O que é acesso à rede Zero Trust (ZTNA)?

O modelo de confiança zero descreve o princípio de segurança de “nunca confie, sempre verifique”. O Acesso à Rede Zero Trust (ZTNA) é uma forma de implementar este modelo de segurança nos pontos de acesso de uma empresa. Na prática, isso se baseia no Princípio do Privilégio Mínimo (PoLP), que diz que os usuários devem ter acesso apenas aos recursos de que necessitam para o trabalho diário.

Relatório Forrester Wave Zero Trust Resumo da solução ZTNA

O que é acesso à rede Zero Trust (ZTNA)?

Como funciona o ZTNA?

Confiança zero tem como objetivo erradicar a confiança herdada de uma forma que não prejudique as experiências do usuário ou a produtividade.

Isso é feito permitindo que os usuários acessem apenas os recursos exigidos por sua função, e todas as solicitações de acesso são rigorosamente e repetidamente verificadas. O Princípio do Privilégio Mínimo (PoLP) é fundamental para a ZTNA: o acesso e as permissões do usuário são concedidos apenas ao que você precisa para desempenhar seu trabalho. 

Por exemplo, usuários remotos do departamento de vendas podem receber permissões somente de leitura para dados de clientes no Salesforce, mas não podem interagir com a base de código no GitHub.

O Universal PoLP exigiria a configuração oposta para a equipe DevOps .

Simplificar isso em toda a organização exige uma compreensão completa do que cada conta requer. Esse princípio também se aplica a recursos não humanos, como:

  • Sistemas
  • Aplicativos
  • Dispositivos
  • Processos

Ao atribuir a esses recursos apenas as permissões necessárias para as atividades autorizadas, os direitos de acesso são efetivamente minimizados e controlados. Essa é também a diferença entre ZTNA e VPN:

  • VPNs basta estabelecer um túnel criptografado entre o servidor VPN da empresa e o cliente no dispositivo, independentemente do comportamento da conta subjacente.
  • O ZTNA leva em consideração o status de segurança do dispositivo antes de conceder acesso ao recurso individual.

Isso também é diferente: em vez de conceder acesso à totalidade de uma rede conectada, o ZTNA fornece acesso isolado apenas ao recurso solicitado.

Como implementar o acesso à rede Zero Trust

Do ponto de vista de um CISO, é vital equilibrar a verificação de alta segurança com a garantia de que a experiência do cliente e do usuário seja mantida. O objetivo final da segurança ZTNA é que cada solicitação de acesso seja cuidadosamente avaliada em relação às políticas de acesso estabelecidas; Isso deve verificar fatores como:

 

  • O estado atual das credenciais do usuário.
  • Verificar se a postura do dispositivo atende aos padrões de segurança da empresa.
  • O aplicativo ou serviço específico que está sendo solicitado.

Passo 1: Entenda Quem é Quem

O Zero Trust exige que você saiba quem está acessando o quê. O primeiro passo de qualquer implementação zero trust é focado em estabelecer uma imagem clara dos usuários, dispositivos e cargas de trabalho que compõem sua rede corporativa.

Para atingir esse objetivo, muitas organizações optam por um provedor de identidade corporativa. 

Isso permite que todos os funcionários, clientes e contratados sejam integrados ao ecossistema de segurança e contabilizados individualmente. Isso também estabelece as bases para um método consistente de aplicação da autenticação. Embora isso proporcione visibilidade detalhada para os usuários, não garante o inventário de todos os serviços que se comunicam em uma rede.

Isso pode ser feito por meio de varredura de rede, seja internamente ou por meio de uma ferramenta de gerenciamento de ativos de terceiros. Com esse nível de granularidade, torna-se possível identificar sua superfície de ataque. Nas etapas a seguir, garanta que você priorize os ativos digitais mais valiosos.

A abordagem DAAS abaixo divide-se em quatro etapas:

  1. Dados: O que precisa ser protegido?
  2. Aplicativos: Quais aplicativos lidam com informações sensíveis?
  3. Ativos: Quais são seus ativos mais importantes?
  4. Serviços: Quais serviços um agente malicioso poderia atacar para interromper as operações normais de TI?

Etapa 2: Aproveite os controles de rede seguros

Uma estrutura de confiança zero só concede acesso aos usuários de acordo com as Políticas de Privacidade (PoLP). Essencialmente, todos os outros usuários ficam isolados das vastas áreas da rede às quais não têm acesso.

Então, como você bloqueia todo o acesso de entrada desnecessário? 

