4min. de leitura

Confiança Zero se tornou uma das últimas palavras da moda em segurança cibernética. É essencial entendermos o conceito por trás da Confiança Zero, de modo a podermos identificar quando ela está presente em um sistema.

Confiança Zero é uma iniciativa estratégica que ajuda a prevenir violações de dados, eliminando o conceito de confiança da arquitetura de rede de uma organização. Baseada no princípio de “nunca confie, sempre verifique”, a Confiança Zero foi projetada para proteger ambientes digitais modernos, aproveitando a segmentação de rede, evitando o movimento lateral, fornecendo prevenção de ameaças da Camada 7 e simplificando o controle granular de acesso do usuário.

O conceito de Confiança Zero foi criado por John Kindervag, durante sua gestão como vice-presidente e analista principal da Forrester Research, com base na percepção de que os modelos de segurança tradicionais operam com base no pressuposto obsoleto de que tudo dentro da rede de uma organização deve ser confiável. Sob esse modelo de confiança obsoleto, presume-se que a identidade de um usuário não seja comprometida e que todos os usuários ajam com responsabilidade e sejam confiáveis. O modelo Confiança Zero reconhece que a confiança é uma vulnerabilidade. Uma vez na rede, os usuários – incluindo agentes de ameaças e usuários internos mal-intencionados – são livres para mover-se lateralmente e acessar ou transferir quaisquer dados aos quais tenham acesso. Lembre-se de que o ponto de invasão de um ataque geralmente não é o local de destino.

De acordo com o The Forrester Wave™: Privileged Identity Management (gerenciamento de identidade privilegiada), quarto trimestre de 2018, este modelo de confiança continua a estar relacionado com credenciais utilizadas indevidamente.1 Confiança Zero não significa tornar um sistema confiável, mas sim retirar o aspecto da confiança nas interações entre usuários e sistemas.

Arquitetura de Confiança Zero

Com Confiança Zero, você identifica uma “superfície de proteção”. A superfície de proteção é composta pelos dados, ativos, aplicativos e serviços mais importantes e valiosos da rede – DAAS, sigla em inglês. As superfícies de proteção são exclusivas para cada organização. Como contém apenas o que é mais crítico para as operações de uma organização, a superfície de proteção é muito menor do que a superfície de ataque e sempre pode ser conhecida.

Com a superfície de proteção identificada, você pode identificar como o tráfego se move na organização em relação à superfície de proteção. Entender quem são os usuários, quais aplicativos eles estão usando e como estão se conectando é a única maneira de determinar e aplicar a política que garante o acesso seguro aos seus dados. Depois de entender as interdependências entre DAAS, infraestrutura, serviços e usuários, você deve colocar os controles o mais próximo possível da superfície de proteção, criando um microperímetro ao redor dela. Esse microperímetro se move com a superfície de proteção, onde quer que vá. Você pode criar um microperímetro implantando um gateway de segmentação, mais comumente conhecido como firewall de última geração, para garantir que apenas o tráfego conhecido e permitido ou aplicativos legítimos tenham acesso à superfície protegida.

O gateway de segmentação fornece visibilidade granular do tráfego e impõe camadas adicionais de inspeção e controle de acesso com política granular da Camada 7 baseada no Método Kipling, que define a política de Confiança Zero com base em aspectos como “quem”, “o quê”, “quando”, “onde”, “porquê” e “como”. A política de Confiança Zero determina quem pode transitar pelo microperímetro a qualquer momento, impedindo o acesso à sua superfície protegida por usuários não autorizados e evitando a transferência não autorizada de dados confidenciais. Confiança Zero só é possível na Camada 7.

Depois de criar sua política de Confiança Zero em torno de sua superfície de proteção, você continua a monitorar e manter em tempo real, procurando elementos para incluir na superfície de proteção, interdependências ainda não consideradas e maneiras de melhorar a política.

Confiança Zero: tão dinâmica quanto sua empresa

A Confiança Zero não depende de um local. Usuários, dispositivos e cargas de trabalho de aplicativos agora estão em todos os lugares, então você não pode impor Confiança Zero em um local – ela deve estar implementada em todo o ambiente. Os usuários certos precisam ter acesso aos aplicativos e dados certos.

Os usuários também estão acessando aplicativos e cargas de trabalho críticos de qualquer lugar: casa, cafeterias, escritórios e pequenas filiais. A Confiança Zero requer visibilidade consistente, aplicação e controle que podem ser entregues diretamente no dispositivo ou através da nuvem. Um perímetro definido por software fornece acesso seguro ao usuário e evita a perda de dados, independentemente de onde os usuários estão, quais dispositivos estão sendo usados ou onde suas cargas de trabalho e dados estão hospedados (ou seja, centros de dados, nuvens públicas ou aplicativos SaaS).

