Pular para o conteúdo
Visão geral

Uma grande agência estadual de serviços de tecnologia da informação gerencia a identidade e o acesso de mais de 145.000 usuários em dezenas de órgãos estaduais, incluindo órgãos de segurança pública cujos sistemas devem atender a rigorosos requisitos de segurança dos Serviços de Informação da Justiça Criminal (CJIS).  

Como cliente de longa data da RSA, a agência vinha confiando no RSA SecurID e no Authentication Manager para proteger seu ambiente local há anos. O que ela precisava agora era de um caminho a seguir: uma maneira de estender essa base confiável para um ambiente Microsoft com prioridade na nuvem, eliminar a sobrecarga do suporte técnico que havia crescido junto com sua base de usuários e construir a postura de autenticação resistente a phishing e sem senha exigida por sua estratégia Zero Trust. 

A agência encontrou esse caminho com a RSA. Em vez de substituir o que já possuía, a agência modernizou seus recursos, estendendo sua plataforma RSA existente para a nuvem com o RSA ID Plus, adicionando autoatendimento e automação do ciclo de vida com o RSA ID Plus Prime e implantando o RSA Help Desk Live Verify para corrigir uma das vulnerabilidades mais exploradas em qualquer grande organização: o próprio help desk. O resultado é uma plataforma de identidade autorizada pelo FedRAMP, compatível com a norma FIPS 140-3 e alinhada ao CJIS, que funciona em conjunto com o Microsoft Entra Identity, protegendo recursos na nuvem, híbridos e locais a partir de um único console unificado. 

A oportunidade

As organizações de TI dos governos estaduais operam em uma escala que torna a modernização da identidade tanto urgente quanto complexa. Somente essa agência gerencia mais de 145.000 identidades de usuários, abrangendo dezenas de entidades, cada uma com diferentes perfis de risco, obrigações de conformidade e necessidades de autenticação. O ambiente Microsoft, no centro de sua infraestrutura, havia crescido significativamente, com o Microsoft 365 e o Microsoft Entra Identity agora gerenciando o acesso a cargas de trabalho baseadas em nuvem em toda a empresa. Ao mesmo tempo, sistemas locais, acesso à rede conectado ao RADIUS, aplicativos legados e ambientes de alta segurança que não podiam ser migrados para a nuvem continuavam essenciais para as operações diárias. 

O Microsoft oferece recursos robustos de identidade dentro de seu próprio ecossistema, mas as áreas em que o Entra apresenta limitações eram também aquelas em que o risco dessa agência se concentrava: cargas de trabalho híbridas e locais, aplicativos legados que exigem autenticação por token de hardware, ambientes isolados fisicamente ou dependentes do RADIUS e casos de uso de alta segurança com requisitos de conformidade com FIPS e CJIS. Preencher essas lacunas de vulnerabilidade exigia uma plataforma desenvolvida especificamente para ampliar os limites do Microsoft. O RSA ID Plus, como complemento autorizado pelo FedRAMP para o Microsoft Entra, era essa plataforma. 

O desafio

A infraestrutura de identidade existente da agência funcionava com uma versão mais antiga de uma solução de autenticação RSA local. Essa solução mais antiga suportava aproximadamente 109.000 tokens de software e 36.000 tokens físicos. E, embora tivesse sido confiável, já não era suficiente para atender às crescentes necessidades da agência. Surgiram vários problemas críticos para os negócios: 

  • Carga de trabalho do suporte técnico: As redefinições de credenciais e os pedidos de integração de novos usuários estavam gerando cerca de 2.500 chamadas ao suporte técnico por mês. A experiência de autoatendimento associada à solução legada oferecia personalização limitada e não apresentava nenhuma maneira de reduzir esse volume. Pior ainda, o próprio suporte técnico era um risco à segurança: ataques de engenharia social que se passavam por usuários legítimos para obter acesso por meio dos canais de suporte eram um risco não abordado. 
  • Zero Trust e autenticação multifatorial (MFA) resistente a phishing: A iniciativa Zero Trust da agência exigia uma autenticação resistente a phishing em todos os ambientes, não apenas nos sistemas nativos da nuvem. Os fluxos tradicionais baseados em OTP e senha não conseguiam atender a esse requisito, e a agência precisava expandir para autenticadores push, biométricos, códigos QR e autenticadores de hardware certificados pelas normas FIDO2 e FIDO, mantendo intacto seu investimento existente em tokens. 
  • Conformidade e certificação: As entidades responsáveis pela aplicação da lei dentro da agência exigiam autenticação em conformidade com o CJIS, com trilhas de auditoria centralizadas e relatórios em tempo real. Os requisitos federais de alinhamento apontavam para soluções autorizadas pelo FedRAMP. Casos de uso de alta segurança exigiam autenticadores de hardware certificados pela norma FIPS 140-3.
  • Relatórios e governança: A geração manual de relatórios com base em planilhas não conseguia se adaptar para atender às exigências de auditoria e conformidade em toda a 145.000 usuários. A agência precisava de visibilidade automatizada e em tempo real sobre os eventos de autenticação, o status do ciclo de vida dos tokens e a atividade dos usuários. 

