Com a expansão do uso de softwares como serviço, como fazer para proteger os seus dados armazenados nestas ferramentas, uma vez que estão na nuvem, ou seja, computadores que não estão sob o seu controle?

Vamos tratar de um problema em epecífico: o acesso não autorizado ao serviço SaaS por terceiros. Algumas das formas pelas quais isto pode ocorrer se devem a:

• Ataques de enumeração de senhas por força bruta ou por dicionários, quando o provedor SaaS não implementou rate limiting ou CAPTCHA;
• Uso de credenciais vazadas em ataques anteriores, ou por ameaças internas (compra de credenciais de colaboradores ou prestadores de serviços terceirizados etc.);
• Não configuração de MFA, ou fadiga de MFA.

Ao utilizar um serviço SaaS, o usuário administrador se vê frequentemente de mãos atadas quando se trata de segurança, pois depende amplamente das funcionalidades de segurança que foram implementadas e disponibilizadas pelo provedor SaaS.

E se fosse possível restringir o acesso à ferramenta SaaS a uma determinada lista ou intervalo de endereços IP? Certos provedores SaaS oferecem esta funcionalidade de segurança com potencial autamente eficaz contra acessos não autorizados, porém pouco explorada pelos usuários administradores: trata-se do chamado “IP Locking”.

Alguns provedores SaaS que disponibilizam o IP Locking:

• Google Workspace (https://support.google.com/a/answer/12642752)
• Microsoft Entra ID (https://learn.microsoft.com/en-us/entra/identity/conditional-access/policy-block-by-location)
• SharePoint in Microsoft 365 (https://learn.microsoft.com/en-us/sharepoint/control-access-based-on-network-location)
• Okta (https://support.okta.com/help/s/article/How-to-Allow-Access-to-the-Okta-Applications-Only-From-a-Spe...)
• SalesForce (https://help.salesforce.com/s/articleView?id=000386441&type=1)

SharePoint IP Locking

No entanto, há uma grande barreira contra a habilitação desta funcionalidade pelos usuários administradores: hoje os colaboradores das instituições trabalham remotamente, portanto não existe uma lista predefinida dos endereços IP de que dispõem.

E se, independentemente de onde estiverem no mundo, for possível atribuir às máquinas dos colaboradores um mesmo endereço IP para o seu tráfego web? Desta forma, seria possível listar, nas ferramentas SaaS que disponibilizam o IP Locking, este endereço IP como o único permitido para a origem dos acessos.

É exatamente isto que podemos realizar com o Harmony SASE, a solução da Check Point para controle de acesso zero trust a aplicações internas e à web.

Ao intalar o agente do Harmony SASE nas máquinas dos colaboradores da instituição, o usuário administrador do serviço consegue tunelar o tráfego destas máquinas destinado a quaisquer aplicações web por meio de gateways na nuvem da Check Point. Este tráfego possuirá um único IP Público, disponibilizado exclusivamente à instituição pela própria Check Point.

Assim, apenas tráfego originado em máquinas da instituição com o agente do Harmony SASE instalado poderão acessar o serviço SaaS que tem o IP Locking configurado.

Para experimentar esta e outras possibilidades com o Harmony SASE, você pode solicitar uma demonstração da ferramenta por meio deste link.