As organizações modernas estão adotando o “digital” e, embora haja inúmeros benefícios, isso cria desafios quando se trata de segurança, pois o perímetro da rede tradicional está desaparecendo. Peter Newton, diretor sênior de marketing de produto da Fortinet, nos conta como uma abordagem de acesso Zero Trust está ajudando os líderes de TI a obter informações sobre quem e o que está na rede, a fim de melhorar a postura de segurança de suas organizações
A rede mais segura é aquela que não possui conexões. Claro, essa ideia não é apenas impraticável, ela vai contra o propósito de uma rede. A realidade é que nenhuma rede é uma ilha e, à medida que as empresas se tornam mais digitais, as redes inevitavelmente se tornam mais complicadas e dispersas. As redes de hoje têm muitas “bordas”, por isso é muito mais difícil do que costumava ser criar uma única fronteira defensável. Diante dessas mudanças, o perímetro da rede tradicional está se dissolvendo e é muito mais difícil dizer em quem e o que pode ser confiável.
Para responder às ameaças crescentes, as melhores práticas agora estipulam uma atitude de “não confiar em ninguém, não confiar em nada” em relação ao acesso à rede. Proteger a rede com esta abordagem de acesso Zero Trust (ZTA) significa que todos os usuários, todos os dispositivos e todos os aplicativos da web da nuvem devem ser confiáveis, autenticados e ter a quantidade correta de privilégios de acesso (e nada mais).
Focando em três áreas principais de acesso Zero Trust
Com o ZTA, todo o conceito de zonas confiáveis e não confiáveis não se aplica mais; a localização precisa ser totalmente retirada da equação. A estratégia mais eficaz é uma abordagem holística que oferece visibilidade e controle concentrando-se em três áreas principais: quem está na rede, o que está na rede e o que acontece com os dispositivos gerenciados quando eles saem da rede.
1. Quem está na rede
Cada empresa digital possui uma variedade de usuários. Os funcionários tradicionais acessam a rede, mas muitas vezes contratados, parceiros da cadeia de suprimentos e até mesmo clientes podem precisar de acesso a dados e aplicativos localizados no local ou na nuvem.
Para uma estratégia ZTA eficaz, é fundamental determinar quem é cada usuário e que função eles desempenham dentro de uma organização. O modelo Zero Trust se concentra em uma “política de menor acesso” que apenas concede a um usuário acesso aos recursos que são necessários para sua função ou trabalho. Depois que um usuário é identificado, o acesso a quaisquer outros recursos é fornecido apenas caso a caso.
Essa estratégia começa com os CISOs exigindo identificação e autenticação resistentes a violações. As identidades dos usuários podem ser comprometidas pela quebra de senhas fracas à força bruta ou pelo uso de táticas de engenharia social, como phishing de e-mail. Para melhorar a segurança, muitas empresas estão adicionando autenticação multifator (MFA) a seus processos de login. O MFA inclui algo que o usuário conhece, como nome de usuário e senha, junto com algo que o usuário possui, como um dispositivo de token que gera um código de uso único ou um gerador de token baseado em software.
Depois que a identidade de um usuário é autenticada por meio do login do usuário, entrada multifator ou certificados, ela é vinculada a um sistema de controle de acesso baseado em função (RBAC) que associa um usuário autenticado a direitos de acesso e serviços específicos.
Os CISOs precisam garantir que os processos de segurança evitem ser tão complicados ou onerosos a ponto de prejudicar a produtividade ou as experiências do usuário. As soluções ZTA que são rápidas e oferecem suporte a logon único (SSO, sigla em inglês) podem ajudar a melhorar a conformidade e a adoção.
2. O que está na rede
Devido ao grande aumento de aplicativos e dispositivos, o perímetro da rede está se expandindo e, potencialmente, bilhões de bordas devem agora ser gerenciadas e protegidas. Para uma estratégia de ZTA eficaz, os CISOs precisam gerenciar a explosão de dispositivos resultante das estratégias de Internet das Coisas (IoT) e trazer seus próprios dispositivos (BYOD – de Bring Your Own Device em inglês). Esses dispositivos podem ser desde telefones e laptops de usuários finais até servidores, impressoras e dispositivos IoT, como controladores de HVAC ou leitores de crachás de segurança.
Para entender quais dispositivos estão na rede em um determinado momento, os CISOs também precisam implementar ferramentas de controle de acesso à rede (NAC) que podem identificar automaticamente e criar o perfil de cada dispositivo conforme ele solicita acesso à rede, além de fazer a varredura em busca de vulnerabilidades. Para minimizar o risco de comprometimento do dispositivo, os processos NAC precisam ser concluídos em segundos e fornecer operações consistentes em redes com e sem fio. Qualquer solução NAC também deve ser fácil de implantar a partir de um local central, portanto, não exigirá sensores em todos os locais do dispositivo.
Embora seja importante aplicar o controle de acesso a todos os dispositivos, os dispositivos IoT são particularmente desafiadores porque são normalmente dispositivos de baixo consumo de energia e de formato pequeno, sem memória ou CPU para suportar processos de segurança. E também muitas vezes não são compatíveis com ferramentas de segurança de endpoint. Como o controle de acesso não pode ser realizado nos dispositivos, a própria rede precisa fornecer segurança.
3. O que acontece com os dispositivos gerenciados quando eles saem da rede
Como as pessoas usam dispositivos BYOD para necessidades pessoais e comerciais, a terceira chave para uma estratégia ZTA eficaz é entender o que acontece quando os dispositivos deixam a rede. Quando não estão conectados à rede, os usuários podem navegar na Internet, interagir com outras pessoas nas redes sociais e receber e-mails pessoais. Depois de estar online, depois de se reconectar à rede, esses usuários podem expor inadvertidamente seus dispositivos e recursos da empresa a ameaças que possam ter detectado, como vírus e malware.
Controlar os dispositivos gerenciados quando eles saem da rede é um desafio. Graças aos serviços em nuvem, as pessoas podem desconectar seu dispositivo da rede em um local e reconectá-lo em outro. Ou eles podem começar a trabalhar em um dispositivo e continuar em outro.
Para enfrentar esses desafios, a segurança do terminal deve fazer parte de qualquer solução ZTA. Ele deve fornecer controle de higiene fora da rede, incluindo varredura de vulnerabilidade, filtragem da web e políticas de patch. Ele também deve fornecer opções seguras e flexíveis para conectividade de rede privada virtual (VPN).
Não confie em ninguém e aproveite uma estratégia de acesso Zero Trust eficaz
Quanto mais pessoas e dispositivos se conectam a uma rede, menos segura se torna uma abordagem tradicional baseada em perímetro. Cada vez que um dispositivo ou usuário é automaticamente confiável, isso coloca em risco os dados, aplicativos e propriedade intelectual da organização. Os CISOs precisam mudar o paradigma fundamental de uma rede aberta construída em torno da confiança inerente para um modelo Zero Trust com controles de acesso de rede rigorosos que abrangem a rede distribuída.
Ao selecionar ferramentas integradas e automatizadas, os CISOs podem ajudar a superar os principais desafios do acesso Zero Trust: saber quem e o que está na rede, controlar o acesso aos recursos e mitigar os riscos desse acesso.