Como implementar confiança zero

Zero Trust é um termo cada vez mais comum no setor de segurança. Trata-se tanto de uma mentalidade para pensar em segurança quanto de uma solução bem arquitetada que ajuda a minimizar os riscos de um ambiente de trabalho em constante mudança e de um mundo cada vez mais hostil.

A confiança zero é uma abordagem e um modelo ativos que integram a análise e a verificação contínuas e conscientes do contexto da confiança, em um esforço para ajudar a garantir que os usuários e os dispositivos em uma rede não estejam fazendo nada malicioso.

 

Get the Miercom Zero Trust Platform Assessment 2024 Obtenha o relatório Forrester Zero Trust Wave

Como funciona a confiança zero

A ideia básica por trás da confiança zero é a suposição de que todos os dispositivos e usuários não são confiáveis até que se prove o contrário. Mesmo depois de um usuário ou entidade ser comprovadamente confiável uma vez, os modelos de confiança zero não confiam, por padrão, no mesmo usuário ou dispositivo na próxima vez em que ele for visto pelo sistema. A confiança no modelo de confiança zero nunca é dada como certa, mas baseia-se na observação e na autenticação regular para ajudar a limitar os riscos.

 

O conceito de confiança zero é muitas vezes associado ao Software Defined Perimeter (SDP), que é um esforço que começou a se desenvolver originalmente sob os auspícios da Cloud Security Alliance (CSA).

 

No modelo geral de SDP, há um controlador que define as políticas pelas quais os agentes podem se conectar e obter acesso a diferentes recursos. O componente de gateway ajuda a direcionar o tráfego para o data center ou recursos de nuvem certos. Dispositivos e serviços usam um agente SDP que conecta e solicita acesso do controlador aos recursos. Ao longo do caminho, verificações de integridade do dispositivo, perfis de usuário, incluindo dados comportamentais e mecanismos de autenticação multifatorial, estão envolvidos para validar a postura de segurança.

 

O modelo de confiança zero diz que, em cada estágio de uma conexão de agente ou host, deve haver um limite de segurança que valide que uma solicitação é autenticada e autorizada a prosseguir. Em vez de confiar em uma confiança implícita após o fornecimento do nome de usuário e da senha corretos ou do token de acesso, com confiança zero, por definição, tudo não é confiável e precisa ser verificado antes de fornecer acesso.

Desafios da implantação do Zero Trust

A confiança zero é uma ótima ideia para ajudar as organizações a reduzir a superfície de ataque e limitar os riscos, mas não é isenta de complexidade e desafios de implementação.

  • Requisitos do dispositivo

Um desafio importante com algumas implementações de confiança do SDP zero é que elas são baseadas em abordagens de implementação no local, com uma necessidade de certificados de dispositivo e suporte para o protocolo 802,1x para o Network Access Control (NAC) baseado em portal.

  • SUPORTE NA NUVEM

Oferecer suporte completo, de ponta a ponta, em várias implantações locais e na nuvem pública geralmente pode ser uma tarefa tediosa e demorada.

  • Confiar

Embora possa parecer um nome impróprio, muitas vezes há necessidade de as organizações confiarem em uma solução de confiança zero, uma vez que tendem a haver requisitos de terminação de criptografia de dados.

  • Não é apenas mais uma ferramenta de segurança

Normalmente, uma organização já terá várias ferramentas de segurança implementadas, incluindo VPNs e firewalls. Como um provedor de soluções de confiança zero é capaz de navegar nesse campo minado é muitas vezes um desafio fundamental.

  • Desafios da implantação

A implantação de uma solução de confiança zero geralmente depende da facilidade de configuração

Considerações de implantação de confiança zero

Os modelos de confiança zero funcionam como sobreposições em cima das topologias de rede e aplicativos existentes. Por isso, ter um plano de dados ágil que possa gerenciar uma rede distribuída é uma consideração fundamental.

 

O esforço necessário para instalar os certificados e binários do dispositivo em um sistema de usuário final geralmente é agravado por vários desafios, incluindo demandas de tempo e recursos. Usar uma solução sem agente é uma consideração importante, pois pode fazer toda a diferença entre ter uma solução e ter uma solução que possa realmente ser implementada rapidamente em um ambiente de produção.

 

Considere ferramentas de confiança zero com um modelo de segurança baseado em host. No mundo moderno, muitos aplicativos são fornecidos pela Web e a adoção de uma abordagem baseada em host se alinha a esse modelo. Em um modelo baseado em host para confiança zero, o sistema validou que um determinado sistema de usuário final está devidamente autorizado a receber um token de acesso para um recurso específico.

 

Entender como a criptografia funciona no modelo de confiança zero também é importante. Uma opção é aplicar a criptografia de ponta a ponta em uma implantação de confiança zero.

Como implantar o Zero Trust na nuvem

O método básico de SDP é bem definido para a implantação de zero modelos de confiança no local. Quando se trata da nuvem, ela pode se tornar mais complexa. Diferentes provedores de nuvem têm sistemas diferentes, adicionando complexidade potencial a qualquer tipo de implementação.

