Uma introdução à arquitetura de confiança zero

Graças à recente publicação do relatório de Orientação de Segurança de Infraestrutura de Rede da Agência de Segurança Nacional (NSA), a eliminação de fraquezas e vulnerabilidades comuns de rede atingiu o topo da agenda de muitos tomadores de decisão de negócios.

Afinal, as consequências financeiras médias de uma violação de dados atingiram impressionantes US$ 4,24 milhões – uma alta de 17 anos. As organizações de hoje devem priorizar a segurança dos dados e os benefícios de uma Zero Trust Architecture (ZTA), mas antes de prosseguirmos, vamos dar uma olhada mais de perto no que é ZTA e de onde veio esse conceito.

O que é Zero Trust?

Também conhecido como segurança sem perímetro, o Zero Trust é um modelo de segurança baseado em uma estrutura de princípios para o design e implementação de sistemas de TI para lidar com ameaças cibernéticas em ambientes cada vez mais descentralizados. Os usuários devem ser autenticados, autorizados e continuamente validados antes de receber acesso aos sistemas e dados. Resumindo, Zero Trust inerentemente não confia em ninguém.

O ponto de entrada dos hackers geralmente não é seu local de destino dentro de uma rede. Em vez disso, eles identificam uma vulnerabilidade em uma área e se movem lateralmente até atingir seu alvo. O ZTA evita que isso aconteça, forçando os usuários a se identificarem em vários pontos – essencialmente limitando o dano que um malfeitor pode causar.

Zero Trust não é um conceito novo. Foi apresentado pela primeira vez em 2009 por John Kindervag , ex-analista principal da Forrester Research. No entanto, sua popularidade explodiu nos últimos dois anos. Na verdade, um relatório da Microsoft de 2021 descobriu que 90% dos tomadores de decisão de segurança estavam familiarizados com o conceito, contra apenas 20% há apenas um ano. Sem dúvida, essa tendência foi catalisada pelo crescimento do trabalho remoto e pela maior adoção da nuvem. Sem mencionar o número vertiginoso de ataques cibernéticos – que parecem crescer ainda mais com base em alertas recentes da Casa Branca sobre ataques cibernéticos russos contra empresas americanas.

“OK, mas como posso implementar o Zero Trust na prática?”

Não existe um modelo único para a implementação do ZTA. No entanto, as organizações devem normalmente considerar o seguinte:

• Governança de identidade: certifique-se de gerenciar e proteger todas as identidades de usuário por meio de políticas robustas e direitos de acesso. Os controles de acesso baseados em função podem ajudá-lo a impor essas políticas, aproveitando as funções de usuário para conceder acesso aos sistemas e aplicativos de que precisam para realizar seus trabalhos e nada mais.
• Gerenciamento de acesso privilegiado: contas privilegiadas são aquelas com o nível mais alto de acesso e representam um risco de segurança maior do que o usuário médio, dado o grau de informações confidenciais que podem ser expostas. Cumpra o princípio do privilégio mínimo, fornecendo acesso suficiente a terceiros ou administradores para concluir uma tarefa por meio de controle de política granular no nível do sistema.
• Autenticação multifator (MFA): um dos vetores de ataque inicial mais comuns são as credenciais de usuário comprometidas, que é o que a MFA visa evitar. Essa camada de segurança requer dois métodos de autenticação antes de conceder acesso a um sistema ou aplicativo: algo que você sabe (senha ou PIN), algo que você possui (smartphone ou token) e algo que você é (dados biométricos).
• Single sign-on (SSO): a segurança é tão boa quanto aqueles que a usam e, quando a segurança é notada pelos usuários, ela geralmente é ignorada. Na verdade, 57% admitem anotar senhas em post-its, enquanto muitos outros usuários compartilham credenciais com colegas. O SSO permite que as organizações implementem uma segurança mais forte, eliminando a necessidade de lembrar e digitar repetidamente nomes de usuário e senhas para acessar os sistemas.
• Zero Trust Policy Engine: Como descrevem os documentos do Instituto Nacional de Padrões e Tecnologia (NIST), este é o “cérebro” do seu ZTA. Cada vez que uma identidade digital, seja uma pessoa ou máquina, tenta acessar um recurso da empresa, o mecanismo de política ZTA é questionado se deve acessá-lo. Claro, você define os parâmetros para seu mecanismo de política. Efetivamente, se o seu gerenciamento de identidade digital for rígido, você também pode usar o mecanismo de política ZTA para remover alguns requisitos de nome de usuário ou senha, bem como requisitos de MFA. Essencialmente, você pode melhorar a segurança enquanto fornece acesso mais fácil – não parece familiar?

Gerenciamento de identidade e acesso – é hora de colocar sua casa em ordem

O gerenciamento e a proteção eficazes de identidades digitais são indiscutivelmente o componente mais importante do ZTA. Simplificando, sem uma estratégia de gerenciamento de identidade e acesso (IAM) em vigor, você pode esquecer o Zero Trust. Ou, pelo menos, esqueça qualquer um dos benefícios que advêm disso.

Há uma grande variedade de ferramentas que as organizações podem usar ao implementar sua estratégia de IAM, mas ter as soluções acima é apenas uma peça do quebra-cabeça. Graças a uma variedade de sistemas legados que a maioria das organizações ainda possui, é comum ver uma ferramenta para provisionamento e desprovisionamento, outra para MFA, uma terceira para SSO e assim por diante. Sem a intenção de fazê-lo, as organizações com esse tipo de abordagem fragmentada geralmente apresentam os mesmos riscos que estão tentando evitar.

Em vez disso, as organizações com visão de futuro devem procurar consolidar essas ferramentas com uma estratégia unificada que elimine lacunas e permita um único ponto de controle.

Em suma, é difícil exagerar o grande número de desafios relacionados à segurança cibernética que as organizações enfrentam atualmente. Reconhecidamente, para muitos, é um caso de descobrir como proteger sistemas, dados e usuários no prazo imediato. Mas uma vez que eles tenham terminado o combate a incêndios, a implementação do ZTA – fundamentada em uma estratégia eficaz de gerenciamento de identidade e acesso – é um acéfalo.