Check Point SASE achieves this by establishing a secure gateway: all access requests are filtered via this gateway, which first establishes the role of the user and the associated resources they have access to. All unauthorized devices are automatically prevented from gaining access, and the individual nature of each connection means that no device has visibility into other ongoing connections.

A implementação desse protocolo de conexão segura varia um pouco dependendo do aplicativo que está sendo protegido. Existem dois tipos principais de aplicativos:

  • Auto-hospedado. O túnel de confiança zero do gateway SASE pode ser estabelecido entre o aplicativo e a camada de políticas do firewall.
  • SaaS. O acesso ao SaaS pode ser regulamentado por meio de listas de permissão de endereços IP: isso significa que sua solução SaaS só poderá aceitar solicitações originadas do gateway SASE verificado.

Etapa 3: Implementar a proteção NGFW

Com um método de acesso seguro estabelecido, é hora de definir quem tem acesso a quê.

Seja auto-hospedada ou baseada em SaaS, todas as solicitações de rede são roteadas por meio de um firewall de próxima geração. O NGFW pode empregar Inspeção de HTTPS e decodificação TLS para examinar cada pacote de dados. Além disso, a inspeção com estado permite que o comportamento do usuário e do dispositivo seja examinado antes que o acesso seja concedido.

Com essas ferramentas em mãos, o ZTNA pode ser alcançado!

A partir daí, é importante iterar continuamente: ficar de olho nos registros do firewall ajuda a determinar se as políticas de acesso estão bem equilibradas. Uma lente de inteligência de ameaças voltada para o exterior pode refiná-la ainda mais, mas essa está se tornando uma lista de tarefas cada vez mais exigente.

Por isso, uma solução Secure Access Service Edge (SASE) pode oferecer a maneira mais eficiente de implementar o ZTNA e inovar com base nele dentro da sua organização.

Benefícios do ZTNA

A ZTNA permite que as organizações implementem um modelo de segurança de confiança zero em seus ecossistemas de rede. Isso pode ser aplicado a vários casos de uso e melhora a postura de segurança da organização.

  • Acesso remoto seguro

Na esteira da COVID-19, a maioria das organizações mudou para uma força de trabalho maioritariamente ou totalmente remota. Muitas empresas estão usando redes privadas virtuais (VPNs) para dar suporte a isso. No entanto, as VPNs têm uma série de limitações, incluindo escalabilidade e falta de segurança integrada.

Um dos maiores problemas das VPNs é que elas concedem a um usuário autenticado acesso completo à rede, o que aumenta a exposição da empresa a ameaças cibernéticas. O ZTNA, implementado como parte de uma solução WAN definida por software (SD-WAN) ou Secure Access Service Edge  (SASE), oferece a capacidade de integrar o ZTNA em uma solução de acesso remoto, reduzindo o acesso dos trabalhadores remotos à rede apenas ao que eles desejam. necessitam para seus empregos.

  • Acesso seguro à nuvem

A maioria das organizações está adotando a computação em nuvem e muitas empresas possuem diversas plataformas em nuvem. Para reduzir a superfície de ataque, as organizações precisam limitar o acesso a esses recursos baseados na nuvem.

ZTNA permite que uma organização limite o acesso a seus ambientes de nuvem e aplicativos com base nas necessidades de negócios. Cada usuário e aplicativo pode receber uma função na solução ZTNA com os direitos e permissões apropriados associados à infraestrutura baseada em nuvem da organização.

  • Risco minimizado de comprometimento da conta

O comprometimento de contas é um objetivo comum dos cibercriminosos. Um invasor tentará roubar ou adivinhar as credenciais da conta de um usuário e usá-las para autenticar-se como usuário nos sistemas da organização. Isso fornece ao invasor o mesmo nível de acesso que o usuário legítimo.

A implementação do ZTNA ajuda a minimizar esse nível de acesso e os danos que um invasor pode causar ao usar uma conta comprometida. A capacidade do invasor de se mover lateralmente pelo ecossistema de uma organização é limitada pelos direitos e permissões atribuídos à conta de usuário comprometida.

Choose Full-Enterprise Zero Trust with Check Point SASE

Sua rede não é a única superfície que precisa aderir aos princípios de confiança zero.

Os canais de comunicação e os endpoints exigem proteção contínua e permanente – e o princípio do Zero Trust pode ser aplicado a todos.

Check Point’s Check Point SASE goes one step further with a full-mesh network architecture that provides zero trust protection across every access point, for every user. Identity-centric security policies combine the real-term resource requirements of every team, with continuous verification to identify and stop suspicious behavior.

Discover how Check Point SASE grants zero-trust protection, in-depth reporting, and high performance with a demo today.