A modernização precisava abordar todos esses aspectos de uma só vez, sem impor uma substituição total que teria prejudicado uma força de trabalho de 145.000 usuários já esteja familiarizado com a autenticação RSA. 

Por que a RSA

O RSA ID Plus possui certificação FedRAMP e foi desenvolvido especificamente para altamente complexo ambientes híbridos. Ele se integra ao Microsoft Entra Identidade por meio do SAML e do OpenID Connect, estendendo uma política de autenticação consistente ao Microsoft 365, aos aplicativos hospedados na nuvem e aos sistemas locaissem substituir a camada de identidade Microsoft nem exigir que a agência gerencie dois consoles distintos. Enquanto o Entra abrange a nuvem Microsoft, o RSA abrange todo o restante: RADIUS, aplicativos legados, ambientes isolados fisicamente e cargas de trabalho que exigem um nível de garantia superior ao oferecido pelas ferramentas nativas da nuvem. 

“A agência não precisou escolher entre proteger seu ambiente Microsoft e preservar seu investimento na RSA. O RSA ID Plus tornou possível ambas as coisas ao mesmo tempo.”

A RSA também ofereceu algo que nenhuma solução pontual poderia oferecer: uma resposta completa para o problema do help desk. O RSA Help Desk Live Verify (patente pendente) oferece garantia de identidade bidirecional e sem senha para interações com o suporte técnico, permitindo que a equipe de suporte e os usuários verifiquem mutuamente suas identidades sem a necessidade de PINs, segredos compartilhados ou perguntas baseadas em conhecimento que possam ser pesquisadas ou obtidas por meio de engenharia social. Para uma agência que gerencia 145.000 usuários Em dezenas de entidades, o Help Desk Live Verify resolveu uma vulnerabilidade sistêmica que nenhuma expansão da autenticação multifatorial (MFA), por si só, seria capaz de eliminar. 

Para os casos de uso que exigem o mais alto nível de segurança da agência, ambientes abrangidos pelo CJIS, sistemas de aplicação da lei e funções que exigem hardware certificado pela FIPS, a RSA ofereceu a série RSA iShield Key 2: autenticadores de hardware certificados pela norma FIDO2 com certificação FIPS 140-3 Nível 3, que oferecem autenticação resistente a phishing e sem senha, em conformidade com a Ordem Executiva 14028, OMB M-22-09 e M-24-14. Nenhum outro fornecedor na avaliação conseguiu oferecer esse nível de garantia de hardware, aliado à amplitude de soluções híbridas proporcionada pela RSA. 

A solução

O envolvimento foi facilitado por meio de Tecnologia ThunderCat como revendedor da solução e Carahsoft Technology Corp como distribuidora, ambas trazendo uma vasta experiência em compras públicas para o programa. A RSA Professional Services disponibilizou um consultor residente dedicado, em meio período, por doze meses, integrado ao ambiente da agência, responsável pelo projeto, pela implementação e pela transferência de conhecimento ao longo de todo o processo. 

A implantação ocorreu em duas fases. Na primeira, o RSA ID Plus foi implantado em um modelo de nuvem híbrida, conectando a solução de autenticação RSA legada da agência à plataforma de nuvem da RSA por meio de Identity Routers integrados. Os tokens de hardware e software existentes foram mantidos sem necessidade de novo cadastro. O Microsoft Active Directory e o LDAP foram integrados como fontes de identidade. As políticas de autenticação foram estendidas ao Microsoft Entra e ao Microsoft 365 por meio de SAML e OIDC. Toda a gama de autenticadores modernos — notificação push, biometria, códigos QR e hardware certificado pelo FIDO2 e FIDO — foi habilitada em conjunto com o parque de tokens legados. A agência implantou seu primeiro portal de logon único (SSO).  

Na segunda fase, o RSA ID Plus Prime foi implementado na plataforma. O Portal de Autoatendimento do Prime substituiu o console legado do Authentication Manager, configurado para espelhar os fluxos de trabalho existentes, de modo que a transição exigiu um mínimo de reciclagem profissional. O Portal de Administração do Help Desk proporcionou à equipe de suporte uma interface dedicada, enquanto o RSA Help Desk Live Verify protegeu essas interações contra ataques de engenharia social. A estrutura de integração do Prime AMIS substituiu a geração manual de relatórios por recursos automatizados e em tempo real de API, fluxo de trabalho e auditoria. A verificação de identidade por meio do Portal de Verificação de Identidade do Prime, atuando como interface do Socure ID Proofing (a solução de verificação de identidade já utilizada pela agência), protegeu e otimizou os fluxos de trabalho de integração de novos usuários e recuperação de credenciais, sem exigir intervenção intensiva da equipe de TI junto aos usuários finais. 

Resultados e impacto nos negócios

A modernização gerou resultados em três dimensões: postura de segurança, eficiência operacional e preparação para a conformidade. 

