Guia de segurança Zero Trust: o que é e como implementar o Zero Trust?

Entendendo a segurança Zero Trust

Zero Trust é um modelo de segurança cibernética que exige que todas as identidades (pessoas, dispositivos ou qualquer outra entidade definida como usuário) sejam autenticadas, autorizadas e verificadas continuamente, esteja o usuário dentro ou fora da rede corporativa, antes e durante o acesso a dados e aplicativos.

O modelo de segurança Zero Trust aplica-se à rede de uma organização, seja ela local, na nuvem ou híbrida, independentemente da localização de seus usuários. Este modelo oferece uma alternativa mais eficaz às estratégias convencionais de segurança de rede de TI que confiam em todas as identidades uma vez que elas estejam dentro da rede. Os métodos tradicionais de segurança deixam a empresa vulnerável por causa dos riscos próprios desses ambientes, tais como:

• Acesso remoto, híbrido e de terceiros (contratados e outros);
• Dados, aplicativos e dispositivos diversos e locais de rede;
• Migração para a nuvem;
• Violações de dados e ataques de ransomwares.

Uma vez que um infiltrado mal-intencionado esteja dentro da rede, ele terá fácil acesso lateral aos recursos. Com a segurança Zero Trust, mesmo usuários pertencentes à rede não são confiáveis, sendo continuamente verificados para garantir que ainda tenham acesso aos aplicativos e dados conforme concedido originalmente.

A segurança Zero Trust pressupõe que a empresa seja, a todo momento, alvo de ameaças internas e externas. Ela possibilita uma estratégia intencional e metódica capaz de reduzir essas ameaças. Por não confiar em ninguém, nem mesmo em usuários com acesso existente aos recursos organizacionais, este modelo garante uma segurança fundamental à empresa moderna.

Segurança Zero Trust e NIST

A Publicação Especial 800-207 do Instituto Nacional de Padrões e Tecnologia (NIST, National Institute of Standards and Technology) dos EUA diz que a arquitetura Zero Trust “fornece um roteiro para a migração e implementação de conceitos de segurança Zero Trust em um ambiente corporativo (p. iii)”. Ela estabelece um padrão ao qual as organizações podem se alinhar, mas “sem a pretensão de impor um plano único de implantação da [arquitetura Zero Trust] (p. iii)”.

No momento da redação deste texto, a Publicação Especial 1800-35 do NIST estava disponibilizada em versão preliminar e aberta a comentários. Esta publicação visa dar suporte a leitores que estão elaborando estratégias de transição para um modelo de segurança Zero Trust. As seções do guia destinam-se a atender a diversas funções organizacionais, de lideranças de TI a gerentes e especialistas.

Os padrões do NIST estão sempre mudando, em parte com base no feedback recebido dos profissionais que utilizam seus manuais. Os padrões caracterizam-se por serem independentes em relação a fornecedores e de vasta aplicação, embora não se destinem a ser exaustivos, pois eles não abordam todos os casos de uso. Os padrões de segurança Zero Trust do NIST servem de suporte a todas as organizações, não apenas a agências governamentais.

O objetivo do Centro Nacional de Excelência em Segurança Cibernética (NCCoE, National Cybersecurity Center of Excellence) do NIST é facilitar a compreensão do modelo Zero Trust e implementar uma arquitetura que possa dar suporte aos casos de negócios mais comuns. Constituem aspectos da segurança Zero Trust nos quais o NCCoE se concentra:

Transição do método tradicional de segurança perimetral da rede (com fornecimento de acesso a qualquer usuário interno) para um controle de acesso restrito, mutável e baseado em risco, independentemente da localização dos recursos.

Compreensão e gerenciamento dos desafios relacionados à execução de uma arquitetura Zero Trust, como a avaliação das prioridades de investimentos organizacionais e do impacto na experiência do usuário.

Percepção dos benefícios para a empresa com a implementação do modelo Zero Trust, com suporte a equipes remotas, mitigação de ameaças internas e violações de dados, além do aumento da visibilidade.

