Criado pela Forrester em 2010, o termo "confiança zero" refere-se a uma nova abordagem de segurança que se baseia na verificação contínua da confiabilidade de cada dispositivo, usuário e aplicativo em uma empresa.
Antes dessa noção de confiança zero, a maioria das equipes de segurança se baseava em uma abordagem "confie, mas verifique" que enfatizava um forte perímetro defensivo. Esse modelo pressupõe que tudo o que estiver dentro do perímetro da rede (inclusive os usuários, recursos e aplicativos de uma organização) é confiável, portanto, as equipes de segurança concediam acesso e privilégios a esses usuários e recursos por padrão. Por outro lado, qualquer coisa fora do perímetro precisava ser liberada antes de obter acesso.
Enquanto a segurança tradicional diz "confie, mas verifique", a segurança zero trust diz "nunca confie, sempre verifique". A segurança Zero Trust nunca realmente "limpa" nada. Em vez disso, a segurança Zero Trust considera todos os recursos como externos à rede de uma organização, verificando continuamente usuários, recursos, dispositivos e aplicativos antes de conceder apenas o nível mínimo de acesso necessário. O estabelecimento de um programa de segurança Zero Trust envolve a coordenação entre vários componentes de TI e exige uma abordagem abrangente.
Como o conceito de confiança zero mudou ao longo do tempo?
As implementações de confiança zero mudaram ao longo do tempo. Apesar do nome atraente, as organizações não precisam ser absolutistas de confiança zero - Verificar sempre tudo seria impraticável, se não impossível.
Em vez disso, a confiança zero evoluiu de um conceito binário em que nada é inerentemente seguro e tudo precisa ser verificado para algo muito mais matizado e dinâmico. Hoje, a confiança zero incorpora conjuntos de dados mais amplos, princípios de risco e políticas dinâmicas baseadas em risco para fornecer uma base sólida para a tomada de decisões de acesso e a realização de monitoramento contínuo. A defesa de confiança zero se baseia em uma variedade de fontes, incluindo inteligência contra ameaças, registros de rede, dados de terminais e outras informações para avaliar as solicitações de acesso e o comportamento do usuário. NIST publicou documentos defendendo a confiança zero e expandindo essa abordagem mais ampla e dinâmica.
Recentemente, o interesse pelo zero trust aumentou, impulsionado por tendências de mercado que se aceleraram como resultado da pandemia global, incluindo:
- Transformação digital acelerada (a adoção de tecnologias e soluções novas e emergentes para modernizar e acelerar as interações comerciais com clientes, funcionários e parceiros)
- Migração para a nuvem / SaaS
- Trabalho remoto
- Evaporação das zonas de confiança protegidas por VPN (perímetro da rede) e a percepção de que os firewalls são menos úteis para detectar e bloquear ataques internos e não podem proteger assuntos fora do perímetro da empresa
Anteriormente, na maioria dos ambientes de TI corporativos, a confiança era estabelecida principalmente em função da localização. Os usuários acessavam os recursos corporativos, a partir de um computador de propriedade da empresa, de dentro de um campus corporativo. Estar fisicamente presente em um campus corporativo implicava que o usuário havia atendido aos requisitos de verificação e credenciamento para obter acesso aos recursos de TI corporativos, normalmente residentes em um data center local. A "Zona Confiável" era protegida por tecnologias permitidas (de proteção), como firewalls, detecção/proteção de intrusão e outros recursos.
Com o tempo, os perímetros de TI do campus foram ampliados para incluir escritórios remotos e satélites, expandindo efetivamente a bolha da Trusted Zone por meio de conexões seguras e privadas entre os locais. No início dos anos 2000, à medida que novos métodos de acesso, como VPN e WiFi, começaram a aparecer, novas tecnologias acrescentaram autenticação e credenciamento de acesso para preservar a integridade relativa do perímetro. Entre eles estão autenticação de dois fatores (2FA) tokens e o padrão IEEE 802.1x para controle de acesso à rede (NAC) baseado em porta.
