A zero trust (ZT) é uma abordagem arquitetônica e uma meta para a segurança da rede que pressupõe que cada transação, entidade e identidade não é confiável até que a confiança seja estabelecida e mantida ao longo do tempo. As estratégias ZT contrastam com a visão legada de que uma rede é segura, a menos que os sistemas de segurança identifiquem uma violação.
Segurança além da borda
Ao longo da última década, as empresas tornaram-se cada vez mais digitalizadas. Eles agora incluem arquitetura em nuvem, incorporam mais trabalho remoto e adicionaram soluções como serviço, entre outras mudanças transformadoras. As equipes de segurança escalaram a segurança da rede de acordo, muitas vezes fortalecendo as salvaguardas ao segmentar a rede em zonas menores.
Essa estratégia, infelizmente, criou mais oportunidades para os atacantes. Quando os invasores acessam as informações de login de um usuário, eles podem se mover lateralmente pela rede, espalhando ransomware e adicionando privilégios conforme avançam.
A autenticação multifator (MFA) melhorou a força da credencial, mas adicionou apenas uma camada extra de autenticação. Uma vez dentro, os criminosos ainda têm acesso contínuo até que façam o logout ou o sistema os desconecte.
Novas formas de trabalhar, incluindo bring-your-own-device (BYOD), trabalho remoto e arquitetura em nuvem adicionaram um novo conjunto de vulnerabilidades. Mas mesmo as proteções de cibersegurança novas e mais fortes com maior visibilidade terminam na borda da rede corporativa e são cegas além desse ponto.
Modelo de segurança de Zero trust
A abordagem ZT para a cibersegurança vira o velho paradigma de cabeça para baixo. A segurança cibernética não é mais definida por segmentos de rede ou dentro dos limites de uma rede corporativa. A confiança não é concedida com base no fato de uma conexão ou ativo pertencer a uma empresa ou a um indivíduo. Também não é concedido com base na localização física ou de rede – Internet ou rede local.
Em vez disso, ZT se concentra em recursos, usuários e ativos individualmente, não importa quem os possui e onde estão localizados. A autenticação é executada individualmente para um recurso corporativo antes que um usuário receba acesso.
O objetivo final é obter zero trust em qualquer elemento da rede até que seja verificado.
Zero trust standards
A resposta curta para certificação e padrões de zero trust é que não há nenhum. O National Institute of Standards and Technology (NIST), fundado em 1901 e agora parte do Departamento de Comércio dos EUA, fornece informações sobre tecnologia, medição e padrões para os EUA. Seu objetivo é aumentar a competitividade tecnológica.
O NIST cria padrões para comunicações, tecnologia e práticas de cibersegurança. O grupo ainda não criou padrões ou certificação para Zero Trust, mas ele criou uma Special Publication (SP) discutindo os objetivos da arquitetura do ZT.
O resumo do artigo descreve a confiança zero desta forma: “Zero trust é um termo para um conjunto em evolução de paradigmas de cibersegurança que movem as defesas de perímetros estáticos baseados em rede para enfocar usuários, ativos e recursos.” O documento segue descrevendo a abordagem de zero-trust em profundidade.
Confusão de zero-trust
Existe alguma confusão no mundo da segurança cibernética sobre o que é ZT. Alguns fornecedores estão aproveitando a confusão para vender produtos marcados como produtos ZT. Para os desinformados, isso pode levar ao mal-entendido de que o ZT é baseado no produto.
ZT não trata de produtos específicos, embora produtos novos e legados possam ser blocos de construção para a arquitetura ZT. ZT é uma abordagem revolucionária à segurança cibernética. Está firmemente na realidade de como as organizações e os trabalhadores se conectam e trabalham juntos hoje.
Caminhando em direção à zero trust
Se uma empresa está construindo sua infraestrutura do zero, é possível, e talvez mais simples, identificar workflows e componentes essenciais e construir uma arquitetura puramente ZT. À medida que os negócios e a infraestrutura mudam, o crescimento pode continuar a aderir aos princípios da ZT a longo prazo.
Na prática, a maioria das implementações de ZT será um processo. As organizações permanecerão em algum equilíbrio entre ZT e segurança baseada em perímetro ao longo do tempo, implementando gradualmente as iniciativas de modernização.
O estabelecimento completo da arquitetura ZT provavelmente levará vários anos e abrangerá uma série de projetos discretos antes de atingir o objetivo final de confiança zero. No entanto, nunca há uma “chegada” à ZT. Trata-se de continuar a implementar e aplicar a estratégia ZT ao longo do tempo, levando em consideração as mudanças futuras nos negócios e na infraestrutura.
O desenvolvimento de um plano antes da ação pode quebrar o processo em partes menores e demonstrar o sucesso ao longo do tempo. Começar com um catálogo completo de assuntos, processos de negócios, fluxos de tráfego e mapas de dependências prepara você para abordar assuntos, ativos e processos de negócios direcionados.
Caminhando em direção à zero trust
Se uma empresa está construindo sua infraestrutura do zero, é possível, e talvez mais simples, identificar workflows e componentes essenciais e construir uma arquitetura puramente ZT. À medida que os negócios e a infraestrutura mudam, o crescimento pode continuar a aderir aos princípios da ZT a longo prazo.
Na prática, a maioria das implementações de ZT será um processo. As organizações permanecerão em algum equilíbrio entre ZT e segurança baseada em perímetro ao longo do tempo, implementando gradualmente as iniciativas de modernização.
O estabelecimento completo da arquitetura ZT provavelmente levará vários anos e abrangerá uma série de projetos discretos antes de atingir o objetivo final de confiança zero. No entanto, nunca há uma “chegada” à ZT. Trata-se de continuar a implementar e aplicar a estratégia ZT ao longo do tempo, levando em consideração as mudanças futuras nos negócios e na infraestrutura.
O desenvolvimento de um plano antes da ação pode quebrar o processo em partes menores e demonstrar o sucesso ao longo do tempo. Começar com um catálogo completo de assuntos, processos de negócios, fluxos de tráfego e mapas de dependências prepara você para abordar assuntos, ativos e processos de negócios direcionados.
A arquitetura ZT é um objetivo e uma abordagem que leva tempo e atenção para ser implementada. Não é uma instalação única que você pode implantar e passar para a próxima. É uma filosofia de cibersegurança apoiada em quatro princípios básicos. Um princípio específico pode depender de uma técnica de segurança específica, como MFA para identidade, mas a técnica usada com o tempo pode mudar.
Existem três funções básicas subjacentes à abordagem ZT.
ZT deve ser implementado progressivamente e continuamente aplicado. Não é uma substituição completa ou uma implantação única que fica em vigor durante toda a vida da rede. É um processo incremental de vários anos e vários projetos que envolve vários aspectos da rede e precisará de avaliação constante conforme os hábitos de trabalho, a tecnologia e as ameaças mudam.
Como sua organização implementa a abordagem ZT depende de sua operação. Seus ativos de maior valor são um bom lugar para começar.
A jornada ZT inclui quatro componentes: