Infraestrutura para Sistemas de Software - Controle de Acesso e Mecanismos de Autenticação (LIBRAS)

[Música] Olá a todos sejam bem-vindos à aula sobre controle de acesso mecanismos de autenticação bom o controle de acesso e os mecanismos de autenticação são muito importantes né Eh diz respeito a as aplicações né que estão implantadas nas infraestruturas computacionais sejam elas locais ou remotas né então eu preciso um um cuidado especial para lidar com o controle de acesso e mecanismo de autenticação tá que no fundo no fundo são mecanismos e são estratégias que devem ser utilizadas para para impedir ou para liberar acesso eh a a a Outras aplicações ou a usuários e eh podem

ter ou não acessam os dados eh eh a referente a novos usuários de outras empresas né Eh dados sigilosos ou não sigilosos então controle de acesso é extremamente importante e assim como os fireos os webp né os os HPS os o sistema deção de intrusão também devem fazer parte de uma política mais Ampla de segurança de informação do do ambiente em questão tá então eh e de uma maneira um pouco mais específica a gente vai tratar desse assunto Nesta aula então vou fazer uma introdução sobre os os mecanismos de autentificação de controle de acesso né

Eh classificar o controle de acesso pode ser feito em vários níveis tá tratado que é identificação autentificação e autorização alguns mecanismos de autenticação modelo de controle de acesso né alguns utilizados e gerência de identidades bom eh então como eu já comentei e para frisar o controle de acesso ele é um importante mecanismo para segurança das aplicações tá eh especialmente aquelas que são implantadas em níveis computacionais tá então eh tem sido bastante comum grandes corporações que possuem sistemas legados ou ambientes que nós eh conhecemos no jargão de de on primes de migrar todas suas soluções para

nuvens computacionais de grandes empresas como Google Amazon e as né então eh uma vez grar essas aplicações eu preciso controlar Quem faz o acesso a elas né Tanto do ponto de vista de consumir eh o que aquelas aplicações tem né consum como serviço como também de fazer a manutenção dasas aplicações tá porque Diferentemente de um ambiente on Prim de um ambiente que você tem a infraestrutura próxima ao time de desenvolvimento essa infraestrutura toda ela tá a milhares de quilômetros né de onde você está fazendo manutenção tá especialmente em outros países tá então eh controle de

acesso essas aplicações é extremamente importante tá eh falhas de controle de acesso pode colocar aplicação Eh toda disponível na interet dados podem ser vasados tá bom qual que é a responsabilidade do controle de acesso tá primeiro eh a gente precisa determinar quais recursos que vão poder ser acessados tá quais operações podem ser realizadas sobre esse recurso quais os componentes são autorizados a desempenhar determinadas operações então é essa responsabilidade cont primeiro saber quais são os recursos segundo Quais as operações sobre esse recurso e terceiro os componentes né ou as pessoas Outras aplicações outras organizações que devem

ter acesso a esses recursos e as operações para eh serem executados desses recurso o controle de acesso também pode ser definido como um método um conjunto deles né com objetivo de restringir a utilização de de recursos a um sistema por certos usuários ou grupo de usuários tá tem objetivo limitar as ações que o usuário de sistema pode realizar naquele ambiente tá tem a capacidade também de permitir a legal utilização de algo por alguém e prevenir que o sistema ou a aplicação como todo esteja ou vá para um Estado inseguro tá então como é que impeço

que um sistema vá porado em seguro usando um mecanismo alguma política de controle de acesso tá então a gente pode dizer que o f É um mecanismo de controle de acesso tá não necessariamente um mecanismo de autenticação mas o mecanismo de controle de acesso dentre outros né é um dos mecanismos que permite que viabilizam ou viabilizam o acesso a determinado e infraestrutura computacional no caso ali nó est falando mais controle de acesso no nível de rede ou do conteúdo das aplicações tá eh mas há controle de acesso por exemplo uma outra eh que complementa Eh

esses dois já mencionados bom eh alguns requisitos básicos de segurança de informação que também se aplicam desenvolvimento de software na nuvem né envolve a disponibilidade né então eu tenho que ter certeza de que os dados são acessíveis Quando forem necessários e onde forem necessários a integridade é ter um certo nível de certeza de que eles não foram modificados intencionalmente ou acidentalmente a confidencialidade né que só indivíduos autorizados acessar aos dados podem fazer tá então são requisitos de segurança de informação solidade integridade e a confidencialidade que tem relações Direta com o controle de acesso né então

