Como implementar o zero trust?

O que é Zero Trust?

O zero trust é uma estrutura de segurança que afirma que nenhum usuário ou aplicativo deve ser considerado confiável por padrão. Uma arquitetura zero trust aplica controles de acesso de privilégio mínimo que estabelecem a confiança com base no contexto (por exemplo, identidade e local do usuário, postura de segurança do terminal, aplicativo ou serviço solicitado) e com verificações de política em cada etapa. As solicitações de acesso — mesmo de indivíduos conhecidos — nunca são concedidas sem antes passar por uma autenticação rigorosa.

Quais são os princípios básicos do zero trust?

“Nunca confie, sempre verifique” é uma máxima fundamental do modelo de segurança zero trust. Para entender o motivo, vamos examinar o modelo já estabelecido há muito tempo de segurança de rede baseada em firewall.

As abordagens tradicionais de firewall para segurança cibernética presumem que as solicitações provenientes de fora do perímetro da rede não são inerentemente confiáveis, mas tudo que está na rede é. Ela também presume que os firewalls são eficazes em bloquear ameaças externas e que nenhuma ameaça já está presente dentro das defesas da rede, o que é falso.

Os criminosos cibernéticos se aproveitam dessa suposta confiança para burlar as defesas e implantar ransomwares e outros malwares avançados, exfiltrar dados sigilosos e muito mais. O zero trust se opõe ao risco da confiança presumida e reconhece que qualquer ativo pode estar comprometido. Três princípios fundamentam esse modelo:

1. Encerrar cada conexão. Os firewalls tradicionais utilizam uma abordagem de “passagem”, inspecionando os arquivos à medida que são entregues. Uma verdadeira solução de zero trust encerra cada conexão para que a arquitetura proxy integrada possa inspecionar todo o tráfego, incluindo o tráfego criptografado, antes que ele chegue ao seu destino.
2. Proteger dados com políticas granulares baseadas no contexto. As políticas de zero trust verificam as solicitações de acesso e os direitos com base em todo o contexto da solicitação, incluindo identidade, dispositivo, local, conteúdo, entre outros. As políticas são adaptativas, e os privilégios de acesso do usuário são constantemente reavaliados conforme o contexto muda.
3. Reduzir os riscos eliminando a superfície de ataque. Com uma verdadeira abordagem zero trust, os usuários e as entidades se conectam diretamente aos aplicativos e recursos, nunca às redes (ver ZTNA), ao contrário de uma VPN. Isso elimina os riscos de movimentação lateral e, como os usuários e aplicativos ficam invisíveis à internet, não podem ser descobertos ou atacados.

Qual é a diferença entre arquitetura zero trust (ZTA) e acesso à rede zero trust (ZTNA)?

Antes de nos aprofundarmos na implementação do zero trust, é importante distinguir esses dois termos:

• Uma arquitetura zero trust (ZTA) é um modelo que oferece suporte robusto ao gerenciamento de acesso, autenticação e segmentação. Ela é diferente de uma arquitetura de “castelo e fosso”, que confia em qualquer coisa interna por padrão, e muitas vezes é projetada para substituí-la.
• O acesso à rede zero trust (ZTNA) é um caso de uso da tecnologia de zero trust que oferece aos usuários acesso seguro a aplicativos e dados quando os usuários, cargas de trabalho ou dados podem não estar dentro de um perímetro tradicional, algo comum na era da nuvem e do trabalho híbrido.

Em outras palavras, uma arquitetura zero trust fornece a base que as organizações precisam para oferecer o ZTNA e tornar seus recursos acessíveis de qualquer lugar, a qualquer momento e de qualquer dispositivo. O ZTNA é uma abordagem de segurança mais ágil e responsiva, mais adequada para configurações multinuvem e trabalho remoto.

Desafios na implementação do zero trust

Diante das tendências atuais de trabalho remoto, aumento de dispositivos IoT e adoção da nuvem, a tarefa de criar uma estratégia zero trust pode parecer algo descomunal. Vamos analisar alguns obstáculos comuns e ver o que podemos fazer para superá-los.

Não saber por onde começar

Para iniciar a sua jornada de zero trust, tente identificar um problema específico no seu ecossistema. Talvez seja um risco de segurança, como uma superfície de ataque exposta ou acessos com excesso de privilégios. Também pode ser uma experiência de usuário negativa ou os custos de dívida técnica, infraestrutura ou conectividade. Começar com um problema pequeno oferece um ponto de partida para posteriormente enfrentar desafios maiores.

Vinculação a investimentos legados

É difícil abrir mão de investimentos passados, mesmo quando eles não atendem mais às necessidades. O momento que antecede as atualizações e renovações é ótimo para analisar se as ferramentas e tecnologias legadas ainda oferecem um suporte adequado aos objetivos comerciais atuais, atendem requisitos de CAPEX e OPEX e mantêm a empresa realmente segura em meio às tendências de nuvem, mobilidade e IoT em curso.

Necessidade da adesão das partes interessadas

O zero trust pode afetar todos os aspectos da sua empresa, e é necessário atrair o apoio de grande parte dos interessados. Seja honesto com eles sobre os benefícios e os pontos críticos de uma transformação para o zero trust. Entenda suas motivações e receios, incluindo aqueles que eles podem não saber que existem (por exemplo: riscos legais ou de conformidade). Identifique os principais casos de uso. Compartilhar os pequenos casos de uso iniciais também pode ajudar a conseguir uma adesão antecipada.

