Você provavelmente já ouviu dizer que a confiança zero não é um produto ou uma solução; na verdade, especialistas que vão desde a equipe de analistas da Forrester, A RSA, onde o termo se originou, e nossos próprios estrategistas da RSA fizeram essa observação. Em vez disso, trata-se de uma estratégia de segurança. E, embora o conceito seja bastante simples - não confie em ninguém até que tenha certeza de que pode confiar -, a implementação costuma ser muito difícil. Quando você se compromete com uma abordagem de confiança zero, o verdadeiro trabalho começa. Mas por onde começar?
A resposta: identidade.
Como a primeira linha de defesa contra ameaças à segurança cibernética, a identidade é fundamental para tornar a confiança zero uma ferramenta real e prática que as organizações podem usar para melhorar sua postura de segurança. O pensamento por trás da confiança zero é que a confiança nunca pode ser presumida, mas, em vez disso, deve ser estabelecida novamente a cada interação.que é exatamente o que a identidade faz.
Toda vez que um usuário se autentica, a confiança é verificada antes que o acesso seja concedido. Isso é fundamental para adotar o conceito de confiança zero e torná-lo uma realidade cotidiana.
Vamos explorar o que isso significa, começando pelo que é exatamente a confiança zero.
A confiança zero é uma forma de pensar sobre a segurança em um mundo cada vez mais digital, no qual o perímetro de rede tradicional com o qual contávamos há anos foi praticamente eliminado. Hoje, as pessoas podem trabalhar (e trabalham) de qualquer lugar. Os recursos que elas acessam podem estar na nuvem, no local ou em uma combinação de ambos, e elas os acessam de locais muito além de qualquer perímetro de proteção. A questão, então, passa a ser como proteger esses recursos.
A adoção da confiança zero é uma maneira de resolver o problema. O princípio orientador da confiança zero é simplesmente que a confiança nunca pode ser presumida. Toda interação relacionada ao acesso a recursos deve ser considerada potencialmente arriscada. Como disse Jim Taylor, diretor de produtos da RSA, "confiança zero é uma forma de abordar uma situação em que você não tem mais os mecanismos que costumava ter para se sentir seguro". Em vez de presumir que um indivíduo ou dispositivo é confiável, a confiança deve ser verificada em cada interação.
Com a erosão do perímetro tradicional, a identidade se torna o principal meio de estabelecer a confiança. "A identidade é o novo perímetro - é a única coisa que você pode controlar e proteger", disse Taylor. "Se eu puder determinar, com um alto grau de confiança, que você é quem diz ser, posso autenticá-lo e autorizá-lo. A capacidade de confiar na identidade de alguém ou de algo torna possível basear a política de segurança na identidade."
É claro que a ideia de usar a identidade para estabelecer a confiança não é nova. Mas o contexto para estabelecer a confiança mudou de tal forma que a identidade está mais crítica do que nunca. Cada vez mais, a força de trabalho inclui não apenas funcionários em tempo integral no local, mas também prestadores de serviços, trabalhadores temporários e muitos outros que precisam de acesso a recursos - e não apenas no local. Hoje em dia, a interação acontece digitalmente e on-line de tal forma que a localização física de alguém não é mais fundamental para estabelecer a confiança. Essas mudanças explicam por que a confiança zero é tão relevante agora e por que a identidade é fundamental.
A identidade prepara o caminho para a confiança zero de três maneiras específicas.
- Concede acesso às pessoas certas. A capacidade de estabelecer o nível certo de confiança antes de conceder acesso é essencial para operar com uma mentalidade de confiança zero. Para dar suporte à confiança zero, você precisa de recursos de identidade e acesso que incluam uma variedade de métodos de autenticação multifator (MFA), juntamente com uma forte governança e administração de identidade (IGA) para permitir a autorização de acesso baseada em governança e orientada por visibilidade.
- Oferece suporte à tomada de decisões dinâmicas. Para adotar com sucesso uma abordagem de confiança zero para o acesso, você precisa ser capaz de usar o contexto para avaliar o risco associado a uma interação específica e, em seguida, tomar decisões de acesso com base no nível de risco. Uma abordagem de confiança zero requer uma tomada de decisão dinâmica baseada no contexto, por isso é importante ter a capacidade de aplicar a autenticação baseada em risco.
- Alinha-se com a estrutura de arquitetura de confiança zero do NIST. O National Institute of Standards and Technology (NIST) desenvolveu uma estrutura para uma arquitetura de confiança zero. Os componentes de identidade e acesso que incluem a análise baseada em risco exigida pelo NIST e o acesso baseado em função e atributo são essenciais para trabalhar dentro da estrutura do NIST.
Qualquer abordagem de acesso seguro, incluindo a confiança zero, tem duas vertentes: manter os bandidos fora e deixar os mocinhos entrarem. Se você se concentrar exclusivamente na defesa e não deixar ninguém entrar, terá poucos riscos, mas também poucos negócios. O termo confiança zero não significa nunca confiar em ninguém. Significa não confiar em ninguém sem antes verificar se essa pessoa é confiável. E a identidade é fundamental para garantir que alguém ou alguma coisa seja confiável. Com as ferramentas de identidade certas, você pode adotar com sucesso uma mentalidade de confiança zero para gerenciar o acesso e prosperar no mundo digital.
Saiba mais sobre o exclusivo foco na identidade hoje, e saiba mais sobre confiança zero da RSA:
- Faça o download do Guia de implementação do Forrester Zero Trust
- Veja como a RSA lida com confiança zero desafios
- Saiba mais sobre a RSA produtos que apóiam a confiança zero
