Desde quando os usuários remotos começaram a se conectar através de dispositivos não gerenciados e com aplicativos de negócios na internet, se viu crescer a necessidade de implementar Zero Trust. Quando você não pode confiar na conexão, dispositivo ou rede, Zero Trust soa como uma ótima ideia. Mas nos últimos anos, houve muita confusão sobre o que o termo realmente significa.
Quando surgiu o conceito de Zero Trust? Em 2010, John Kindervag da Forrester Research publicou um artigo que popularizou o conceito de Zero Trust. No artigo, o Kindervag discutiu como o modelo de segurança de Zero Trust é construído em torno da ideia de que as empresas não devem confiar em qualquer tentativa de conexão com um sistema de negócios ou aplicativo e estás devem ser verificadas antes que qualquer acesso ao usuário seja concedido.
Em sua essência, o conceito é simples: Zero Trust = assume que tudo pode ser hostil ou uma ameaça. Embora isso pareça óbvio, a noção é antagônica para o modelo de segurança da rede corporativa. Desde o início da década de 1990, as empresas vêm construindo uma arquitetura de rede com um perímetro seguro usando controles baseados em endpoint, contando com endereços IP, portas e protocolos aprovados para validar aplicativos, dados e/ou usuários, que são então confiáveis para se comunicar dentro da rede.
Em contrapartida, a abordagem de Zero Trust trata todo o tráfego, incluindo o tráfego já dentro do perímetro, como hostil. A menos que os Aplicativos tenham sido identificados por um conjunto de atributos( impressão digital ou identidade de Aplicativo) estás não são confiáveis e bloqueadas de se comunicar. As políticas baseadas em identidade resultam em uma segurança mais forte, posi faz parte do Aplicativo e vai onde quer que este se comunique — em uma nuvem pública, um ambiente híbrido ou uma arquitetura de rede no local. Como a proteção é agnóstica ao ambiente, os aplicativos e/ou serviços são protegidos mesmo que se comuniquem em ambientes de rede, não exigindo alterações de arquitetura ou atualizações de políticas.
Um aspecto fundamental da Zero Trust é o privilégio de acesso limitado, isso significa que elimina a confiança excessiva que os usuários têm dentro de uma rede tradicional. Com uma abordagem de Zero Trust, o privilégio de acesso não é apenas aplicado antes de conceder acesso, mas também — quais serviços, dispositivos ou conexões — onde e quando, o que reduz consideravelmente os ataques, dando aos defensores um escopo mais estreito de foco.
O mito do modelo de Zero Trust para a segurança da rede
Zero Trust é um termo comumente usado e geralmente usado indevidamente na indústria de segurança, pois descreve o conceito da estratégia Zero Trust como uma solução para proteger as redes, porém Zero Trust move a segurança para fora da rede corporativa, focando em proteger usuários, aplicativos e workloads.
“Zero Trust está sendo mal utilizada como termo de marketing. Os fornecedores estão aplicando o termo 'Zero Trust' para comercializar tudo em segurança, criando uma confusão significativa no marketing.”
Fonte: Gartner, 2019
A Zero Trust é baseada em quatro princípios:
Acesso baseado em privilégio para todos usuários, dispositivos e Aplicativos, sendo estes são autenticados antes de conceder acesso e continuamente reautenticado e reautorizado com base no contexto
Micro segmentação para aplicações sem segmentação de rede
Aplicativos e rede permanecem invisíveis à internet aberta
A internet se torna a nova rede de transporte através de tuneis criptografados
Por que adotar um modelo de segurança de Zero Trust?
As redes de hoje são lugares inseguros e hospedam aplicativos e dados críticos para os negócios, tornando-os o local perfeito para ataques de cyber criminosos que querem roubar, destruir ou fazer refém dados confidenciais, exemplos: informações pessoais (PII), propriedade intelectual (IP) e informações financeiras. Embora nenhuma segurança seja perfeita e as violações de dados nunca sejam totalmente eliminadas, a estrategia Zero Trust reduz os ataques e limita o raio do dano, ou seja, o impacto e a gravidade de um ataque cibernético, o que reduz o tempo e o custo de responder e limpar após uma violação de dados.
Quatro benefícios da Zero Trust
1. Reduz o risco de negócios e organizações
A Zero Trust pressupõe que todos os aplicativos e serviços são maliciosos e são proibidos de se comunicar até que possam ser verificados os seus atributos de identidade e as propriedades imutáveis de softwares/serviços que atendam aos requisitos de autenticação e autorização predefinidos.
A Zero Trust, portanto, reduz o risco porque descobre o que está na rede e como esses ativos estão se comunicando. Além disso, à medida que os baselines são criadas, um modelo de Zero Trust reduz o risco, eliminando softwares e serviços não com baixa supervisão e verificando continuamente as "credenciais" de cada ativo de comunicação.
2. Fornece controle de acesso sobre ambientes de nuvem
Um dos maiores medos dos profissionais de segurança é o uso da nuvem devido a perda de visibilidade e controle de acesso. Apesar da evolução na segurança dos provedores de serviços em nuvem (CSP), a segurança da Aplicativo continua sendo uma responsabilidade compartilhada entre o CSP e a organização que usa a nuvem.
Com Zero Trust, as políticas de segurança são baseadas na identidade das aplicações e estão ligadas diretamente as próprias Aplicações. Dessa forma, a segurança permanece o mais próxima possível dos ativos que requerem proteção e não é afetada por construções de rede, como endereços IP, portas e protocolos. Como resultado, a proteção não só está no Aplicativo onde se tenta comunicar, mas permanece inalterada mesmo com as mudanças do ambiente.
3. Ajuda a reduzir o risco de roubo e violação de dados
Como o modelo de Zero Trust está focado nos aplicativos e workloads, é mais fácil para as equipes de segurança identificar e parar atividades maliciosas baseadas em dados. Uma estratégia Zero Trust sempre verifica e impede que Aplicativos não verificadas se comuniquem em qualquer lugar do sistema, e entre hosts, usuários, dados ou aplicativos (ou uma combinação disso).
Qualquer aplicativo ou serviço alterado, seja resultado de atividade irregular, uso indevido ou acidente, se torna automaticamente não confiável até que possa ser verificado novamente através de um conjunto de políticas e controles. Mesmo quando verificada e aprovada, a comunicação é restrita a uma base, em outras palavras, o acesso seguro é bloqueado apenas para os usuários, hosts ou serviços que precisam dele.
4. Iniciativas de Compliance
Com Zero Trust, os auditores (e outros) conseguem uma visão mais clara sobre quais dados fluem a organização e podem ver como as Aplicativos são protegidas. Zero Trust mitiga o número de lugares e maneiras pelas quais as comunicações de rede podem ser exploradas, resultando em menos resultados negativos de auditoria e remediação mais simples.
Além disso, com a segmentação Zero Trust (micro segmentação) implementada, as organizações têm a capacidade de criar perímetros em torno de certos tipos de dados confidenciais (por exemplo, dados de PCI ou cartão de crédito, backups de dados) usando controles finos que mantêm os dados regulados separados de outros dados não regulamentados. Quando chega a hora de uma auditoria, ou no caso de uma violação de dados, uma estratégia de segmentação de Zero Trust (micro segmentação) fornece visibilidade e controle superior sobre arquiteturas de rede planas que fornecem acesso superprivilegiado.
Comments