O que é o Zero Trust Networking?

A abordagem de Zero Trust (ZT) essencial para a rede é que nenhum usuário, dispositivo ou ativo conectado à rede de qualquer forma é inerentemente seguro. Cada conexão não é confiável até que seja comprovada como confiável. A rede de zero trust (ZT) leva em consideração a maneira como as empresas de hoje trabalham, incorporando dispositivos BYOD, trabalho remoto, elementos de nuvem e soluções como um serviço na consideração de cibersegurança com monitoramento contínuo e autorização de cada tentativa de acesso.

Segurança de perímetro

A abordagem tradicional à cibersegurança constrói uma “cerca” de segurança em torno das redes que dão acesso a ativos essenciais de negócios, de forma que malfeitores não possam invadir e introduzir malware e ransomware. Isso geralmente é chamado de segurança de perímetro. Existem falhas nesta abordagem, no entanto. Não importa o quão seguro seja o gateway, depois de passar, o criminoso tem acesso a tudo que está atrás do firewall. Além disso, o perímetro da rede turvou nos últimos anos, indo além do perímetro tradicional da empresa para acomodar trabalho remoto e aplicações SaaS.

Estratégias como autenticação multifator (MFA) fortaleceram o gateway, e isso tem sido importante, mas essas estratégias não resolveram o perigo em diversas redes. Pode ser mais trabalhoso passar, mas uma vez lá dentro, os criminosos podem se mover lateralmente pela rede e introduzir ransomware ou roubar informações.

Albert Einstein disse que “os problemas não podem ser resolvidos com a mesma mentalidade que os criou”. ZT é uma mentalidade diferente que aborda a segurança de forma diferente.

A segurança de perímetro pressupõe que um usuário ou conexão seja confiável até que os sistemas de segurança sinalizem uma violação. O ZT em sua forma mais pura pressupõe que os invasores estão sempre por perto e que, estando ou não dentro do perímetro da empresa, nenhuma tentativa de conexão estará segura até que seja autenticada.

Migração para Zero Trust

ZT é uma abordagem à cibersegurança e não um evento ou um conjunto de serviços ou produtos. A migração para a segurança de rede ZT é um processo que ocorre ao longo do tempo. Conforme você converte, provavelmente continuará a usar alguns dos mesmos produtos e serviços que está usando agora, mas os usará de uma maneira diferente. A maioria das redes acabará sendo híbrida por um tempo, conforme o centro de operações de segurança (SOC) implementa projetos de modernização. A única rede ZT “pura” é aquela construída desde o início com base nos princípios ZT. 

Por causa disso, um plano de conversão para ZT é um importante ponto de partida. O plano começa com a identificação de todos os ativos, assuntos, processos de negócios, fluxos de tráfego e dependências dentro da infraestrutura corporativa. A construção de projetos incrementais ajuda a mapear seu progresso e rastrear o sucesso.

O plano deve incluir todos os ativos da empresa:

  • Dispositivos
  • Componentes de infraestrutura
  • Aplicações
  • Componentes virtuais
  • Componentes de nuvem

Também deve incluir todos os assuntos:

  • Usuários finais
  • Aplicações
  • Entidades não humanas que solicitam informações

Elementos de rede de zero trust

A adoção da abordagem Zero Trust tem uma série de considerações à medida que você migra sua rede. As seções a seguir discutem algumas etapas que você pode seguir para aproximar sua infraestrutura de uma estrutura ZT.

Implementar microssegmentação

Um dos princípios básicos da rede ZT é a microssegmentação. É a prática de isolar workloads e protegê-las individualmente para limitar o acesso. Na segurança do perímetro, uma violação dá aos criminosos acesso a toda a rede. A microssegmentação reduz a superfície de ataque e limita os danos de uma única violação.

Isolar tecnologia vulnerável

Frequentemente, os dispositivos de tecnologia da informação e comunicação (TIC), como telefones celulares, computadores pessoais, e-mail ou televisão, têm sistemas operacionais (SOs) fixos que não podem ser corrigidos quanto a vulnerabilidades. Dispositivos de tecnologia operacional (OT), como robôs industriais ou equipamentos médicos, apresentam um desafio semelhante. No entanto, eles estão cada vez mais integrados aos fluxos de trabalho corporativos. Dispositivos como esses devem ser isolados por meio de políticas rígidas para reduzir a possibilidade de violação.

Sub-redes seguras

As sub-redes são uma parte discreta de uma rede maior. Eles podem melhorar a segurança, o desempenho e a resiliência da rede. Eles também precisam fazer parte de sua estratégia ZT para impedir malware e outras ferramentas maliciosas. Certifique-se de que os alertas e logs de sub-redes relatem em sua console consolidado para investigação e resolução.

Acesso remoto seguro

Antes do ZT, as técnicas para estabelecer segurança para conexões remotas eram consideradas confiáveis até serem sinalizadas. Mas as falhas de segurança nas técnicas mais comuns tornaram-se cada vez mais aparentes. As redes tornaram-se mais definidas por software e a mobilidade aumentou, especialmente durante o COVID-19. Isso resultou em endpoints não gerenciados, SaaS não sancionado e SD-WANs não protegidos.

  • Virtual private network (VPN) – As proteções de conexão VPN pararam na borda e ainda concederam ao usuário acesso a toda a rede. Eles criaram a ilusão de que eram confiáveis. A segurança VPN também não se conectou bem com redes definidas por software cada vez mais usadas.
  • Cloud Access Security Broker – o principal problema com o CASB era a natureza fixa de suas precauções de segurança. Embora as redes definidas por software fossem cada vez mais fluidas e os funcionários mais móveis, as precauções de segurança não podiam ser flexibilizadas conforme necessário.
  • Secure web gateway (SWG) – Os SWGs apresentaram problemas com funcionários que trabalharam em qualquer lugar.

 

As soluções para conexões remotas continuam a evoluir, mas agora existem opções que oferecem soluções de cibersegurança consistentes com os hábitos de trabalho móvel e a abordagem ZT.

  • Secure access service edge (SASE) – SASE está sob o guarda-chuva ZT e explicita os princípios ZT para seções específicas da empresa. A empresa de analistas Gartner usa esse termo. Os componentes das soluções SASE podem variar, mas normalmente consistem em tecnologias CASB, SWG, ZTNA e SD-WAN para fornecer acesso a aplicações SaaS privadas (em um datacenter corporativo ou IaaS) ou públicos.
  • Zero trust edge (ZTE) – este é um rótulo diferente para SASE. A empresa de analistas Forrester usa esse termo.
  • Zero Trust network access (ZTNA) – ZTNA se enquadra na definição de SASE ou ZTE e é uma solução de segurança ZT baseada em nuvem que fornece aos usuários acesso apenas a aplicações para os quais eles estão especificamente autorizados. Consistente com a abordagem ZT, isso limita os danos se houver uma violação. Como o VPN, o ZTNA criptografa os dados para segurança, mas oferece uma experiência de usuário significativamente aprimorada e é muito mais flexível.

Pesquisas relacionadas

White Paper Zero Trust