Zpedia 

/ O que é uma arquitetura zero trust?

O que é uma arquitetura zero trust?

A Arquitetura zero trust é uma arquitetura de segurança criada para reduzir a superfície de ataque da rede, impedir a movimentação lateral de ameaças e diminuir o risco de violação de dados com base no modelo de segurança zero trust. Esse modelo deixa de lado o tradicional "perímetro de rede", onde todos os dispositivos e usuários são considerados confiáveis e recebem amplas permissões, em favor de controles de acesso de privilégio mínimo, microssegmentação granular e autenticação multifator (MFA).

Sete elementos da arquitetura zero trust

Arquitetura zero trust e Acesso à rede zero trust — qual é a diferença?

Antes de examinarmos a arquitetura zero trust com mais detalhes, vamos distinguir entre esses dois termos inter-relacionados:

  • Uma arquitetura zero trust (ZTA) é um design compatível com os princípios de zero trust, como gerenciamento de acesso hermético, autenticação rigorosa de dispositivos e usuários e segmentação robusta. É diferente de uma arquitetura de “castelo e fosso”, que confia em qualquer ativo interno por padrão.
  • O acesso à rede zero trust (ZTNA) é um caso de uso de zero trust que oferece aos usuários acesso seguro a aplicativos e dados quando os usuários, aplicativos ou dados podem não estar dentro de um perímetro de segurança tradicional, o que se tornou comum na era da nuvem e do trabalho híbrido.

Juntando os dois, a arquitetura zero trust proporciona a base que as empresas precisam para fornecer o ZTNA e tornar seus sistemas, serviços, APIs, dados e processos acessíveis de qualquer lugar, a qualquer momento e de qualquer dispositivo.

Entendendo a necessidade de uma arquitetura zero trust

Durante décadas, as organizações construíram e reconfiguraram redes em estrela complexas e de área ampla. Nesses ambientes, usuários e filiais conectam-se ao data center por meio de conexões privadas. Para acessar os aplicativos de que precisam, os usuários precisam estar na rede. As redes em estrela são protegidas com pilhas de dispositivos, como VPNs e firewalls de “nova geração”, usando uma arquitetura conhecida como segurança de rede de castelo e fosso.

Essa abordagem serviu bem às organizações quando os aplicativos estavam hospedados em seus data centers, mas agora, em meio à crescente popularidade de serviços na nuvem e às crescentes preocupações com segurança de dados, ela está atrasando-as.

Hoje, a transformação digital está acelerando à medida que as organizações adotam a nuvem, a mobilidade, a IA, a Internet das Coisas (IoT) e a tecnologia operacional (TO) para se tornarem mais ágeis e competitivas. Os usuários estão em toda parte e os dados das organizações não ficam mais exclusivamente em seus data centers. Para colaborar e permanecer produtivos, os usuários querem acesso direto aos aplicativos de qualquer lugar, a qualquer hora.

Não faz mais sentido direcionar o tráfego de volta ao data center para acessar os aplicativos na nuvem com segurança. É por isso que as empresas estão trocando o modelo de rede em estrela por um que oferece conectividade direta com a nuvem: uma arquitetura zero trust.

Este vídeo oferece um resumo conciso da transformação digital segura.

Quais são os princípios básicos do zero trust?

Zero trust é mais do que a soma da identidade do usuário, segmentação e acesso seguro. É uma estratégia de segurança sobre a qual se pode construir um ecossistema de segurança completo. Em sua essência estão três princípios:

  1. Encerrar todas as conexões: ao contrário das técnicas de inspeção de passagem comuns às tecnologias legadas (por exemplo, firewalls), uma arquitetura zero trust eficaz encerra todas as conexões para permitir que uma arquitetura de proxy integrada inspecione todo o tráfego, incluindo o tráfego criptografado, em em tempo real, antes de chegar ao seu destino.
  2. Proteger os dados usando políticas granulares baseadas em contexto: as políticas de zero trust verificam solicitações e direitos de acesso com base no contexto, incluindo identidade do usuário, dispositivo, localização, tipo de conteúdo e aplicativo solicitado. As políticas são adaptáveis, portanto, a validação e os privilégios de acesso do usuário são continuamente reavaliados conforme o contexto muda.
  3. Reduzir o risco eliminando a superfície de ataque: com uma abordagem zero trust, os usuários se conectam diretamente a aplicativos e recursos, nunca a redes (consulte ZTNA). As conexões diretas eliminam o risco de movimentação lateral e evitam que dispositivos comprometidos infectem outros recursos. Além disso, os usuários e aplicativos são invisíveis para a internet, portanto não podem ser descobertos ou atacados.

Quais são os cinco pilares da arquitetura zero trust?

