Vamos entender melhor sobre esse termo
A Zero Trust não é um produto ou serviço, e certamente não é apenas uma palavra da moda. Pelo contrário, é uma abordagem específica à segurança cibernética. Significa exatamente o que diz – não “verificar e confiar”, mas “nunca confie e sempre verifique”.
De forma geral, a zero trust é sobre proteger os dados limitando o acesso a eles. Uma organização possivelmente não confiará em ninguém ou em nada, dentro ou fora do perímetro da rede. Em vez disso, a abordagem de zero trust requer verificação para todas as pessoas, dispositivos, contas etc. que tentam se conectar aos aplicativos ou sistemas da organização antes de conceder acesso.
Mas os sistemas de segurança cibernética já não foram projetados para fazer isso? A zero trust é simplesmente segurança cibernética com alguns controles adicionais?
Good question. As estruturas de zero trust certamente incluem muitas tecnologias que já são amplamente usadas pelas organizações para proteger seus dados. No entanto, a zero trust representa um ponto crucial em como pensar sobre a defesa da segurança cibernética: em vez de defender apenas um único perímetro em toda a empresa, essa abordagem move esse perímetro para todas as redes, sistemas, usuários e dispositivos dentro e fora da organização. Esse movimento é possibilitado por identidades fortes, autenticação multifatorial, terminais confiáveis, segmentação de rede, controles de acesso e atribuição de usuários para compartimentar e regular o acesso a dados e sistemas confidenciais.
Em suma, a zero trust é uma nova maneira de pensar sobre segurança cibernética para ajudar as organizações a protegerem seus dados, clientes e sua própria vantagem competitiva no cenário de ameaças que temos hoje.
Por que agora é o momento de zero trust na segurança cibernética?
Os executivos corporativos estão sentindo a pressão para proteger os sistemas e dados corporativos. Investidores e “titulares de dados” – clientes e consumidores – também estão insistindo em uma melhor segurança de dados. Os problemas de segurança ficam ainda mais complicados quando alguns dados e aplicativos estão no local e outros estão na nuvem, e todos, de funcionários a contratados e parceiros, estão acessando esses aplicativos usando uma variedade de dispositivos de vários locais. Ao mesmo tempo, as regulamentações governamentais e do setor estão aumentando os requisitos para proteger dados importantes, e a zero trust pode ajudar a demonstrar conformidade com essas regulamentações.
Tecnologias de segurança cibernética sem confiança
Felizmente, a tecnologia que suporta zero trust está avançando rapidamente, tornando a abordagem mais prática para implantar hoje. Não existe uma abordagem única para implementar uma estrutura de segurança cibernética de confiança zero e nem existe uma única tecnologia. Em vez disso, as peças de tecnologia se encaixam para garantir que apenas usuários e dispositivos autenticados com segurança tenham acesso aos aplicativos e dados de destino.
Por exemplo, o acesso é concedido com base no princípio de “menor privilégio” – fornecendo aos usuários apenas os dados necessários para realizar seu trabalho, quando o estão fazendo. Isso inclui a implementação de privilégios de expiração e credenciais de uso único que são revogadas automaticamente após o acesso não ser necessário. Além disso, o tráfego é inspecionado e registrado continuamente e o acesso é limitado a perímetros para ajudar a impedir o movimento lateral não autorizado de dados entre sistemas e redes.
Uma estrutura de confiança zero usa várias tecnologias de segurança para aumentar a granularidade do acesso a dados e sistemas confidenciais. Exemplos incluem gerenciamento de identidade e acesso (IAM), controle de acesso baseado em função (RBAC), controle de acesso à rede (NAC), autenticação multifator (MFA), criptografia, mecanismos de aplicação de políticas, orquestração de políticas, registro em log, análises e permissões de pontuação e sistema de arquivos.
Igualmente importante, os padrões e protocolos de tecnologia estão disponíveis para apoiar a abordagem de confiança zero. A Cloud Security Alliance (CSA) desenvolveu uma estrutura de segurança chamada SDP (perímetro definido por software) que foi usada em algumas implementações de confiança zero. A IETF (Internet Engineering Task Force) fez sua contribuição para os modelos de segurança de confiança zero, sancionando o Host Identity Protocol (HIP), que representa uma nova camada de rede de segurança na pilha OSI. Inúmeros fornecedores estão desenvolvendo esses avanços técnicos para trazer soluções de zero trust ao mercado.
Com base nessas tecnologias, padrões e protocolos, as organizações podem usar três abordagens diferentes para implementar a segurança de confiança zero:
1. Microssegmentação de rede, com redes gravadas em pequenos nós granulares até uma única máquina ou aplicativo. Protocolos de segurança e modelos de prestação de serviços são projetados para cada segmento exclusivo.
2. SDP, com base em uma estratégia de necessidade de conhecimento, na qual a postura e a identidade do dispositivo são verificadas antes do acesso à infraestrutura do aplicativo.
3. Zero proxies de confiança que funcionam como uma retransmissão entre cliente e servidor, ajudando a impedir que um invasor invada uma rede privada.
Qual abordagem é melhor para uma determinada situação depende de quais aplicativos estão sendo protegidos, qual infraestrutura existe atualmente, se a implementação é greenfield ou engloba ambientes legados e outros fatores.