 

Para agravar a complexidade está a tendência crescente para implantações multinuvem. Além dos desafios da implementação em um único provedor de nuvem pública, há a complexidade de ter um modelo de confiança zero que é implementável e executável em vários provedores de nuvem pública.

 

Uma das maneiras de implantar confiança zero em uma implantação multinuvem é aproveitar a plataforma de orquestração de contêineres Kubernetes de código aberto. A Kubernetes é compatível com todos os principais provedores de nuvem pública, incluindo Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP). Com o Kubernetes, há um plano de controle para gerenciar nós distribuídos de aplicativos executados em contêineres docker.

 

Usar um contêiner docker como método para empacotar e implementar um aplicativo para permitir a confiança zero é uma abordagem que reduz ainda mais a complexidade. Em vez de precisar de binários de aplicativos diferentes para sistemas diferentes, ao usar uma abordagem nativa da nuvem com um sistema baseado em Kubernetes, é possível abstrair a complexidade subjacente do mundo de várias nuvens.

 

A nuvem também não é uma construção uniforme, pois todos os provedores de nuvem pública têm várias regiões e zonas geográficas em todo o mundo. O objetivo das diferentes implementações é garantir que os recursos estejam disponíveis o mais próximo possível do usuário final. Ao implementar um modelo de confiança zero na nuvem, escolha uma solução com vários pontos de presença em todo o mundo para ajudar a garantir que haja a menor latência de rede possível.

Por que a implantação do Zero Trust vale a pena o esforço

Os recursos de TI são sempre restritos e poucas organizações, ou nenhuma, têm o orçamento necessário para fazer todas as coisas necessárias. Adicionar outra camada de segurança com confiança zero às vezes pode ser visto como mais uma parte da complexidade que exigirá tempo e demandas adicionais dos preciosos recursos de um departamento de TI.

 

A confiança zero, no entanto, tem o potencial de quando implantada corretamente reduzir as demandas sobre a equipe de TI sobrecarregada.

 

Em um ambiente de rede não baseado em confiança zero, o nome de usuário e a senha costumam ser os principais guardiões do acesso, juntamente com a tecnologia básica de gerenciamento de identidade e acesso baseada em diretório (Active Directory ou outro). O firewall e o sistema de proteção contra intrusões (IPS) também são comumente implementados para ajudar a melhorar a segurança.

 

No entanto, o que nenhum desses sistemas realmente faz é validar continuamente o estado de uma determinada solicitação de acesso. Se e quando algo der errado, se uma credencial for perdida ou roubada, a equipe de TI precisará de mais tempo e esforço para localizar a causa raiz e corrigi-la.

 

Em um ambiente de confiança zero devidamente configurado e implementado, todo o acesso é validado. Isso significa que, em vez de a equipe de TI precisar descobrir que uma credencial foi usada indevidamente e que um sistema foi violado, a rede de confiança zero sempre começa com a suposição de acesso zero. O acesso só é concedido mediante validação. Zero trust significa uma superfície de ataque reduzida, o que normalmente se traduz em um risco reduzido.

 

Isso também significa menos horas gastas pelo departamento de TI para saber se uma conta foi violada e para vasculhar os registros para descobrir o que aconteceu. Com a confiança zero, o acesso simplesmente nunca é concedido a uma máquina comprometida e o possível movimento lateral de um adversário em uma rede é restrito.

Lista de verificação para implantação do Zero Trust

Ao considerar como implementar uma solução de confiança zero, tenha em mente essas perguntas simples.

  • Facilidade de implantação: Com que rapidez o senhor consegue colocar um sistema em funcionamento? O provedor força o senhor a mudar seu ambiente para se adequar à solução dele? (por exemplo, abrindo portas no firewall)
  • Suporte a várias nuvens: A solução zero trust permite facilmente o suporte em vários provedores de nuvem pública? O senhor pode proteger efetivamente as cargas de trabalho em mais de uma nuvem?
  • criptografia: Como a solução zero trust lida com a criptografia e mantém os dados seguros? Onde as chaves de criptografia são armazenadas e o senhor pode trazer suas próprias chaves?
  • Escalabilidade: qual é a escalabilidade da arquitetura zero trust? Ele atende às demandas de suas cargas de trabalho?
  • Segurança: Quais medidas de segurança estão sendo aplicadas pelo provedor de soluções? Ele mantém um ciclo de segurança simplificado? Ele pode fornecer camadas de segurança adicionais, como proteção contra DDoS no nível de acesso ao aplicativo, ou requer o uso de mecanismos de terceiros?
  • Visibilidade: A solução pode fornecer inspeção de tráfego subjacente para conteúdo, DLP e comportamento malicioso/anormal?
  • Serviço e suporte: O fornecedor da solução zero trust estará presente para ajudar a solucionar quaisquer problemas?
  • Valor: A solução oferece valor adicional? Entenda como e onde a solução zero trust oferece valor, recursos e redução de riscos além do que as ferramentas de segurança existentes já oferecem.

Iniciar

Conexão CloudGuard

Segurança SD-WAN

Segurança SASE

Tópicos relacionados

O que é SASE

Benefícios do SD-WAN

O que é Zero Trust?

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK