A maioria das empresas entende que precisa migrar da Segurança Baseada em Perímetro para o modelo Zero Trust. Com a migração dos principais aplicativos de negócios para nuvem e o aumento do trabalho remoto, o modelo de Segurança baseado em perímetro se tornou ineficiente e legada.
O modelo de trabalho híbrido de hoje, em que funcionários estão em trânsito, trabalhando em casa, e visitando o escritório uma ou duas vezes por semana, forçou as equipes de rede e segurança a adotar uma abordagem mais flexível para gerenciar a redes, identidades e autenticação.
O Zero Trust Network Access (ZTNA) surgiu como a abordagem preferida para enfrentar os desafios de segurança atuais. O conceito é relativamente simples: em vez de construir uma defesa de perímetro em camadas de firewalls, IDS/IPs e software antivírus, Zero Trust assume que cada usuário ou dispositivo não é confiável até que sejam verificadas a postura, identidade, controles de acesso e segurança.
A implementação, no entanto, pode ser complexa. A maioria das empresas entende que, apesar da onda de fornecedores ofertando Zero Trust, os executivos de TI tem a visão que não é uma solução de prateleira e a implantação pode ser lenta dependendo da capacidade de entrega do fornecedor.
Zero Trust não é um produto, é um framework, ou seja, uma arquitetura, que pode assumir muitas formas e requer dependendo do fornecedor selecionado pode levar muito tempo e esforço para ser implementado com sucesso.
Abaixo uma lista de perguntas, para você fazer aos fornecedores sobre como eles podem ajudar sua empresa a adotar os princípios de Zero Trust.
1. Como posso aproveitar minha infraestrutura de rede e segurança existente como parte de uma transição para a ZTNA?
As empresas investiram quantias significativas de dinheiro ao longo dos anos em hardware e software de segurança e rede. Um dos principais desafios é fazer a transição para a ZTNA, aproveitando ao máximo a tecnologia existente.
Algumas Empresas, já possuem peças do quebra-cabeça da ZTNA, seja gerenciamento de identidade, controle de acesso, autenticação de dois fatores, segmentação de rede ou gerenciamento de políticas, mas poucos dominam todos os aspectos de Zero Trust de maneira abrangente, integrada, escalável e orientada por políticas.
2. Quais são as metas de negócios que a empresa deseja alcançar com Zero Trust e como o fornecedor pode ajudar a fazer isso acontecer?
Procure fornecedores que não iniciem discussões sobre Zero Trust falando sobre tecnologia, mas que comecem pedindo que você defina os desafios de negócios que você enfrenta e os benefícios que está buscando.
As metas podem incluir acesso remoto seguro para funcionários que trabalham em casa, proteger dados confidenciais no local e na nuvem ou aumentar a segurança de APIs para desenvolvedores de software.
As empresas precisam identificar como o fornecedor adaptará sua solução às necessidades de negócios de sua organização.
3. Qual é o plano para gerenciar a identidade e aplicá-la aos controles de segurança na rede corporativa?
Os fornecedores de ZTNA devem se alinhar com a necessidades dos clientes e reconhecer que a aplicação de controles de identidade em uma rede corporativa e mais fácil de falar, e difícil de fazer dependendo da solução escolhida. Por exemplo, algumas Empresas tem dificuldade em aplicar gerenciamento de identidade granular para acesso de funcionários a aplicativos da web.
Geralmente há muitos gaps e muitas soluções pontuais (como firewalls de aplicativos da Web) que tentam preencher esses gaps, mas estes não se integram o suficiente e entregam uma solução unificada para todos os casos de uso de identidade.
Do lado positivo, as organizações de segurança maduras e que tem recursos financeiros estão aproveitando as ferramentas de Security Orchestration, Automation and Response (SOAR) tools e Extended Detection and Response (XDR) para suavizar ao máximo as complexidades da integração.
4. Como o fornecedor nos ajudará a priorizar o que é importante, para gerar "Quick Wins" com Zero Trust e assim ter a confiança da equipe e da alta administração da Empresa?
Busque fornecedores que priorizem a experiência do usuário e que tornam Zero Trust um processo simples, ou os funcionários encontrarão uma maneira de contornar quaisquer novos controles de segurança.
Uma abordagem é implantar a autenticação baseada em certificados digitais e eliminar gradualmente o uso de nome de usuário e senhas, por exemplo, quando usuários acessam seus aplicativos em nuvem ou outros aplicativos voltados para a Internet e o fazem de sem a necessidade de senha e ou MFA, estes aceitam mais outras etapas de segurança de Zero Trust.
Portanto a alta administração perceberá os benefícios iniciais e será mais receptiva ao financiamento de projetos Zero Trust. Recomendamos que quando um Executivo de TI estiver explicando Zero Trust para a alta administração, é melhor simplificar. Resuma tudo em três resultados simples: (1) Zero Trust custará menos, (2) será mais fácil para os usuários e (3) melhorará a segurança geral.
5. Como podemos configurar controles de acesso granulares para cada usuário final?
Para implementar o ZTNA, as empresas precisam entender seus usuários finais. Quem deve fazer login e o que cada usuário deve ter permissão para fazer? Por exemplo, uma pessoa de contas a receber, só deve ter acesso a determinadas serviços.
“O ponto principal do Zero Trust é que as empresas não confiem até que o usuário seja suficientemente verificado”. As Empresas precisam ter a confiança de que, quem está tentando acessar, realmente é a pessoa que deve ter acesso aos dados, e que está fazendo, o que deveriam estar fazendo.
6. Como o fornecedor nos ajudará a entregar micro segmentação para que possamos diminuir a superfície de ataque e reduzir os gaps de rede?
A segmentação de rede existe há muito tempo, mas o Zero Trust leva o conceito um passo adiante para uma abordagem granular chamada micro segmentação.
Em uma rede Zero Trust, as empresas podem criar um segmento em torno de um único servidor(es), aplicativos e com acesso muito restrito. Por exemplo, tradicionalmente, o departamento de RH pode estar em seu próprio segmento de rede, mas com Zero Trust as aplicações de RH podem ter seu próprio micro segmento com regras Zero Trust definidas sobre o que pode e o que não pode fazer.
Sob uma abordagem de micro segmentação, um funcionário da folha de pagamento pode ter permissão para acessar o aplicativo de folha de pagamento, mas não a dados não correlacionados.
7. Qual é a "Breach Notification Policy" do fornecedor e este têm um plano de backup, se a plataforma principal de gerenciamento de identidade ficar inativa?
Os executivos das empresas podem não ter feito essa pergunta aos fornecedores há 10 anos, mas recente a violação da Okta (um grande fornecedor de identidade) fez com que Empresas passem a questionar como fornecedores respondem e agem em casos de um "Security breach".
Os clientes corporativos precisam considerar não apenas a falha pontual, mas pensar em ramificações amplas. As empresas precisam fazer as seguintes perguntas:
Quais sistemas e usuários foram expostos?
Houve movimento lateral que possa ter comprometido as nossas camadas de defesa?
Quais dados estavam acessíveis?
Qual é a estratégia de remediação?
É muito importante que as Empresas estejam prontas para quando ocorrer uma violação do seu sistema de identidade, um ataque a um país, ou violações comuns causadas por erros de usuários de funcionários.
Comments