O NIST lançou a Publicação Especial (SP) 800-207A – “Um modelo de arquitetura de confiança zero para controle de acesso em aplicativos nativos da nuvem em ambientes de vários locais”.
Os ambientes de aplicativos corporativos consistem em microsserviços distribuídos geograficamente e fracamente acoplados que abrangem vários ambientes locais e de nuvem. Usuários de diferentes locais os acessam por meio de diferentes dispositivos. Este cenário exige o estabelecimento de confiança em todas as entidades de acesso empresarial, fontes de dados e serviços de computação através de comunicação segura e validação de políticas de acesso.
Camada de infraestrutura empresarial para implantação uniforme de políticas
A arquitetura Zero Trust (ZTA) e os princípios sobre os quais ela é construída foram aceitos como o estado da prática para a obtenção das garantias de segurança necessárias, muitas vezes possibilitadas por uma infraestrutura integrada de serviços de aplicativos, como uma malha de serviços.
A ZTA só pode ser realizada através de uma estrutura política abrangente que governe dinamicamente a autenticação e autorização de todas as entidades através de avaliações de status (por exemplo, usuário, serviço e recurso solicitado). Esta orientação recomenda:
- A formulação de políticas de nível de rede e de nível de identidade
- A configuração de componentes tecnológicos que permitirão a implantação e aplicação de diferentes políticas (por exemplo, gateways, infraestrutura para identidades de serviço, módulos de autenticação e autorização que aplicam políticas)
- Uma estrutura de monitoramento abrangente que fornece cobertura para diversas tarefas, como observar o status de recursos e rastrear eventos (por exemplo, solicitações de acesso de usuários, alterações em diretórios corporativos)
- O uso de dados de telemetria para aumentar a segurança, ajustando os direitos de acesso e reforçando a autenticação progressiva.
FONTE: HELP NET SECURITY