Planejando a estratégia Zero Trust

Explore as fases cruciais da jornada Zero Trust, com foco em planejamento, gerenciamento de inventário e considerações-chave de segurança usando padrões NIST.

Agora que entendemos como funciona a fase de preparação da jornada Zero Trust, é hora de nos aprofundarmos no planejamento.

Enquanto a preparação envolve análise estratégica e coleta de informações de forma profunda e ampla, o planejamento é a documentação de todos os recursos enquadrados na estratégia Zero Trust. Pode ser classificado em:

  • ativos;
  • identidades;
  • dados;
  • cargas de trabalho.

Neste post, explicamos em detalhes esta importante etapa na jornada Zero Trust e o caminho para construir inventários com base nas melhores práticas do Instituto Nacional de Padrões e Tecnologia (NIST).

O que é a fase de planejamento na jornada Zero Trust?

O planejamento baseia-se na construção de inventários de ativos tangíveis e intangíveis dentro da rede. A partir da lista de ativos, é possível medir a criticidade e as consequências de uma eventual perda ou violação e, em seguida, construir uma postura de defesa apropriada.

É impossível ignorar o tamanho do esforço para completar esta tarefa—especialmente em grandes empresas. Por esta razão, as melhores práticas do NIST indicam que os ativos dos stakeholders devem ser o foco inicial, e então o processo pode ser dividido em subconjuntos direcionados a áreas menores.

Tal direção vai ao encontro da simplificação proposta da jornada, pois grande parte do esforço é reduzido para dar início aos próximos passos.

Como classificar e construir inventários na jornada Zero Trust?

Agora a questão é: por onde começar o planejamento? Classificando os inventários em ativos, identidades, dados, fluxo de dados e fluxo de trabalho, um processo que abordaremos a seguir.

Ativos

“Você não pode se proteger daquilo que não pode ver.” Você pode nunca ter se deparado com esta frase, mas ela define bem a importância do inventário de ativos na jornada Zero Trust, pois documenta todos os sistemas, dispositivos, software e aplicações em uma rede.

Um dos principais benefícios do inventário de ativos é possibilitar a identificação de vulnerabilidades de segurança e planos de ação eficientes, evitando que tempo e dinheiro desnecessários sejam gastos.

Este trabalho pode ser mais árduo dependendo do tamanho da empresa e da quantidade de ativos tangíveis existentes. No entanto, existem maneiras de automatizar o processo para obter visibilidade dos ativos de TI de forma mais rápida e simplificada.

Identidades

Identidades podem ser pessoas ou qualquer tipo de entidade na rede. Como elas usam os recursos da empresa, o controle de acesso é necessário para que um determinado recurso seja acessado pela entidade certa, no momento certo e no contexto certo.

Por exemplo, recursos que administradores de sistema, desenvolvedores e stakeholders têm acesso são críticos para o negócio, e devem ser os primeiros itens mapeados e analisados em termos de segurança.

O propósito do inventário de identidades é precisamente armazenar informações autoritativas sobre as entidades que acessam recursos na rede para que a equipe de segurança possa analisar previamente os obstáculos e vulnerabilidades para a implementação do Zero Trust.

Dados

Além dos inventários acima, é necessário criar outro para armazenar e catalogar todos os dados e informações existentes nos sistemas inseridos na estratégia Zero Trust. A partir deste inventário, é possível entender o estado atual dos ativos, infraestrutura de rede e comunicações, o que é crucial para desenvolver a postura de defesa.

Como os dados estão espalhados por toda a empresa e geralmente são numerosos, recomenda-se que a organização priorize documentar os dados mais importantes e sensíveis.

De acordo com a Associação Internacional de Comunicações e Eletrônica das Forças Armadas (AFCEA), uma das melhores práticas para garantir que dados críticos para a missão estejam sempre disponíveis para apoiar funções da missão e nunca caiam em mãos erradas é definir administradores de dados.

