No cenário complexo da segurança cibernética, onde ameaças e vulnerabilidades evoluem constantemente. Por essa razão, a estratégia “Zero Trust” emerge como um farol orientador em um mundo cada vez mais digital. Ao observarmos o cotidiano, notamos que a ideia de conceder acesso somente a quem realmente precisa, algo tão comum quanto utilizar crachás de identificação, encontra paralelos surpreendentes com a filosofia do zero trust.
Este modelo revolucionário de segurança é baseado no princípio de “nunca confiar e sempre verificar”. Assim, tem conquistado o mundo nos últimos três anos, oferecendo uma abordagem fundamentalmente nova para proteger redes e aplicativos. Neste artigo, exploraremos a essência do zero trust, desde sua inspiração nas múltiplas credenciais de acesso até sua evolução como resposta às tendências emergentes de TI.
Descubra como o zero trust está redefinindo a maneira como as organizações abordam a segurança cibernética. Veja também por que ele se tornou um guia essencial, especialmente se você busca proteger seus ativos em um mundo conectado e em constante transformação.
Entenda o modelo Zero Trust
No mundo inteiro, muita gente usa crachá. Ele serve para identificar pessoas em pontos de controle como portarias e catracas. E geralmente essas pessoas só precisam de um único crachá, que serve para praticamente todos os pontos de controle que existem num ambiente de trabalho.
Mas existem ambientes onde é possível encontrar pessoas com três e até mais crachás pendurados no pescoço. Por exemplo, nos aeroportos e hospitais você verá pessoas com vários crachás. Cada um libera, para os funcionários, o acesso às áreas que eles precisam frequentar.
Nos aeroportos, os balcões de atendimento, setor de embarque, setor de bagagens, pista. Já nos hospitais, alas de enfermagem, centros cirúrgicos, farmácia e assim por diante. Logo, sem todos os crachás, é impossível trabalhar direito num aeroporto ou num hospital.
Esse modelo de controle tem grandes semelhanças com o zero trust, uma estratégia de cibersegurança que nos últimos anos vem sendo adotada no mundo inteiro. Dessa forma, seu uso visa reduzir os problemas de acesso e uso não autorizados de redes e aplicações. É uma abordagem baseada no princípio de “nunca confiar e sempre verificar”.
Para exemplificar, se pensarmos numa rede, o zero trust restringe o acesso dos usuários exclusivamente aos recursos de que necessitam. Então, aqueles recursos dos quais os usuários não precisam, ficarão fora do seu alcance.
O princípio é nunca confiar: sempre verificar
O zero trust se baseia no conceito de que não há permissões implícitas, legadas, cedidas para absolutamente nada. Pelo contrário, há um controle definido, e em variados graus de complexidade, para cada instância de um acesso concedido ao usuário. Em outras palavras, cada usuário precisa:
- Permissões para entrar na rede;
- Acessar um diretório;
- Executar uma aplicação;
- Acessar uma tabela ou visualizar um dado.
Em suma, para absolutamente tudo. Você se lembra quando, anos atrás, bastava ligar o computador ou o terminal e pronto, tudo já estava ao alcance dele? Infelizmente, o decorrer do tempo e o acúmulo sem fim dos incidentes mostraram que era preciso garantir a segurança do sistema. Assim, dando aos usuários credenciados acesso apenas aos recursos dos quais eles de fato precisassem.
O zero trust responde às novas tendências em TI
Podemos considerar o zero trust como uma resposta às novas tendências de uso das redes corporativas. Atualmente, elas precisam atender a usuários remotos, às políticas BYOD (traga seu próprio dispositivo) e precisam também integrar ativos baseados em nuvem, portanto fora dos limites da rede de propriedade da empresa. O método, desse modo, concentra-se na proteção de recursos, e não de segmentos de rede. Isso ocorre pois a proteção da rede não é mais vista como o principal componente da segurança.
Embora a popularização do zero trust seja razoavelmente recente, o conceito já tem mais de uma década. Ele foi descrito pelo analista John Kindervag, da Forrester Research, num estudo chamado “Build Security Into Your Network’s DNA: The Zero Trust Network Architecture” (Construa Segurança no DNA da sua Rede: a Arquitetura de Rede Zero Trust), estudo que a consultoria publicou em 5 de novembro de 2010.
Nos 12 anos seguintes, a adoção da arquitetura de rede zero trust ficou restrita aos clientes da Forrester e dos grandes fornecedores de tecnologia para cibersegurança. Porém, esses grandes fornecedores eram também clientes da Forrester. Parte da explicação para esse atraso, de acordo com o próprio John Kindervag, era que os três documentos fundamentais sobre o assunto eram privativos da consultoria. Ou seja, não haviam sido publicados para a comunidade de tecnologia da informação.
O fim do perímetro de rede
Apesar dessas restrições, porém, o conceito foi ganhando espaço entre os profissionais de TI e de segurança, até que, em 2020, após dois anos de pesquisas, o NIST, o Instituto Nacional de Padrões e Tecnologia dos EUA, publicou um documento chamado “Zero Trust Architecture”, definindo e detalhando o assunto. Dessa forma, esse documento sepultou oficialmente o conceito de “perímetro” estático, que existia para as redes. Então, concentrou as questões de segurança em usuários, ativos e recursos.
Esse detalhamento publicado pelo NIST mostrou que uma arquitetura zero trust usa princípios de “confiança zero” para planejar infraestrutura e fluxos de trabalho. Isso pressupõe, segundo o estudo, que não há confiança implícita concedida para ativos ou contas de usuários – seja com base apenas em sua localização física ou de rede, seja com base na propriedade de ativos (empresariais ou pessoais).
Por causa desses princípios, a autenticação e a autorização (de sujeitos e dispositivos) passam a ser funções isoladas e específicas para cada um. Além disso, são executadas antes do estabelecimento de uma sessão para o uso de qualquer recurso corporativo.
Uma tendência no caminho da migração para nuvem
Hoje, a adoção de zero trust já ganhou muito espaço, principalmente entre os profissionais que administram recursos em nuvem. Segundo pesquisa publicada no final de 2022 pela Zscalermais, mais de 90% deles já começaram a migrar para essa arquitetura.
Além disso, 68% dos líderes de TI acham que operar com segurança em nuvem é impossível utilizando as infraestruturas de segurança de rede legadas. Logo, eles acham que o acesso a redes zero trust tem vantagens evidentes sobre firewalls e VPNs tradicionais na proteção do acesso remoto às aplicações e na mitigação de ataque DDoS.
Os especialistas ressaltam que, apesar de ser uma solução eficaz, zero trust é uma jornada e não um destino. As organizações que decidirem adotá-la precisam encará-la como um facilitador da transformação digital e um impulsionador de resultados de negócios. Ademais, precisam investir em educação, para dissipar o medo, a incerteza e a dúvida sobre o que significa zero trust e o seu impacto nos negócios. Por fim, precisam aceitá-la e aproveitá-la como uma vantagem competitiva dos seus negócios.
E você, já utiliza o modelo Zero Trust no seu dia a dia? O que acha que ainda falta para que sua adoção seja ampliada para as empresas no Brasil e ao redor mundo?
Este conteúdo foi produzido pela Huge Networks. Nossa empresa protege sua rede corporativa, acelera aplicações na nuvem, mitiga ataques DDoS e mantém ameaças cibernéticas afastadas. Assine nossa newsletter e fique por dentro das últimas novidades em segurança e infraestrutura digital!