Segurança Zero Trust | O que é uma rede Zero Trust?

Zero Trust é um modelo de segurança baseado no princípio de manter controles rígidos de acesso e não confiar em ninguém por definição, mesmo aqueles que já estão dentro do perímetro da rede.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Defina segurança Zero Trust
  • Descreva as tecnologias e princípios por trás do Zero Trust
  • Aprenda como implementar uma arquitetura de segurança Zero Trust

Copiar o link do artigo

O que é segurança zero trust?

Segurança Zero Trust é um modelo de segurança de TI que requer uma rigorosa verificação de identidade de cada pessoa e dispositivo que tentar acessar recursos em uma rede privada, independentemente de estarem dentro ou fora do perímetro da rede. ZTNA é a principal tecnologia associada à arquitetura Zero Trust, porém Zero Trust é uma abordagem holística de segurança de rede que incorpora vários princípios e tecnologias diferentes.

Simplificando: a segurança de rede de TI tradicional confia em qualquer pessoa e em qualquer coisa dentro da rede. Uma arquitetura Zero Trust não confia em nada nem ninguém.

A segurança de rede de TI tradicional se baseia no conceito castelo e fosso. Nesse tipo de modelo de segurança, é difícil obter acesso fora da rede, mas todos dentro da rede são confiáveis por definição. O problema com essa abordagem é que depois que um invasor obtém acesso à rede, ele tem liberdade de ação com relação a tudo o que está dentro dela.

Essa vulnerabilidade dos sistemas de segurança baseados no modelo "castelo e fosso" é exacerbada pelo fato de que as empresas já não têm mais seus dados em um único lugar. Atualmente, as informações costumam estar distribuídas pelos fornecedores de nuvem, o que torna mais difícil ter um único controle de segurança para toda uma rede.

Segurança Zero Trust significa que ninguém é confiável por definição, esteja dentro ou fora da rede, e a verificação é uma exigência para todos que tentam obter acesso aos recursos da rede. Essa camada adicional de segurança demonstrou ser capaz de evitar a invasão de dados. Estudos mostraram que o custo médio de uma única invasão de dados é superior a US$ 3 milhões. Considerando esse número, não é de surpreender que muitas organizações estejam agora ansiosas para adotar uma política de segurança Zero Trust.

Quais são os principais princípios por trás da segurança Zero Trust?

Monitoramento e validação contínuos

A filosofia por trás de uma rede Trust Zero pressupõe que existem invasores tanto dentro como fora da rede e portanto, nenhum usuário ou máquina deve ser automaticamente considerado confiável. Um sistema de segurança Zero Trust verifica a identidade e os privilégios do usuário, bem como a identidade e a segurança do dispositivo. O tempo dos logins e das conexões expira periodicamente depois de estabelecido, forçando os usuários e dispositivos a serem continuamente reverificados.

Privilégio mínimo

Outro princípio de segurança Zero Trust é o acesso com privilégio mínimo. Isso significa dar aos usuários apenas o acesso de que precisam, como um general do exército que dá informações aos soldados com base na necessidade de conhecimento deles. Isso reduz a exposição de cada usuário às partes sensíveis da rede.

A implementação do privilégio mínimo envolve o gerenciamento cuidadoso das permissões dos usuários. As VPNs não são adequadas para abordagens do tipo privilégio mínimo envolvendo autorizações, pois fazer o login em uma VPN dá ao usuário acesso a toda a rede conectada.

Controle de acesso do dispositivo

Além dos controles de acesso do usuário, o Zero Trust também exige controles rigorosos de acesso do dispositivo. O Zero Trust precisa monitorar quantos dispositivos diferentes estão tentando acessar sua rede, garantir que cada dispositivo esteja autorizado e avaliar todos os dispositivos para garantir que não foram comprometidos, o que reduz ainda mais a superfície de ataque da rede.

Microssegmentação

As redes Zero Trust também utilizam a microssegmentação. Microssegmentação é a prática de dividir os perímetros de segurança em pequenas zonas para manter o acesso separado para partes separadas da rede. Por exemplo, uma rede com arquivos localizados em um único data center que utiliza a microssegmentação pode conter dezenas de zonas separadas e seguras. Uma pessoa ou programa com acesso a uma dessas zonas não poderá acessar nenhuma outra zona sem uma autorização em separado.

Evitar o movimento lateral

Em segurança de rede, "movimento lateral" é quando um invasor se move dentro de uma rede depois de obter acesso a essa rede. O movimento lateral pode ser difícil de detectar mesmo que o ponto de entrada do invasor seja descoberto, pois o invasor já terá comprometido outras partes da rede.

A segurança Zero Trust foi desenvolvida a fim de conter os invasores para que eles não possam se mover lateralmente. Como o acesso Zero Trust é segmentado e precisa ser restabelecido periodicamente, um invasor não pode se mover para outros microssegmentos dentro da rede. Uma vez detectada a presença do invasor, o dispositivo ou conta de usuário comprometido pode ser colocado em quarentena e cortado de novos acessos. (Em um modelo do tipo "castelo e fosso", se for possível para o invasor realizar um movimento lateral, colocar o dispositivo ou usuário original comprometido em quarentena terá pouco ou nenhum efeito, uma vez que o invasor já terá alcançado outras partes da rede).

Autenticação de vários fatores (MFA)

A autenticação de vários fatores (MFA) também é um valor fundamental da segurança Zero Trust. MFA significa exigir mais de uma comprovação para autenticar um usuário; simplesmente digitar uma senha não é suficiente para obter acesso. Uma aplicação comum da MFA é a autorização de 2 fatores (2FA) utilizada em plataformas on-line como Facebook e Google. Além de inserir uma senha, os usuários que habilitam a 2FA para esses serviços também devem inserir um código enviado para outro dispositivo, como um telefone celular por exemplo, fornecendo assim duas evidências de que são quem dizem ser.

Qual é a história da segurança Zero Trust?

O termo "Zero Trust" foi cunhado por um analista da Forrester Research Inc. em 2010, quando o modelo para o conceito foi apresentado pela primeira vez. Alguns anos mais tarde, o Google anunciou que havia implementado a segurança Zero Trust em sua rede, o que levou a um interesse crescente pela adoção desse modelo dentro da comunidade tecnológica. Em 2019, a Gartner, uma empresa global de pesquisa e consultoria, listou o acesso de segurança Zero Trust como um componente essencial das soluções de Serviço de acesso seguro de borda (SASE) .

O que é Acesso à Rede Zero Trust (ZTNA)?

O Acesso à Rede Zero Trust (ZTNA) é a principal tecnologia que permite às organizações implementar a segurança Zero Trust. Similar a um perímetro definido por software, o ZTNA oculta a maior parte da infraestrutura e dos serviços, configurando conexões criptografadas um-para-um entre os dispositivos e os recursos de que eles precisam. Saiba mais sobre como funciona o ZTNA.

Como implementar a segurança Zero Trust

O Zero Trust pode parecer complexo, mas adotar esse modelo de segurança pode ser relativamente simples com o parceiro tecnológico certo. Por exemplo, o Cloudflare One é uma plataforma SASE que combina serviços de rede com uma abordagem Zero Trust incorporada ao acesso de usuários e dispositivos. Com o Cloudflare One, os clientes implementam automaticamente a proteção Zero Trust em torno de todos os seus ativos e dados.