As evoluções subsequentes da computação em nuvem, do traga seu próprio dispositivo e da hipermobilidade mudaram tudo. As organizações agora dependem de recursos de TI muito além dos limites de uma única Zona Confiável. Além disso, funcionários, parceiros e clientes agora precisam acessar os sistemas de qualquer local, hora e dispositivo. As vulnerabilidades e brechas na segurança resultantes deram início a uma nova era de hacking, quando as violações de segurança se tornaram comuns. O perímetro de antigamente está obsoleto.
A erosão da segurança de perímetro abriu caminho para a confiança zero. No entanto, é notável que o conceito não era totalmente novo, mesmo em 2010. Embora o nome "confiança zero" fosse novo e chamasse a atenção, a tarefa de como estabelecer a confiabilidade no mundo inerentemente não confiável da Internet tem sido o tema de pesquisas acadêmicas há mais de quatro décadas. Na verdade, a fundação da RSA, há quase quatro décadas, teve como base o trabalho acadêmico realizado no final dos anos 70, que estabeleceu comunicações e transações seguras em um espaço não confiável.
À medida que os anos se transformaram em décadas e a transformação digital tomou conta dos negócios e da sociedade, as abordagens de confiança continuaram a evoluir.
A confiança zero tem se tornado cada vez mais popular nos últimos anos. No entanto, as interrupções resultantes da pandemia da COVID-19 aceleraram o interesse em como as organizações podem desenvolver a resiliência após uma grande interrupção.
Como na maioria dos outros anos, os líderes de segurança e risco entraram na nova década com planos bastante sofisticados para amadurecer suas práticas de gerenciamento de risco digital. O surto inicial da COVID-19, no entanto, mudou o foco das equipes de segurança para necessidades mais táticas, como capacitação de trabalhadores remotos, A empresa passou a ter que fazer mudanças em suas operações para manter as funções comerciais ou aproveitar novas oportunidades, reavaliar os riscos de terceiros e da cadeia de suprimentos, acelerar a integração e muito mais. Os orçamentos foram cortados ou congelados, longas listas de projetos pendentes foram inicialmente reduzidas, mas depois aceleradas rapidamente. As equipes agora se deparam com a proteção de novas iniciativas digitais que não necessariamente se encaixam perfeitamente em regimes de segurança e risco complexos e já existentes.
A confiança zero oferece uma base para uma abordagem rápida e controlada para organizações que estão lutando para acompanhar o ritmo da transformação digital.
Em agosto de 2020, o NIST publicou Publicação Especial 800-207 do NIST: Arquitetura Zero Trust, que inclui componentes lógicos de uma arquitetura de confiança zero, possíveis cenários de design e ameaças. Ele também apresenta um roteiro geral para as organizações que desejam seguir os princípios de confiança zero.
A seguir, descrevemos os elementos da arquitetura e apresentamos brevemente os produtos e a funcionalidade do portfólio da RSA que se alinham à arquitetura de confiança zero.
A seguir, as descrições de cada elemento (conforme definido em NIST SP 800-207) com referências adicionais aos produtos e serviços da RSA, quando aplicável.
Mecanismo de políticas: Esse componente é responsável pela decisão final de conceder acesso a um recurso para um determinado assunto. O mecanismo de políticas usa a política da empresa, bem como informações de fontes externas (por exemplo, sistemas CDM, serviços de inteligência contra ameaças descritos abaixo) como entrada para um algoritmo de confiança para conceder, negar ou revogar o acesso ao recurso. O mecanismo de políticas é emparelhado com o componente de administrador de políticas. O mecanismo de políticas toma e registra a decisão, e o administrador de políticas executa a decisão.
RSA O acesso baseado em função e atributo, o acesso condicional e a análise baseada em risco são componentes fundamentais para o estabelecimento de um ponto de decisão de política e de um mecanismo de política.
Administrador de políticas: Esse componente é responsável por estabelecer e/ou encerrar o caminho de comunicação entre um sujeito e um recurso. Ele geraria qualquer token ou credencial de autenticação e autenticação usado por um cliente para acessar um recurso corporativo. Está intimamente ligado ao mecanismo de políticas e depende de sua decisão de permitir ou negar uma sessão. Algumas implementações podem tratar o mecanismo de políticas e o administrador de políticas como um único serviço. O administrador de políticas se comunica com o ponto de aplicação de políticas ao criar o caminho de comunicação. Essa comunicação é feita por meio do plano de controle.
