A Universidade de Estugarda é parte de um dos ecossistemas mais importantes e é o ponto de partida para a investigação numa região de grande importância económica. Cerca de 23.000 jovens estudam na Universidade, nas mais variadas áreas de atividade. No entanto, são apoiados por cerca de 5.700 trabalhadores, para que os estudantes e os estudantes tenham acesso a um excelente enquadramento. Dazu gehört eine digitale Infrastruktur, die den reibungslosen Zugang zu umfassenden Ressourcen garantiert - sofern die dafür notwendige Berechtigung vorliegt.
A gestão do hardware e dos serviços prestados é da responsabilidade do Departamento Técnico de Informação e Comunicação (TIK) como parte dos Centros de Informação e Comunicação da Universidade (IZUS). Neste domínio, também se encontram os serviços de gestão centralizada, que asseguram o apoio centralizado ao local de trabalho, incluindo o servidor de impressão Fileoder, a gestão de patches e a gestão de gerência. Além disso, também é necessário o apoio a soluções de apoio como a gestão de documentos ou a gestão pessoal.
A Zentralen Verwaltungsdiensten (ZVD) também pretende que o Active Diretory seja implementado, para que os utilizadores e os estudantes possam aceder aos recursos existentes. "Estamos a trabalhar na área da gestão de identidades para a segurança e o uso do Active Diretory", afirma Mike Holz, Diretor da ZVD.
Active Diretory como instalação central
Tendo em conta a importância e a sensibilidade dos resultados de investigação no domínio das tecnologias da saúde e os interesses mundiais em relação a esses dados, a proteção dos dados é extremamente importante. É de salientar o facto de uma grande parte dos estudantes com contas privadas poderem aceder através de uma VPN à rede universitária. Também a flutuação contínua constitui uma necessidade para a proteção dos direitos. É necessário, por isso, uma maior integração das TI com o sistema de gestão de pessoal.
"A nossa empresa está a analisar continuamente a situação atual em matéria de segurança, com especial destaque para as universidades e os centros de formação profissional", afirmou Holz. "Dabei ist in den vergangenen Jahren auffällig geworden, dass Angriffe auf diese Bereiche kontinuierlich steigen. Es wurde uns zunehmend bewusst, dass wir hier proaktiv werden müssen." A proteção das zonas sensíveis é apenas uma das vertentes do Medaille. Hinzu kommt, dass bei einer Kompromittierung des zentralen Verzeichnisdienstes möglicherweise die Arbeitsfähigkeit der gesamten Institution für mehrere Tage eingeschränkt wird, wenn nicht sogar ganz zum Erliegen kommt.
Mike Holz e a sua equipa procuraram opções para garantir a segurança e a funcionalidade da gestão de identidades a partir de um local competente. "Mesmo quando estávamos seguros de que o objetivo era alcançado, ainda assim havia a possibilidade de os Schwachstellen serem ultrapassados. Und schließlich entstehen täglich neue Angriffsvektoren, zum Beispiel auf Basis neuer KI-Techniken, die wir nicht auf dem Radar haben konnten."
"Sem a avaliação com a ajuda de parceiros competentes, era necessário, para nós, um grande esforço para obter um resultado de qualidade muito elevada. Schon allein deshalb, weil dazu eine umfassende Schulung der Mitarbeiter erforderlich gewesen wäre."
Mike Holz, Chefe do Departamento ZVD
Avaliação de segurança com um parceiro competente
É necessário que uma empresa experiente seja escolhida para realizar uma Avaliação de Segurança do Active Diretory (ADSA), que, como fornecedor de soluções de segurança para o Active Diretory, possui experiência e conhecimento profundos dos desenvolvimentos actuais. A solicitação foi feita pela Semperis, uma empresa especializada reconhecida, que ajuda as organizações a proteger as suas identidades e a otimizar os processos de segurança. Assim, a Semperis oferece uma série de soluções que permitem identificar os riscos e as desvantagens da implementação do Active Diretory, resolver as alterações do sistema de registo de dados, identificar os problemas possíveis, mesmo para os utilizadores privilegiados, e permitir uma resposta rápida aos problemas.
Com base numa vasta experiência em projectos de clientes a nível mundial, a Semperis apresenta a Avaliação de Segurança do Active Diretory (ADSA). Esta análise fornece uma avaliação detalhada da segurança da administração do Active Diretory, fornece às organizações uma análise aprofundada sobre os riscos identificados e fornece sugestões de tratamento para a melhoria da segurança do Active Diretory.
