Se você não está familiarizado com este conceito, recomendamos que comece lendo sobre zero trust vs segurança tradicional. No entanto, aqueles que já estão familiarizados com o tema sabem que implementar um modelo de segurança zero trust pode ser desafiador.
De acordo com o site Zero Trust Roadmap, a arquitetura zero trust consiste em sete componentes, e a implementação ideal requer o cumprimento de 28 etapas que envolvem diferentes níveis de esforço e áreas de TI. Isso pode parecer assustador, mas os benefícios da adoção do zero trust são compensadores.
Felizmente, por mais difícil que seja a escalada para a arquitetura zero trust, é possível simplificá-la para que, passando por certos pontos ao longo do caminho, você possa construir uma base para alcançar o pico mais rapidamente. Neste post, apresentaremos os primeiros passos para atingir esse objetivo.
Requisitos para uma jornada simplificada de Zero Trust
A primeira coisa a fazer é elaborar um plano para simplificar sua jornada. De acordo com as melhores práticas da Forrester, esse plano deve ser guiado por quatro etapas: identificação, mapeamento de soluções, microssegmentação e jornada. Abaixo, explicamos cada uma delas.
Identificação
A identificação é o ponto de partida para a jornada de simplificação. É onde todos os componentes de um ecossistema zero trust são levantados (dados, cargas de trabalho, redes, usuários e dispositivos).
Dados
Para proteger e gerenciar dados sensíveis da empresa, é necessário identificá-los. Quando identificados, os dados podem ser categorizados e classificados para que o controle de acesso possa ser estabelecido.
Vale ressaltar que a visibilidade dos eventos que ocorrem nas aplicações é importante para o controle de acesso aos dados. Afinal, isso permite entender como os dados foram tratados e por quem (e de que maneiras) foram acessados e compartilhados.
Cargas de trabalho
No contexto de zero trust, cargas de trabalho referem-se a todos os elementos dos sistemas de front-end e back-end que executam o negócio e ajudam a conquistar, atender e reter clientes.
Isso inclui conexões, aplicações e componentes que se encaixam como vetores de ataque e, portanto, requerem um mecanismo de segurança rigoroso para evitar a exploração por invasores.
NetworkIoT
Isso abrange todas as redes públicas, privadas e virtuais existentes na empresa. A identificação de redes permite a criação de controle de acesso granular para usuários, endpoints e dispositivos por meio de um processo chamado microssegmentação, que discutiremos mais adiante.
Usuários
Consiste em identificar todos os usuários/entidades (e seus respectivos papéis) na rede. Ao obter essas informações, é possível estabelecer o controle de acesso com base no papel de cada usuário (controle de acesso baseado em função - RBAC).
O conceito RBAC permite a aplicação de um modelo zero trust. Como os usuários devem ter acesso apenas ao que é necessário para executar uma tarefa ou função, o RBAC permite determinar por quem e como dados ou serviços específicos podem ser acessados.
Dispositivos
Um dispositivo é qualquer ativo físico ou virtual que se comunica com a rede, como um laptop, IoT ou API. Identificar dispositivos permite que a equipe de segurança os proteja e gerencie de acordo com as melhores práticas de zero trust.
À medida que os dispositivos são identificados e analisados, a equipe de segurança amplia sua percepção dos riscos (consciência de risco) que eles representam para a segurança dos dados e da própria aplicação.
Mapeamento de soluções
Após a etapa de identificação, começa o mapeamento de soluções. Esta etapa é onde os privilégios mínimos são configurados e os parâmetros de acesso são determinados para cada dado ou serviço (quem, o quê, por quê, quando e como), também aplicáveis a cargas de trabalho, redes e dispositivos.
Como você já sabe, conceder acesso mínimo é um dos pilares do modelo zero trust, e funciona de forma bastante simples na prática. Por exemplo, para desempenhar sua função, um contador precisa ter acesso às informações financeiras da empresa, mas não necessariamente a todas elas. Portanto, seu acesso deve ser restrito a apenas parte das informações financeiras da empresa.