Segurança e Conformidade 

  • Autenticação multifatorial (MFA) resistente a phishing em toda a empresa: A agência migrou da OTP tradicional para um conjunto completo de autenticadores resistentes a phishing, notificações push, biometria, códigos QR, FIDO2 e hardware certificado pela norma FIPS 140-3, gerenciado a partir de um único console em ambientes de nuvem, híbridos e locais. Isso atendeu às exigências do modelo Zero Trust e cumpriu os requisitos do CJIS para autenticação de alta segurança em sistemas de aplicação da lei.
  • Alinhamento entre o FedRAMP e o FIPS: A autorização FedRAMP do RSA ID Plus forneceu a base de conformidade federal exigida pela agência. Para casos de uso que exigem o mais alto nível de garantia, a certificação FIPS 140-3 Nível 3 do RSA iShield Key 2 atendeu aos requisitos da Ordem Executiva 14028 e da OMB M-22-09, sem que houvesse equivalente disponível no conjunto de ferramentas nativo do Microsoft. 
  • Risco de engenharia social no suporte técnico eliminado: O RSA Help Desk Live Verify eliminou o vetor de ataque ao serviço de suporte técnico ao substituir a verificação baseada em base de conhecimento por uma garantia de identidade bidirecional e sem senha, assegurando que nem os usuários nem a equipe de suporte possam ser vítimas de engenharia social que leve ao comprometimento de credenciais. 

Melhorias operacionais 

  • Redução no volume de chamadas ao suporte técnico: O Portal de Autoatendimento Prime permitiu que os usuários gerenciassem suas próprias credenciais, cadastrassem autenticadores e concluíssem o processo de integração sem a intervenção da equipe de TI. A agência espera reduzir em 2.500 o número de chamadas ao suporte técnico por mês relacionadas a solicitações de identidade.
  • Relatórios em tempo real e preparação para auditorias: A geração automatizada de relatórios por meio da estrutura Prime AMIS substituiu os processos manuais, proporcionando às equipes de conformidade visibilidade em tempo real sobre eventos de autenticação, o status do ciclo de vida dos tokens e a atividade dos usuários — aspectos essenciais para o cumprimento das obrigações de auditoria do CJIS em todas as entidades de aplicação da lei da agência. 
  • Modernização sem interrupções: Os 109.000 tokens de software e os 36.000 tokens de hardware da agência foram preservados e transferidos. Não foi necessário realizar um novo cadastro para os 145.000 usuários. O novo portal de autoatendimento foi configurado para espelhar os fluxos de trabalho existentes. Os usuários finais perceberam a transição como uma melhoria, e não como uma interrupção. 
  • Alta disponibilidade em grande escala: A arquitetura híbrida de alta disponibilidade garantiu resiliência em todas as rotas de autenticação — na nuvem, no local e no RADIUS — sem a necessidade de adicionar infraestrutura. 

Fortalecimento do ambiente Microsoft 

  • A RSA como a camada de segurança de que a Entra precisava: A RSA ID Plus ampliou a política de autenticação para o Microsoft 365, cargas de trabalho do Azure e sistemas locais por meio de uma única integração, adicionando a cobertura híbrida, a garantia de hardware e o nível de conformidade que o Microsoft Entra, por si só, não poderia oferecer. A integração do Método de Autenticação Externa (EAM) da RSA/Microsoft Entra manteve intacto o investimento existente no Microsoft, ao mesmo tempo em que elevou o nível de segurança em todo o ambiente combinado. 
  • Experiência unificada nas duas plataformas: O portal RSA My Page SSO oferecia aos usuários uma interface de autenticação padronizada, independentemente de sua carga de trabalho estar no Microsoft 365 ou em um sistema local. As políticas acompanhavam o usuário, independentemente do ambiente. 
Olhando para o futuro

A plataforma que a agência opera atualmente foi projetada para crescer. A arquitetura híbrida é capaz de incorporar novas agências, usuários e casos de uso sem a necessidade de reestruturação. Recursos como o FIDO2, a verificação de identidade e o hardware com certificação FIPS estão disponíveis para dar suporte às exigências de autenticação sem senha à medida que elas se estendem às entidades estaduais. A transferência de conhecimento incorporada ao longo da residência dos Serviços Profissionais da RSA garante que a própria equipe da agência possa operar e ampliar a plataforma de forma independente. 

Para uma organização do governo estadual que confiava na RSA há anos e precisava se modernizar sem ter que começar do zero, o caminho a seguir passava diretamente pela parceria que já mantinha e por um ambiente Microsoft que, graças a isso, está agora significativamente mais seguro. 

Parceiros de soluções

Este projeto foi realizado em parceria com TrovãoCem A Technology, uma das principais revendedoras de tecnologia para o setor público, e a Carahsoft Technology Corp, uma das maiores distribuidoras de TI para o governo dos Estados Unidos. TrovãoCem e a experiência da Carahsoft em lidar com os canais de compras estaduais e federais ajudou a garantir que esse programa de modernização fosse contratualizado de forma eficientee seu envolvimento contínuo no ecossistema da RSA apoia as iniciativas em andamento relacionadas à identidade no setor público em todo o país. 

Talvez você também se interesse por...

Solicite uma Demonstração

Obrigado por seu interesse na RSA.
Solicite uma Demonstração