o sistema pode ficar inacessível indisponível por conta de um ataque negativo de serviço tá então eh eu posso ter um sistema que sofreu eh modificação de dados depois que o sistema foi invadido né Eh os o acesso pelas informações não são mais confidenciais porque eh quem não poderia ter acesso teve né então foi autorizarem que não seria a autorização conseguir a autorização doando política de segurança bom eh Há alguns elementos para garantir né Eh esses alguns desses requisitos né quer dizer para garantir os requisitos de disponibilidade integridade e confidencialidade tá eh por que que eu

tô falando sobre isso pessoal porque esses assuntos né E essas discussões elas fazem parte eh cotidianamente de quem lida com a infraestrutura computacional ou quem desenvolve aplicações em cima dessas infraestruturas ocacionar então eh a o escopo de preocupações ele é muito grande né Diferentemente de do desenvolvimento de uma uma aplicação Eh que que seria executada no ambiente local tá então por isso que nós estamos discutindo essas eh essas Eh esses assuntos eh nessa disciplina e exclusivamente nessa de aula né Nesta aula eh Então os elementos para garantir a disponibilidade envolve ter redundância né disponibilidade para

web e a redundância pelo menos mais de um no caso em grandes números computacionais são centenas deles né backup né registro de dos dados que foram processados Ou foram acessados né Eh integridade fazer assinatura digital e a confidencialidade né usar criptografia né e o controle de acesso Então são criptografia e controle de acesso é uma maneira de permitir a confidencialidade assinatura digital é uma maneira de garantir a integridade e a a redundância de dados de serviços de hardware eem o backup é uma maneira de potencializar ainda mais a disponibilidade dos serviços dos dos sistemas e

da infraestrutura bom o controle de acesso ele pode ser baseado tanto em hosts quanto em Sistemas quanto em rede de Comunicação tá eh baseado em host nós vamos fazer o controle de acesso aos recursos do sistema operacional né Eh vamos pensar na proteção de arquivos objetos né Vamos pensar em controle de recursos via rede né então Eh que recurso que eu vou controlar via de comunicação baseado em sistema aturar dentro dos rostos né e composto por interface um banco de dados por exemplo né então é uma aplicação web e que tem acesso a um banco

de dados relacional ou banco de dados orientado objeto né então como é que eu né controlo o acesso a um banco de dados né então tem uma aplicação web típica baseada em três camadas o cliente uma uma interface né e o backend por exemplo né como é que en viabiliza eh o acesso de um usuário de uma rede qualquer ter acesso direto ao banco de dados senão unicamente pela aplicação web que faz a que deveria somente ela fazer acesso aele banco de dados meio preenchimento de um formulário etc tá então vale também a preocupação em

restringir o acesso eh eh de aplicações que não poderiam acessar um banco de dados diretamente n só aquela aplicação específica eh també com próprio de contura e também a classificação baseado cont de acesso baseado em rede né então como a gente já falou né quer dizer o Fire pacotes e prox né Eh pros mais agora eh do ponto de vista mais eh né ainda se bem que no caso doos também né mas mas e no nível só de tráfego P né os roteadores na camada de enl também s tá então a gente já falou de

alguns mecanismos de controle de acesso que não são os únicos e não não devem uma infraestrutura computacional grande né ou qualquer uma delas né não neamente Grande São coisas prão ser levado em considerações eh bom a ainda no universo de controle de acesso né é muito comum eh nós nos depararmos com algumas palavras né que podem causar uma certa confusão né a identificação autenticação e autorização tá então eh quem tá autenticado tá autorizado quem tá autorizado foi autenticado enfim são coisas que eh São dúvidas que surgem né então é importante destacar alguns componentes fazem parte

do controle de acesso que eles representam Tá o que que faz parte do controle de acesso tá nós temos aí o sujeito né que é aquele que solicita o acesso a algum tipo de informação então por exemplo eu vou solicitar o acesso e a uma informação minha que foi gravada numa base de dados tá eu como usuário ou um host sobre a minha eh autorização para poder fazer essa solicitação tá o objeto é aquele que é acessado pelo sujeito então por exemplo quem que o que que eu quero acessar um arquivo Eu quero acessar uma

tabela uma imaginar eu quero uma linha uma tabela né Eu quero acessar o conteúdo de um arquivo enfim tá eh e o monitor de referência também que é usado para mediar o acesso tá quem que media o acesso do sujeito ao objeto tá então A ideia é que ess esse monitor tem o controle que garante garante integridade do funcionamento dier como se fosse se verificasse que realmente é aquele sujeito que tá solicitando acesso aquele objeto e e permite o acesso daquele sujeito ao ao mesmo né ao ao próprio objeto bom eh Então as etapas que

que são usadas para realizar o acesso a um objeto né envolve a primeiro a identificação depois autenticação eem seguida a autorização né e muitas vezes por conta de registros nesse processo pração de contas e responsabilidade tá então quem é responsável né quem fez aquio quem eh uma vez identificado autentificado autorizado isso deveria né ou deve ser registrado né para potenciais análises futuras para verificar se a identificação estava correta a autorização estava correta eh a autenticação correta e autorização também tá bom a identificação consiste identificar um sujeito junto a um objeto tá então a ideia aqui