Da mesma forma, uma API deve se comunicar apenas com aplicações e serviços correspondentes à sua função. Se o propósito da API é conectar um componente de aplicação a um banco de dados, qualquer outra permissão de acesso além de executar estritamente essa tarefa representa uma brecha de segurança.
Microssegmentação
A microssegmentação é a divisão lógica de infraestrutura, redes e aplicações em segmentos de segurança distintos, em que cada componente é configurado e gerenciado individualmente, sem interferir nos outros.
Podemos comparar a microssegmentação com contêineres. Como os contêineres, os componentes segmentados têm suas próprias características de infraestrutura e configurações de segurança, e os atacantes não podem circular livremente pela rede porque estão “isolados” uns dos outros.
Jornada
A jornada é a última etapa da lista. Ela abrange preparação e planejamento, com base nas informações coletadas na identificação, fases de controle de acesso e implementação.
- Preparação: envolve a criação de um roteiro que fornece uma visualização de atividades, recursos e dependências necessários para a execução de uma estratégia zero trust eficiente.
- Planejamento: elaboração de um plano que indica como a estratégia zero trust será executada com base em processos (gestão de mudanças, solicitações, etc.), mapeamento (dispositivos, usuários, entre outras variáveis), fluxos de trabalho e fluxos de dados;
- Controle de acesso: identificar maturidade, lacunas e riscos potenciais envolvendo inventários para documentar assuntos, fluxos de dados e fluxos de trabalho dentro da empresa;
- Implementação: construção de uma política zero trust e definição de responsabilidade para indivíduos e sistemas, e monitoramento contínuo, ou seja, “nunca confie, sempre verifique” na prática.
Ao implementar essas quatro fases, a empresa construiu com sucesso uma abordagem zero trust. Agora, os esforços precisam ser dedicados à manutenção do framework zero trust, o que implica em revisão constante do planejamento e também no monitoramento de mudanças que possam ocorrer na empresa.
Benefícios de uma jornada simplificada de Zero Trust
A preparação é fundamental para garantir que a equipe de segurança tenha a visibilidade necessária para tornar a implementação não apenas bem-sucedida, mas também atender aos requisitos de uma arquitetura zero trust eficiente. Sem isso, qualquer ação voltada para a implementação do modelo seria inútil.
Além de fornecer a direção adequada para as próximas etapas da jornada, implementar um framework zero trust — no qual qualquer recurso dentro de uma rede é acessível adaptando-se às dimensões e parâmetros de confiança — significa seguir um caminho oposto aos modelos de segurança tradicionais, cujos controles de acesso são mais flexíveis.
Com as etapas de identificação, mapeamento de soluções e microssegmentação bem conduzidas e estruturadas, é muito mais fácil desenvolver uma postura de defesa que minimize o impacto das ameaças, pois sua equipe de segurança será capaz de:
- limitar o alcance de um ataque dentro da rede;
- responder rapidamente a um ataque criando mecanismos de bloqueio personalizados apropriados para cada segmento da aplicação;
- cobrir pontos cegos que continuariam a existir se não fossem identificados;
- realizar monitoramento complementado por análise de dados que contribui para uma postura proativa e corretiva.
Próximos passos em direção ao Zero Trust
Por mais que a arquitetura zero trust faça diferença no contexto atual da cibersegurança, seu valor é perdido quando a própria empresa não segue a abordagem à risca. Portanto, é importante revisar o mapeamento da solução com frequência para redefinir regras e condições sempre que necessário.
Um cenário comum é a renovação de contratos com fornecedores. Isso porque eles podem trazer mudanças que influenciam a estratégia em pontos específicos, como o uso de uma API ou um web application firewall. Se os parâmetros não forem atualizados como resultado dessas mudanças, a arquitetura zero trust será impactada.