Pular para o conteúdo

Você provavelmente já ouviu dizer que o Zero Trust não é um produto nem uma solução; na verdade, especialistas, desde a equipe de analistas da Forrester, onde o termo surgiu, até nossos próprios estrategistas de RSA já destacaram esse ponto. Trata-se, na verdade, de uma estratégia de segurança. E, embora o conceito seja bastante simples — não confie em ninguém até verificar se pode realmente confiar —, a implementação costuma ser desafiadora. Quando você se compromete com uma abordagem Zero Trust, o trabalho de verdade começa. Mas por onde começar?

A resposta: identidade.

Como primeira linha de defesa contra ameaças à segurança cibernética, a identidade é fundamental para tornar o Zero Trust uma ferramenta real e prática que as organizações possam utilizar para melhorar sua postura de segurança. O princípio por trás do Zero Trust é que a confiança nunca pode ser dada como certa, mas deve ser restabelecida a cada interação —que é exatamente o que a identidade faz.

Sempre que um usuário se autentica, a confiabilidade é verificada antes que o acesso seja concedido. Isso é fundamental para transformar o conceito de Zero Trust em uma realidade no dia a dia.

Vamos explorar o que isso significa, começando por explicar o que exatamente é o Zero Trust.

Primeiro, o mais importante: definir o Zero Trust

O Zero Trust é uma forma de pensar sobre segurança em um mundo cada vez mais digital, onde o perímetro de rede tradicional no qual confiamos por anos praticamente desapareceu. Hoje, as pessoas podem (e de fato) trabalham de qualquer lugar. Os recursos aos quais elas acessam podem estar na nuvem, no local ou em uma combinação de ambos, e elas os acessam de locais muito além de qualquer perímetro de proteção. A questão, então, passa a ser como proteger esses recursos.

A adoção do Zero Trust é uma maneira de resolver o problema. O princípio orientador do Zero Trust é simplesmente que a confiança nunca pode ser dada como certa. Toda interação relacionada ao acesso a recursos deve ser considerada potencialmente arriscada. Como disse Jim Taylor, diretor de produtos da RSA: “O Zero Trust é uma forma de lidar com uma situação em que você não dispõe mais dos mecanismos que costumava ter para se sentir seguro”. Em vez de presumir que um indivíduo ou dispositivo é confiável, a confiança deve ser verificada a cada interação.

O que torna a identidade essencial para a confiança zero?

Com a erosão do perímetro tradicional, a identidade se torna o principal meio de estabelecer a confiança. "A identidade é o novo perímetro - é a única coisa que você pode controlar e proteger", disse Taylor. "Se eu puder determinar, com um alto grau de confiança, que você é quem diz ser, posso autenticá-lo e autorizá-lo. A capacidade de confiar na identidade de alguém ou de algo torna possível basear a política de segurança na identidade."

É claro que a ideia de usar a identidade para estabelecer confiança não é nova. Mas o contexto para estabelecer confiança mudou de maneiras que tornam a identidade mais essencial do que nunca. Cada vez mais, a força de trabalho inclui não apenas funcionários em tempo integral que trabalham no local, mas também prestadores de serviços, trabalhadores autônomos e muitos outros que precisam de acesso a recursos — e não apenas no local. Hoje, a interação ocorre de forma digital e online em tal medida que a localização física de alguém não é mais fundamental para estabelecer confiança. Essas mudanças são a razão pela qual o Zero Trust é tão relevante atualmente e por que a identidade é fundamental.

Formas específicas pelas quais a identidade apoia sua jornada rumo ao modelo Zero Trust

A identidade abre caminho para o modelo Zero Trust de três maneiras específicas.

  • Concede acesso às pessoas certas. A capacidade de estabelecer o nível adequado de confiança antes de conceder acesso é essencial para operar com uma mentalidade de Zero Trust. Para dar suporte ao Zero Trust, é necessário contar com recursos de identidade e acesso que incluam uma variedade de métodos de autenticação multifatorial (MFA), juntamente com uma sólida governança e administração de identidade (IGA), a fim de possibilitar uma autorização de acesso baseada em governança e orientada pela visibilidade.
  • Oferece suporte à tomada de decisões dinâmicas. Para implementar com sucesso uma abordagem Zero Trust ao acesso, é preciso ser capaz de utilizar o contexto para avaliar o risco associado a uma determinada interação e, em seguida, tomar decisões de acesso com base no nível de risco. Uma abordagem Zero Trust exige uma tomada de decisão dinâmica e baseada no contexto; por isso, é importante ter a capacidade de aplicar a autenticação baseada no risco.
  • Está em conformidade com a estrutura da arquitetura Zero Trust do NIST. O Instituto Nacional de Padrões e Tecnologia (NIST) desenvolveu uma estrutura para uma arquitetura Zero Trust. Os componentes de identidade e acesso, que incluem análises baseadas em risco exigidas pelo NIST e acesso baseado em funções e atributos, são essenciais para operar dentro da estrutura do NIST.
Encontre um equilíbrio para se manter seguro e produtivo

Qualquer abordagem para garantir o acesso seguro, incluindo o Zero Trust, tem dois objetivos: impedir a entrada de pessoas mal-intencionadas e permitir a entrada de pessoas bem-intencionadas. Se você se concentrar exclusivamente na defesa e não deixar ninguém entrar, terá pouco risco, mas também poucos negócios. O termo Zero Trust não significa nunca confiar em ninguém. Significa não confiar em ninguém sem antes verificar se essa pessoa ou entidade é confiável. E a identidade é fundamental para garantir que alguém ou algo seja confiável. Com as ferramentas de identidade certas, você pode adotar com sucesso a mentalidade Zero Trust no gerenciamento de acesso e prosperar no mundo digital.

Saiba mais sobre o exclusivo foco na identidade hoje mesmo e saiba mais sobre o Zero Trust com a RSA:

Solicite uma Demonstração

Solicite uma Demonstração