Arquitetura Zero Trust explicada
A infraestrutura de rede atual tornou-se muito fluida, estendendo-se à nuvem – SaaS, IaaS e PaaS. Além disso, um número crescente de dispositivos e utilizadores dispersos enquadra-se em categorias como dispositivos gerenciados pelo usuário (BYOD) , IoT e trabalhadores remotos. A abordagem tradicional à segurança faz menos sentido em ambientes tão diversificados e distribuídos. Um dos principais pontos fracos da abordagem convencional à segurança é que ela pressupõe que tudo dentro da rede de uma organização é confiável.
Uma implicação desta suposição é que ela nos mantém cegos às ameaças que entram na rede, que são então deixadas para vagar e atacar a rede onde quer que escolham livremente. Para superar esta deficiência, as organizações devem adoptar uma nova abordagem para proteger a infra-estrutura de rede moderna. Esta nova abordagem é chamadaArquitetura Zero Trust (ZTA).
O que é Arquitetura Zero Trust (ZTA)?
Zero Trust Architecture (ZTA), também conhecida como Zero Trust Security Model ou Zero Trust Network Access (ZTNA), é uma mudança na abordagem de segurança em queo acesso é negado, a menos que seja explicitamente concedido e o direito de acesso seja continuamente verificado. A ideia por trás do ZTA é que os dispositivos de rede não sejam confiáveis por padrão, mesmo que estejam conectados a uma rede corporativa ou tenham sido previamente verificados. A abordagem de confiança zero defende a verificação da identidade e integridade dos dispositivos, independentemente da localização, e o fornecimento de acesso a aplicações e serviços com base na confiança da identidade e do estado do dispositivo, combinada com a autenticação do utilizador.
A ZTA reduz os riscos de ameaças internas verificando consistentemente os usuários e validando os dispositivos antes de conceder acesso a recursos confidenciais. Para usuários externos, os serviços ficam ocultos na internet pública, protegendo-os de invasores, e o acesso será fornecido somente após aprovação do seu corretor de confiança. De acordo com o Gartner , até 2022, 80% das novas aplicações de negócios digitais serão acessadas via ZTNA. Publicação especial do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) NISTSP 800-207 fornece diretrizes e recomendações detalhadas e neutras em relação ao fornecedor para organizações públicas e privadas que desejam implementar os princípios ZTA.
Como funciona a arquitetura Zero Trust?
A ZTA trabalha reunindo diversas tecnologias modernas que contribuem de uma forma ou de outra para o cumprimento da filosofia de confiança zero de “nunca confie, sempre verifique”. As tecnologias incluem gerenciamento de identidade e acesso (IAM) , autenticação multifator baseada em risco, segurança de endpoint de última geração , firewall de próxima geração (NGFW) , criptografia ponta a ponta e tecnologias que verificam a integridade de ativos e endpoints antes de se conectarem a aplicativos, entre outros.
A ZTA assume que qualquer usuário, ativo ou recurso não é confiável e deve ser verificado e avaliado continuamente para cada sessão e atividade antes que o acesso seja concedido. Este é um afastamento total do modelo tradicional de segurança de rede, que se baseava no princípio “confiar, mas verificar”. A abordagem convencional confiou automaticamente em usuários e endpoints dentro do perímetro da organização, colocando a organização em risco de agentes de ameaças internos, permitindo acesso irrestrito a contas não autorizadas e comprometidas dentro da rede corporativa. Este modelo tornou-se obsoleto com o advento da computação em nuvem e a aceleração de um ambiente de trabalho distribuído.
Na ZTA, toda tentativa de um usuário ou dispositivo de obter acesso aos recursos da rede deve passar por uma rigorosa verificação de identidade. E isso vai além do uso de nome de usuário e senha e token de ID para autenticação. Deve também incluir os parâmetros quem, o quê, onde, quando, por que e como. Isto implica que o utilizador, o dispositivo utilizado, a localização, a hora do dia, a finalidade do acesso e os privilégios de acesso devem ser validados. O acesso pode ser rejeitado se for determinado que algum desses atributos está fora dos limites de uso aceitável.
Você pode pensar no ZTA como algo semelhante à implementação de controle de acesso físico para proteger o acesso a áreas e locais críticos em um complexo de edifícios. Portanto, em vez de ter um dispositivo de controle de acesso que autentica os usuários no portão principal ou na área de recepção, presuma que ninguém é confiável e instale-os na entrada de um escritório, sala de reuniões, sala de servidores, biblioteca e outros locais críticos do edifício. para impor um controle de acesso rigoroso. Isto, em poucas palavras, explica como funciona um ZTA.
