Artigos

Zero Trust Security

Por 9 de dezembro de 2021 Sem comentários

*Por Felipe Dias

O que é Zero Trust?

A definição de Zero Trust é um modelo de segurança baseado na ideia de que ninguém é totalmente confiável e tem permissão para acessar os ativos da empresa até que sejam validados como legítimos e autorizados. Quando falamos de Segurança Zero Trust, a ideia é garantir apenas o acesso necessário para cada usuário e tecnologia com seus privilégios mínimos, que é projetado para conceder acesso aos recursos que os usuários ou grupos de usuários requerem. Além disso, aqueles que têm acesso à rede, dados e outros ativos são continuamente obrigados a se autenticarem para garantir a segurança.

A adoção da Confiança Zero (Zero Trust) disparou em resposta ao rápido aumento de trabalhadores móveis e remotos, à tendência de utilização de seus próprios dispositivos e ao rápido aumento dos serviços em nuvem. Embora essas tendências tragam benefícios e novos níveis de flexibilidade para a TI, elas também reduziram a capacidade das organizações de controlar e proteger o acesso a dados e recursos de rede. O Zero Trust traz esse controle de volta, restringindo a segurança diante de um perímetro de rede.

Quais são os Princípios de Zero Trust? 

  1. Conceder o Mínimo Possível de Privilégios

O princípio básico de Zero Trust concentra-se na ideia de conceder o mínimo possível de privilégios e acesso sem afetar a capacidade do indivíduo de realizar tarefas. Somente conceder acesso, caso a caso, exatamente para o que for necessário, e nada mais.

  1. Nunca Confiar, Sempre Verificar

Nenhuma ação ou usuário são realmente confiáveis dentro do modelo de segurança Zero Trust. Cada nova entrada em um sistema ou solicitação de acesso a novos dados precisa vir com alguma forma de autenticação para se verificar a identidade do usuário.

  1. Sempre Monitorar

Por fim, Zero Trust exige monitoramento e avaliação constantes do comportamento do usuário, dos movimentos de dados, de alterações na rede e de alterações de dados. Embora a autenticação e as restrições de privilégios sejam a as principais estruturas do Zero Trust, é sempre melhor verificar todas as ações realizadas dentro da infraestrutura da organização. 

Quais são os Tipos de Zero Trust e Benefícios?

Implementar uma arquitetura de confiança zero, protege aplicativos privados, dados confidenciais e ativos de rede, enquanto reduz drasticamente os riscos de usuários internos mal-intencionados e contas que podem ser comprometidas.

Há no momento duas aplicações distintas para o modelo Zero Trust:

  • Acesso à Rede Zero Trust (Zero Trust Network Access – ZTNA)
  • Proteção de Dados Zero Trust (Zero Trust Data Protection – ZTDP)

O que é o Acesso à Rede Zero Trust (Zero Trust Network Access)?

Ao projetar uma solução de confiança zero para acesso remoto a um ambiente, geralmente é referido como Zero Trust Network Access (ZTNA), mas também é conhecido como Software Defined Perimeter (SDP). Um ZTNA ou SDP é uma forma moderna de proteger o acesso à rede, que usa uma abordagem baseada na nuvem e baseada em software para substituir o hardware de VPNs. Ele cria uma rede de sobreposição que conecta com segurança usuários e dispositivos pela Internet aos servidores e aplicativos de que precisam no Data Center ou Nuvem pública.

As soluções de acesso privado à rede oferecem os seguintes benefícios:

  • Protege de forma eficaz o acesso remoto do usuário;
  • Garante forte autenticação;
  • Implementa a governança eficaz do acesso a recursos;
  • Reduz o potencial de violação e os danos;
  • Suporta iniciativas de auditoria de conformidade;
  • Acelera uma transição para a nuvem;
  • Transforma a segurança, iniciando substituições de VPN e adotando soluções definidas por software.

A maioria das organizações está adotando um modelo Zero Trust para fornecer visibilidade total e controle sobre usuários e dispositivos que têm acesso a um número crescente de aplicações em nuvem e serviços de dados. Isso inclui aplicativos gerenciados dentro do ecossistema de uma empresa, bem como aplicações não gerenciadas usadas por linhas de negócios e indivíduos dentro da corporação.

O que é a Proteção de Dados Zero Trust (Zero Trust Data Protection)?

Por outro lado, o Zero Trust Data Protection (ZTDP), podemos definir como uma aplicação dos princípios básicos de confiança zero para proteger seus dados contra visualização, movimentação, alteração e exfiltração não autorizada.

Os benefícios da ZTDP são:

  • Avaliação permanente de riscos;
  • Contexto de dados e consciência de sensibilidade para melhor aplicação de políticas;
  • Possibilita o acesso seguro de qualquer lugar;
  • Assegura que os dados estejam protegidos em qualquer lugar;
  • Adesão aos padrões de conformidade atuais.

A inclusão de outras ferramentas como plataformas analíticas e visibilidade inline do uso da nuvem, da web e de rede possibilita os administradores personalizar as regras de Zero Trust e evitar movimentos laterais não autorizados de outros conjuntos de dados. Resumindo, a proteção de dados Zero Trust é a primeira linha de defesa contra o acesso e a exfiltração de dados sem autorização.

Conclusão:

Embora ambos os conceitos utilizem Zero Trust, a Zero Trust Network Access (ZTNA) envolve-se com a aplicação do modelo precisa para as finalidades de proteção do acesso à rede, enquanto o Zero Trust Data Protection (ZTDP) aplica confiança zero na proteção do acesso a dados. Ambos os conceitos têm os objetivos de proteção contra invasões de rede e exfiltrações/alterações de dados.

Uma abordagem de zero trust, pode estabelecer confiança em cada solicitação de acesso, não importa de onde venha, protege o acesso em seus aplicativos na rede e estende a confiança para oferecer suporte a uma empresa moderna em toda a rede distribuída.

— Felipe Dias é Cyber Security Consultant na [SAFEWAY]

Sobre a Safeway:

SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.

Hoje através de mais de 23 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.

Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!