Os últimos anos introduziram muitas mudanças na forma como as organizações trabalham e no discurso em torno da TI. Trabalho remoto, locais de trabalho híbridos e soluções em nuvem aumentaram em relevância e adoção. Mas esses não são os únicos termos que ganharam popularidade nos últimos tempos.
Se você trabalha com segurança de TI ou acompanha de perto os desenvolvimentos da área, é provável que tenha se deparado com o termo Zero Trust. Embora o termo em si não seja novo, ele ganhou maior destaque nos últimos anos.
No artigo de hoje, vamos explicar o que é o modelo Zero Trust, quais são seus componentes e como implementá-lo. Continue lendo para entender como esse padrão de segurança pode beneficiar a sua empresa!
Zero Trust: o que é?
Zero Trust não é um produto ou um serviço. É uma estratégia para abordar a segurança organizacional baseada no princípio “nunca confie, sempre verifique”, garantindo que nenhum dispositivo ou usuário seja confiável, independente de estar fora ou dentro da rede da organização.
O modelo de segurança Zero Trust defende políticas rigorosas para verificar identidades e conceder acesso a usuários dentro e fora da restrição de segurança. Em outras palavras: todos os usuários e dispositivos são tratados como estranhos até que sua identidade e status de segurança sejam verificados.
Quais são os componentes do modelo Zero Trust?
Identidades
O gerenciamento de identidade e acesso (IAM) está no centro da segurança Zero Trust.
É fundamental que os usuários sejam autorizados e autenticados antes de obterem acesso aos recursos da rede.
Os recursos de automação de identidade minimizam consideravelmente o risco de erros induzidos pelo homem no processo de gerenciamento de identidade.
Endpoints
O modelo Zero Trust defende a integração da segurança de rede e endpoint para desenvolver um modelo de segurança holístico. A função principal da segurança de rede é impedir que ataques maliciosos consigam atingir os endpoints da rede.
A aplicação da segurança de endpoint é fundamental para proteger a rede contra ataques, à medida que o perímetro da rede convencional vai diminuindo.
A rede
A rede pode ser protegida utilizando microssegmentação para ajudar a evitar ataques à segurança.
Os limites de rede tradicionais estão sumindo de forma rápida com o aumento do trabalho remoto, políticas BYOD e da adoção da nuvem. Por causa disso, é muito importante monitorar a rede através de ferramentas de análise comportamental.
Como implementar Zero Trust em 7 passos:
Em sua publicação especial sobre Zero Trust (NIST SP 800-207), o NIST descreve sete passos básicos que devem ser incluídos em qualquer arquitetura Zero Trust. Embora esses passos representem uma situação ideal, não é necessário implementá-los totalmente para a estratégia da sua organização.
Esses passos são:
1) Considere como recursos todas as fontes de dados e serviços de computação
Seja um dispositivo IOT, um produto SaaS ou um dispositivo pessoal – se estiver dentro da rede corporativa ou puder acessar dados ou serviços de propriedade da empresa, deve ser contado como um recurso.
2) Proteja toda a comunicação, independentemente da localização da rede
Nunca confie automaticamente em um usuário ou dispositivo com base em sua localização na rede. Quer uma solicitação de acesso venha da rede corporativa ou de uma rede não corporativa, ela deve atender aos mesmos requisitos de segurança.
3) Conceda o acesso a recursos corporativos individuais por sessão
Avalie a confiabilidade do solicitante antes de conceder acesso todas as vezes. Dê a eles os privilégios mínimos necessários para concluir suas tarefas e garanta que conceder a eles acesso a um recurso não conceda automaticamente acesso a outros.
4) Determine o acesso aos recursos pela política dinâmica
Defina sua lista de recursos, os membros de sua organização e quem tem qual nível de acesso a quais recursos. Leve em consideração o contexto e varie os métodos de autenticação com base na confidencialidade do recurso que está sendo acessado. O rigor da reautenticação deve ser proporcional à sensibilidade do recurso.
5) Monitore e avalie a integridade e a postura de segurança de todos os ativos próprios e associados
Monitore e avalie a postura de segurança de todos os dispositivos que acessam sua rede – isso inclui vulnerabilidades conhecidas, status de patches e outros riscos de cibersegurança – antes de conceder acesso. Os dispositivos não gerenciados, novos na rede ou gerenciados, mas conhecidos por terem vulnerabilidades, devem ser tratados de maneira diferente dos dispositivos gerenciados que são seguros.
6) Aplique autenticações e autorizações de recursos dinâmicas antes que o acesso seja permitido
Verifique continuamente se há ameaças e reavalie a confiança dada aos usuários que acessam seus recursos. Use soluções de gerenciamento de identidade e acesso para controlar o acesso e impor a autenticação multifator (MFA) para acesso aos recursos da empresa. Certifique-se de monitorar continuamente as atividades do usuário, reautenticando-os e reautorizando-os quando necessário.
7) Colete o máximo de informações possível sobre o estado atual dos ativos, infraestrutura de rede e comunicações
Colete e analise dados sobre posturas de segurança de dispositivos, tráfego de rede, solicitações de acesso, postura de segurança, etc. Esses dados também podem fornecer contexto adicional para os requisitos do princípio 4.
ManageEngine AD360 para impor uma arquitetura Zero Trust
Automatize tarefas rotineiras de gerenciamento, como provisionamento, modificação, desprovisionamento e administração do Active Directory (AD) de usuários com a solução de gerenciamento de ciclo de vida de identidade oferecida pelo AD360. Executar tarefas de gerenciamento de identidade para milhares de usuários, incluindo funcionários temporários e contratados, impõe uma carga de trabalho pesada aos administradores de TI.
O AD360 elimina o processamento manual dessas tarefas e ajuda a eliminar redundâncias e erros frequentemente causados por humanos. A solução de gerenciamento de identidade competente e simplificada garante que políticas de acesso rigorosas sejam seguidas para fornecer o nível certo de acesso aos usuários com base em suas funções e requisitos.
Este é um passo crucial para empregar o Zero Trust.
Clique aqui para conhecer mais sobre o AD360 da ManageEngine!