Como funciona a segurança Zero Trust

O princípio básico da segurança Zero Trust é simples: não confie em ninguém. Como dito acima, é uma grande mudança quando comparada ao modelo tradicional, construído em torno de um perímetro de rede que pressupõe que os usuários estão seguros se tiverem as credenciais de acesso. O modelo de segurança Zero Trust considera todas as identidades, incluindo as de dentro da rede, uma ameaça. A segurança habilitada em todos os lugares (no local, em uma nuvem pública ou em um ambiente híbrido) é mais forte quando baseada na verificação de identidades.

Com a segurança Zero Trust, aplicativos e serviços podem se comunicar de forma segura entre redes, e as identidades, sejam elas entidades humanas, dispositivos ou aplicativos, podem ter acesso aos dados e aplicativos de que precisam com base em políticas de negócios. Este modelo evita acessos não aprovados e atividades laterais, ao empregar políticas de acesso dependentes do contexto, entre elas:

• Localização e função do usuário;
• Dispositivo do usuário;
• Dados solicitados pelo usuário.

A implementação da estrutura de segurança Zero Trust requer uma combinação de ferramentas sofisticadas, como autenticação multifator, segurança de identidade, segurança de endpoints e serviços dinâmicos baseados na nuvem para proteger usuários, dados e sistemas da empresa em todos os pontos de acesso.

Arquitetura de segurança Zero Trust

Uma arquitetura de segurança Zero Trust é uma estrutura geral capaz de proteger os recursos mais importantes da empresa. Como todas as conexões e endpoints são considerados ameaças, essa arquitetura:

• Gerencia e restringe o acesso à rede.
• Torna aplicativos e dados inacessíveis por padrão.
• Valida e autoriza todas as conexões, com base na conformidade da concessão de acesso com as políticas de segurança da empresa.
• Encerra cada conexão e possibilita a avaliação dos arquivos antes da entrega, em vez de utilizar uma estratégia de inspeção na entrega, como a dos firewalls, que pode resultar na detecção tardia de arquivos infectados.
• Registra, revisa e monitora todo o tráfego da rede organizacional, utilizando o contexto de tantas fontes de dados quanto possível.
• Valida e protege os ativos de rede.

Uma arquitetura de segurança Zero Trust conta com o acesso que se baseia no princípio do privilégio mínimo, segundo o qual o acesso do usuário é restrito ao mínimo necessário para o exercício de sua função. Por exemplo, um funcionário de marketing não precisa necessariamente ter acesso a dados confidenciais de clientes no software de gerenciamento de relacionamento com o cliente (CRM, Customer Relationship Management) da empresa.

Casos de uso da segurança Zero Trust

O modelo Zero Trust, recomendado há anos, tem alcançado maior desenvolvimento e formalização por causa do aumento das ameaças cibernéticas e da crescente necessidade das empresas de garantir segurança nos processos de transformação digital. Entre os casos de uso do modelo Zero Trust, destacam-se:

• Estratégias de interesses organizacionais, como a conformidade regulatória e os desafios de auditoria correlatos, dificuldade em manter seguro de responsabilidade cibernética, problemas no centro de operações de segurança (SOC) e/ou os impactos da autenticação multifator em usuários.
• Redução do risco organizacional para empresas que não possuem fortes protocolos de autenticação e autorização, que têm pouca visibilidade da rede e de como os recursos se comunicam ou possuem excesso de provisionamento de softwares e serviços.
• Proteção de modelos de infraestrutura que são ambientes multi-identidade, nuvem, multinuvem, ou híbridos e/ou que contêm aplicativos SaaS, sistemas legados ou dispositivos não gerenciados.
• Rapidez e segurança na integração e desligamento de novos colaboradores, bem como facilidade de concessão e remoção do acesso quando usuários mudam de função.
• Segurança no suporte ao trabalho remoto, bem como a colaboradores externos, como contratados e terceiros, que usam computadores que não são gerenciados pelas equipes de TI da organização.
• Estratégias para lidar com ameaças existentes, como violações de dados, ransomwares, ameaças internas, shadow IT, ou ataques à cadeia de fornecedores.
• Criação de limites em torno de informações confidenciais, como backups de dados, informações de cartão de crédito e dados pessoais com microssegmentação Zero Trust, que não apenas permite a categorização adequada dos tipos de dados, mas também oferece melhor visibilidade e gerenciamento durante auditorias ou em caso de violação de dados.

