Segurança Zero Trust | O que é uma rede Zero Trust?

Zero Trust é um modelo de segurança baseado no princípio de manter controles rígidos de acesso e não confiar em ninguém por definição, mesmo aqueles que já estão dentro do perímetro da rede.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Defina segurança Zero Trust
  • Descreva as tecnologias e princípios por trás do Zero Trust
  • Aprenda como implementar uma arquitetura de segurança Zero Trust

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é segurança zero trust?

A segurança Zero Trust é um modelo de segurança de TI que requer verificação de identidade rigorosa para todas as pessoas e dispositivos que tentam acessar recursos em uma rede privada, independentemente de estarem dentro ou fora do perímetro da rede. O ZTNA é a principal tecnologia associada à arquitetura Zero Trust; mas Zero Trust é uma abordagem holística para segurança de rede que incorpora vários princípios e tecnologias diferentes.

Simplificando: a segurança de rede de TI tradicional confia em qualquer pessoa e em qualquer coisa dentro da rede. Uma arquitetura Zero Trust não confia em nada nem ninguém.

A segurança de rede de TI tradicional se baseia no conceito castelo e fosso. Nesse tipo de modelo de segurança, é difícil obter acesso fora da rede, mas todos dentro da rede são confiáveis por definição. O problema com essa abordagem é que depois que um invasor obtém acesso à rede, ele tem liberdade de ação com relação a tudo o que está dentro dela.

Modelo de segurança Castelo e Fosso: os usuários dentro da VPN são confiáveis

Essa vulnerabilidade dos sistemas de segurança baseados no modelo "castelo e fosso" é exacerbada pelo fato de que as empresas já não têm mais seus dados em um único lugar. Atualmente, as informações costumam estar distribuídas pelos fornecedores de nuvem, o que torna mais difícil ter um único controle de segurança para toda uma rede.

Segurança Zero Trust significa que ninguém é confiável por definição, esteja dentro ou fora da rede, e a verificação é uma exigência para todos que tentam obter acesso aos recursos da rede. Essa camada adicional de segurança demonstrou ser capaz de evitar a invasão de dados. Estudos mostraram que o custo médio de uma única invasão de dados é superior a US$ 3 milhões. Considerando esse número, não é de surpreender que muitas organizações estejam agora ansiosas para adotar uma política de segurança Zero Trust.

Quais são os principais princípios por trás do Zero Trust?

Monitoramento e validação contínuos

A filosofia por trás de uma rede Zero Trust pressupõe que existem invasores tanto dentro como fora da rede e portanto, nenhum usuário ou máquina deve ser automaticamente considerado confiável. Um sistema de segurança Zero Trust verifica a identidade e os privilégios do usuário, bem como a identidade e a segurança do dispositivo. O tempo dos logins e das conexões expira periodicamente depois de estabelecido, forçando os usuários e dispositivos a serem continuamente reverificados.

Privilégio mínimo

Outro princípio de segurança Zero Trust é o acesso com privilégio mínimo. Isso significa dar aos usuários apenas o acesso de que precisam, como um general do exército que dá informações aos soldados com base na necessidade de conhecimento deles. Isso reduz a exposição de cada usuário às partes sensíveis da rede.

A implementação do privilégio mínimo envolve o gerenciamento cuidadoso das permissões dos usuários. As VPNs não são adequadas para abordagens do tipo privilégio mínimo envolvendo autorizações, pois fazer o login em uma VPN dá ao usuário acesso a toda a rede conectada.

Controle de acesso do dispositivo

Além dos controles de acesso do usuário, o Zero Trust também exige controles rigorosos de acesso do dispositivo. O Zero Trust precisa monitorar quantos dispositivos diferentes estão tentando acessar sua rede, garantir que cada dispositivo esteja autorizado e avaliar todos os dispositivos para garantir que não foram comprometidos, o que reduz ainda mais a superfície de ataque da rede.

