Depois de entender como funciona a fase de preparação da jornada Zero Trust, chegou a hora de explorarmos mais a fundo o planejamento.
Enquanto a preparação envolve análises estratégicas e levantamento de informações de forma profunda e ampla, o planejamento é a documentação de todos os recursos enquadrados na estratégia de Zero Trust, classificados em:
- ativos
- identidades
- dados
- workloads.
Neste post, explicamos em mais detalhes essa importante etapa da jornada Zero Trust e o caminho para a construção de inventários com base nas melhores práticas do National Institute of Standards and Technology (NIST).
O que é a fase de planejamento na jornada Zero Trust?
O planejamento é baseado na construção de inventários de ativos tangíveis e intangíveis dentro da rede. A partir da relação de ativos, é possível mensurar a criticidade e as consequências de uma eventual perda ou violação, e então construir uma postura de defesa apropriada.
É impossível ignorar o tamanho do esforço para se concluir essa tarefa — principalmente nas grandes empresas. Até por isso, as práticas recomendadas pelo NIST indicam que os ativos dos stakeholders devem ser o foco inicial e, depois, o processo pode ser dividido em subconjuntos direcionados às pequenas áreas.
Tal direcionamento vai ao encontro da proposta de simplificação da jornada, pois muitos dos esforços são reduzidos para que as próximas etapas entrem em curso.
Como classificar e construir inventários na jornada Zero Trust?
Agora a questão é: por onde começar o planejamento? Classificando os inventários em ativos, identidades, dados, fluxo de dados e workflow, processo que abordaremos neste tópico.
Ativos
”Você não pode se proteger daquilo que não vê”. Você pode nunca ter se deparado com essa frase, mas ela é define bem a importância do inventário de ativos na jornada Zero Trust, pois nele são documentados todos os sistemas, dispositivos, software e aplicações em uma rede.
Um dos principais benefícios do inventário de ativos é habilitar a identificação de vulnerabilidades de segurança e planos de ação eficientes, evitando-se que tempo e dinheiro sejam gastos desnecessariamente.
Esse trabalho pode ser mais árduo em função do tamanho da empresa e da quantidade de ativos tangíveis existentes. Porém, há meios de automatizar o processo a fim de obter visibilidade dos ativos de TI de maneira mais rápida e simplificada.
Identidades
Identidades podem ser pessoas ou qualquer tipo de entidade na rede. Como utilizam os recursos da empresa, é necessário um controle de acesso para que determinado recurso seja acessado pela entidade certa, na hora certa e no contexto certo.
Por exemplo, recursos a que administradores de sistemas, desenvolvedores e stakeholders têm acesso são críticos para os negócios, e devem ser os primeiros itens mapeados e analisados em termos de segurança.
O objetivo do inventário de identidades é justamente armazenar as informações autoritativas sobre as entidades que acessam recursos na rede, de modo que o time de segurança possa analisar antecipadamente os obstáculos e vulnerabilidades para a implementação de Zero Trust.
Dados
Além dos inventários acima, é necessário criar um inventário para armazenar e catalogar todos os dados e informações existentes nos sistemas inseridos na estratégia Zero Trust. A partir desse inventário é possível compreender o atual estado dos ativos, da infraestrutura de rede e das comunicações, o que é crucial para desenvolver a postura de defesa.
Como os dados estão pulverizados por toda a empresa e normalmente são numerosos, é recomendado que a organização priorize a documentação daqueles mais importantes e sensíveis. Exemplos: informações privadas, segredos de negócio e propriedade intelectual.
De acordo com a AFCEA (Armed Forces Communications & Electronics Association International)[1], uma das melhores práticas para assegurar que os dados de missão crítica estejam sempre disponíveis para sustentar funções de missão e nunca caírem nas mãos erradas é definir administradores de dados (popularmente conhecidos como “data stewards”, em inglês).
Quem são os data stewards?
Em uma estratégia de Zero Trust, data stewards são as pessoas encarregadas de organizar e gerenciar dados da missão. Elas têm a responsabilidade de mantê-los protegidos e assegurar que sejam usados conforme as permissões de acesso e a função do dado no contexto da missão.
O fato de nos referirmos à figura do data steward no plural não é por acaso. Na maioria das empresas, o gerenciamento de dados é dividido entre as diferentes áreas envolvidas na missão, de modo que cada data steward seja nomeado para um determinado conjunto de dados críticos. Esse processo é orquestrado pelo Chief Data Officer.
Fluxo de dados
Fluxo de dados é o caminho percorrido pelo dado da empresa até o usuário final. Em uma arquitetura Zero Trust, é preciso se atentar, entre outros pontos, à criptografia na transmissão de dados entre aplicações, serviços e usuários.
O inventário de fluxo de dados é a documentação de toda a jornada de um dado que passa pelos ativos, identidades e demais componentes impactados pela estratégia de Zero Trust.
Por exemplo, um desenvolvedor utiliza seu laptop para acessar dados necessários para conectar soluções via API. O fluxo entre a requisição e a entrega é o que deve constar no inventário para sua visibilidade completa.
Workloads
No contexto de Zero Trust, workloads são as conexões existentes nas aplicações da empresa. Quando os workloads são documentados, o entendimento de como serão protegidas as interfaces entre aplicações, origens, usuários e entidades se torna mais fácil.
Esse processo compreende a segurança de acesso a aplicações e ambientes envolvendo qualquer usuário, dispositivo e localização, e habilita a criação de uma zona de acesso seguro a ser implementada na arquitetura. Simplesmente, não há como construir uma arquitetura Zero Trust eficiente sem um olhar atento aos workloads.
Vale frisar que os workloads fazem parte de uma abordagem chamada Trusted Access, definida pela Cisco em três pilares: workforce, workload e workplace[2]. Trata-se de um conjunto de melhores práticas que habilitam a terceira fase da jornada Zero Trust — assunto que abordaremos no próximo post.
Considerações importantes sobre os processos do planejamento
A construção de inventários, com destaque às configurações de workloads, é uma tarefa que demanda um tempo substancial se realizada manualmente. De acordo com a Forrester, devido à facilidade com a qual são gerados, workloads em arquiteturas cloud precisam ser documentados com auxílio de soluções que ofereçam esse tipo de visibilidade.
O motivo para isso é a simplificação do processo para que não se torne um gargalo e, também, para que a equipe tenha condições de prosseguir com as próximas fases da jornada o mais rápido possível. Em outras palavras, o uso de ferramentas, plataformas e soluções que contribuem para uma boa visibilidade é sempre bem-vindo.
Da mesma maneira, o trabalho voltado aos dados é beneficiado pela adoção de soluções de observabilidade, capazes de tornar visíveis as interações entre usuários, aplicações e dados a partir de uma vasta quantidade de dispositivos, inclusive para a criação de um conjunto de políticas Zero Trust, o que veremos no próximo post desta série.
O stack de segurança da Azion simplifica a implementação de Zero Trust ao facilitar a obtenção, em tempo real, de dados de eventos que ocorrem nas aplicações. Ele também simplifica a criação de um controle de acesso eficiente, além de regras e políticas para a geração dos seus workloads.
Entre em contato com nossos experts e saiba como podemos ajudar sua empresa a levar a segurança a um novo patamar.