Quais são os Princípios Fundamentais da ZTA?
A ZTA adota certos princípios básicos para evitar que um invasor se mova através ou dentro de uma rede após obter acesso a essa rede. Uma ZTA que implemente essas técnicas pode facilmente conter o movimento lateral de atores mal-intencionados. Além disso, o dispositivo ou conta de usuário comprometido pode ser colocado em quarentena e impedido de ter acesso adicional assim que a presença do invasor for detectada.
Princípios Fundamentais da ZTA
- Autenticação multifator (MFA): MFA é uma técnica de segurança na qual um usuário recebe acesso a um sistema ou rede somente após apresentar com sucesso duas ou mais evidências (fator de autenticação) a um mecanismo de autenticação. A ZTA utiliza esta técnica para reduzir a incidência de roubo de identidade.
- Acesso com privilégios mínimos: Este é um conceito de segurança em que um usuário recebe apenas o acesso ou as permissões mínimas necessárias para executar suas funções de trabalho. A ZTA utiliza essa técnica para limitar o “raio de explosão do usuário” e a exposição a partes sensíveis de uma rede.
- Controle de acesso ao dispositivo: A ZTA também exige regras rígidas sobre acesso a dispositivos. Ele faz isso monitorando a quantidade de dispositivos que tentam acessar a rede, garantindo que cada dispositivo esteja autorizado e atenda às condições de saúde exigidas. Além disso, a ZTA utiliza essa técnica para limitar o “raio de explosão do dispositivo” e a exposição a partes sensíveis de uma rede. Isso minimiza ainda mais a superfície de ataque da rede.
- Microssegmentação: Essa técnica de segurança permite dividir os perímetros de segurança em segmentos de segurança distintos até o nível de carga de trabalho individual e, em seguida, definir controles de segurança e fornecer serviços para cada segmento exclusivo. A ZTA utiliza esta técnica para garantir que uma pessoa ou programa com acesso a um desses segmentos não acesse nenhum dos outros segmentos sem autorização separada.
- Monitoramento e verificação contínuos: Isto implica que nenhum usuário ou dispositivo (interno ou externo) deve ser automaticamente confiável. O ZTA verifica a identidade e os privilégios do dispositivo e do usuário e garante que as sessões estabelecidas expirem periodicamente, forçando os dispositivos e usuários a serem continuamente verificados novamente. Para que isso funcione de forma eficaz, o acesso condicional baseado em risco garante que o fluxo de trabalho só seja interrompido quando for necessária uma mudança nos níveis de risco. Isso fornece verificação contínua, sem sacrificar a experiência do usuário.
Quando você deve considerar o ZTA para o seu negócio?
Você sabe que sua empresa está pronta para um modelo de confiança zero se os seguintes cenários se aplicarem à sua organização:
- Sua organização tem uma sede central e vários escritórios e funcionários remotos que não estão conectados por uma conexão de rede física de propriedade da empresa. E como esses escritórios e funcionários são remotos, suas organizações usam recursos e aplicativos em nuvem para conectar equipes.
- Sua organização contrata ajuda externa ou oferece a terceiros, parceiros e clientes algum nível de acesso a recursos corporativos, aplicativos internos, bancos de dados confidenciais, serviços ou outros ativos protegidos.
- Sua organização possui sistemas baseados em IoT com grandes quantidades de dados coletados constantemente de fontes de dados, como carros, veículos, navios, fábricas, estradas, fazendas, ferrovias, etc. conectados, e transmitidos para sua rede na nuvem.
- Sua organização utiliza vários provedores de nuvem. Possui uma rede local, mas usa dois ou mais provedores de serviços em nuvem para hospedar aplicativos/serviços e dados. E você é obrigado a proteger uma infraestrutura de rede que inclui conexões multinuvem e nuvem a nuvem, dispositivos híbridos, multiidentidade, não gerenciados, sistemas legados e aplicativos SaaS.
- Sua organização precisa enfrentar um cenário crescente de ameaças que inclui ameaças de pessoas internas mal-intencionadas, ransomware , ataques à cadeia de abastecimento , entre outros.
Se a sua organização está nesta encruzilhada, este pode ser um excelente momento para considerar o ZTA na sua rede. A capacidade da ZTA de acelerar a conscientização, prevenir, detectar e responder a eventos de segurança com latência mínima a torna a estratégia de segurança ideal para lidar com esses cenários.
Como você implementa ZTA para o seu negócio?