Princípios fundamentais do modelo de segurança Zero Trust

1. Monitoramento e validação contínuos

Na segurança Zero Trust, há um conceito crucial de que aplicativos não podem ser considerados confiáveis, sendo necessário validar suas ações por meio do monitoramento contínuo durante sua execução. Por validação contínua entende-se o dever da empresa de autenticar ininterruptamente o acesso a todos os recursos, pois, neste modelo, não existem credenciais, zonas ou dispositivos inerentemente “confiáveis”.

A validação contínua de recursos tão extensos requer acesso condicional baseado em risco a fim de garantir a interrupção do fluxo de trabalho apenas mediante a alteração nos níveis de risco, permitindo essa verificação contínua sem comprometer a experiência do usuário. Além disso, graças à frequente movimentação de usuários, informações e cargas de trabalho, a empresa deve implementar um modelo de política dinâmico e escalável que incorpore fatores de risco, conformidade e TI.

2. Microssegmentação

A microssegmentação, um aspecto central da segurança Zero Trust, é o processo de separação de perímetros de segurança em setores menores, criando acessos distintos para cada zona da rede. O modelo Zero Trust impede um usuário ou aplicativo com acesso a uma zona de acessar outras sem receber permissões adicionais.

3. Prevenção do movimento lateral

Um aspecto importante da segurança Zero Trust é a prevenção do movimento lateral, que ocorre quando um invasor cibernético se reposiciona dentro de uma rede após obter acesso a ela. Pode ser difícil identificar esse tipo de movimento, mesmo que o ponto de entrada seja detectado, uma vez que o invasor cibernético já terá avançado em sua penetração em outras áreas da rede.

Ao microssegmentar o acesso à rede, o Zero Trust impede que invasores cibernéticos obtenham acesso a uma área e, em seguida, se movam lateralmente pela rede.

Ao limitar o invasor a uma zona específica, fica mais fácil localizá-lo, possibilitando o isolamento do usuário, do aplicativo ou do dispositivo infrator e impedindo o acesso a outras zonas.

4. Controle de acesso a dispositivos

Com o objetivo de restringir a superfície de ataque à rede da organização, a segurança Zero Trust exige um gerenciamento rigoroso do acesso a dispositivos para:

• Documentar o número de dispositivos que tentam acessar a rede.
• Confirmar que cada dispositivo está autorizado.
• Garantir que não houve comprometimento dos dispositivos.

5. Princípio do acesso com privilégio mínimo

De acordo com o princípio do privilégio mínimo, outro componente essencial da segurança Zero Trust, usuários recebem apenas as permissões de acesso mínimas necessárias. Isso possibilita a administração criteriosa das permissões de usuário e reduz ao mínimo a exposição dos segmentos de rede a vulnerabilidades relacionadas ao usuário. Aliados à microssegmentação, os princípios de acesso com privilégio mínimo são utilizados para minimizar o movimento lateral.

O acesso com privilégios mínimos restringe o acesso do usuário por meio de provisionamento just-in-time (JIT), administração suficiente (JEA, just-enough-administration), políticas adaptativas baseadas em risco e da proteção de dados a fim de facilitar a segurança das informações e eficiências superiores. O monitoramento do acesso sob restrições de privilégios mínimos conta com análises e relatórios que permitem à empresa identificar e reagir imediatamente a inconsistências.

6. Autenticação multifator (MFA)

A autenticação multifator (MFA, multi-factor authentication) também é um princípio fundamental do modelo de segurança Zero Trust. A MFA combina dois ou mais mecanismos de segurança para a obtenção de acesso a recursos de TI.

A MFA é semelhante à autenticação de dois fatores (2FA, two-factor authentication), que requer uma senha e um mecanismo secundário, como um token de segurança, um aplicativo autenticador em um dispositivo móvel ou uma leitura de impressão digital. A principal diferença entre as duas é que a MFA, visando ao aumento da segurança, pode exigir mais de um mecanismo secundário de verificação de identidade.