é responsabilizar individualmente aquele sujeito por uma ação no sistema tá então assim eh como é que eu sei que foi aquele usuário que logou né baseado no username dele ou baseado num no pin tá Ah mas eu posso pegar US dele logar OK eh não estamos discutindo nesse momento se essa forma de autentificação é a mais segura Mas é uma das formas de identificação Tá bom eu identifico depois eu vou para uma fase que é de autenticação que é uma vez identificado eu preciso confirmar identidade tá E aí a gente pode usar por exemplo algo

que o usuário sabe que é uma sen tá então qualqu Então pode colocar meu username no formulário de uma aplicação web né Por exemplo no login tá então eu vou fazer acesso a uma uma um ambiente que tenha conectividade de rede sem fil uma praça e basta que eu coloque meu username semha porque tem um mecanismo de autenticação que é baseado numa api conversa com api do Facebook do do Google por exemplo tá que que eu preciso colocar meu username e meha ass tá eu tô usando um api aí eh de um de um agente

externo que é bastante segura de passagem né E que vai fazer a sua confirmar sua identidade na base do do registro que tem no Google no Facebook por exemplo tá então pós identificação qualquer um pode colocar um username Mas nem todo mundo deve saber ou só eu deveria saber a minha senha tá então só eu que tenho que saber minha senha então a gente passa uma segunda fase que é de autenticar né primeiro a gente confirma identidade primeiro por meio de uma senha ou algum que o usuário tem um Smart Card Um certificado digital tá

eh ou alguma característica de indivíduo né um traço físico comportamento né no caso é biometria tá biometria parte em cima dessa para colocar a mão né Eh enfim né própria Íris né olho e eh por fim a gente vai para fase de autorização tá primeiro verificar se o sujeito está autorizado associar um recurso particular Então veja a importância a gente ter discutido falado sobre sujeito e objeto nem todo sujeito nem todos os sujeitos que fazem parte do sistema tem direito a acessar um objeto aquele sistema Então nem todos os usuários de sistema T direito de

acessar alguma informação que tá presente no artigo ou arquivo numa base de dados então por isso é importante Essa ordem na identificação autentificação de autorização tá eh e ela autorização ela faz parte de qualquer sistema operacional e é desejável aplicações tá então por exemplo aí entra algumas formas de verificar se aquele usuário está autorizado com base numa série de informações em que eu associo o sujeito a objeto é muito comum por exemplo em ambientes Windows usar o Direct em ambientes Linux ou ldap né Eh por exemplo dá acesso a uma página um arquivo servidor web

para determinado usuário mediante verificação eh se aquele usuário tem direito a acessar determinados recursos naquele daquele objeto né eh então por exemplo o sistema operacional vai verificar permissões né E vai autorizar com base em critério de acesso por exemplo horário tipo né do recurso né a prestação física dele Enfim então a se utiliza de uma série de informações para autorizar ele acessar aquele co Então veja que a gente tá falando de várias camadas né para permitir eh o controle para garantir o controle de acesso Tá bom me de autentificação envolve senhas né Podem ser estáticas

dinâmicas né se estática com de caracter né é dos mais utilizados né são as as nossas senhas problema é que ela pode ser fraca pode ser Quebrada Tá Semas dinâmicas né passor basear em tempo né qualidade uma única vez né é um segundo fator de autentificação e pode ser implementado em hard só tá e criptográfica Para comprovar a identidade do emissor comprova que ele eh tem aquela iden entidade é dele né Eh e assinatura digital que que é uma tecnologia que utiliza a chave privada para incitar o r outro mecanismo de autentificação envolve são Smart

cards né que pode armazenar e processar informações com circuitos realiza operações fotográficas né então tem Smart Card Sem contato antena f de bobina enrolada né e com contato que é o lentor que transmite energia o contato tá no outro mecanismo é a biometria tá que vai validar um comportamento ou o traço físico do usuário né como a já comentou né impressão digital geometria da mão reconhecimento facial voz íris e retino tá é mais fácil de usar e samente utilizados mais variados sistemas principalmente em celulares né Eh os mecanismos de controle de acesso né dando sequência