Adotando confiança zero em TI: cinco etapas para criar um ambiente de trust zero
Construir uma estrutura de zero trust não significa necessariamente uma transformação tecnológica completa. Ao usar essa abordagem passo a passo, as organizações podem prosseguir de maneira controlada e iterativa, ajudando a garantir os melhores resultados com um mínimo de interrupção para os usuários e operações.
1. Defina a superfície protegida – com a zero trust, você não focaliza sua superfície de ataque, mas apenas sua superfície de proteção – os dados, aplicativos, ativos e serviços críticos (DAAS) mais valiosos para sua empresa. Exemplos de uma superfície de proteção incluem informações de cartão de crédito, informações de saúde protegidas (PHI), informações de identificação pessoal (PII), propriedade intelectual (IP), aplicativos (software personalizado ou pronto para uso); ativos como controles SCADA, terminais de ponto de venda, equipamentos médicos, ativos de fabricação e dispositivos de IoT; bem como serviços como DNS, DHCP e Active Directory.
Uma vez definida a superfície de proteção, você pode mover seus controles o mais próximo possível dela, permitindo criar um micro-perímetro (ou micro-perímetros compartimentados) com declarações de política limitadas, precisas e compreensíveis.
2. Mapear fluxos de transações – A maneira como o tráfego se move através de uma rede determina como deve ser protegido. Portanto, você precisa obter informações contextuais sobre as interdependências do seu DAAS. A documentação de como os recursos específicos interagem permite aplicar adequadamente os controles e fornece um contexto valioso para ajudar a garantir a segurança cibernética ideal com o mínimo de interrupção para os usuários e as operações comerciais.
3. Planeje sua rede de TI de confiança zero – As redes de zero trust são completamente personalizadas, não derivadas de um único design universal. Em vez disso, a arquitetura é construída em torno da superfície de proteção. Depois de definir a superfície de proteção e mapear os fluxos em relação às necessidades de seus negócios, é possível mapear a arquitetura de zero trust, começando com um firewall de próxima geração. O firewall de última geração atua como um gateway de segmentação, criando um micro-perímetro ao redor da superfície de proteção. Com um gateway de segmentação, você pode aplicar camadas adicionais de inspeção e controle de acesso, até a Camada 7, para qualquer coisa que tente acessar recursos na superfície de proteção.
4. Crie suas políticas de segurança da zero trust – Depois que a rede estiver arquitetada, você precisará criar políticas de confiança zero que determinam o acesso. Você precisa saber quem são seus usuários, quais aplicativos eles precisam acessar, por que eles precisam acessar, como eles tendem a se conectar a esses aplicativos e quais controles podem ser usados para proteger este acesso.
Com esse nível de aplicação granular de política, você pode ter certeza de que apenas o tráfego permitido conhecido ou a comunicação legítima de aplicativos é permitida.
5. Monitorar e manter redes – Esta etapa final inclui a revisão de todos os logs, internos e externos, e o foco nos aspectos operacionais da zero trust. Como a zero trust é um processo interativo, a inspeção e o registro de todo o tráfego fornecerão informações valiosas sobre como melhorar a rede ao longo do tempo.
Considerações adicionais e melhores práticas
Para organizações que pensam em adotar um modelo de segurança de zero trust, aqui estão algumas práticas recomendadas para ajudar a garantir o sucesso:
Certifique-se de ter a estratégia correta antes de escolher uma arquitetura ou tecnologia. A zero trust é centrada nos dados, portanto, é importante pensar onde estão esses dados, quem precisa ter acesso a eles e qual abordagem pode ser usada para protegê-los. A Forrester sugere dividir os dados em três categorias ─ Público, Interno e Confidencial ─ com “pedaços” de dados que possuem seus próprios micro-perímetros.
Comece pequeno para ganhar experiência. A escala e o escopo da implementação de zero trust para uma empresa inteira podem ser impressionantes. Como exemplo, o Google levou sete anos para implementar seu próprio projeto conhecido como BeyondCorp.
Considere a experiência do usuário. Uma estrutura da zero trust não precisa prejudicar os processos normais de trabalho dos funcionários, mesmo que eles (e seus dispositivos) estejam sendo examinados para verificação de acesso. Alguns desses processos podem estar em segundo plano, onde os usuários não os veem.
Implemente medidas fortes para autenticação de usuário e dispositivo. A base da zero trust é que ninguém e nenhum dispositivo podem ser confiáveis até que seja completamente verificado como tendo o direito de acessar um recurso. Portanto, um sistema IAM para toda a empresa baseado em identidades fortes, autenticação rigorosa e permissões não persistentes é um elemento essencial para uma estrutura da zero trust.
Incorpore uma estrutura de confiança zero em projetos de transformação digital. Ao redesenhar os processos de trabalho, você também pode transformar seu modelo de segurança.
Nunca houve um momento melhor do que agora para adotar modelos de segurança da zero trust. As tecnologias amadureceram, os protocolos e padrões foram definidos e a necessidade de uma nova abordagem de segurança não pode ser ignorada.
A Pasquali Solution é uma empresa B2B com core business em alocação de profissionais de TI. Entre em contato conosco e entenda como podemos te ajudar a fazer seu negócios crescer de forma exponencial.
Assine nossa newsletter e fique por dentro do que acontece no mundo dos negócios e entretenimento.
