Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
O que é zero trust?
Atualizado em: 20 de junho de 2024
Colaboradores: Gregg Lindemulder, Matthew Kosinski
Zero trust é uma estratégia de cibersegurança para redes multinuvem modernas. Em vez de se concentrar no perímetro da rede, o modelo de segurança zero trust zero impõe políticas de segurança para cada conexão individual entre usuários, dispositivos, aplicativos e dados.
O zero trust opera com base no princípio de "nunca confiar, sempre verificar", em vez de conceder confiança implícita a todos os usuários dentro de uma rede. Essa abordagem de segurança granular ajuda a lidar com os riscos de cibersegurança representados por trabalhadores remotos, serviços de nuvem híbrida , dispositivos de propriedade pessoal e outros elementos das redes corporativas atuais.
Um número crescente de organizações está adotando modelos de zero trust para melhorar suas posturas de segurança à medida que suas superfícies de ataque crescem. De acordo com um relatório do TechTarget Enterprise Strategy Group de 2024, mais de dois terços das organizações dizem que estão implementando políticas de zero trust em suas empresas.1
A evolução dos requisitos legais e regulatórios também está impulsionando a adoção do zero trust. Por exemplo, uma ordem executiva de 2021 do presidente dos EUA, Joseph Biden, determinou que todas as agências federais dos EUA implementassem uma arquitetura zero trust (ZTA).2
Obtenha insights para gerenciar melhor o risco de uma violação de dados com o relatório mais recente do custo das violações de dados.
Uma abordagem zero trust é importante porque o modelo tradicional de segurança de rede não é mais suficiente. As estratégias zero trust são projetadas para as redes mais complexas e altamente distribuídas que a maioria das organizações usa atualmente.
Por muitos anos, as empresas se concentraram em proteger os perímetros de suas redes com firewalls e outros controles de segurança. Os usuários dentro do perímetro da rede eram considerados confiáveis e recebiam acesso livre a aplicativos, dados e recursos.
A transformação digital eliminou o conceito tradicional de perímetro de rede. Atualmente, as redes corporativas vão além dos locais e segmentos de rede no local. O ecossistema empresarial moderno inclui ambientes de nuvem, serviços móveis, data centers, dispositivos IoT, aplicativos de software como serviço (SaaS) e acesso remoto para funcionários, fornecedores e parceiros de negócios.
Com essa superfície de ataque estendida, as empresas estão mais vulneráveis a violações de dados, ransomware, ameaças internas e outros tipos de ataques cibernéticos. O perímetro da rede não é mais uma linha clara e ininterrupta, e as defesas baseadas em perímetro não podem preencher todas as lacunas. Além disso, os agentes de ameaças que obtêm acesso a uma rede podem aproveitar a confiança implícita para fazer movimentos laterais para localizar e atacar recursos críticos.
Em 2010, o analista John Kindervag, da Forrester Research, introduziu o conceito de "zero trust" como uma framework para proteger os recursos corporativos por meio de um controle de acesso rigoroso. O zero trust zero afasta o foco do perímetro da rede e coloca controles de segurança em torno de recursos individuais.
Cada solicitação de endpoint, usuário e conexão é considerada uma ameaça em potencial. Em vez de receberem rédea solta ao passar pelo perímetro, os usuários devem ser autenticados e autorizados sempre que se conectarem a um novo recurso. Essa validação contínua ajuda a garantir que apenas usuários legítimos possam acessar ativos de rede valiosos.
No sentido mais amplo, uma postura de segurança zero trust funciona verificando e autenticando continuamente as conexões entre usuários, aplicações, dispositivos e dados.
Implementar uma estratégia zero trust em uma organização pode ser uma tarefa complexa. Não é uma questão de instalar uma única solução zero trust. O zero trust requer planejamento e execução em uma ampla gama de áreas funcionais, incluindo políticas de identidade e acesso, soluções de segurança e fluxos de trabalho, automação, operações e infraestrutura de rede.
Muitas organizações seguem frameworks específicas de zero trust para criar arquiteturas zero trust. Os modelos estabelecidos incluem a framework zero trust da Forrester, a National Institute of Standards and Technology (NIST) Special Publication (SP) 800-2073 e o Zero Trust Maturity Model (ZTMM) da Cybersecurity and Infrastructure Security Agency (CISA).4
Embora as organizações possam escolher entre várias frameworks, a maioria das estratégias zero trust compartilha estes conceitos-chave: os três princípios do zero trust, os cinco pilares do zero trust e o acesso à rede zero trust (ZTNA).
