zero trust

Levando a segurança de confiança zero da ideia à implementação

Eis o que os líderes de tecnologia precisam saber sobre os desafios técnicos e culturais da confiança zero antes de começarem.

Seja entre líderes, gestores e trabalhadores, fornecedores e clientes, ou empresas e autoridades reguladoras, a confiança diminui as barreiras à cooperação e faz com que as coisas funcionem tranquilamente.

Ainda assim, a maioria das empresas – e das pessoas – reconhece que confiar demais muito rápido pode ser uma grande desvantagem. E para um modelo de segurança de rede emergente, qualquer nível de confiança é demais

Estamos falando da confiança zero, uma abordagem de segurança que despertou enorme interesse no ano passado, à medida que as empresas viram seus perímetros de rede tradicionais se estenderem perigosamente ao limite, por conta do trabalho remoto em massa e da expansão para a nuvem pública e os aplicativos SaaS.

Em termos simples, confiança zero significa " nunca confie, sempre verifique". A confiança zero tornou-se um tema importante para os executivos, em vista da rápida expansão do acesso remoto devido à Covid-19 e do aumento de atacantes buscando explorar usuários e computadores remotos. A estratégia de nunca confiar e sempre verificar é muito mais rigorosa, proativa e responsiva do que apenas criar defesas de perímetro para manter os atores maliciosos fora da sua rede. A segurança de perímetro nunca é particularmente eficaz e, com a tendência atual de ter cargas de trabalho e aplicativos na multinuvem, juntamente com o acesso remoto a partir de qualquer lugar em qualquer dispositivo, os modelos de confiança baseados em perímetro ficam cada vez mais incapazes de fornecer as medidas de proteção adequadas.

Além de a abordagem de confiança zero na segurança permitir que as empresas respondam mais rápido e com mais precisão, ela também limita a possibilidade de haver movimentação lateral de tráfego ou atores maliciosos, de um recurso para outro, despercebidos dentro do ambiente comprometido caso ocorra uma violação (muitas das violações sobre as quais você já leu poderiam ter sido contidas ou evitadas em um ambiente de confiança zero).

Apesar de todos as suas vantagens, a implementação da confiança zero é uma tarefa complicada. Além das dificuldades técnicas, o êxito depende de engajar e acionar várias partes interessadas de toda a empresa e fornecer orientações pormenorizadas aos usuários.

Este artigo ajudará os líderes de tecnologia a se orientarem em relação à confiança zero ao começarem a considerar como implementá-la.

Explorando os aspectos técnicos da confiança zero

Começaremos com os aspectos técnicos. Em termos práticos, a implementação eficaz da confiança zero requer não apenas tecnologia, mas também política e processo. Não é possível ligá-la como um interruptor nem comprá-la como um produto ou serviço, pois ela exige uma combinação de ferramentas distinta daquela usada na segurança tradicional baseada em perímetro.

Em um ambiente de confiança zero, criam-se zonas de confiança em torno de cada aplicativo e dispositivo, bem como dos apps SaaS ou serviços de armazenamento. Para conseguir isso sem afetar negativamente a experiência do usuário, é preciso implementar um sistema de autenticação que permita identificar dispositivos e usuários. Também é necessário haver capacidade de migrossegmentação.

Junto a essas soluções estão políticas rígidas que definem quais usuários e dispositivos podem acessar quais recursos. O acesso livre e aberto não pode mais existir. Definir essas políticas e permitir sua implementação pode ser um grande esforço. Isso exige o entendimento dos fluxos de trabalho e dependências de aplicativos, mas existem soluções baseadas em IA e em automação que reduzem um pouco o peso. O benefício tanto para a segurança quanto para as operações vale o esforço. A segurança de confiança zero se baseia na gestão de identidade e acesso, no controle de pontos de extremidade e em uma capacidade madura de monitoramento de segurança.

É preciso trazer as pessoas para a jornada de confiança zero com você

É importante reconhecer que a implementação da confiança zero transpassa os limites das equipes em toda a organização. Ela envolve as equipes de segurança, rede e IAM, bem como os proprietários e administradores de ativos e os proprietários de aplicativos. Este tipo de escopo faz com que o CIO/CTO geralmente seja a liderança, tendo o CSO/CISO como importante colaborador, graças à sua perspectiva sobre gestão de riscos.