Implementação da segurança Zero Trust

Para executar uma arquitetura de segurança Zero Trust, a empresa deverá:

• Comprometer-se com a segurança Zero Trust e elaborar uma estratégia e um roteiro bem organizados.
• Documentar a infraestrutura de TI e os recursos de informação.
• Analisar as vulnerabilidades da organização, inclusive potenciais caminhos de ataque.
• Selecionar e implementar ferramentas de segurança a fim de alcançar os resultados comerciais exigidos.
• Alinhar equipes de segurança segundo as prioridades, políticas para atribuição de atributos e privilégios e aplicação de políticas.
• Considerar a criptografia de dados, a segurança de e-mail e a validação de recursos e endpoints antes que se conectem a aplicativos.
• Examinar e validar o tráfego entre partes do ambiente.
• Conectar os dados em cada domínio de segurança.

São conexões que devem ser protegidas:

• Usuário e segmentos de usuários;
• Contas;
• Dados;
• Dispositivos e segmentos de dispositivos;
• Aplicativos;
• Cargas de trabalho;
• Redes e segmentos de rede.

Com a transição da empresa para uma arquitetura de segurança Zero Trust, a microssegmentação, e não a segmentação de rede tradicional, protege informações, fluxos de trabalho e serviços. Isso garante a segurança independentemente da localização da rede, estejam os recursos em um data center ou em ambientes híbridos e multinuvem distribuídos.

Constituem componentes adicionais para a implementação da solução as redes de sobreposição, perímetros definidos por software (SDP, software-defined perimeters), controles de acesso baseados em políticas (PBAC, policy-based access controls) e governança de identidade.

A implementação de uma arquitetura de segurança Zero Trust pode parecer um tanto obstrutiva, mas pode permitir visibilidade e maior compreensão de uma superfície de ataque em constante mudança, além de melhorar a experiência do usuário, diminuir a complexidade da segurança e reduzir a sobrecarga operacional.

A automação da coleta e resposta de contexto, outro elemento de um modelo de segurança Zero Trust, permite uma tomada de decisão rápida e de alta qualidade com base em dados compilados de fontes, tais como usuários humanos e não humanos, cargas de trabalho, endpoints (dispositivos físicos), redes, provedores de identidade, gerenciamento de informações e eventos de segurança (SIEM, security information and event management), , inteligência de ameaças e dados.

Por que a segurança Zero Trust é importante?

A segurança Zero Trust oferece à empresa moderna uma estratégia receptiva da segurança cibernética que reflete o cenário de ameaças atual e a necessidade de proteção dos usuários, dados e sistemas em todos os pontos de acesso. Ela é compatível com o ambiente de trabalho híbrido, garantindo que os usuários tenham acesso aos recursos de que precisam, quando precisam, em seus dispositivos preferidos, permitindo que a organização mantenha a segurança atualizada e se adapte à detecção de novas ameaças à medida que ocorram as transformações digitais.

A segurança Zero Trust oferece suporte às necessidades de negócios em constante evolução da empresa, tais como:

• Preferências e expectativas do cliente por experiências digitais inovadoras.
• Recursos acessados ​por um número crescente de dispositivos que estão fora do controle da equipe de TI.
• Gerenciamento do tempo gasto pelas equipes de TI em tarefas manuais devido a soluções de segurança desatualizadas, ameaças cibernéticas em evolução e regulamentações globais em expansão.
• Mais visibilidade e insights para equipes de liderança em relação a políticas de segurança e resposta a ameaças.

Benefícios da segurança Zero Trust

São benefícios obtidos pelas empresas ao implementarem com sucesso a segurança Zero Trust:

• Segurança na nuvem altamente eficaz, um fator vital devido ao nível de dispersão na nuvem, de endpoints e dados no moderno ecossistema de TI, com maior visibilidade e eficiência para as equipes de segurança.
• Redução da superfície de ataque da organização e atenuação da gravidade e das despesas de recuperação associadas à ocorrência de ataques, confinando a violação a um único microssegmento.
• Melhoria no desempenho da rede devido à redução do tráfego de sub-rede, simplificação do registro e monitoramento e capacidade aprimorada de focar em erros de rede.
• Redução do impacto causado pelo roubo de credenciais de usuários e ataques de phishing, graças aos requisitos de MFA, e a mitigação de ameaças que normalmente contornam barreiras perimetrais convencionais.
• Atenuação do risco associado a dispositivos, como os dispositivos de Internet das Coisas (IoT), que podem ser um desafio em termos de proteção e atualização, por meio da autenticação de todas as solicitações de acesso.

