A confiança zero está ganhando força. Entender o que é e como melhorá-lo é fundamental para a segurança cibernética.
O modelo de segurança e arquitetura de confiança zero foi criado por John Kindervag em 2010, quando ele era analista principal na Forrester Research Inc. A arquitetura de confiança zero é uma estratégia de segurança poderosa e holística que está ajudando a impulsionar os negócios de forma mais rápida e segura.
Uma arquitetura de confiança zero elimina a ideia de uma rede confiável dentro de um perímetro definido. Em outras palavras, é um modelo de segurança que se concentra na verificação de cada usuário e dispositivo, tanto dentro quanto fora dos perímetros de uma organização, antes de conceder acesso. A estrutura de segurança de confiança zero:
A abordagem de Zero Trust concentra-se principalmente na proteção de dados e serviços, mas deve ser expandida para incluir todos os ativos corporativos (dispositivos, componentes de infraestrutura, aplicações, componentes virtuais e de nuvem) e alvos (usuários finais, aplicações e outras entidades não humanas que solicitam informações de recursos).
No passado, as abordagens de segurança de perímetro seguiam um paradigma simples: “Confie, mas verifique.” Embora a experiência do usuário tenha sido melhor, as crescentes ameaças à segurança cibernética agora estão forçando as organizações a reexaminar suas posturas. Nos últimos anos, uma infraestrutura empresarial típica tem se tornado cada vez mais complexa e está ultrapassando os modelos de segurança de perímetro.
Exemplos dessas novas complexidades de segurança cibernética incluem:
Junto com essas complexidades, proteger o perímetro da rede é insuficiente porque os aplicativos agora estão em vários ambientes de nuvem , com 81% das empresas tendo aplicativos com pelo menos dois provedores de nuvem ( IBM Mobile Workforce Report ). Além disso, as tendências globais de trabalho remoto continuam, com 65% dos trabalhadores citando que gostariam de continuar trabalhando em casa ou remotamente ( Pesquisa Gallup ). Além disso, o crescimento global da força de trabalho móvel continua, conforme indicado pelo relatório Por que as organizações escolhem uma estratégia multinuvem da Gartner, que estimou que haveria 1,87 bilhão de trabalhadores móveis no mundo todo até 2022.
Primeiro, um modelo de confiança zero bem-sucedido deve fornecer visibilidade para todo o tráfego – entre usuários, dispositivos, locais e aplicativos. Além disso, deve permitir a visibilidade dos recursos de zoneamento de tráfego interno. Você também deve considerar ter a capacidade aprimorada de proteger adequadamente os novos pontos de controle em um ambiente de confiança zero.
O gerenciador de políticas de acesso correto protege, simplifica e centraliza o acesso a aplicativos, APIs e dados, não importa onde os usuários e seus aplicativos estejam localizados. Uma validação do modelo de confiança zero com base no contexto granular e na conscientização de identidade, e na proteção de cada solicitação de acesso ao aplicativo, é essencial para isso e deve monitorar continuamente a integridade do dispositivo de cada usuário, a localização e outros parâmetros de acesso ao aplicativo durante toda a sessão de acesso ao aplicativo.
Ter um portfólio de segurança de aplicativos robusto em uma abordagem de confiança zero também é importante. As soluções certas podem proteger contra ataques DoS de camada 7 por meio de capacidade de análise comportamental e monitoramento contínuo da integridade de seus aplicativos. A proteção de credenciais para evitar que invasores obtenham acesso não autorizado às contas de seus usuários pode fortalecer sua postura de segurança de confiança zero. Além disso, com o uso crescente de APIs, você precisa de uma solução que as proteja e proteja seus aplicativos contra ataques de API.
O F5 se apoia fortemente na Publicação Especial 800-207 do NIST Arquitetura de Confiança Zero quando se trata de nossos esforços em torno da confiança zero, porque ela fornece modelos de implantação geral específicos do setor e casos de uso em que a confiança zero pode melhorar a postura geral de segurança da tecnologia da informação de uma empresa. O documento descreve a confiança zero para arquitetos de segurança empresarial e auxilia na compreensão de sistemas civis não classificados. Além disso, ele oferece um roteiro para migrar e implantar conceitos de segurança de confiança zero em um ambiente empresarial.
Coletar informações sobre ativos atuais, infraestrutura de rede e estado das comunicações para melhorar sua postura de segurança é essencial para melhorias de confiança zero. Recomendamos seguir estas etapas para orientar sua organização neste processo:
A F5 pode ajudar você especificamente a implantar um modelo de confiança zero eficaz que aproveite nossas soluções Trusted Application Access, Application Infrastructure Security e Application Layer Security. Saiba mais aqui .