Continuamos ouvindo relatos sobre empresas descobrindo que sua segurança estava seriamente comprometida devido ao excesso de confiança no perímetro de rede "seguro". Uma vez que esse perímetro externo é violado, os sistemas internos provam estar mal protegidos, sendo suscetíveis a ataques capazes de implantar rapidamente e facilidade ferramentas automatizadas de extração de dados e ransomware que muitas vezes permanecem não detectadas por longos períodos. Isso nos leva a recomendar a arquitetura de confiança zero (ZTA) como um padrão agora sensato.
ZTA é uma mudança de paradigma na arquitetura e estratégia de segurança. É baseada na suposição de que um perímetro de rede não representa mais um limite seguro, e nenhuma confiança implícita deve ser concedida a usuários ou serviços com base apenas em sua localização física ou de rede. O número de recursos, ferramentas e plataformas disponíveis para implementar aspectos da ZTA continua crescendo e inclui a aplicação de políticas como código com base nos princípios de privilégios mínimos e o mais granulares possível, monitoramento contínuo e mitigação automatizada de ameaças, malha de serviço para impor o controle de segurança de aplicação a serviço e serviço a serviço, implementação de atestado binário para verificar a origem dos binários, e enclaves seguros, além da criptografia tradicional para reforçar os três pilares da segurança de dados: em trânsito, em repouso e na memória. Para uma introdução ao tópico, consulte a publicação NIST ZTA e o artigo do Google sobre BeyondProd.
Enquanto a estrutura de computação e dados continua a mudar nas empresas — de aplicações monolíticas para microsserviços, de lagos de dados centralizados para malhas de dados, de hospedagem local a policloud, com uma crescente proliferação de dispositivos conectados — a abordagem para proteger ativos empresariais em sua maior parte permanece inalterada, com grande dependência e confiança no perímetro da rede: as organizações continuam fazendo investimentos pesados para proteger seus ativos, fortalecendo os muros virtuais de suas empresas, usando configurações de firewall e links privados, e substituindo processos de segurança estáticos e complexos que não atendem mais à realidade de hoje. Essa tendência contínua nos obrigou a destacar a arquitetura de confiança zero (ZTA) novamente.
A ZTA é uma mudança de paradigma na arquitetura e na estratégia de segurança. Parte-se do pressuposto de que um perímetro de rede não representa mais um limite seguro, e nenhuma confiança implícita deve ser concedida a usuários ou serviços com base exclusivamente em sua localização física ou de rede. O número de recursos, ferramentas e plataformas disponíveis para implementar aspectos da ZTA continua crescendo, e inclui: aplicação de políticas como código, com base no menor privilégio e princípios mais granulares possíveis, além de monitoramento contínuo e mitigação automatizada de ameaças; uso da malha de serviços para impor o controle de segurança aplicação a serviço e serviço a serviço; implementação de atestado binário para verificação da origem dos binários; e inclusão de enclaves seguros, além da criptografia tradicional, para reforçar os três pilares da segurança de dados: em trânsito, em repouso e na memória. Para obter uma introdução ao tópico, consulte a publicação NIST ZTA e o artigo do Google sobre BeyondProd.
Atualmente, o panorama tecnológico das organizações é cada vez mais complexo, com ativos — dados, funções, infraestrutura e usuários — espalhados pelos limites de segurança, como hosts locais, vários provedores de nuvem e uma variedade de fornecedores de SaaS. Isso exige uma mudança de paradigma no planejamento da segurança corporativa e na arquitetura dos sistemas, passando do gerenciamento estático e de mudanças lentas de políticas de segurança, baseado em zonas de confiança e configurações de rede, para a aplicação dinâmica e refinada das políticas de segurança baseadas em privilégios de acesso temporais.
A arquitetura de confiança zero (zero-trust architecture ou ZTA) é a estratégia e a jornada de uma organização para implementar princípios de segurança de confiança zero para todos os seus ativos — como dispositivos, infraestrutura, serviços, dados e usuários — e inclui práticas de implementação, como garantia de acesso e comunicações independentemente da localização da rede, aplicação de políticas como código baseado no menor privilégio e o mais granular possível, e monitoramento contínuo e mitigação automatizada de ameaças. Nosso Radar reflete muitas das técnicas habilitadoras, como política de segurança como código, sidecars para segurança de endpoint e BeyondCorp. Se você estiver migrando para ZTA, consulte a publicação do NIST sobre ZTA para saber mais sobre os princípios, componentes de tecnologia habilitadores e padrões de migração, bem como a publicação do Google no BeyondProd.