Quais são os três princípios do zero trust?
As especificações técnicas de diferentes frameworks e modelos podem variar, mas todas seguem um conjunto básico de princípios de zero trust:
- Monitoramento e validação contínuos
- O princípio do menor privilégio
- Presumir a violação
O zero trust torna todos os ativos de rede inacessíveis por padrão. Usuários, dispositivos e cargas de trabalho devem passar por autenticação e validação contínuas e contextuais para acessar quaisquer recursos, e devem passar por essas verificações sempre que solicitarem uma conexão.
As políticas de controle de acesso dinâmico determinam a aprovação de solicitações com base em pontos de dados, como privilégios do usuário, localização física, status de funcionamento do dispositivo, inteligência de ameaças e comportamento incomum. As conexões são monitoradas continuamente e devem ser reautenticadas periodicamente para continuar a sessão.
Em um ambiente zero trust, usuários e dispositivos têm acesso com privilégios mínimos aos recursos. Isso significa que eles recebem o nível mínimo de permissão necessário para concluir uma tarefa ou cumprir sua função. Essas permissões são revogadas quando a sessão termina.
Gerenciar permissões dessa maneira limita a capacidade dos agentes de ameaça de obter acesso a outras áreas da rede.
Em uma empresa zero trust, as equipes de segurança supõem que os hackers já violaram os recursos da rede. As ações que as equipes de segurança costumam usar para mitigar um ataque cibernético em andamento tornam-se um procedimento operacional padrão. Essas ações incluem segmentação de rede para limitar o escopo de um ataque; monitorar todos os ativos, usuários, dispositivos e processos em toda a rede; e responder a comportamentos incomuns de usuários ou dispositivos em tempo real.
Quais são os cinco pilares do zero trust?
O Modelo de Segurança Zero Trust da CISA descreve4 cinco pilares nos quais as organizações podem se concentrar durante uma implementação zero trust:
- Identidade
- Dispositivos
- Redes
- Aplicações e cargas de trabalho
- Dados
Autenticar identidades de usuários e conceder a esses usuários acesso apenas a recursos corporativos aprovados é um recurso fundamental da segurança zero trust.
As ferramentas comuns que as organizações usam para essa finalidade incluem sistemas de gerenciamento de acesso e identidade (IAM), soluções de logon único (SSO) e autenticação multifator (MFA).
Todo dispositivo que se conecta a um recurso de rede deve estar em total conformidade com as políticas zero trust e os controles de segurança da organização. Isso inclui estações de trabalho, celulares, servidores, notebooks, dispositivos IoT, impressoras e outros.
As organizações zero trust mantêm inventários completos e atuais de todos os dispositivos de endpoint autorizados. Dispositivos não autorizados têm acesso à rede negado.
As organizações migram da segmentação de rede tradicional para a microssegmentação em um ambiente zero trust. Recursos e cargas de trabalho são separados em zonas menores e mais seguras, o que ajuda as organizações a conter melhor as violações e evitar movimento lateral. Os agentes de ameaças não conseguem nem mesmo ver os recursos que não estão autorizados a usar.
As organizações também podem implementar outros métodos de prevenção contra ameaças de rede, como criptografar o tráfego de rede e monitorar comportamentos de usuários e entidades.
Assim como acontece com todos os outros elementos em um modelo de segurança zero trust, aplicações e interfaces de programação de aplicativos (APIs) não têm confiança implícita.
Em vez de fornecer acesso estático único às aplicações, as organizações migram para a autorização dinâmica, que requer revalidação contínua para acesso persistente. As organizações monitoram continuamente as aplicações que se comunicam entre si quanto a comportamentos incomuns.
Sob um modelo zero trust, as organizações categorizam seus dados para que possam aplicar controle de acesso direcionado e políticas de segurança de dados para proteger as informações.
Os dados em trânsito, em uso e em repouso são protegidos por criptografia e autorização dinâmica. As organizações monitoram continuamente o processamento de dados em busca de atividades incomuns que possam indicar violações de dados ou exfiltração de dados confidenciais.