Como implementar o zero trust

A transformação para o zero trust leva tempo, mas é necessária para que as organizações atuais sobrevivam e prosperem — e uma transformação de sucesso tem três elementos principais:

• Conhecimento e convicção: entender as maneiras novas e melhores de utilizar a tecnologia para reduzir os custos, eliminar a complexidade e avançar os seus objetivos.
• Tecnologias disruptivas: afastar-se das soluções legadas que não são mais adequadas depois de todas as mudanças pelas quais a internet, as ameaças e as forças de trabalho passaram nas últimas três décadas.
• Mudança cultural e de mentalidade: promover o sucesso ao introduzir suas equipes na jornada. Quando os profissionais de TI entendem os benefícios do zero trust, eles começam a promovê-lo também.

É importante reconhecer que mudanças podem ser desconfortáveis, especialmente quando sua arquitetura e fluxos de trabalho atuais têm raízes profundas. Trabalhar em fases ajuda a superar isso, e é por isso que a Zscaler divide a jornada para o zero trust em quatro etapas:

1. Capacitar e proteger a força de trabalho
2. Proteger os dados em cargas de trabalho na nuvem
3. Modernizar a segurança de IoT/TO
4. Envolver os clientes e fornecedores com segurança

Ao alcançar cada um desses objetivos individualmente, transformando a sua rede e segurança ao longo do caminho, você obterá uma arquitetura zero trust que conecta com segurança usuários, dispositivos e aplicativos em qualquer rede, onde quer que estejam.

Práticas recomendadas de zero trust

O zero trust é mais do que configuração de microssegmentação, autenticação multifator (MFA), permissões e reavaliação da sua segurança local. Ele trata de atender às realidades das redes, forças de trabalho e ameaças atuais para tornar suas operações mais seguras, ágeis e competitivas.

Quando falamos sobre implementar as práticas recomendadas de zero trust, não nos referimos apenas às necessidades técnicas. É claro que você deve proteger os terminais, aplicar o princípio de privilégio mínimo e utilizar tecnologias de IA, aprendizado de máquina e automação. Mas, para que você possa fazer isso com eficácia, é necessário antes abordar os desafios de implementar a sua nova estratégia de segurança com um plano:

• Tome medidas para encontrar um ponto de partida. Seja ele um risco, um problema com a experiência do usuário, uma preocupação com custos ou qualquer outra coisa, use isso como um trampolim. Introduza o zero trust gradualmente em vez de tentar fazer o impossível.
• Reavalie os investimentos legados. Procure deficiências na segurança de rede e nuvem, experiência do usuário e relacionamentos com fornecedores em toda a sua organização e identifique os locais onde o zero trust pode fazer a maior diferença.
• Consiga a adesão das principais partes interessadas. Comece compreendendo bem as prioridades e necessidades das equipes fundamentais. Isso revelará os casos de uso que podem ajudá-lo a conseguir apoio e guiará você em direção ao ponto de partida mais importante.
• Não pense que precisa fazer isso sozinho. Sua equipe talvez não tenha a experiência necessária para implementar o zero trust por conta própria. Aproveite a ajuda especializada de serviços profissionais comprovados e provedores de serviços de segurança gerenciados.
• Considere um plano de entrega mútua (MDP). Esse acordo entre a organização e o fornecedor esclarecerá e organizará o que precisa ser feito e quais as etapas necessárias.

Precisa de assistência profissional? A Zscaler pode ajudar

A Zscaler disponibiliza o zero trust por meio da plataforma nativa da nuvem Zscaler Zero Trust Exchange™. Desenvolvida em uma arquitetura de proxy, a plataforma conecta com segurança usuários, dispositivos e aplicativos utilizando políticas corporativas em qualquer rede. A plataforma faz isso em quatro etapas:

1. Encerrar todas as conexões e realizar uma inspeção profunda e em tempo real de dados e ameaças em todo o tráfego, incluindo o tráfego criptografado.
2. Determinar a identidade e o dispositivo, verificando os direitos de acesso por meio de políticas corporativas baseadas no contexto, incluindo usuário, dispositivo, aplicativo e conteúdo.
3. Aplicar políticas para oferecer segmentação de usuário para aplicativo através de túneis individuais criptografados.
4. Conectar os usuários diretamente aos aplicativos por meio da Zero Trust Exchange, utilizando a internet, sem passar pela sua rede.

Benefícios da Zero Trust Exchange

• Evita a movimentação lateral de ameaças: os usuários se conectam diretamente aos aplicativos, sem acessar a rede, garantindo que as ameaças não possam se mover lateralmente ou infeccionar outros dispositivos ou aplicativos.
• Elimina a superfície de ataque da internet: os aplicativos ficam atrás do agente, invisíveis à internet, o que elimina sua superfície de ataque e evita ataques cibernéticos direcionados.
• Oferece uma ótima experiência do usuário: os usuários aproveitam conexões diretas aos aplicativos, gerenciadas internamente e otimizadas, com aplicação de políticas na borda em mais de 150 data centers em todo o mundo.
• Reduz os custos e a complexidade: o gerenciamento e a implantação são simples, sem necessidade de VPNs, firewalls complexos ou qualquer hardware adicional.
• Se expande conforme a sua empresa cresce: o modelo nativo da nuvem e multiusuário da plataforma é totalmente distribuído em mais de 150 data centers em todo o mundo para oferecer a conectividade segura que você precisa.