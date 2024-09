Existem também muitas frameworks e normas que as organizações podem usar para implementar princípios de segurança zero trust em suas estratégias de cibersegurança com a orientação do National Institute of Standards and Technology (NIST).

O NIST é uma agência governamental não regulatória do Departamento de Comércio dos EUA, com o objetivo de ajudar as empresas a entender, gerenciar e reduzir melhor os riscos de cibersegurança para proteger redes e dados. Ele publicou alguns guias abrangentes altamente recomendados sobre zero trust:

NIST SP 800-207, Zero Trust Architecture

O NIST SP 800-207, Zero Trust Architecture (link externo a ibm.com) foi a primeira publicação a estabelecer as bases para a arquitetura zero trust. Ele fornece a definição de zero trust como um conjunto de princípios orientadores (em vez de tecnologias e implementações específicas) e inclui exemplos de arquiteturas zero trust.

O NIST SP 800-207 enfatiza a importância do monitoramento contínuo e da tomada de decisões adaptativa e baseada em riscos. Ele recomenda a implementação de uma arquitetura zero trust com os Sete Pilares Zero Trust (tradicionalmente conhecidos como as Sete Doutrinas Zero Trust)

Sete Pilares Zero Trust

Todas as fontes de dados e serviços de computação são considerados recursos. Toda a comunicação é protegida, independentemente do local da rede. O acesso a recursos empresariais individuais é concedido por sessão. O acesso aos recursos é determinado pela política dinâmica, incluindo o estado observável da identidade do cliente, da aplicação/serviço e do ativo solicitante, e pode incluir outros atributos comportamentais e ambientais. A empresa monitora e mede a integridade e a postura de segurança de todos os ativos próprios e associados. Todas as autenticações e autorizações de recursos são dinâmicas e rigorosamente impostas antes que o acesso seja permitido. A empresa coleta o máximo de informações possível sobre o estado atual dos ativos, infraestrutura de rede e comunicações e as utiliza para melhorar sua postura de segurança.

De modo geral, o NIST SP 800-207 promove uma abordagem geral para a zero trust baseada nos princípios de privilégio mínimo, microssegmentação e monitoramento contínuo, incentivando as organizações a implementar uma abordagem de segurança em camadas que incorpore várias tecnologias e controles para proteger contra ameaças.

NIST SP 1800-35B, Implementing a Zero Trust Architecture

O NIST SP 1800-35B, Implementing a Zero Trust Architecture (link externo a ibm.com) é outra publicação altamente recomendada do NIST e é composto por dois tópicos principais:

Desafios de segurança de TI para os setores público e privado. Orientação de "como fazer" para implementar uma arquitetura zero trust em ambientes corporativos e fluxos de trabalho com abordagens baseadas em normas, usando tecnologia disponível comercialmente.

A publicação correlaciona os desafios de segurança de TI (aplicáveis aos setores público e privado) aos princípios e componentes de uma arquitetura zero trust, para que as organizações possam primeiro autodiagnosticar adequadamente suas necessidades. Elas podem, então, adotar os princípios e componentes de uma arquitetura zero trust para atender às necessidades de sua organização. Portanto, o NIST SP 1800-35B não identifica tipos específicos de modelos zero trust.