No cenário complexo da segurança cibernética, onde ameaças e vulnerabilidades evoluem constantemente. Por essa razão, a estratégia “zero trust” emerge como um farol orientador em um mundo cada vez mais digital. Ao observarmos o cotidiano, notamos que a ideia de conceder acesso somente a quem realmente precisa, algo tão comum quanto utilizar crachás de identificação, encontra paralelos surpreendentes com a filosofia do zero trust.
Este modelo revolucionário de segurança é baseado no princípio de “nunca confiar e sempre verificar”. Assim, tem conquistado o mundo nos últimos três anos, oferecendo uma abordagem fundamentalmente nova para proteger redes e aplicativos. Neste artigo, exploraremos a essência do zero trust, desde sua inspiração nas múltiplas credenciais de acesso até sua evolução como resposta às tendências emergentes de TI. Descubra como o zero trust está redefinindo a maneira como as organizações abordam a segurança cibernética. Veja também por que ele se tornou um guia essencial, especialmente se você busca proteger seus ativos em um mundo conectado e em constante transformação.
Entenda o modelo Zero Trust
No mundo inteiro, muita gente usa crachá.
Ele serve para identificar pessoas em pontos de controle como portarias e catracas. E geralmente essas pessoas só precisam de um único crachá, que serve para praticamente todos os pontos de controle que existem num ambiente de trabalho.
Mas existem ambientes onde é possível encontrar pessoas com três e até mais crachás pendurados no pescoço. Por exemplo, nos aeroportos e hospitais você verá pessoas com vários crachás. Cada um libera, para os funcionários, o acesso às áreas que eles precisam frequentar. Nos aeroportos, os balcões de atendimento, setor de embarque, setor de bagagens, pista. Já nos hospitais, alas de enfermagem, centros cirúrgicos, farmácia e assim por diante. Logo, sem todos os crachás, é impossível trabalhar direito num aeroporto ou num hospital.
Esse modelo de controle tem grandes semelhanças com o zero trust, uma estratégia de segurança que nos anos vem sendo adotada no mundo inteiro. Dessa forma, seu uso visa reduzir os problemas de acesso e uso não autorizados de redes e aplicações. É uma abordagem baseada no princípio de “nunca confiar e sempre verificar”. Para exemplificar, se pensarmos numa rede, o zero trust restringe o acesso dos usuários exclusivamente aos recursos de que necessitam. Então, aqueles recursos dos quais os usuários não precisam, ficarão fora do seu alcance.
O princípio é nunca confiar: sempre verificar
O zero trust se baseia no conceito de que não há permissões implícitas, legadas, cedidas para absolutamente nada. Pelo contrário, há um controle definido, e em variados graus de complexidade, para cada instância de um acesso concedido ao usuário. Em outras palavras, cada usuário precisa de permissões para entrar na rede, acessar um diretório, executar uma aplicação, acessar uma tabela ou visualizar um dado. Em suma, para absolutamente tudo.
Você se lembra quando, anos atrás, bastava ligar o computador ou o terminal e pronto, tudo já estava ao alcance dele? Infelizmente, o decorrer do tempo e o acúmulo sem fim dos incidentes mostraram que era preciso garantir a segurança do sistema. Assim, dando aos usuários credenciados acesso apenas aos recursos dos quais eles de fato precisassem.
O zero trust responde às novas tendências em TI
Podemos considerar o zero trust como uma resposta às novas tendências de uso das redes corporativas. Atualmente, elas precisam atender a usuários remotos, às políticas BYOD (traga seu próprio dispositivo) e precisam também integrar ativos baseados em nuvem, portanto fora dos limites da rede de propriedade da empresa. O método, desse modo, concentra-se na proteção de recursos, e não de segmentos de rede. Isso ocorre pois a proteção da rede não é mais vista como o principal componente da segurança.
Embora a popularização do zero trust seja razoavelmente recente, o conceito já tem mais de uma década. Ele foi descrito pelo analista John Kindervag, da Forrester Research, num estudo chamado “Build Security Into Your Network’s DNA: The Zero Trust Network Architecture” (Construa Segurança no DNA da sua Rede: a Arquitetura de Rede Zero Trust), estudo que a consultoria publicou em 5 de novembro de 2010. Nos 12 anos seguintes, a adoção da arquitetura de rede zero trust ficou restrita aos clientes da Forrester e dos grandes fornecedores de tecnologia para cibersegurança. Porém, esses grandes fornecedores eram também clientes da Forrester. Parte da explicação para esse atraso, de acordo com o próprio John Kindervag, era que os três documentos fundamentais sobre o assunto eram privativos da consultoria. Ou seja, não haviam sido publicados para a comunidade de tecnologia da informação.
O fim do perímetro de rede
Apesar dessas restrições, porém, o conceito foi ganhando espaço entre os profissionais de TI e de segurança, até que, em 2020, após dois anos de pesquisas, o NIST, o Instituto Nacional de Padrões e Tecnologia dos EUA, publicou um documento chamado “Zero Trust Architecture”, definindo e detalhando o assunto. Dessa forma, esse documento sepultou oficialmente o conceito de “perímetro” estático, que existia para as redes. Então, concentrou as questões de segurança em usuários, ativos e recursos.
Esse detalhamento publicado pelo NIST mostrou que uma arquitetura zero trust usa princípios de “confiança zero” para planejar infraestrutura e fluxos de trabalho. Isso pressupõe, segundo o estudo, que não há confiança implícita concedida para ativos ou contas de usuários – seja com base apenas em sua localização física ou de rede, seja com base na propriedade de ativos (empresariais ou pessoais). Por causa desses princípios, a autenticação e a autorização (de sujeitos e dispositivos) passam a ser funções isoladas e específicas para cada um. Além disso, são executadas antes do estabelecimento de uma sessão para o uso de qualquer recurso corporativo.
Uma tendência no caminho da migração para nuvem
Hoje, a adoção de zero trust já ganhou muito espaço, principalmente entre os profissionais que administram recursos em nuvem. Segundo pesquisa publicada no final de 2022 pela Zscalermais, mais de 90% deles já começaram a migrar para essa arquitetura. Além disso, 68% dos líderes de TI acham que operar com segurança em nuvem é impossível utilizando as infraestruturas de segurança de rede legadas. Logo, eles acham que o acesso a redes zero trust tem vantagens evidentes sobre firewalls e VPNs tradicionais na proteção do acesso remoto às aplicações.
Os especialistas ressaltam que, apesar de ser uma solução eficaz, zero trust é uma jornada e não um destino. As organizações que decidirem adotá-la precisam encará-la como um facilitador da transformação digital e um impulsionador de resultados de negócios. Ademais, precisam investir em educação, para dissipar o medo, a incerteza e a dúvida sobre o que significa zero trust e o seu impacto nos negócios. Por fim, precisam aceitá-la e aproveitá-la como uma vantagem competitiva dos seus negócios.
E você, já utiliza o modelo Zero Trust no seu dia a dia? O que acha que ainda falta para que sua adoção seja ampliada para as empresas no Brasil e ao redor mundo?
Além disso, não deixe de conferir os nossos outros materiais, e se mantenha sempre atualizado sobre o universo da tecnologia e cibersegurança.
Até a próxima!