Também é preciso investir tempo na conscientização e socialização dos benefícios da confiança zero, criando perguntas frequentes detalhadas e compartilhando-as através de boletins informativos da empresa e intranets com muitos links para outras fontes. Acredite: a educação e a comunicação antes da implantação pode poupar muita dor de cabeça com suporte quando as mudanças de processos e políticas começarem a ser implementadas.

Comece pequeno e crítico – e utilize DevOps

Para entrar na confiança zero com o pé direito, você pode começar pequeno e ir edificando uma série de vitórias incrementais, mas altamente visíveis. Talvez seja interessante começar pelo controle de acesso e depois avançar para as implementações mais complicadas do centro de dados.

Se você começar com uma base em todo o seu ambiente, é possível ampliá-la conforme descobre e classifica sua carga de trabalho e dados. Ao mesmo tempo, comece a alinhar soluções tecnológicas e suas configurações. Entenda seus requisitos e selecione parceiros para ajudar a integrar as tecnologias apropriadas para possibilitar a autenticação, o controle de acesso, a microssegmentação e o monitoramento.

Antes da aplicação, recomendamos identificar e criar as políticas, lançando-as gradualmente em modo de registro para ajudar a refinar o quadro do que está acontecendo no seu ambiente. Isso permite testar os processos antes do lançamento, tanto para mitigar o risco de desativar sistemas críticos quanto para identificar padrões e processos que possam ser automatizados. A partir daí, vá distribuindo as implementações a subconjuntos de usuários — em paralelo com os sistemas de segurança inicialmente existentes — para ajustar os processos e criar confiança na base de usuários.

Vale ressaltar que possivelmente será muito difícil fazer tudo isso corretamente sem que se usem metodologias ágeis dentro do projeto para implantar o DevOps. Os estágios iniciais envolvem muito trabalho e inúmeras prioridades mutáveis. Por isso, use metodologias ágeis para se mover com celeridade, falhar rápido e mudar o rumo se necessário.

Além disso, as despesas operacionais podem se acumular rapidamente, graças às várias mudanças e atualizações à infraestrutura e às políticas em curso. O DevOps pode ajudar neste ponto enquanto você trabalha para automatizar as atualizações de usuários e dispositivos, ou os fluxos de acesso de aplicativos e sistemas. Com a infraestrutura como código, por exemplo, podem ser criados sistemas que permitem que os usuários façam o autoatendimento, registrando um chamado para um novo dispositivo, que então envia uma atualização para a infraestrutura. Atualmente, também há tecnologias que podem ajudar a implementar o DevOps em cargas de trabalho herdadas, bem como apps criados de forma herdada.

A confiança zero vale o esforço

Mudar para uma estratégia de confiança zero na segurança demanda vários meses de trabalho duro e muitas horas contínuas de monitoramento e gerenciamento. Ainda assim, a expectativa é de que a maioria das empresas venha a empreender essa jornada.

A migração para o trabalho remoto observada ano passado não será completamente revertida. Para alguns, ela talvez se torne a regra. Consequentemente, as preocupações do escalão executivo continuarão a contemplar a proteção dos pontos de extremidade dos usuários, a mitigação das ameaças internas e os riscos de movimentação lateral caso intrusos consigam passar pelas defesas de perímetro.

Não é mágica: não existem soluções milagrosas na área de segurança. Mas a confiança zero é uma forma de afastar a sua organização da segurança baseada em perímetro na direção de um Secure Access Service Edge (SASE) enquanto sua empresa segue em sua transformação digital.

 

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.

Subscribe
cybersecurity skills gap

E-book: apostila de segurança de confiança zero

About the Authors

Jeffrey Tehovnik

Product Engineer - Government Solutions

Jeffrey Tehovnik

The role of Product Engineer for Government Solutions is a natural fit for Jeff Tehovnik with his diverse and complimentary skillsets in Development, Cloud Network Infrastructure, and Security. Jeff has been working in IT since 1998 and graduated from Virginia Commonwealth University (BS-IS 2012, MS-CISS 2014) and the SANS Technology Institute (PGC Ethical Hacking & Penetration Testing). Jeff also enjoys research and educating on Technical Information Security Topics including Network Security Monitoring and Advanced Persistent Threats. In addition to recently passing the CCSP exam, Jeff holds the CISSP, GCIH, GPEN, GWAPT, GXPN and VMware NSX: Micro-Segmentation certificates.  When he’s not delving into the cloud, Jeff enjoys Reading, Fishing, and Vacationing at the beach with his wife and kids.  He is also an avid Hockey Fan.  

Read more about Jeffrey Tehovnik