Um breve histórico da segurança Zero Trust

John Kindervag, analista da Forrester Research, introduziu o termo “zero trust” (segurança zero) em 2010, durante uma apresentação sobre o modelo. A Publicação Especial 800-207 do NIST, abordada acima, foi publicada em 2018.

Em 2019, a Gartner incluiu a segurança Zero Trust em suas soluções de serviço de acesso seguro de borda (SASE, secure access service edge), e o Centro Nacional de Segurança Cibernética (NCSC, National Cyber Security Centre) do Reino Unido, recomendou que arquitetos de rede considerassem um modelo de segurança Zero Trust em novas implantações de TI, especialmente quando a implantação envolvesse serviços em nuvem.

Ainda conforme mencionado acima, a Publicação Especial 1800-35 do NIST está disponível em versão preliminar e aberta a comentários no momento desta publicação, visto que a segurança Zero Trust continua a evoluir para atender às necessidades de vários casos de uso e setores.

O que é Acesso à Rede Zero Trust (ZTNA)?

O Acesso à Rede Zero Trust (ZTNA, Zero Trust Network Access) é a principal tecnologia que capacita a empresa a empregar este modelo de segurança. O ZTNA estabelece conexões criptografadas um-para-um entre dispositivos e os recursos necessários com base em políticas de controle de acesso especificadas, impedindo o acesso por padrão e permitindo o acesso aos serviços somente após a concessão inequívoca. Os usuários são autenticados por meio de um túnel criptografado antes que o ZTNA forneça acesso seguro.

Introdução à segurança Zero Trust

A tecnologia e os processos de segurança Zero Trust devem ter como base os objetivos estratégicos da empresa: o que a organização deve proteger e de quem? Uma vez estabelecidos esses objetivos e efetivamente implementada a segurança Zero Trust, a empresa colherá os benefícios de uma infraestrutura de rede mais otimizada, uma experiência de usuário aprimorada e defesas cibernéticas robustas.

Todas as organizações enfrentam desafios dependendo do setor, da maturidade, da estratégia de segurança existente e dos objetivos de negócios. Um modelo de segurança Zero Trust baseado em identidade acrescenta controle e supervisão ao acesso e à movimentação de usuários em sua infraestrutura de TI.

Perguntas frequentes sobre segurança Zero Trust

O que é zero trust?

O Zero Trust é uma abordagem estratégica de segurança que abrange projetos e processos que restringem o controle de acesso. Essencialmente, os princípios de segurança Zero Trust estabelecem que não se deve presumir a confiabilidade de usuários, serviços, aplicativos ou dispositivos para a concessão de acesso contínuo. Mesmo após a concessão do acesso inicial, cada entidade deve ser continuamente validada e o acesso revogado se as validações falharem.

Quais são os três principais conceitos da segurança Zero Trust?

A segurança Zero Trust gira em torno de três conceitos principais que, usados ​em conjunto, aperfeiçoam a postura de segurança de uma organização e aumentam resiliência cibernética.

Presunção de violação: É o componente de mitigação de risco fundamental da segurança Zero Trust. Ao presumir que as ameaças estão sempre presentes dentro e fora do perímetro da rede, as equipes de TI e segurança são motivadas a adotar uma abordagem proativa visando à prevenção e à mitigação do impacto de uma violação. Uma tática usada para responder à presunção de violação é a microssegmentação, que limita o que pode ser acessado se houver comprometimento das redes.

Observância do princípio do acesso com privilégio mínimo: O acesso com privilégio mínimo reduz a exposição a vulnerabilidades, concedendo o nível mínimo de acesso necessário para que cada usuário execute suas funções específicas. Essa abordagem substitui privilégios de acesso amplos e irrestritos por permissões granulares que restringem o acesso dos usuários a acessos just-in-time e just-enough (JIT/JEA). A solução geralmente é associada a políticas de acesso adaptáveis​baseadas em risco, que concedem privilégios de acesso dinâmicos em categorias principais.

Verificação contínua e explícita: Cada tentativa do usuário de acessar recursos ou dados deve ser verificada e autenticada explicitamente antes que o acesso seja concedido. Essa autenticação deve ser contínua e autorizar a identidade, a postura do dispositivo e a integridade do aplicativo por vários meios, com base em todos os pontos de dados disponíveis, como autenticação multifator, classificação de dados, verificações de integridade do dispositivo, carga de trabalho ou serviço e lista de permissões de aplicativos. Os usuários devem ser reautenticados e reautorizados sempre que tentarem acessar um recurso. O procedimento também requer monitoramento contínuo para a rápida detecção e resposta a anomalias.