Para além da identificação de configurações de falhas perigosas e dos riscos associados, o objetivo principal é identificar os problemas no interior da unidade de gestão de AD, de modo a permitir que os utilizadores possam ter acesso a recursos críticos (nível 0).
Uma revisão da arquitetura de segurança e dos processos operacionais complementa a análise das avaliações. Para o efeito, é necessário identificar as melhores práticas. Em entrevistas com consultores e especialistas, foram abordadas áreas centrais como a governação da segurança, a arquitetura da rede, as relações de confiança de domínio, a administração de sistemas e a sensibilização para a segurança, a fim de identificar potenciais soluções de segurança e fornecer recomendações adequadas.
O resultado são mais recomendações para reforçar a segurança, nomeadamente as melhores práticas para uma configuração segura do Active Diretory. A aplicação destas medidas está na base do sucesso da organização.
Após a decisão de analisar o projeto, as equipas envolvidas foram reunidas e foi elaborado um catálogo de fragmentos mais estruturado. O tempo decorrido entre a definição e a classificação dos domínios a avaliar, a inventariação da estrutura, a análise do ambiente global e a avaliação dos riscos foi de cerca de seis a oito semanas, enquanto a utilização da Netto-Zeitaufwand pelos trabalhadores dos serviços centrais da Universidade foi de apenas algumas semanas. Para a realização do projeto, foram contratados especialistas da Semperis em todo o mundo, para ajudar na avaliação com a sua experiência. Para o efeito, foram utilizadas ferramentas para que a configuração do Active-Diretory e as informações ergonómicas, que são necessárias para a análise, fossem recolhidas de forma eficiente e automática. Com esta base, foi minimizado o custo zetético das TI universitárias.
Como resultado, a Universidade efectuou uma análise abrangente das infra-estruturas e processos existentes. "Tatsächlich sind nur wenige kritische Probleme aufgefallen", resümiert Mike Holz das Ergebnis. "Vor allem im Vergleich mit anderen Institutionen unserer Größe und mit vergleichbaren Sicherheitsanforderungen war das Resultat durchaus positiv." Was allerdings nicht meint, die bisherige Praxis nun beruhigt weiterzuverfolgen. "Manches hat Anlass gegeben, über gewisse Punkte nachzudenken, die unter Berücksichtigung des gegebenen Potenzials nun sukzessive anzugehen sind."
Transferência de know-how Inklusive
Mesmo quando o resultado das avaliações em algumas partes atestou o trabalho bem sucedido das equipas, a sua realização teve uma série de outros efeitos positivos: Es verstärkt das Vertrauen in die etablierten Mechanismen und die handelnden Personen, was die Reputation der Universität im internationalen Ecosystem verstärkt und die Grundlage für eine vertrauensvolle Zusammenarbeit mit anderen wissenschaftlichen Institutionen und Partnern aus der Wirtschaft bildet. Zudem helfen die Ergebnisse der Analyse dabei, die zur Verfügung stehenden Human Resources gezielter einzusetzen. Neste contexto, não deve ser considerado um efeito adicional: "Ohne das Assessment mit Unterstützung eines kompetenten Partners hätte es für uns einen großen Aufwand bedeutet, ein Ergebnis von ähnlich hoher Qualität zu erzielen. Schon allein deshalb, weil dazu eine umfassende Schulung der Mitarbeiter erforderlich gewesen wäre", erklärt Holz. A competência das equipas da Semperis, através da colaboração com os especialistas da Semperis, no que diz respeito ao funcionamento e utilização do Active Diretory, está a ser melhorada - também uma excelente transferência de know-how.
A equipa da AD-Team da Universidade com os seus processos optimizados é muito bem gerida, mas também a consciência de que não pode ser garantida uma segurança absoluta num campo altamente dinâmico. "Em relação ao desafio de desenvolver uma área de interesse, para que os resultados da investigação possam ser compreendidos, e com a ajuda de tecnologias de ponta no domínio da inteligência artificial, é nossa intenção continuar a trabalhar com novos desenvolvimentos."
Na realidade, a gestão de identidades comporta imensos riscos, que podem ser minimizados através da aplicação de métodos como o controlo de alterações e a auto-remediação. E, por último, também é necessário que, mesmo no pior cenário possível, o AD seja eliminado em poucos minutos. Ferramentas complementares, como a Active Directory Forest Recovery , estão disponíveis para verificação e podem ser implementadas com o mínimo de esforço.