As cargas de trabalho são altamente dinâmicas e se movem por vários centros de dados e nuvens públicas, privadas e híbridas. Com Confiança Zero, você deve ter uma visibilidade profunda da atividade e das interdependências entre usuários, dispositivos, redes, aplicativos e dados. Os gateways de segmentação monitoram o tráfego, interrompem as ameaças e reforçam o acesso granular no tráfego norte-sul e leste-oeste em seu centro de dados local e ambientes com várias nuvens.

Como implantar a Confiança Zero

Alcançar a Confiança Zero costuma ser um processo caro e complexo. No entanto, a Confiança Zero é criada em cima de sua arquitetura existente e não exige que você elimine e substitua a tecnologia existente. Não existem produtos de Confiança Zero. Existem produtos que funcionam bem em ambientes de Confiança Zero e outros que não funcionam. A Confiança Zero também é bastante simples de implantar, implementar e manter usando uma metodologia simples de cinco etapas. Este guia o ajuda a identificar a sua situação atual e as próximas etapas a seguir:

  1. Identifique a superfície de proteção

  2. Mapeie os fluxos de transação

  3. Crie a sua arquitetura de Confiança Zero

  4. Crie uma política de Confiança Zero

  5. Monitore e mantenha

Criar um ambiente de Confiança Zero – consistindo em uma superfície de proteção que contém um único elemento DAAS protegido por um microperímetro aplicado na Camada 7 com a política do Método Kipling por um gateway de segmentação – é um processo simples e iterativo em que você pode repetir um elemento de superfície de proteção/DAAS por vez.

Para saber mais sobre a Confiança Zero e sua implementação em sua organização, leia o artigo técnico, Simplifique a implementação de Confiança Zero com uma metodologia de cinco etapas.

 

Como alcançar uma arquitetura de Confiança Zero

Use a Confiança Zero para obter visibilidade e contexto para todo o tráfego – por usuário, dispositivo, local e aplicativo – além de recursos de zoneamento para visibilidade do tráfego interno. Para obter visibilidade e contexto de tráfego, ele precisa passar por um firewall de última geração com recursos de decriptação. O firewall de última geração permite a microssegmentação de perímetros e atua como controle de fronteira dentro de sua organização. Embora seja necessário proteger a fronteira externa do perímetro, é ainda mais crucial obter visibilidade para verificar o tráfego à medida que ele cruza as diferentes funções na rede. Adicionar autenticação de dois fatores e outros métodos de verificação aumentará sua capacidade de verificar os usuários corretamente. Aproveite uma abordagem de Confiança Zero para identificar seus processos de negócios, usuários, dados, fluxos de dados e riscos associados, e definir regras de política que podem ser atualizadas automaticamente, com base nos riscos associados, a cada iteração.

Para saber mais sobre Confiança Zero e implementação de redes de Confiança Zero, leia o artigo técnico “5 etapas para Confiança Zero” ou assista ao webinar “Como habilitar a segurança de Confiança Zero para seu centro de dados”.

Você também pode visualizar as seguintes páginas no site da Palo Alto Networks para obter informações adicionais:

1 The Forrester Wave™: Privileged Identity Management (gerenciamento de identidade privilegiada), quarto trimestre de 2018. https://www.forrester.com/report/The+Forrester+Wave+Privileged+Identity+Management+Q4+2018/-/E-RES141474

Folha de dados

Cortex XDR

Persiga e interrompa ataques furtivos unificando a rede, os endpoints e os dados da nuvem.

  • 6822

Artigo

O que é um sistema de detecção de intrusões?

Um Sistema de Detecção de Invasão (IDS) é uma tecnologia de rede desenvolvida originalmente para detectar exploits de vulnerabilidades em um aplicativo ou computador específicos.

  • 682

Artigo

Malware | O que é malware e como se proteger de ataques desse tipo

Malware is a file or code, typically delivered over a network, that infects, explores, steals or conducts virtually any behavior an attacker wants.

  • 409

Artigo

O que é a estrutura MITRE ATT&CK?

A estrutura MITRE ATT&CK® é uma base de conhecimento de táticas e técnicas projetadas para caçadores de ameaças, defensores e Red Teams para ajudar a classificar ataques, identificar a atribuição e os objetivos do ataque e avaliar o risco de uma organização.

  • 230

Folha de dados

Cortex XDR Forensics

Understand the features, benefits and technical details of Cortex XDR Forensics.

  • 821

Artigo técnico

Artigo técnico do Cortex XDR

As equipes de segurança enfrentam uma variedade impressionante de ameaças, desde ransomware e espionagem cibernética a ataques sem arquivo e violações prejudiciais de dados. Contudo, a principal dor de cabeça de muitos analistas de segurança não é o infinito número de riscos que dominam as manchetes dos jornais, e sim as frustrantes tarefas repetitivas que precisam executar todos os dias para fazer a triagem de incidentes e tentar reduzir o interminável acúmulo de alertas.

  • 1112

Receba as últimas notícias, convites para eventos e alertas de ameaças