8 riscos ao burlar o proxy em implementações do Office 365

Empresas do mundo todo estão migrando para o Office 365 na nuvem. A Blue Coat Systems, agora parte da Symantec, alerta sobre riscos à segurança e desempenho da rede se o tráfego do Office 365 burlar o proxy.

1. Conformidade com políticas de segurança
As práticas recomendadas e a maioria das políticas de segurança proíbe o acesso direto à internet a partir de clientes internos da rede. Assim, todo o tráfego, inclusive do Office 365, deve passar por um proxy. Burlar o proxy é uma violação às exigências corporativas, o que força as empresas a documentarem uma exceção, justificá-la e aceitar uma postura de segurança menos rigorosa em relação ao tráfego da internet. 

Burlar o proxy é um exemplo de uma implementação inconsistente de controles. Com o passar do tempo, perde-se o controle sobre as exceções acumuladas, que dão origem a brechas de segurança exploradas por invasores.

2. Verificação do status de certificados
A popularidade do software da Microsoft faz dela um alvo comum de ataques de certificados. Inclusive, aconteceram comprometimentos de certificados da Microsoft divulgados ao público em 2001, 2008 e 2012. 

Para proteger seus usuários desse tipo de ataque, o ProxySG, da Blue Coat, aplica o Protocolo de Status de Certificados On-line (OCSP, Online Certificate Status Protocol) para verificar o status dos certificados do Office 365 em tempo real. Se um certificado foi comprometido ou revogado, o proxy bloqueia a solicitação e alerta seus usuários.

3. Registros completos de resposta a incidentes e conformidade
O proxy também traz dados importantes de relatórios que não estão disponíveis nos registros do Office 365. Por exemplo, os endereços IP reais do cliente não são registrados pelo Office 365. Se um cliente interno utilizar o Office 365, o endereço IP de origem terá o endereço de rede convertido no firewall da Internet. 

Portanto, se o tráfego do Office 365 burlar o proxy, ele não será registrado, o que pode resultar em violações à conformidade, limitando sua capacidade de resposta a ataques. Para obter os verdadeiros endereços de origem dos usuários que acessam o Office 365 por trás da entidade de conversão de rede é preciso ter um proxy.

4. Tráfego SSL
O proxy da Blue Coat, por exemplo, proporciona uma visibilidade completa do tráfego criptografado do Office 365. Os pontos cegos do tráfego SSL são eliminados ao mesmo tempo em que o administrador de rede tem toda condição de cumprir as políticas corporativas e de privacidade.

5. Proxy reverso para implementações híbridas
As implementações híbridas do SharePoint combinam recursos do SharePoint Server com recursos do SharePoint do Office 365. Nesse caso, os resultados da busca das duas origens podem ser combinados para apresentar aos usuários uma visualização unificada. Porém, para possibilitar essa visualização unificada, é preciso ter conectividade SSL de entrada a partir do Office 365 para servidores do SharePoint. 

A funcionalidade de proxy reverso pode ter um papel importante para a proteção dessas conexões, autenticando e descriptografando o tráfego antes de transmiti-lo aos servidores do SharePoint na rede interna.

6. Custos operacionais de firewall e disponibilidade do serviço
Os conjuntos de regras de firewalls, normalmente, limitam o acesso de saída da Internet a apenas um ou a poucos endereços de IP estáticos. Porém, para burlar o proxy, será necessário abrir brechas no firewall de todas as sub-redes clientes para os IPs do Office 365. Para ajudar administradores de redes nessa tarefa, a Microsoft publica mais de 175 endereços de IP necessários para compatibilidade com o Office 365.

Contudo, esses endereços mudam o tempo todo. De janeiro a agosto de 2014, eles foram alterados 216 vezes. Portanto, burlar o proxy significa encarregar sua equipe de firewall de sincronizar manualmente um conjunto de regras de firewall que se aplica a mais de 175 endereços de IP em constante mudança. A qualquer momento, se o conjunto de regras sair de sincronia ou houver um simples erro de configuração, os serviços do Office 365 podem ser interrompidos. Ao transmitir o tráfego do Office 365 pelo proxy, esse custo operacional com o firewall e o risco de indisponibilidade são evitados completamente.

7. Armazenamento de conteúdo em cache

Diversas empresas têm preocupações com os maiores custos com largura de banda e latência relativos à migração do Office local para o Office 365 em nuvem. Como os serviços em nuvem podem apresentar alta latência, o acesso ao conteúdo local poderia ajudar muito o Office 365 a melhorar seu tempo de resposta.

O armazenamento em cache oferecido pelo ProxySG será eficiente, sobretudo para o SharePoint do Office 365 e de outros ambientes em que o download dos mesmos conteúdos, por exemplo, vídeos, imagens, apresentações, é feito por diversos usuários. Nesses ambientes, o desempenho pode melhorar em até 25%. Se o tráfego do Office 365 burlar o proxy, esses benefícios serão perdidos.

8. Gerenciamento de endereços IP
A Microsoft recomenda limitar a menos de 2.000 o número de usuários por trás de cada endereço IP público. Colocar usuários demais por trás de um único endereço IP traz problemas de esgotamento de porta que prejudicam o desempenho. Dependendo do design da rede, pode ser um desafio manter a conformidade com essa recomendação.

É possível atender a essa exigência reestruturando a rede, mas esse processo pode causar muitas interrupções e gerar muitos custos. O proxy ajuda a atender a essa exigência facilmente, realizando o balanceamento de carga dos usuários em uma série de endereços de IP públicos.