Desmistificando Zero Trust

Views: 381

Embora muitos fornecedores usem termos que incluem “confiança zero”, eles muitas vezes usam para significar coisas diferentes

A pandemia aumentou a necessidade de proteger trabalhadores remotos e híbridos, e um efeito colateral tem sido um aumento de interesse, hype e confusão em torno de conceitos de confiança zero. Os fornecedores foram rápidos em colocar para fora uma ampla gama de mensagens sobre confiança zero, o que levou a um monte de mal-entendidos sobre o que a confiança zero realmente é.

Um lugar neutro para começar é a Publicação Especial NIST 800-207, que diz que a confiança zero “não é uma única arquitetura, mas um conjunto de princípios orientadores para fluxo de trabalho, design de sistema e operações”. NIST refere-se a esses princípios como os “princípios” da confiança zero.

Em outras palavras, zero confiança não é simplesmente um produto. Se alguém diz que é, provavelmente não sabe do que está falando ou regaram seu marketing a ponto de torná-lo enganoso.

O Modelo e Princípios de Segurança de Confiança Zero

Zero confiança é um modelo de segurança cibernética baseado em uma premissa simples: por padrão, nada pode ser confiável até que se prove o contrário. O nome é baseado na postura de “negar padrão” para todos e tudo (zero confiança).

O modelo de confiança zero transforma o conceito de “confiança implícita” com base na localização da rede ou endereço IP em sua cabeça. Em vez disso, a confiança é avaliada por transação e explicitamente derivada de uma mistura de aspectos baseados em identidade e contexto.

O conceito de confiança zero surgiu porque a ideia de que “dentro da rede significa confiança” e “meios externos não confiáveis” não funciona mais porque concede confiança implícita excessiva. Uma vez que alguém ou algo esteja conectado, seja diretamente ou usando uma VPN, ele é confiável. Não é preciso muita imaginação para considerar o que um cibercriminoso pode fazer com acesso irrestrito a toda a rede.

Sem confiança, quando um usuário ou dispositivo solicita acesso a um recurso, ele deve ser verificado antes do acesso ser dado. A verificação é baseada na identidade dos usuários e dispositivos em conjunto com outros atributos e contexto, como hora e data, geolocalização e postura de segurança do dispositivo.

Após a verificação, o acesso é dado com base no princípio do menor privilégio, o que significa que o acesso é dado a esse recurso e nada mais. Por exemplo, se um usuário solicitar acesso a um aplicativo de folha de pagamento e for verificado, o acesso a esse aplicativo é o único acesso concedido pelo usuário; eles não podem ver mais nada em qualquer lugar da rede. A confiança também é continuamente reavaliada. Se os atributos do usuário ou do dispositivo mudarem, a verificação poderá ser revogada e o acesso removido.

Decifrando as siglas de confiança zero

Parte do mistério em torno de zero confiança diz respeito aos muitos termos que incluem essas duas palavras. Embora muitos fornecedores usem termos que incluem “confiança zero”, eles muitas vezes o usam para significar coisas diferentes. Não ajuda que os termos acesso à confiança zero (ZTA) e acesso à rede de confiança zero (ZTNA) sejam frequentemente usados de forma intercambiável.

Nenhum desses termos se aplica a um único produto. Eles descrevem o que uma coleção de produtos trabalhando juntos faz em termos de segurança. Aqui estão alguns nomes e siglas que você provavelmente verá e o que eles significam do ponto de vista prático.

• Acesso de confiança zero (ZTA) é sobre saber e controlar quem e o que está em sua rede. O controle de acesso baseado em função é um componente crítico do gerenciamento de acesso. O ZTA cobre pontos finais do usuário com uma política de menor acesso que concede aos usuários o nível mínimo de acesso à rede necessário para sua função.
• O acesso à rede de confiança zero (ZTNA) é uma forma de controlar o acesso aos aplicativos, independentemente de onde o usuário ou o aplicativo resida. E ao contrário de uma VPN, a ZTNA estende o modelo de confiança zero para além da rede e reduz a superfície de ataque escondendo aplicativos da internet.
• Zero trust edge (ZTE) é uma arquitetura descrita pela Forrester que converge de rede e segurança, mas não se limita à nuvem como o Secure Access Service Edge (SASE). Com base em princípios de confiança zero, ele começa no local com uma rede de área ampla definida por software (SD-WAN), firewalls e ZTNA. Ele termina na nuvem com roteamento, gateways web seguros e gateways de segurança na nuvem.

