Jerker Svensson (*)
Toda empresa precisa proteger seus dispositivos. Mas quando se sai de uma corporação global muito grande, você terá algumas especificações exclusivas.
Esse foi o caso da TK Elevator, com sede em Essen, na Alemanha, em 2021. Após a separação do grupo thyssenkrupp em agosto de 2020, a TK Elevator não estava mais sob a proteção de uma organização massiva e sua infraestrutura de tecnologia. Como resultado, a empresa – ainda formidável possuindo mais de 50 mil funcionários em todo o mundo – teve que reinventar sua abordagem à tecnologia.
Entre os muitos projetos que a equipe de TI da empresa queria realizar estava proteger milhares de laptops, que a empresa chama de Digital Workspace Devices. Desde o início, a TK Elevator sabia que uma parte importante da solução para garantir que os Dispositivos Digitais de Espaço de Trabalho fossem seguros seria utilizar os certificados digitais. Nesse caso, a empresa almejava obter a capacidade de emitir e gerenciar certificados de autenticação de máquina para dispositivos ingressados no domínio e não ingressados no domínio. A solução também precisava ser executada em vários sistemas operacionais e tipos de dispositivos móveis diferentes e tinha que ser baseada em nuvem. Uma vez determinados os fatores críticos para o projeto, a TK Elevator decidiu encontrar os fornecedores de tecnologia certos para ajudar a cumprir sua visão.
Identidade de dispositivo IoT para laptops
À medida que a Internet das Coisas (IoT) continua a se expandir, a tecnologia vem sendo utilizada de diversas maneiras. Veja os laptops, por exemplo. Esses dispositivos habilitados para internet, como qualquer outro dispositivo hoje, devem ser protegidos. Especialmente quando falamos de corporações globais com milhares de funcionários. É por isso que, no caso do TK Elevator, foi determinado que os certificados IoT entregues aos dispositivos do usuário, como laptops e hardware, seriam os mais adequados para o projeto. Isso é o conceito de IoT empresarial.
Proteger o hardware envolve diferentes formas de comunicação na infraestrutura interna da TK Elevator. Um fator é a implantação, mas também há as linhas de fabricação, bem como a criptografia em uma infraestrutura típica de TI. Ter tudo alinhado estabelece uma boa comunicação técnica no meio. Portanto, incorporar um mecanismo de autenticação foi um elemento importante, como um laptop conectado a uma rede WI-FI corporativa.
Outro fator a considerar é que os laptops precisam ser reconhecidos em uma rede local. Fazia parte do papel da GlobalSign garantir à TK Elevator que os dispositivos de seus usuários estão sendo reconhecidos. Isso ajuda a certificar que nenhum outro dispositivo estranho possa acessar sua rede, evitando um incidente grave, como uma violação de dados.
Certificados de curto prazo
Os certificados digitais são baseados na tecnologia de Infraestrutura de Chaves Públicas (PKI). Devido às crescentes preocupações com ataques cibernéticos, o ciclo de vida está diminuindo constantemente. Isso é atribuído às crenças da comunidade de segurança de que a vida útil dos certificados de curto prazo reduz a possibilidade de um ataque, em determinados contextos. E quando as soluções de uma empresa estão totalmente na nuvem, isso é especialmente verídico. Em geral, as pessoas acreditam que o uso de certificados de curto prazo deve dar à empresa a confiança de que eles estão protegidos contra um ataque em um caso de uso corporativo e de IoT em nuvem. Além disso, quando fala-se sobre identidades de ativos do usuário, para dispositivos que variam de laptops e dispositivos móveis a estações de trabalho, PDAs e terminais de ponto de venda, alterar as chaves com frequência também melhora a higiene cibernética da segurança da organização. Para a TK Elevator, foi determinado que certificados de ciclo de vida curtos seriam a melhor e mais segura opção.
No entanto, o sistema interno de gerenciamento de certificados da GlobalSign, ATLAS, fornece à empresa a flexibilidade de ter um ciclo de vida de certificado em vigor com validade variando de minutos até 397 dias que pode ser facilmente gerenciado dentro da plataforma ATLAS. A plataforma ainda permite que os clientes ajustem seus certificados a qualquer momento.
Por exemplo, a GlobalSign deu à TK Elevator a opção de expiração dos certificados – dentro de horas, alguns dias, algumas semanas ou mesmo vários meses. Certamente é extremamente benéfico e essencial ter um sistema de gerenciamento de certificados que, não apenas alerte instantaneamente, mas substitua um certificado expirado por um novo. Usar uma combinação de certificados de vida curta e longa é uma estratégia de segurança muito boa, pois fornecem uma rotação de chave saudável em conjunto. A rotação dos certificados garante que o número de série ou o hash não possam ser atacados.
Migrar para a nuvem
Além dos aspectos de IoT e ciclo de vida curto, a implementação para o TK Elevator também teve alguns outros recursos exclusivos, que incluem migrar seus bancos de dados e Diretório Ativo (AD) completamente para a nuvem por meio de um integrador. Isso foi possível devido a uma parceria tecnológica de longa data com a GlobalSign, que permite que clientes como a TK Elevator desfrutem de um ambiente de nuvem privado, mas seguro. Ao se integrar com este provedor de Serviço de Gerenciamento de Chaves na Nuvem (CKMS), os clientes podem obter certificados de um fornecedor confiável.
De acordo com o Gerente de Contas da GlobalSign, Jerker Svensson, “A TK Elevator precisava de uma solução para autenticação de máquina que funcionasse com o Microsoft Intune e dispositivos móveis usando o Windows 10. Também precisava ser baseada em nuvem. Além disso, eles desejavam implantar, emitir e gerenciar certificados de autenticação de máquina para dispositivos ingressados no domínio e não ingressados no domínio. Devido à heterogeneidade dos endpoints, eles procuravam uma solução que funcionasse em vários tipos diferentes de sistemas operacionais e dispositivos móveis”.
A TK Elevator não queria apenas contratar qualquer provedor de PKI, mas eles estavam procurando por um Provedor de Serviços Confiáveis (TSP) de PKI para a região europeia, que fosse credenciado e renomado. A GlobalSign também pode oferecer uma nuvem privada segura com certificação ISO que seja compatível com os serviços de Módulo de Segurança de Hardware (HSM). Além disso, a TK Elevator buscou certificados, software de gerenciamento de chaves e agentes de endpoint para automatizar solicitações, entrega e instalação de certificados em cada endpoint.
Svensson acrescentou: “A GlobalSign foi capaz de oferecer a eles uma solução integrada que atendeu a todas as suas necessidades, além de permitir que atingissem o cumprimento dos requisitos do projeto usando uma autoridade de certificação privada hospedada e certificados IoT”.
Este projeto de sucesso criou um relacionamento forte e abriu caminho para outro envolvendo IoT industrial.
(*) GlobalSign.
