Zero Trust é uma abordagem de arquitetura em que a confiança inerente na rede é removida, ou seja, a rede é considerada hostil e cada solicitação é verificada com base em uma política de acesso.
O National Cyber Security Center (NCSC) define 8 princípios para ajudar a projetar e revisar uma arquitetura Zero Trust que atenda aos requisitos individuais de cada organização.
Esses princípios o ajudarão a selecionar a combinação de serviços que melhor apoiará sua jornada rumo ao Zero Trust.
1 - Conheça sua arquitetura, incluindo usuários, dispositivos, serviços e dados
Para obter os benefícios do modelo Zero Trust, você precisa conhecer cada componente de sua arquitetura. Isso permitirá que você identifique onde estão seus principais recursos, os principais riscos e vulnerabilidades, principalmente por integrações de serviços legados que não oferecem suporte ao Zero Trust.
2 - Conheça suas identidades de usuário, serviço e dispositivo
Uma identidade pode representar um usuário (um ser humano), serviço (processo de software) ou dispositivo. Cada um deve ser exclusivamente identificável em uma arquitetura Zero Trust. Este é um dos fatores mais importantes para decidir se alguém ou algo deve ter acesso aos dados ou serviços.
3 - Avalie o comportamento dos usuários e a saúde dos dispositivos e serviços
O comportamento do usuário e a integridade do serviço ou dispositivo são indicadores importantes quando se busca estabelecer a confiança na segurança de seus sistemas, tornando-os sinais importantes para mecanismos de política. Portanto, ter a capacidade de medir o comportamento do usuário e a integridade do dispositivo e do serviço é fundamental em uma arquitetura Zero Trust.
4 - Use políticas para autorizar solicitações
Cada solicitação de dados ou serviços deve ser autorizada em relação a uma política. O poder de uma arquitetura Zero Trust vem das políticas de acesso que você define. As políticas também podem ajudar a facilitar o gerenciamento de risco no compartilhamento de dados ou serviços com usuários convidados ou organizações parceiras.
O mecanismo de política é um componente-chave da arquitetura Zero Trust, ele usa vários sinais e oferece um mecanismo de controle de acesso flexível e seguro que se adapta aos recursos solicitados.
5 - Autenticar e autorizar em qualquer lugar
As decisões de autenticação e autorização devem considerar vários sinais, como localização do dispositivo, integridade do dispositivo, identidade do usuário e status para avaliar o risco associado à solicitação de acesso. Fazemos isso porque presumimos que a rede é hostil e queremos garantir que todas as conexões que acessam seus dados ou serviços sejam autenticadas e autorizadas.
6 - Concentre seu monitoramento em usuários, dispositivos e serviços
Em uma arquitetura Zero Trust, é altamente provável que sua estratégia de monitoramento mude para se concentrar em usuários, dispositivos e serviços. O monitoramento desses dispositivos, serviços e comportamentos dos usuários o ajudará a estabelecer sua saúde. O monitoramento deve estar vinculado às políticas que você definiu em sua configuração.
VEJA TAMBÉM: Zero Trust: Qual o ponto cego dessa arquitetura?
7 - Não confie em nenhuma rede, incluindo a sua
Não confie em nenhuma rede entre o dispositivo e o serviço que ele está acessando, incluindo a rede local. As comunicações em uma rede, para acessar dados ou serviços, devem usar um protocolo de transporte seguro para garantir que seu tráfego esteja protegido em trânsito e menos suscetível a ameaças.
8 - Escolha serviços projetados para Zero Trust
Serviços que não oferecem suporte ao Zero Trust, podem exigir recursos adicionais para integrar e aumentar a sobrecarga de suporte. Nesses cenários, pode ser prudente considerar produtos e serviços alternativos que foram projetados com Zero Trust em mente.
O uso de produtos que utilizam tecnologias baseadas em padrões Zero Trust permite uma integração e interoperabilidade mais fácil entre serviços e provedores de identidade.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