Os cinco “pilares” do zero trust foram definidos pela primeira vez pela Agência de Segurança Cibernética e de Infraestruturas dos EUA (CISA) para orientar sobre os principais recursos de zero trust que as agências governamentais (e outras organizações) devem buscar obter nas suas estratégias de zero trust.

Os cinco pilares são:

  • Identidade: migrar para uma abordagem de acesso de privilégio mínimo para gerenciamento de identidade.
  • Dispositivos: garantir a integridade dos dispositivos utilizados para acessar serviços e dados.
  • Redes: alinhar a segmentação e as proteções da rede de acordo com as necessidades dos fluxos de trabalho de seus aplicativos, em vez da confiança implícita inerente à segmentação de rede tradicional.
  • Aplicativos e cargas de trabalho: integrar melhor as proteções aos fluxos de trabalho de aplicativos, dando acesso a aplicativos com base na identidade, conformidade de dispositivos e outros atributos.
  • Dados: mudar para uma abordagem de segurança cibernética centrada em dados, começando pela identificação, categorização e inventário de ativos de dados.

Cada um desses recursos pode progredir ao seu próprio ritmo e pode estar mais avançado do que os outros e, em algum momento, a coordenação entre os pilares (enfatizando a interoperabilidade e as dependências) é necessária para garantir a compatibilidade. Isso permite obter uma evolução gradual para o zero trust, distribuindo custos e esforços ao longo do tempo.

Como funciona a arquitetura zero trust?

Com base em um ideal simples (nunca confie, sempre verifique), o zero trust começa com a suposição de que tudo na rede é hostil ou está comprometido, e o acesso só é concedido após verificar a identidade do usuário, a postura do dispositivo, o contexto de negócio e aplicar as verificações de políticas. Todo o tráfego deve ser registrado e inspecionado, exigindo um grau de visibilidade que os controles de segurança tradicionais não possuem.

Uma verdadeira abordagem zero trust é melhor implementada com uma arquitetura baseada em proxy, que conecta os usuários diretamente aos aplicativos em vez de conectá-los à rede, possibilitando aplicar controles adicionais antes que as conexões sejam autorizadas ou bloqueadas.

Antes de estabelecer uma conexão, uma arquitetura zero trust submete cada conexão a um processo de três etapas:

  1. Verificar a identidade e o contexto. Quando um usuário/dispositivo, carga de trabalho, ou dispositivo de IoT/TO solicita uma conexão, independentemente da rede subjacente, a arquitetura zero trust primeiro encerra a conexão e verifica a identidade e o contexto, entendendo o “quem, o quê e onde” da solicitação.
  2. Controlar o risco. Depois que a identidade e o contexto da entidade solicitante são verificados e as regras de segmentação são aplicadas, a arquitetura zero trust avalia o risco associado à solicitação de conexão e inspeciona o tráfego em busca de ameaças cibernéticas e dados sigilosos.
  3. Aplicar políticas. Por fim, uma pontuação de risco é calculada para o usuário, carga de trabalho ou dispositivo para determinar se é autorizado ou bloqueado. Se a entidade for autorizada, a arquitetura zero trust estabelecerá uma conexão segura com a internet, aplicativo SaaS ou ambiente de IaaS/PaaS.
promotional background

Sete elementos para uma arquitetura zero trust de sucesso

Obtenha um resumo detalhado sobre zero trust com Nathan Howe, vice-presidente de tecnologias emergentes da Zscaler.

Benefícios da arquitetura zero trust

Uma arquitetura zero trust fornece o acesso de usuário preciso e contextual necessário para operar na velocidade dos negócios modernos, ao mesmo tempo que protege seus usuários e dados contra malware e outros ataques cibernéticos. Como base do ZTNA, uma arquitetura zero trust eficaz ajuda você a:

  • Conceder acesso seguro e rápido a dados e aplicativos para trabalhadores remotos, incluindo funcionários e parceiros, onde quer que estejam, melhorando a experiência do usuário
  • Fornecer acesso remoto confiável, bem como gerenciar e aplicar políticas de segurança de forma mais fácil e consistente do que seria possível com tecnologias legadas como VPNs
  • Proteger dados e aplicativos sigilosos no local ou em um ambiente de nuvem, em trânsito ou em repouso, com controles de segurança rígidos, incluindo criptografia, autenticação, verificações de integridade e mais
  • Interromper as ameaças internas ao não conceder mais confiança implícita e padrão a qualquer usuário ou dispositivo dentro do perímetro da sua rede
  • Restringir a movimentação lateral com políticas de acesso granulares até o nível do recurso, reduzindo a probabilidade de uma violação
  • Detectar, responder e recuperar-se de violações bem-sucedidas de forma rápida e eficaz para mitigar seus impactos
  • Obter visibilidade mais profunda sobre o quê, quando, como e onde das atividades de usuários e entidades com monitoramento detalhado e registro de sessões e ações tomadas
  • Avaliar seu risco em tempo real com logs de autenticação detalhados, verificações de integridade de dispositivos e recursos, análise de comportamento de usuários e entidades, entre outros

(adaptado de “Implementing a Zero Trust Architecture”, uma publicação especial do Instituto Nacional de Padrões e Tecnologia [NIST])

Como a arquitetura zero trust supera os modelos de segurança tradicionais?