Uma vez que você tenha uma melhor compreensão do que os termos significam, você pode começar a investigar os tipos de produtos que você precisa para desenvolver uma estratégia arquitetônica e implementar projetos específicos.

Desenvolvendo uma Estratégia de Confiança Zero

Como a borda da rede está mais dinâmica e dispersa do que nunca, as organizações estão expostas a ameaças mais novas e avançadas. Os ambientes de borda podem incluir WAN, multi-nuvem, data center, Internet of Things (IoT) e espaços de trabalho domésticos e outros espaços de trabalho remotos. O Secure Access Service Edge (SASE) foi apontado como a melhor maneira de estender a segurança para além do data center tradicional. Este serviço entregue na nuvem combina funções de rede e segurança com recursos wan (wide area network, rede de áreas amplas) e muitas vezes inclui funções ZTNA. O problema com o SASE é que a segurança só é entregue usando a nuvem, o que não faz sentido para organizações com arquiteturas híbridas de TI onde o acesso é necessário tanto para recursos na nuvem quanto no local.

As organizações precisam adotar uma abordagem sistemática para substituir a confiança implícita para bordas de rede e usuários remotos com convergência consistente de rede e segurança em toda a organização. Ao contrário do SASE, a abordagem Forrester Zero Trust Edge inclui tanto no local quanto na nuvem com:

• Rede de área ampla definida por software (SD-WAN) para conectar com segurança a todos os ambientes.
• Um firewall de última geração (NGFW)
• Segurança fornecida pela nuvem para conectar com segurança usuários remotos.
• ZTNA para acesso seguro ao aplicativo

O Zero Trust Edge ajuda a garantir que todos e todos os lugares da rede permaneçam protegidos em ambientes híbridos de TI e é uma estratégia sólida de confiança zero para organizações que trabalham no local e na nuvem.

Implementação de Iniciativas de Confiança Zero

Como a confiança zero é mais uma mentalidade, não um produto específico, você pode aumentar a segurança através de abordagens e estruturas de segurança de confiança zero de várias maneiras. Por exemplo, você pode querer alocar orçamento para projetos específicos como:

• Microsegmentação de rede, para que cada dispositivo seja atribuído a uma zona de rede apropriada. A atribuição pode ser baseada em vários fatores, como tipo de dispositivo, função e finalidade dentro da rede. As soluções SASE baseadas em nuvem têm dificuldade em fornecer esse nível de controle on-prem.
• Identidade do usuário com uma “política de menor acesso” usando serviços de autenticação, autorização e conta (AAA), gerenciamento de acesso e sso único (SSO) para identificar e aplicar políticas de acesso adequadas aos usuários com base em seu papel dentro da organização.
• ZTNA usando uma solução ZTNA iniciada pelo cliente com firewall, que funciona se os usuários estão acessando recursos baseados em nuvem ou no local. É importante que as políticas ZTNA sejam universais e não apenas para trabalhadores remotos. A migração de uma VPN pode ser simplificada se você tiver o mesmo agente tanto para VPN quanto ZTNA.

Ao contrário do que alguns fornecedores podem implicar, zero confiança não é um projeto do tipo “um e feito”. É uma jornada para melhorar sua postura geral de segurança usando princípios de confiança zero.

Zero Confiança em todos os lugares

No nível mais básico, o modelo de segurança de confiança zero é simples. Não assuma que ninguém ou qualquer coisa que tenha tido acesso à rede possa ser confiável. A parte difícil é descobrir a tecnologia para fazer isso acontecer. Ele requer vários produtos, por isso é importante dar um passo atrás e olhar para o quadro geral em vez de tentar jogar um monte de produtos de ponto potencialmente incompatíveis no problema.

Você já pode ter alguns elementos de confiança zero no lugar, como a autenticação multifatorial que estão funcionando bem. Se você está pesquisando opções e fica confuso, consulte os princípios descritos em fontes neutras como o relatório NIST. E lembre-se que se algo soa muito fácil ou bom demais para ser verdade, provavelmente é.

FONTE: SECURITY WEEK