Check Point – Como anda a sua segurança?

Escrevi um texto com o mesmo nome Como anda a sua segurança? em 2005 chamando a atenção para os dados de vulnerabilidades e ameaças na Internet. Dessa vez o que me motivou escrever uma coluna com o mesmo título foi minha participação no Road Show sobre segurança organizado pela empresa Check Point. Para quem não conhece a Check Point é uma empresa já tradicional neste mercado e com bastante penetração em empresas de vários portes, incluindo diversas no segmento bancário e financeiro do Brasil, bem como no varejo como a FNAC, etc.

Como o público do FORUMPCs é variado, vale a pena resgatar alguns conceitos importantes em relação às práticas de segurança. Quando as corporações começaram a olhar com mais atenção para este assunto as coisas pareciam mais simples. Uma empresa que tivesse uma boa solução de FIREWALL e ANTIVÍRUS se sentia com a “lição de casa feita”. Mas a complexidade do mundo virtual aumentou bem como a malignidade dos ataques e a organização criminosa tentando lesar constantemente as pessoas e empresas. Nesta ocasião o mercado começou a trabalhar com o conceito de UTM-Unified Threat Management (gerenciamento unificado das ameaças). Normalmente apresentado como um “appliance”, um hardware dedicado que continha uma miríade de soluções integradas. Parecia ser a solução definitiva, tecnicamente eficaz e brilhante. Na prática não foi bem isso que aconteceu. O “empacotamento” da solução na forma de UTM apresentou dois problemas sérios. Por conter muitos elementos o custo da solução era (ainda é) bastante elevado, exigindo o tal hardware dedicado e sofisticado (appliance). Isso acaba por limitar as empresas que poderiam adotar uma solução dessas (custo). Por isso ainda hoje, anos depois muitas organizações ainda estão apenas usando o binômio FIREWALL/ANTIVÍRUS, e seguem com deficiências em sua proteção.

A Check Point também desenvolveu suas soluções de UTM pois era naquele momento a solução “state of the art” demandada pelas corporações. Mas ao longo do tempo percebeu esta lacuna no mercado e abriu duas frentes distintas para atender as empresas. Inicialmente criou diversos modelos distintos de UTM, baseados em “appliances” de diversos “calibres”, níveis de sofisticação e custos. Ainda hoje trabalha bem com esta linha de soluções. A propósito, há algum tempo a Check Point concluiu a divisão de appliances e segurança da NOKIA, reforçando a sua posição neste segmento de mercado. Mas o aspecto mais criativo, que me motivou a escrever esta coluna é o conceito de SOFTWARE BLADES para segurança.

Quando falamos em BLADES isso remete à idéia de servidores que usam este tipo de arquitetura. Lembramos dos “racks” nos quais conforme cresce a necessidade de processamento uma lâmina, uma nova placa (blade) é inserida agregando poder computacional à solução. Esta é a idéia. Mas como aplicar este conceito no mundo da segurança?

Software blade é análogo ao modelo de servidores em blade. Conforme cresce a necessidade de apertar a segurança, novas “placas” (módulos de software) são acrescentadas. Mas acrescentadas onde?? Esta solução permite que seja usado hardware da Check Point (seus diversos appliances) ou mesmo máquinas do próprio cliente! Se a empresa faz uma atualização de seu servidor de banco de dados e “sobra” o antigo servidor, este pode ser perfeitamente apropriado para receber os software blades da Check Point. Claro que algumas variáveis como número de usuários, tráfego da rede, etc. podem definir o uso de equipamentos mais ou menos robustos (dual core, quad core, etc.).

O que mais me agradou nesta solução é a sua modularidade e sua capacidade de crescimento (escalabilidade). Se mais módulos são necessários, acrescenta-se a funcionalidade desejada. Por exemplo, a empresa não tinha um IPS (sistema de defesa contra invasões-intrusões), este pode ser agregado ao sistema. Se deseja uma solução mais robusta e segura para VPN, a mesma coisa e assim por diante. Mas há também o lado da modularidade no HARDWARE. Se o equipamento alocado para o sistema de segurança não estiver mais adequado (sobrecarregado) um novo servidor pode ser usado e algumas funcionalidades (blades) transferidas para o novo equipamento. O gerenciamento se faz pela rede, usando uma interface na qual não faz diferença quantos servidores estão em uso (máquinas físicas), nem onde se encontram cada um dos software blades. Seria muito ruim ter que lembrar que no IP XXXX ficam as funcionalidades de VPN e Anti-Spam enquanto no IP YYYY ficam IPS, IPSec, etc. Nada disso. O gerenciamento é único e centralizado da solução inteira não importando quantos PCs forem hospedeiros dos componentes de software, nem mesmo onde ficam eles.

As necessidades mais ou menos sofisticadas são proporcionadas também por outros “blades” específicos para gerenciamento. Assim os módulos disponíveis são:

Segurança:

– Firewall

– IPSec VPN (VPN segura ponto a ponto ou site a site)

– IPS(Proteção contra invasões)

– Web Security (proteção contra sites maliciosos)

– URL Filtrering (filtro contra o acesso a mais de 20 milhões de URLs por categorias)

– Antivirus & Anti-Malware

– Anti-Spam & Email Security

– Advanced Networking (roteamento dinâmico, suporte a multicast e QoS nos gateways)

– Acceleration & Clustering (alta disponibilidade na análise de pacotes na rede)

– Voice over IP (proteção no uso de VOIP contra ataques e indisponibilidade)

Gerenciamento :

– Network Policy Management

– Endpoint Policy Management

– Monitoring

– Management Portal

– User Directory

– IPS Event Analysis

– SmartProvisioning

– SmartWorkflow

– Reporting

– Event Correlation

Eu não conheço todos os detalhes desta inovadora solução em “camadas” da Check Point. Não pude testá-la com minhas próprias mãos. Mas não faltará oportunidade, uma vez que a Check Point está muito acessível para os jornalistas. Eu os convido a mergulharem em mais informações no site da Check Point e aguardem para o futuro mais detalhes pois pretendo me aprofundar um pouco mais nesta solução e arquitetura.

PS: Há várias semanas eu me inscrevi no TWITTER com o único objetivo de fazer saber às pessoas quando eu publico uma coluna nova e os produtos/tecnologias que estão em análise (futuras colunas). Meu endereço é . Não esperem nada do tipo “vou jantar agora” ou “meu banho estava muito frio”. Embora não condene quem use o twitter para estas frivolidades. No meu caso o uso é “profissional”.