A nova realidade dos engenheiros de TI e DevOps é definida pela nuvem, pela mobilidade e pelas crescentes demandas por agilidade. Nesse novo cenário, o modelo tradicional de segurança "baseado em perímetro" não está envelhecendo bem, e as ferramentas de acesso binário, como VPNs, firewall e servidores de salto, estão se mostrando complicadas e não escalonáveis.
Os ambientes de trabalho não são mais regidos por perímetros fixos. Os usuários trabalham com seus próprios dispositivos e os dados confidenciais da empresa são armazenados em serviços de nuvem de terceiros. As empresas não podem mais confiar em modelos de segurança binários que se concentram em deixar os bons entrarem e manter os maus fora. Para as empresas modernas, o desafio é como dar aos usuários o acesso de que precisam, reduzindo os custos de configuração e manutenção e sem comprometer a segurança.
Baixe o Guia Zero Trust Obtenha o relatório Forrester Zero Trust Wave
A segurança Zero Trust não é um produto, é um processo. Abaixo estão seis práticas recomendadas que as organizações devem observar no caminho para a segurança de confiança zero.
Verificar todos os usuários com autenticação multifatorial (MFA)
Costuma-se dizer que a confiança zero está enraizada no princípio de "nunca confie, sempre verifique". Mas, se for implementado corretamente, é mais preciso dizer que a confiança zero está enraizada no princípio de "nunca confie, sempre verifique e verifique novamente".
Já se foi o tempo em que um nome de usuário e uma senha eram suficientes para validar a identidade de um usuário. Atualmente, essas credenciais devem ser fortalecidas com o uso da Autenticação multifatorial (MFA). Fatores de autenticação adicionais podem consistir em um ou mais dos seguintes itens:
Ao implementar uma arquitetura de confiança zero, a identidade de cada usuário que acessa sua rede (usuário privilegiado, usuário final, clientes, parceiros...) deve ser verificada usando vários fatores. E esses fatores podem ser ajustados de acordo com a sensibilidade dos dados/recursos que estão sendo acessados.
Verificar seus usuários é necessário, mas não suficiente. Os princípios de confiança zero também se estendem ao dispositivo de endpoint. A verificação de dispositivos inclui a garantia de que qualquer dispositivo usado para acessar seus recursos internos atenda aos requisitos de segurança da sua empresa. Procure uma solução que lhe permita rastrear e aplicar o status de todos os dispositivos com fácil integração e desligamento de usuários.
O princípio do menor privilégio (PoLP) determina o que o senhor pode acessar em um ambiente de confiança zero. Ele se baseia na ideia de que um determinado usuário deve receber apenas privilégios suficientes para que possa concluir uma determinada tarefa.
Por exemplo, um engenheiro que lida apenas com a atualização de linhas de código legado não precisa acessar registros financeiros. O PoLP ajuda a conter os possíveis danos no caso de um comprometimento da segurança.
O acesso com privilégios mínimos também pode ser expandido para incluir o acesso privilegiado "just in time". Esse tipo de acesso restringe os privilégios apenas aos momentos específicos em que são necessários. Isso inclui privilégios que estão expirando e credenciais de uso único.
Além de autenticar e atribuir privilégios, o senhor também deve monitorar e analisar todas as atividades do usuário na rede. Isso ajudará a identificar qualquer atividade suspeita em tempo real. A visibilidade é especialmente importante para os usuários que têm direitos administrativos, devido ao escopo total de suas permissões de acesso e à sensibilidade dos dados que eles podem acessar.
Use controles baseados em atributos para autorizar o acesso a recursos em toda a sua pilha de segurança, desde aplicativos na nuvem e locais até APIs, dados e infraestrutura. Isso permitirá que o administrador ajuste e aplique facilmente as políticas de acesso para bloquear eventos suspeitos em tempo real.
Não deixe que o perfeito seja inimigo do bom. Implementar a estratégia perfeita de confiança zero que seus usuários finais odeiam usar não é uma estratégia muito boa. Os senhores, usuários finais, só querem trabalhar. Considere uma estratégia e produtos que criem a experiência mais simples e semelhante a SaaS para sua equipe.