Microssegmentação

As redes Zero Trust também utilizam a microssegmentação. Microssegmentação é a prática de dividir os perímetros de segurança em pequenas zonas para manter o acesso separado para partes separadas da rede. Por exemplo, uma rede com arquivos localizados em um único data center que utiliza a microssegmentação pode conter dezenas de zonas separadas e seguras. Uma pessoa ou programa com acesso a uma dessas zonas não poderá acessar nenhuma outra zona sem uma autorização em separado.

Evitar o movimento lateral

Em segurança de rede, "movimento lateral" é quando um invasor se move dentro de uma rede depois de obter acesso a essa rede. O movimento lateral pode ser difícil de detectar mesmo que o ponto de entrada do invasor seja descoberto, pois o invasor já terá comprometido outras partes da rede.

A segurança Zero Trust foi desenvolvida a fim de conter os invasores para que eles não possam se mover lateralmente. Como o acesso Zero Trust é segmentado e precisa ser restabelecido periodicamente, um invasor não pode se mover para outros microssegmentos dentro da rede. Uma vez detectada a presença do invasor, o dispositivo ou conta de usuário comprometido pode ser colocado em quarentena e cortado de novos acessos. (Em um modelo do tipo "castelo e fosso", se for possível para o invasor realizar um movimento lateral, colocar o dispositivo ou usuário original comprometido em quarentena terá pouco ou nenhum efeito, uma vez que o invasor já terá alcançado outras partes da rede).

Autenticação multifator (MFA)

A Autenticação multifator (MFA) também é um valor fundamental da segurança Zero Trust. MFA significa exigir mais de uma comprovação para autenticar um usuário; simplesmente digitar uma senha não é suficiente para obter acesso. Uma aplicação comum da MFA é a autorização de 2 fatores (2FA) utilizada em plataformas on-line como Facebook e Google. Além de inserir uma senha, os usuários que habilitam a 2FA para esses serviços também devem inserir um código enviado para outro dispositivo, como um telefone celular por exemplo, fornecendo assim duas evidências de que são quem dizem ser.

Quais são os benefícios do Zero Trust?

O Zero Trust como filosofia é mais adequado aos ambientes de TI modernos do que as abordagens de segurança mais tradicionais. Com uma variedade tão grande de usuários e dispositivos acessando dados internos, e com dados armazenados dentro e fora da rede (em nuvem), é muito mais seguro assumir que nenhum usuário ou dispositivo é confiável, do que assumir que medidas preventivas de segurança bloquearam todos os acessos.

O principal benefício da aplicação dos princípios de Zero Trust é ajudar a reduzir a superfície de ataque de uma organização. Além disso, o Zero Trust minimiza os danos quando um ataque ocorre, restringindo a brecha a uma pequena área através da microssegmentação, o que também reduz o custo da recuperação. O Zero Trust reduz o impacto do roubo de credenciais de usuários e ataques de phishing, exigindo múltiplos fatores de autenticação. Ele ajuda a eliminar as ameaças que contornam as proteções tradicionais orientadas pelo perímetro.

E, ao verificar todas as solicitação, a segurança Zero Trust reduz o risco representado por dispositivos vulneráveis, incluindo dispositivos IoT, que muitas vezes são difíceis de serem protegidos e atualizados (veja segurança de IoT).

Qual é a história da segurança Zero Trust?

O termo "Zero Trust" foi cunhado por um analista da Forrester Research Inc. em 2010, quando o modelo para o conceito foi apresentado pela primeira vez. Alguns anos mais tarde, o Google anunciou que havia implementado a segurança Zero Trust em sua rede, o que levou a um interesse crescente pela adoção desse modelo dentro da comunidade tecnológica. Em 2019, a Gartner, uma empresa global de pesquisa e consultoria, listou o acesso de segurança Zero Trust como um componente essencial das soluções de Serviço de acesso seguro de borda (SASE) .

O que é Acesso à Rede Zero Trust (ZTNA)?

O acesso à rede Zero Trust (ZTNA) é a principal tecnologia que permite às organizações implementar a segurança Zero Trust. Similar a um perímetro definido por software (SDP), o ZTNA oculta a maior parte da infraestrutura e dos serviços, configurando conexões criptografadas um-para-um entre os dispositivos e os recursos de que eles precisam. Saiba mais sobre como funciona o ZTNA.