Então, como as organizações devem aplicar os conceitos ZTA para abordar a realidade da sua rede moderna? OEstrutura NIST SP 800-207 em ZTArecomenda que as organizações procurem implementar gradualmente princípios de confiança zero e soluções tecnológicas que protejam os seus ativos de dados mais valiosos, em vez de substituir completamente a infraestrutura ou os processos de uma só vez. A migração para uma ZTA pode não acontecer num único ciclo de atualização tecnológica. Em vez disso, deve ser visto como uma jornada. “A maioria das empresas continuará a operar num modo híbrido de confiança zero/baseado em perímetro durante um período, enquanto continua a investir em iniciativas contínuas de modernização de TI”.
De acordo com a estrutura NIST ZTA, “antes de empreender um esforço para trazer o ZTA para a sua organização, deve haver um levantamento de ativos, assuntos, fluxos de dados e fluxos de trabalho. Esta consciência constitui o estado fundamental que deve ser alcançado antes que a implantação da ZTA seja possível”. A seguir está uma metodologia de cinco etapas para implementar ZTA em sua organização. Isso o ajudará a entender onde você está em seu processo de implementação e o que fazer em seguida, de uma forma econômica e sem interrupções.
Metodologia de cinco etapas para implementar ZTA em sua organização
- Defina a superfície protegida: O primeiro passo é definir sua superfície protegida, descobrindo quais dados são valiosos. Com confiança zero, você não se concentra na superfície de ataque, mas apenas nos dados, aplicativos, ativos e serviços críticos mais valiosos para sua organização (superfície protegida). Uma vez definido, você pode mover seus controles o mais próximo possível da superfície protegida para criar um microperímetro.
- Mapear fluxos de transação: A forma como o tráfego se move através de uma rede determina como ela deve ser protegida. Uma empresa não pode determinar quais novos processos ou sistemas precisam ser implementados se não houver conhecimento do estado atual das operações. Portanto, a próxima etapa é determinar para onde os dados estão indo, para que estão sendo usados e o que estão fazendo. Você faz isso mapeando os fluxos de tráfego de seus dados nas redes por meio de seus aplicativos de negócios. Depois de concluído, você pode aplicar o ZTA para manter todo o resto de fora.
- Projete seu ZTA : Depois de definir a superfície protegida e mapear o fluxo de dados para saber o que deve ser permitido, você poderá projetar uma ZTA que reforce os microperímetros da sua rede. Não existe um design único e universal para o ZTA. Seu ZTA é exclusivo para o seu negócio e é construído em torno da superfície protegida. Exemplos de tecnologias a considerar nesta fase incluem virtualização, firewall de próxima geração (NGFW) , Perímetro definido por software (SDP) , entre outros.
- Crie sua política ZTA: Depois que o ZTA for projetado, a próxima etapa é criar suas políticas ZTA para determinar o acesso. Por exemplo, você pode adotar o conceito de quem, o quê, onde, quando, por que e como para descobrir quem são seus usuários, quais aplicativos eles precisam acessar, por que precisam de acesso e como tendem a se conectar aos seus aplicativos. Com esse nível de aplicação granular de políticas, você pode ter certeza de que apenas o tráfego legítimo será permitido.
- Monitore e mantenha seu ZTA: Depois que sua rede e políticas de confiança zero estiverem implementadas, você precisará monitorar tudo em prol da melhoria contínua. A única maneira de saber se há algum problema é monitorando o tráfego em toda a infraestrutura. Isso requer visibilidade na rede. A inspeção e o registro de todo o tráfego fornecerão informações valiosas sobre como melhorar a rede ao longo do tempo.
Escolhendo a solução ZTA certa para o seu negócio
ZTA não é um produto pronto para uso e certamente não é um serviço. Como você pode deduzir deste artigo, significa exatamente o que diz, confiança zero – “nunca confie, sempre verifique”. Mas há uma variedade de fornecedores de soluções e fornecedores de ZTA por aí, portanto, escolher o caminho certo para o seu negócio e orçamento pode ser um desafio.
Você precisa considerar vários fatores: A solução ZTA exige a instalação de um agente de endpoint? O corretor de confiança se integra ao seu provedor de identidade existente? O fornecedor é compatível com NIST 800-207? O suporte do fornecedor está disponível em sua região e em que medida? Quão diversificadas são geograficamente as localizações periféricas do fornecedor em todo o mundo? Qual é o custo total de propriedade? Para ajudá-lo a superar o barulho, confira nosso artigo no sete melhores soluções ZTA para o seu negócio . Esperançosamente, isso irá guiá-lo no processo de escolha do caminho certo para o seu negócio.