O modelo Zero Trust vem ganhando popularidade entre as organizações nos últimos anos. Em 2019, quase 80% das equipes de segurança da informação implementaram esse modelo ou pelo menos estavam planejando fazer a mudança. Aqui, detalhamos o conceito Zero Trust para ver o que o torna atraente para os negócios.
O perímetro não basta
A Segurança de perímetro, termo comum quando falamos de proteção de infraestrutura corporativa, engloba o uso de verificações completas para toda e qualquer tentativa de conexão com recursos corporativos de fora dessa infraestrutura. Essencialmente, estabelece uma fronteira entre a rede corporativa e o resto do mundo. Dentro do perímetro – dentro da rede corporativa – no entanto, torna-se uma zona confiável na qual usuários, dispositivos e aplicativos desfrutam de uma certa liberdade.
A segurança do perímetro funcionava — desde que a zona confiável fosse limitada à rede de acesso local e aos dispositivos estacionários conectados a ela. Mas o conceito de “perímetro” ficou turvo à medida que o número de dispositivos móveis e serviços em nuvem em uso pelos funcionários aumentou. Atualmente, pelo menos uma parte dos recursos corporativos está localizada fora do escritório ou mesmo no exterior. Tentar escondê-los mesmo atrás das paredes mais altas é impraticável. Penetrar na zona confiável e movimentar-se sem obstáculos tornou-se muito mais fácil.
Em 2010, o analista principal da Forrester Research, John Kindervag, apresentou o conceito de Zero Trust como uma alternativa à segurança de perímetro. Ele propôs renunciar à distinção externa versus interna e concentrar-se nos recursos. Zero Trust é, em essência, uma ausência de zonas de confiança de qualquer tipo. Nesse modelo, usuários, dispositivos e aplicativos estão sujeitos a verificações sempre que solicitam acesso a um recurso corporativo.
Zero Trust na prática
Não existe uma abordagem única para implantar um sistema de segurança baseado no Zero Trust. Apesar disso, é possível identificar vários princípios fundamentais que podem ajudar a construir um sistema como esse.
Superfície de proteção em vez da superfície de ataque
O conceito Zero Trust normalmente envolve uma “superfície de proteção”, que inclui tudo o que a organização deve proteger contra acesso não autorizado: dados confidenciais, componentes de infraestrutura e assim por diante. A superfície de proteção é significativamente menor que a superfície de ataque, que inclui todos os ativos, processos e atores de infraestrutura potencialmente vulneráveis. Portanto, é mais fácil garantir que a superfície de proteção esteja segura do que reduzir a superfície de ataque a zero.
Microssegmentação
Diferentemente da abordagem clássica, que fornece proteção de perímetro externa, o modelo Zero Trust divide a infraestrutura corporativa e outros recursos em pequenos nós, que podem consistir em apenas um dispositivo ou aplicativo. O resultado são muitos perímetros microscópicos, cada um com suas próprias políticas de segurança e permissões de acesso, permitindo flexibilidade no gerenciamento do acesso e permitindo às empresas bloquear a propagação incontrolável de uma ameaça na rede.
Princípio dos privilégios mínimos
Cada usuário recebe apenas os privilégios necessários para executar suas próprias tarefas. Portanto, uma conta de usuário individual sendo invadida compromete apenas parte da infraestrutura.
Autenticação
A doutrina da Zero Trust diz que é preciso tratar qualquer tentativa de obter acesso às informações corporativas como uma ameaça em potencial até que se prove o contrário. Portanto, para cada sessão, todo usuário, dispositivo e aplicativo deve passar no procedimento de autenticação e provar que tem o direito de acessar os dados disponíveis.
Controle total
Para que uma implementação do Zero Trust seja eficaz, a equipe de TI deve ter a capacidade de controlar todos os dispositivos e aplicativos de trabalho. Também é essencial registrar e analisar informações sobre todos os eventos nos terminais e outros componentes da infraestrutura.
Benefícios do Zero Trust
Além de eliminar a necessidade de proteger o perímetro, que fica cada vez mais indefinido à medida que os negócios se tornam cada vez mais móveis, o Zero Trust resolve alguns outros problemas. Em particular, com cada ator de processo sendo verificado e reverificado continuamente, as empresas podem se adaptar mais facilmente às mudanças, por exemplo, removendo os privilégios de acesso dos funcionários que estão saindo ou ajustando os privilégios daqueles cujas responsabilidades foram alteradas.
Desafios ao implementar Zero Trust
A transição para o Zero Trust pode ser demorada e cheia de dificuldades para algumas organizações. Se seus funcionários usarem equipamentos de escritório e dispositivos pessoais para o trabalho, todos os equipamentos deverão ser inventariados; as políticas corporativas precisam ser configuradas nos dispositivos necessários para o trabalho; e outros precisam ser impedidos de acessar recursos corporativos. Para grandes empresas com filiais em várias cidades e países, o processo pode levar algum tempo.
Nem todos os sistemas estão igualmente bem adaptados a uma transição para o Zero Trust. Se sua empresa possui uma infraestrutura complexa, por exemplo, pode incluir dispositivos ou software obsoletos que não suportam os padrões de segurança atuais. A substituição desses sistemas levará tempo e dinheiro.
Seus funcionários, incluindo membros de suas equipes de TI e de segurança da informação, também podem não estar preparados para a mudança de estrutura. Afinal, eles serão os responsáveis pelo controle de acesso e gerenciamento de sua infraestrutura.
Isso significa que, em muitos casos, as empresas podem precisar de um plano de transição gradual para o Zero Trust. Por exemplo, o Google precisou de sete anos para construir a estrutura BeyondCorp baseada no Zero Trust. O tempo de implementação pode ser substancialmente mais curto para organizações corporativas menos ramificadas, mas você não deve esperar que o processo seja compactado em algumas semanas – ou até meses.
Zero Trust, segurança do futuro
Assim, a transição da segurança de perímetro tradicional para garantir uma superfície de proteção sob a estrutura Zero Trust, embora assumindo o uso da tecnologia disponível, ainda pode ser um projeto pouco simples ou rápido, tanto em termos de engenharia quanto em termos de mudança de mentalidade dos funcionários. No entanto, garantirá que a empresa se beneficie com menores despesas com segurança da informação, bem como com um número reduzido de incidentes e seus danos associados.