O que é o acesso à rede zero trust (ZTNA)?
Uma das principais tecnologias para implementar uma estratégia zero trust é o acesso à rede zero trust, ou ZTNA. Como uma rede privada virtual (VPN), o ZTNA fornece acesso remoto a aplicações e serviços. Ao contrário de uma VPN, um ZTNA conecta os usuários apenas aos recursos que eles têm permissão para acessar, em vez de conectá-los a toda a rede.
O ZTNA é uma parte fundamental do modelo de Secure Access Service Edge (SASE), que permite que as empresas forneçam conexões diretas, seguras e de baixa latência entre usuários e recursos.
Segurança multinuvem
Como a arquitetura zero trust impõe controle de acesso com base na identidade, ela pode oferecer forte proteção para ambientes híbridos e multinuvem . As cargas de trabalho em nuvem verificadas têm acesso a recursos críticos, enquanto serviços e aplicações em nuvem não autorizados são negados.
Independentemente da origem, localização ou alterações na infraestrutura de TI, o zero trust pode proteger consistentemente ambientes de nuvem movimentados.
Segurança da cadeia de suprimentos
Muitas vezes, as organizações precisam conceder acesso à rede a fornecedores, contratados, prestadores de serviços e outros terceiros. Os hackers aproveitam essa situação para realizar ataques na cadeia de suprimentos, nos quais usam contas e cargas de trabalho de fornecedores comprometidas para invadir a rede de uma empresa.
O zero trust aplica autenticação contínua e contextual e acesso com privilégios mínimos a todas as entidades, mesmo aquelas fora da rede. Mesmo que os hackers violem a conta de um fornecedor confiável, eles não podem acessar os recursos mais confidenciais da empresa.
Acesso remoto para funcionários
Tradicionalmente, as organizações dependem de redes privadas virtuais (VPNs) para conectar funcionários remotos a recursos de rede. Mas as VPNs não são escalonadas facilmente nem impedem o movimento lateral.
Em um modelo zero trust, as empresas podem usar soluções de acesso à rede zero trust (ZTNA). A ZTNA verifica as identidades dos funcionários e concede a eles acesso apenas às aplicações, dados e serviços necessários para realizar seu trabalho.
Visibilidade da IoT
Como os dispositivos de IoT se conectam à internet, eles representam um risco para a segurança empresarial. Os hackers geralmente têm como alvo dispositivos de IoT porque podem usá-los para introduzir malware em sistemas de redes vulneráveis.
As arquiteturas zero trust rastreiam continuamente a localização, o status e o funcionamento de cada dispositivo IoT em uma organização. Cada dispositivo é tratado como uma entidade potencialmente maliciosa. Tal como acontece com outros elementos de um ambiente zero trust, os dispositivos IoT estão sujeitos a controles de acesso, autenticação e comunicações criptografadas com outros recursos de rede.
Soluções
Proteja e gerencie as identidades dos clientes, da força de trabalho e privilegiadas em toda a nuvem híbrida, com integração com a IA.
Proteja sua infraestrutura e rede contra ameaças cibernéticas sofisticadas com habilidades de segurança comprovadas, experiência e soluções modernas.
Proteja os dados em nuvens híbridas e facilite a conformidade com os requisitos.
Recursos
Esta sessão de design thinking sem custo, virtual ou presencial, de três horas com arquitetos e consultores sênior da IBM Security ajuda você a entender seu cenário de cibersegurança e priorizar iniciativas.
O IBM Office of the CIO recorreu ao IBM Security Verify para obter autenticação digital de próxima geração em sua força de trabalho e clientes.
Saiba como melhorar a segurança de dados e a postura de conformidade, mesmo quando o cenário de TI se torna cada vez mais descentralizado e complexo.
Notas de rodapé
Todos os links são externos a ibm.com.
1 Trends in Zero Trust. Enterprise Strategy Group da TechTarget. Março de 2024.
2 Executive Order on Improving the Nation’s Cybersecurity. The White House. 12 de maio de 2021.
3 NIST SP800-207: Zero Trust Architecture. NIST. Agosto de 2020.
4 CISA Zero Trust Maturity Model. CISA. Abril de 2023.