Você precisa de uma conexão VPN de um laptop para acessar o GCCH? É recomendado? Qual o serviço de VPN mais barato para usar ao se conectar ao GCCH? OpenVPN é aceitável/conforme?
O dispositivo físico do usuário que está conectando faz parte do seu ambiente CUI?
Não, já há criptografia ao acessar os serviços M365.
“Com o Microsoft 365, seus dados são criptografados em repouso e em trânsito, usando vários protocolos de criptografia fortes e tecnologias que incluem Transport Layer Security/Secure Sockets Layer (TLS/SSL), Internet Protocol Security (IPSec) e Advanced Encryption Standard (AES).”
Não esqueça o elemento de escopo, mesmo que já esteja criptografado… você PODE e provavelmente levará CUI até o ponto final ao fazer uma conexão direta com o GCCH, o que pode levar à subrede e ao ambiente ao redor do ponto final estarem dentro do escopo. Sem o uso de desktops virtuais, na maioria dos casos, o ponto final estará no escopo e os limites ao redor daquele CUI se tornarão importantes.
Agora temos o ZTNA. A exigência de VPN de túnel completo é boba hoje.
Você “poderia” configurar uma VPN sempre ativada para seu firewall empresarial. Mas por quê? O foco hoje está no endpoint. Controle tudo lá.
Lembre-se de que o ZScaler deve ser uma versão governamental ou fedramp, pois seus dados passam por ele. Se OpenVPN estiver hospedado por você e for validado FIPS, funcionará; se hospedado por terceiros, você precisa considerar o escopo e a inclusão de ESP/CSP.
Obrigado… é isso que eu pensava, mas alguém trouxe isso como necessário. Eu acabei de ver uma postagem antiga no Reddit de 4 anos perguntando essencialmente a mesma coisa. Parece que a resposta não mudou.
Isso é suficiente para atender aos requisitos do Nível 2? Vi essa alegação de criptografia também, mas também me disseram que não é compatível com FIPS. Também recomendaram o Zscaler, mas como outros disseram, é caro. Tenho olhado o Global Secure Access como alternativa, e parece promissor.
Tenho tido alguma indecisão sobre esse ponto. Planejamos ter laptops dedicados para conexões ao GCCH. Estes estarão em um local fixo, em uma sala trancada, para acesso ocasional ao CUI. Para conexões de laptops não dedicados ao GCCH, eles podem usar acesso apenas pelo navegador, evitando downloads e recursos de copiar e colar. Devem usar os aplicativos baseados no navegador. Conexões móveis não são permitidas. O restante é tratado por política escrita. Você acha que isso passaria na auditoria?
Não há necessidade de um túnel completo, apenas desbloquear os túneis divididos. Você NÃO precisa usar uma VPN. Zero trust aborda os riscos.
Alguns produtos ZTNA que você recomenda? Sua escopo exige que isso seja compatível com FIPS?
Não é necessário de forma alguma. Quem estiver dizendo isso está confuso ou sendo mal interpretado. Ou estão simplesmente errados.
Após alguma pesquisa no Google, parece que os ambientes GCC/GCCH usam criptografia validada pelo FIPS para seus serviços.
Editar:
"Serviços online da Microsoft que incluem componentes, os quais foram validados pelo FIPS 140-2, incluem, entre outros:
- Azure e Azure Government
- Dynamics 365 e Dynamics 365 Government
- Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense"
Pode passar na auditoria, mas o que você realmente faz com o CUI? Como você usa os dados desses laptops que estão conectados ao GCCH?
Além desses laptops, eles estão na mesma rede de outros computadores? Se sim, que outros pontos finais podem alcançá-los? Esses laptops podem imprimir? Que impressoras são usadas?
O sistema precisa ser utilizável para o programa que você executa. Quanto mais difícil for usar, menos provável é que os usuários realmente usem esse sistema.
Se você visualiza em um navegador, já é tarde e o dispositivo está dentro do escopo. O navegador não pode visualizar algo que não foi baixado. O uso de aplicativos baseados no navegador não muda isso, pois é processado na máquina local no navegador.
Para acessar o GCC-H e manter sua máquina local fora do escopo, você está considerando algum tipo de VDI. E bloquear a máquina de todas as conexões diretas ao CUI.
Vamos ver como os auditores avaliam isso, mas minha
Expectativa é que, se você estiver acessando seu ambiente de alta segurança via navegador, corre o risco de esse ponto final estar no escopo e ser não gerenciado.
Deveria ser uma combinação de política e instrumentação para garantir que nenhum CUI seja baixado. Se for usado com moderação, talvez seja melhor usar W365 e princípios ZTA para reduzir o escopo do ponto final físico.
Zero trust é meio que como VPN de túnel dividido. É uma questão de detalhes.
Cloudflare Zero Trust é o melhor
Dê uma olhada no Zscaler
Nos data centers, com certeza, mas não consigo encontrar nada concreto que diga que os dados em trânsito estão protegidos em níveis aprovados. É por isso que consideramos o Zscaler, mas a opção GSA é atraente por ser mais barato e se integrar perfeitamente.
EDIT: Não tinha visto sua edição antes de responder. Vou verificar aquele link.