eles criam normalização normatizações de como o sujeito usuário vai acessar os objetos né Então essas eh tecnologias são usadas para reforçar os objetivos de modelos de controle de acesso então há vários modelos né contro de acesso um deles dois deles aqui são o dac e o RB né Eh então tem controle de acesso baseado em regras e controle de acesso discricionário tá o controle de acesso discricionário o indica que o proprietário do recurso é responsável por atribuir permissões tá então quem tem aqui recurso atribui as permissões para aquele recurso n diz quem que vai poder

acessar quando e onde tá eh que não seria as tabela de capacidade né e as vezes controle de acesso então a gente por exemplo pode classificar aqui o prox Squid né como controle de acesso discricionário tá quem que é responsável por gerir o servidor Squid né dentro de uma política de segurança da organização eh vai criar uma lista de contro de acesso e vai dar as permissões devidas e cont de acesso baseado em regras né todas as permissões são atribuídas a papéis então eu atribuo um papel a determinado usuário aques usuário tem determinad tem determinadas

permissões associadas que esse papel então por exemplo um um papel de administrador ele pode fazer várias ações o papel de usuário comum pode fazer várias ações e eh menos sei lá 20 né então todas as ações do administrador ou eh eh menos as algumas delas ou nenhuma eh eh é permissão do administrador né mais um outro conjunto de um usuário eh qualquer tá eh então a gente atribui os usuários aos papéis usuário pode ser um usuário comum usuário administrador um usuário que vai ser S papel de que envolve administração de base de dados que envolve

configuração de servidores né Eh enfim tá E e também exe ex um controle Centralizado né Eh que envolve um ponto central de controle né então servidor que a gente conhece a chama rádios né que é usado mais em autenticação simples né só encripta s e autenticação baseada em eh pap e Chap né que são métodos de autenticação algoritmos para fazer autenticação tá bom eh Veja a a o universo que envolve toda a questão de desenvolvimento de aplicações sistemas de software dentro da infraestrutura tá e ações que podem desenvolver bom eh uma vez considerando os mecanismos

de controle de acesso né Eh a gente gerenciar né e automatizar quem tudo a identificação autentificação e autorização tá isso envolve questões como que cada usário pode acessar quem aprova o acesso como acesso controlado de forma centralizada né Eh utilizar o controle de acesso para diferentes sistemas operacionais é um controle de acesso para qualquer tipo de sistema dentro da organização ou dentro do ambiente computacional que faz parte da organização há mecanismo de controle de acesso separado ações enfim tá então Existem algumas ferramentas para gerenciar essas ID entidades uma delas é baseado em diretórios né outr

gerência de senhas outr em gerência de contas né Eh primeiro o diretório envolve um catálogo que tem informações centralizadas de usuários tá tem um formato de dados hierárquico tá principalmente baseado no protol x500 eh um bastante utilizado no protocolo de acesso aidap né aqui os usuários requisito de informação de recurso e aplicação requisito de informação dos usuários né os objetos são gerenciados pelo serviço de diretório tá e o administrador ele pode gerenciar né e e configurar para identificar autentificar e atualizar os recursos tá então você coloca tudo ali usuário sujeitos objetos papéis Associados enfim tá

eh uma das principais utilidades do idap é descentralizar as informações tá então al é o serviço diretório basicamente um banco de dados utilizado para leitura e que suporta vários métodos de busca né baseado numa árvore né e ele é rápido parais de dados é baseado no x500 né e é o mais conhecido como nap né protocolo de acesso diretórios tá dita como transação vai ser vai ocorrer no serviço diretório Então já comentei aqui né que x500 pode guardar informação com nome e Identificação do usuário sem e-mail foto local de trabalho enfim e todas essas informações

ser utilizadas para atribuir papéis a usuários paraar objetos tá e elas são organizadas num hier né tem o rfc aqui que indica o o desenvolvimento do protocolo né então tem algumas informações que a gente utiliza por exemplo em scrips para fazer um sistema operacional autentificar uma base ledap né então você muda a autentificação padrão com elap tá eh a busca é feita em determinadas áreas uma uma már toda né Elas são protegidas para acesso analizados meio de autentificação cont de acesso né interessante que tanto protocolo pv4 quant pv6 tá pode atender vários bancos de dados

naturamente então uma banco de dados relacional uma relacional pode eh at tá uma base D tá faz aplicação de base de usuário né e tem um desempenho muito bom tá bom eh vejo um universo que envolve mecanas de controle de acesso de autentificação em ambientes computacionais eh né que que tem infraestrutura e tem comunicação n e a segurança desolo tá é importante ter ess mente para quando forem construir aplicações com alta disponibilidade confidencialidade e integridade de dados até a próxima pessoal [Música]