenticação.

O Active Directory da microsoft utiliza o LDAP como base, bem como o SAMBA, que é uma alternativa OpenSource para o AD.

As políticas são definições que poderão ser aplicadas nos mais diversos processos e serviços de uma empresa. Através delas são definidos padrões de uso/acesso/compartilhamento/segurança/imagem e etc.

Políticas são diretrizes que a empresa escolhe aplicar para padronizar como os processos devem seguir, do início ao fim de cada aação executada dentro de uma empresa.

Um exemplo disso, seriam as políticas de acesso, que controlarão:

• Quem pode acessar
• O que pode acessar
• Quando pode acessar
• O que poderá compartilhar e etc.

A revisão de serviços necessários também poderá ser entendida como hardening, durante esta revisão serão identificados serviços que não precisam estar presentes no servidor ou que possuam alguma vulnerabilidade/falha que precisa ser corrigida antes da publicação.

Serviços com falhas ou vunlerabilidades publicados na internet são considerados vetores de ataque que podem ser explorados com objetivo de comprometer o servidor ou o serviço.

Durante o processo de gestão de risco, estes vetores precisam ser tratados para melhorar a segurança do ambiente como um todo.