Quais são os 5 pilares da segurança Zero Trust?

A segurança Zero Trust se baseia em avaliações e atualizações contínuas de cinco pilares principais que trabalham em conjunto.

Identidades: Identidades digitais são um conjunto de dados que representam uma entidade online, tais como usuários humanos e não humanos (por exemplo, sistemas, dispositivos e aplicativos). Com a segurança Zero Trust, as identidades digitais de todos os usuários devem ser verificadas antes que tenham acesso às redes.

Dispositivos: A segurança Zero Trust exige a verificação de todos os dispositivos antes que possam se conectar aos recursos. Para isso, é necessário ter um inventário completo de todos os dispositivos que se conectam às redes, a fim de verificar a integridade e a conformidade desses dispositivos, garantindo que estejam seguros e executando apenas programas aprovados.

Redes: Devem ser segmentadas visando restringir o movimento lateral e impedir a obtenção de acesso adicional aos recursos do sistema e às informações confidenciais. A segmentação de redes pela segurança Zero Trust é baseada no tipo de dados confidenciais e nos usuários que precisam acessá-los. Esse isolamento minimiza a ocorrência de possíveis danos em caso de acesso não autorizado.

Aplicativos e cargas de trabalho: Seguindo o modelo de segurança Zero Trust, todos os aplicativos devem ter o acesso a dados e sistemas confidenciais reduzido ao mínimo necessário à execução de suas funções. Esse controle de acesso deve refletir o aplicado a usuários humanos. Além disso, os aplicativos devem ser testados e auditados regularmente a fim de identificar anomalias e garantir que tenham as atualizações de segurança mais recentes.

Dados: Faz-se necessária a categorização dos dados para facilitar o monitoramento e o gerenciamento de dados confidenciais, considerando seu valor e risco de comprometimento. Além disso, o acesso aos dados deve ser restringido segundo o princípio do privilégio mínimo.

O que é zero trust em segurança física?

Os princípios fundamentais do conceito Zero Trust da segurança cibernética podem ser estendidos à segurança física. Aplicada a ambientes físicos, a segurança Zero Trust pressupõe que nenhum indivíduo goza de confiabilidade implícita apenas porque obteve acesso a um ambiente físico. Os sistemas, construções e infraestruturas associadas podem ser melhor protegidos com a aplicação da segurança Zero Trust.

Um exemplo de segurança Zero Trust para ambientes físicos é a exigência de autenticação adicional da identidade antes da entrada em espaços específicos dentro de uma construção após a autenticação no ponto inicial de entrada. Outro exemplo é exigir que usuários se autentiquem ao entrar novamente nos espaços de uma construção (por exemplo, ao retornar às suas áreas de trabalho após sair para ir ao refeitório).

Os sistemas de segurança Zero Trust também ajudam na supervisão de comportamentos suspeitos. Por exemplo, se alguém tenta e não consegue entrar em um espaço, a ação é registrada. Ela pode então ser rastreada e correlacionada com outras atividades com o objetivo de identificar padrões que possam indicar intenções maliciosas.

O que é arquitetura Zero Trust?

Uma arquitetura Zero Trust é um projeto de sistema e processo que operacionaliza os fundamentos da confiança zero, como o gerenciamento rigoroso de acesso, sistemas de validação de autenticação de dispositivos e usuários e microssegmentação, para reduzir a superfície de ataque de uma rede. Ela é usada para proteger ambientes corporativos em nuvem, locais e híbridos.

O uso de uma arquitetura de segurança Zero Trust ajuda as organizações não apenas a atender aos requisitos internos de segurança, mas também a manter a conformidade com diversas regulamentações, padrões e práticas recomendadas. A implementação de uma arquitetura de segurança Zero Trust oferece uma série de benefícios, incluindo a habilitação de ambientes de trabalho remoto seguros, o aprimoramento da postura geral de segurança, o aumento da visibilidade, a mitigação de riscos, a melhoria dos controles de acesso a dispositivos e a facilitação da adoção segura da nuvem.