A adoção de uma arquitetura Zero Trust implica muito mais na implementação de uma mentalidade do que lidar unicamente com tecnologias de segurança. Em uma época em que as ameaças cibernéticas se tornam cada vez mais comuns e complexas, a TI se vê obrigada a agir com urgência para reduzir o débito técnico da rede ao mesmo tempo em que proporciona mais segurança para dados e usuários.
Assim, a arquitetura Zero Trust é definida como uma estratégia para reduzir o movimento lateral de invasores e tem como princípio “verificar, mas nunca confiar”. Ou seja, migra de um conceito que acredita que a empresa está totalmente segura para um modelo em que toda a rede pode representar riscos para a segurança cibernética e passa a verificar proativamente endpoints, redes e identidades em busca de vulnerabilidades.
Ao implementar a arquitetura Zero Trust, a TI pode se tornar aceleradora de uma política de confiança zero por toda a empresa, reduzindo riscos de vazamentos de informações críticas ou confidenciais.
Defender o perímetro não é mais suficiente
Até pouco tempo atrás, a maioria das empresas investia na implementação de firewalls para defender seu perímetro e pressupunha que tudo que estivesse dentro dessa “muralha” estaria em segurança. Afinal, redes, dados e usuários estavam centralizados em um único local. Hoje, com o crescimento dos sistemas em nuvem, essa lógica caiu por terra. A adoção do “bring your own device” e o trabalho remoto trouxeram novos desafios para a segurança da informação. São exatamente esses novos desafios que impulsionam a adoção da arquitetura Zero Trust.
Algumas práticas precisam ser adotadas para o sucesso dessa arquitetura. A primeira é a identificação da superfície de ataque e o que deve ser protegido, como dados, aplicativos e serviços. O passo seguinte é dividir e isolar ambientes para reduzir a superfície de ataque. Dessa forma, cada um tem sua própria política de segurança, permissões de acesso, proteção de perímetro, etc.
O terceiro ponto é a adoção de uma política de privilégio mínimo, em que cada usuário tem apenas os privilégios necessários para realizar seu trabalho. Por fim, todas as sessões, dispositivos, usuários e aplicativos precisam provar que são autorizados para acessar determinado recurso.
A arquitetura Zero Trust envolve uma grande transformação
Artigo publicado na Forbes afirma que ainda há muita confusão em relação ao que é e não é confiança zero, e um dos erros mais comuns ocorre quando um funcionário acredita que a implementação da arquitetura Zero Trust se dá pela falta de confiança da empresa em relação a ele. Na verdade, a confiança zero trata de conexões e processos em segundo plano, e não especificamente se refere ao usuário, que é apenas um fator relacionado ao processo de segurança cibernética.
A arquitetura Zero Trust exige que cada novo acesso seja autenticado e autorizado, já que entre operações ele pode ter sido comprometido, ou até mesmo o usuário ter sido demitido. Claro, adotar essa metodologia pode significar uma grande transformação em processos já solidificados. Mas se a empresa está realmente pensando em sua adoção, alguns passos devem ser adotados.
Definir os resultados
A arquitetura Zero Trust impacta diretamente em todos os processos de TI. Então, antes de iniciar a jornada, é preciso alinhar a estratégia de segurança com a estratégia de negócios, definir processos e metas.
Segurança de dentro pra fora
Ao contrário do modelo tradicional de segurança, que vai de fora para dentro, vide o uso de firewalls para impedir possíveis invasões, a confiança zero garante o acesso a cada recurso e visa proteger de dentro para fora, via autenticação.
Gestão de identidade e acesso
A área de TI precisa analisar o nível de acesso dos usuários. O que cada um deles acessa, por meio de quais dispositivos e locais. Com essas informações, é possível construir uma política de segurança de privilégio mínimo que se ajuste às necessidades de cada usuário.
Análise da rede e tráfego
Entender o que acontece na rede e conhecer o fluxo de dados é fundamental para manter a segurança e implementar uma arquitetura Zero Trust.
Apesar dos benefícios, estudo da Forrester mostra que apenas 6% das empresas já implementaram a confiança zero. Mas a Tecnocomp pode te ajudar a embarcar nessa jornada. Entre em contato e saiba como.