Quais são alguns casos de uso de Zero Trust?

Qualquer organização que depende de uma rede e armazena dados digitais provavelmente considera o uso de uma arquitetura Zero Trust. Mas alguns dos casos de uso mais comum para o Zero Trust incluem:

Substituir ou aumentar uma VPN: muitas organizações confiam nas VPNs para proteger seus dados, mas como descrito acima, as VPNs muitas vezes não são a melhor defesa contra os riscos atuais.

Apoio seguro ao trabalho remoto: enquanto as VPNs criam gargalos e podem diminuir a produtividade para os trabalhadores remotos, o Zero Trust pode expandir o controle de acesso seguro às conexões de qualquer lugar.

Controle de acesso para nuvem e multinuvem: uma rede Zero Trust verifica qualquer solicitação, não importando sua origem ou destino.Também pode ajudar a reduzir o uso de serviços não autorizados baseados em nuvem (uma situação chamada "TI invisível" ), controlando ou bloqueando o uso de aplicativos não sancionados.

Integração de terceiros e prestadores de serviços: o Zero Trust pode expandir rapidamente o acesso restrito e menos privilegiado a partes externas, que normalmente utilizam computadores que não são gerenciados por equipes internas de TI.

Integração rápida de novos funcionários: as redes Zero Trust também podem facilitar a integração rápida de novos usuários internos, o que as torna adequadas para organizações em rápido crescimento.Em contraste, uma VPN pode precisar acrescentar mais capacidade para acomodar um grande número de novos usuários.

Quais são as principais práticas recomendadas do Zero Trust?

  • Monitorar o tráfego de rede e dispositivos conectados: a visibilidade é essencial para que usuários e máquinas possam ser verificados e autenticados.
  • Manter os dispositivos atualizados: as vulnerabilidades precisam ser corrigidas o mais rápido possível.As redes Zero Trust devem ser capazes de restringir o acesso a dispositivos vulneráveis (outra razão pela qual o monitoramento e a validação são fundamentais).
  • Aplicar o princípio do menor privilégio para todos na organização: dos executivos às equipes de TI, todos devem ter a menor quantidade de acesso necessária.Isto minimiza os danos se uma conta de usuário final for comprometida.
  • Dividir a rede: dividir a rede em partes menores ajuda a garantir que as violações sejam contidas antes que elas possam se espalhar.A microssegmentação é uma maneira eficaz de fazer isso.
  • Agir como se o perímetro da rede não existisse: a menos que uma rede esteja completamente arejada (uma raridade), os pontos onde ela toca a internet ou a nuvem são provavelmente numerosos demais para serem eliminados.
  • Usar chaves de segurança para a MFA: tokens de segurança baseado em hardware são comprovadamente mais seguros do que os tokens de software como as OTPs (senhas de uso único) enviadas via SMS ou e-mail.
  • Incorporar inteligência contra ameaças: como os invasores estão constantemente atualizando e refinando suas táticas, assinar os feeds de dados de inteligência contra ameaças mais recentes é fundamental para identificar ameaças antes que elas se espalhem.
  • Evitar motivar os usuários finais a contornar as medidas de segurança: assim como os requisitos de senha excessivamente rígidos incentivam os usuários a reciclar as mesmas senhas repetidamente, forçar os usuários a se autenticarem novamente uma vez por hora por meio de vários fatores de identidade pode ser demais, diminuindo ironicamente a segurança.Tenha sempre em mente as necessidades do usuário final.

Como implementar a segurança Zero Trust

O Zero Trust pode parecer complexo, mas adotar esse modelo de segurança pode ser relativamente simples com o parceiro tecnológico certo. Por exemplo, o Cloudflare One é uma plataforma SASE que combina serviços de rede com uma abordagem Zero Trust incorporada ao acesso de usuários e dispositivos. Com o Cloudflare One, os clientes implementam automaticamente a proteção Zero Trust em torno de todos os seus ativos e dados.