A RSA oferece uma variedade de métodos de autenticação e experiências de usuário (ou seja, escolha de autenticação, BYOA) para administrar a autenticação e determinar o acesso quando solicitado pelo ponto de aplicação da política.
Ponto de aplicação da política:
Esse sistema é responsável por habilitar, monitorar e, eventualmente, encerrar as conexões entre um sujeito e um recurso corporativo.
Esse é um componente lógico único na arquitetura de confiança zero, mas pode ser dividido em dois componentes diferentes: o cliente (por exemplo, agente no laptop do usuário) e o lado do recurso (por exemplo, componente de gateway na frente do recurso que controla o acesso) ou um componente de portal único que atua como gatekeeper para caminhos de comunicação. Além do ponto de aplicação da política, há a zona de confiança implícita que hospeda o recurso corporativo.
Os produtos RSA podem determinar decisões de políticas aplicadas por pontos de aplicação de políticas de parceiros (VPNs, sites, aplicativos, etc.) e aplicar políticas diretamente em dispositivos de endpoint.
A autenticação multifatorial SecurID®, atuando em uma capacidade de decisão de política, trabalha com uma infinidade de dispositivos parceiros (desktops, servidores, máquinas virtuais, servidores da Web, portais, dispositivos de rede, aplicativos etc.) para autenticar usuários e determinar privilégios de acesso.
Políticas de acesso a dados:
Esses são os atributos, as regras e as políticas sobre o acesso aos recursos da empresa. Esse conjunto de regras pode ser codificado ou gerado dinamicamente pelo mecanismo de políticas. Essas políticas são o ponto de partida para autorizar o acesso a um recurso, pois fornecem os privilégios básicos de acesso a contas e aplicativos na empresa. Essas políticas devem se basear nas funções de missão definidas e nas necessidades da organização.
Governança e ciclo de vida da SecurID é um ponto de partida ideal para autorizar o acesso a um recurso com um foco claro na governança, na visibilidade dos dados estruturados e não estruturados e na análise e inteligência para garantir que os princípios de privilégio mínimo possam ser aplicados.
Sistema de gerenciamento de identidade:
É responsável por criar, armazenar e gerenciar contas de usuários corporativos e registros de identidade (por exemplo, servidor LDAP (Lightweight Directory Access Protocol)). Esse sistema contém as informações necessárias do usuário (por exemplo, nome, endereço de e-mail, certificados) e outras características da empresa, como função, atributos de acesso e ativos atribuídos. Esse sistema geralmente utiliza outros sistemas (como uma PKI) para artefatos associados a contas de usuários. Esse sistema pode fazer parte de uma comunidade federada maior e pode incluir funcionários de fora da empresa ou links para ativos de fora da empresa para colaboração.
RSA As soluções de identidade se integram a todos os sistemas proeminentes de gerenciamento de identidade (ou seja, Microsoft AD / Azure AD / AWS AD) para integrar perfeitamente as identidades com políticas, administração e métodos necessários para o funcionamento de uma arquitetura de confiança zero.
Inteligência sobre ameaças:
Isso fornece informações de fontes internas ou externas que ajudam o mecanismo de políticas a tomar decisões de acesso. Podem ser vários serviços que coletam dados de fontes internas e/ou externas e fornecem informações sobre ataques ou vulnerabilidades recém-descobertos. Isso também inclui listas negras, malware recém-identificado e ataques relatados a outros ativos aos quais o mecanismo de políticas desejará negar acesso a partir de ativos corporativos.
O RSA IAM aproveita os sinais - internos e externos - para aumentar a garantia (sinais positivos) e identificar ameaças (sinais negativos). Por exemplo, sinais internos como histórico do usuário, análise comportamental, endereço IP, rede e localização podem ser fatores para determinar a autenticação baseada em risco e as decisões de acesso.
###
Experimente a demonstração!
Experimente a solução de autenticação multifator (MFA) em nuvem ID Plus - um dos produtos mais seguros do mercado e a MFA mais implantada do mundo. Descubra por que: inscreva-se em nossa avaliação gratuita de 45 dias.