A arquitetura zero trust supera os modelos de segurança tradicionais devido à sua abordagem proativa, adaptativa e centrada em dados. Os modelos tradicionais baseiam-se em defesas perimetrais, enquanto o zero trust reconhece que as ameaças podem vir tanto de dentro como de fora da rede, e valida continuamente a identidade e a postura de segurança dos usuários e dispositivos.

Ao aplicar controles granulares de acesso de privilégio mínimo, o zero trust concede aos usuários e dispositivos apenas o acesso mínimo necessário. O monitoramento contínuo, a MFA e a análise comportamental detectam ameaças em tempo real, antes que elas se tornem ataques bem-sucedidos. Sua adaptabilidade torna o zero trust mais ágil, tornando-o, por sua vez, mais adequado do que os modelos tradicionais para proteger as superfícies de ataque massivas e as novas vulnerabilidades inerentes ao trabalho remoto atual e ao mundo baseado na nuvem.

De forma crítica, o zero trust se concentra na segurança dos dados, não da rede, protegendo os dados onde quer que eles estejam ou sejam transimitidos: na rede, na nuvem ou em dispositivos remotos.

Zscaler Zero Trust Exchange: uma verdadeira arquitetura zero trust

A Zscaler Zero Trust Exchange™ é uma plataforma integrada e nativa da nuvem, fundada no princípio do acesso de privilégio mínimo e na ideia de que nenhum usuário, carga de trabalho ou dispositivo é inerentemente confiável. Em vez disso, a plataforma concede acesso com base na identidade e no contexto, como tipo de dispositivo, localização, aplicativo e conteúdo, para intermediar uma conexão segura entre um usuário, carga de trabalho ou dispositivo, em qualquer rede, de qualquer lugar, com base nas políticas de negócio.

A Zero Trust Exchange ajuda sua organização a:

  • Eliminar a superfície de ataqueda internet e a movimentação lateral de ameaças. O tráfego de usuários nunca chega à sua rede. Em vez disso, os usuários se conectam diretamente aos aplicativos por meio de túneis criptografados um a um, evitando descobertas e ataques direcionados.
  • Melhorar a experiência do usuário. Ao contrário das arquiteturas de rede estáticas e legadas, com uma “porta de entrada” que faz o retorno dos dados para centros de processamento, a Zero Trust Exchange gerencia e otimiza de forma inteligente conexões diretas com qualquer nuvem ou destino de internet e aplica políticas adaptativas e proteções integradas na borda, o mais próximo do usuário possível.
  • Integrar-se perfeitamente com os principaisprovedores de nuvem, identidade,proteçãode terminais e SecOps. Nossa plataforma holística combina funções básicas de segurança (por exemplo, SWG, DLP, CASB, firewall, sandbox) com tecnologias emergentes como isolamento de navegador, monitoramento de experiência digital e ZTNA para oferecer uma pilha de segurança na nuvem completa.
  • Reduzir custos e complexidade.A Zero Trust Exchange é simples de implantar e gerenciar, sem necessidade de VPNs ou políticas complexas de firewall de perímetro de rede.
  • Fornecer segurança consistente em grande escala.A Zscaler opera a maior nuvem de segurança do mundo, distribuída em mais de 150 data centers em todo o mundo, processando mais de 240 bilhões de transações em períodos de pico e prevenindo 8,4 bilhões de ameaças todos os dias.

Image

promotional background

A Zero Trust Exchange conecta e protege usuários, cargas de trabalho e dispositivos em qualquer rede e em qualquer local.

Recursos sugeridos

Sete elementos para uma arquitetura zero trust de sucesso
Obter e-book
Por que firewalls não conseguem executar a segurança zero trust
Assista quando quiser
Uma breve história do zero trust: marcos importantes na reformulação da segurança corporativa
Obtenha o documento
Relatório de adoção da Zero Trust | Cybersecurity Insiders
Veja o relatório completo
O que é Zero Trust?
Saiba mais
Guia de mercado do Gartner para acesso à rede zero trust
Veja o relatório completo
01 / 04
Perguntas frequentes