Quem são os administradores de dados?

Em uma estratégia Zero Trust, administradores de dados são as pessoas encarregadas de organizar e gerenciar dados da missão. Eles têm a responsabilidade de mantê-los protegidos e garantir que sejam usados de acordo com as permissões de acesso e a função dos dados no contexto da missão.

O fato de nos referirmos à figura do administrador de dados no plural não é por acaso. Na maioria das empresas, o gerenciamento de dados é dividido entre as diferentes áreas envolvidas na missão, de modo que cada administrador de dados é designado para um conjunto específico de dados críticos. Este processo é orquestrado pelo Chief Data Officer.

Fluxo de dados

O fluxo de dados é o caminho percorrido pelos dados da empresa até o usuário final. Em uma arquitetura Zero Trust, é necessário prestar atenção, entre outros pontos, à criptografia na transmissão de dados entre aplicações, serviços e usuários.

O inventário de fluxo de dados é a documentação de toda a jornada de um dado que passa pelos ativos, identidades e outros componentes impactados pela estratégia Zero Trust. Por exemplo, um desenvolvedor usa seu laptop para acessar os dados necessários para conectar soluções via API.

O fluxo entre a solicitação e a entrega é o que deve ser incluído no inventário para sua completa visibilidade.

Cargas de trabalho

No contexto do Zero Trust, cargas de trabalho são as conexões nas aplicações da empresa. Quando as cargas de trabalho são documentadas, entender como as interfaces entre aplicações, fontes, usuários e entidades serão protegidas torna-se mais fácil.

Este processo compreende a proteção do acesso a aplicações e ambientes envolvendo qualquer usuário, dispositivo e localização, e possibilita a criação de uma zona de acesso seguro a ser implementada na arquitetura. Em termos simples, não há como construir uma arquitetura Zero Trust eficiente sem um olhar atento às cargas de trabalho.

Vale mencionar que as cargas de trabalho fazem parte de uma abordagem chamada Trusted Access, definida pela Cisco em três pilares: força de trabalho, carga de trabalho e local de trabalho. Este é um conjunto de melhores práticas que possibilitam a terceira fase da jornada Zero Trust—um assunto que abordaremos no próximo post do blog.

Considerações importantes sobre processos de planejamento

Construir inventários, com ênfase nas configurações de carga de trabalho, é uma tarefa que requer tempo substancial se feita manualmente. De acordo com a Forrester, devido à facilidade com que são geradas, cargas de trabalho em arquiteturas cloud precisam ser documentadas com a ajuda de soluções que ofereçam este tipo de visibilidade.

A razão para isso é simplificar o processo para que não se torne um gargalo e também para que a equipe seja capaz de prosseguir com as próximas fases da jornada o mais rápido possível. Em outras palavras, usar ferramentas, plataformas e soluções que contribuam para uma boa visibilidade é sempre bem-vindo.

Da mesma forma, o trabalho orientado por dados se beneficia da adoção de soluções de observabilidade, capazes de tornar visíveis as interações entre usuários, aplicações e dados de uma vasta quantidade de dispositivos, incluindo a criação de um conjunto de políticas Zero Trust, que veremos no próximo post desta série.

O stack de segurança da Azion simplifica a implementação do Zero Trust ao facilitar a obtenção de dados em tempo real de eventos que ocorrem em aplicações. Também simplifica a criação de regras eficientes de controle de acesso e políticas para gerar suas cargas de trabalho.

Entre em contato com nossos especialistas e saiba como podemos ajudar seu negócio a levar a segurança para o próximo nível.

Referências [1] Tips for Zero Trust Strategy Implementation Leads (AFCEA) | [2] Zero Trust Architecture: A Practical Approach, por Cisco

Conteúdo Relacionado

Comunidade

fique atualizado

Inscreva-se na nossa Newsletter

Receba as últimas atualizações de produtos, destaques de eventos e insights da indústria de tecnologia diretamente no seu e-mail.