Zero Trust

O que é zero trust?

">Zero trust é uma abordagem para gerenciamento de acesso e identidade que considera que, por padrão, não se deve confiar em nenhum usuário ou software. Todos os usuários, dispositivos e aplicativos devem provar sua identidade e nível de autenticação antes de acessar os recursos.

Como zero trust é diferente da segurança tradicional?

Ao contrário das abordagens tradicionais de segurança de perímetro, as modernas ">arquiteturas de segurança zero trust reconhecem a confiança como uma vulnerabilidade. Elas consideram que nenhum usuário, mesmo se permitido na rede, deve ser considerado confiável por padrão porque o usuário pode estar comprometido. A autenticação e o atestado de identidade e dispositivo são necessários em toda a rede. Cada componente da rede deve estabelecer independentemente sua confiabilidade e ser autenticado por qualquer outro componente com o qual interaja, incluindo medidas de segurança pontuais existentes.

 

Soluções, produtos ou serviços relacionados da HPE

Como os usuários estabelecem a confiança?

Estabelecer a confiança requer a afirmação de que cada componente do sistema – incluindo o hardware – é quem diz ser, que não foi comprometido por um invasor e que as mensagens enviadas dele também não foram comprometidas.

Quais são as vantagens das arquiteturas zero trust?

Os modelos de segurança tradicionais nos quais a autenticação ocorre uma vez e a confiança é transferida indefinidamente não atendem mais às necessidades das empresas que operam em um ambiente híbrido e dinâmico. Embora perímetros e firewalls já tenham sido considerados adequados para proteger dados de ameaças externas, um mundo da borda à nuvem abrange dispositivos na borda e serviços na nuvem que nunca devem ser totalmente confiados e exigem atestado constante.

Muitos sistemas de TI têm lacunas entre as camadas da cadeia de suprimentos, silício, sistemas operacionais, hipervisores, software de plataforma e cargas de trabalho de aplicativos nas quais os cibercriminosos podem ocultar malware e outros ataques. Isso deixa as redes vulneráveis ao comprometimento, como foi visto com o hack da SolarWinds em 2020. Sob os princípios de zero trust, a atualização comprometida não teria sido instalada até que fosse totalmente verificada dentro da ">estrutura zero trust – mesmo se fosse proveniente de um fornecedor confiável.

Com verificação e atestado contínuos, as arquiteturas de segurança zero trust permitem que as organizações detectem rapidamente vários tipos de ataques cibernéticos e geralmente interrompam as invasões antes que elas ocorram. Um modelo zero trust oferece suporte à microssegmentação, que permite que a TI segregue recursos de rede para que ameaças potenciais possam ser facilmente contidas. As organizações podem aplicar políticas granulares impostas pelo acesso baseado em função para proteger sistemas e dados confidenciais.

Zero trust não apenas aumenta a segurança, como também faz isso de forma econômica e pode tornar a segurança tão ágil e elástica quanto o ambiente de uma organização exige. Como um sistema de segurança zero trust procura entender o que os usuários estão tentando fazer durante a tentativa e introduz as políticas de segurança apropriadas com base no contexto de uma ação, ele também pode melhorar a experiência do usuário.

Quais são as diferenças entre zero trust e SASE?

Zero trust e Secure Access Service Edge (SASE) são duas abordagens para aumentar a segurança à medida que as forças de trabalho se tornam cada vez mais remotas e dispersas e as superfícies de ataque das organizações se expandem. Embora ambas as abordagens tenham objetivos semelhantes, elas são distintas e separadas uma da outra.

SASE descreve os componentes necessários para fornecer acesso seguro na ">borda. Ela combina redes de longa distância (WANs) definidas por software com outros serviços e funções de rede para construir uma rede segura baseada na nuvem. Uma solução SASE deve ser capaz de identificar dados confidenciais, além de criptografar e descriptografar conteúdo com monitoramento contínuo dos níveis de risco e confiança. Essa abordagem é particularmente útil para organizações com vários escritórios remotos e filiais, ">Internet das Coisas (IoT) e implantações de borda, além de forças de trabalho altamente distribuídas.

Zero trust é um modelo e uma filosofia destinados a reduzir o risco de segurança em toda a empresa. Ela abrange não apenas o acesso seguro, mas também o monitoramento de ameaças cibernéticas à empresa, governança de dados e requisitos de conformidade e manutenção do ambiente de rede. As arquiteturas zero trust eliminam a confiança de todas as comunicações de rede e buscam obter a confiança de que as comunicações são legítimas. SASE fornece um meio para fazer isso através de sua tecnologia de componentes principais. Portanto, embora zero trust e SASE tenham princípios sobrepostos, a implementação de uma solução SASE não significa que uma empresa tenha uma arquitetura de segurança completa de zero trust.

Quais são os princípios fundamentais de zero trust?

A Agência de Segurança Nacional dos Estados Unidos ">definiu três princípios orientadores para estratégias de segurança zero trust.

Nunca confie, sempre verifique

Trate todos os usuários, dispositivos, aplicativos, cargas de trabalho e fluxos de dados como não confiáveis. Autenticar e autorizar explicitamente cada um com o menor privilégio necessário usando políticas de segurança dinâmicas.

Considerar as violações

Operar e defender conscientemente os recursos considerando que um adversário já tem presença no ambiente. Negar por padrão e examinar intensamente todos os usuários, dispositivos, fluxos de dados e solicitações de acesso. Registrar, inspecionar e monitorar continuamente todas as alterações de configuração, acessos a recursos e tráfego de rede em busca de atividades suspeitas.

Verificar explicitamente

O acesso a todos os recursos deve ser conduzido de maneira consistente e segura usando vários atributos (dinâmicos e estáticos) para derivar níveis de confiança para decisões de acesso a recursos contextuais.

O princípio do privilégio mínimo (POLP), mencionado no primeiro princípio acima, afirma que os usuários devem ser limitados aos privilégios (ler, escrever ou executar) de que precisam para acessar apenas os recursos necessários ao realizar seus trabalhos, e esses privilégios devem ser concedidos pelo menor período de tempo possível. Este princípio também é conhecido como princípio de controle de acesso.

O período de tempo que um privilégio é concedido é um elemento chave do POLP. Os desenvolvedores de software tendem a adicionar gradualmente mais direitos de acesso em seus aplicativos além do que os usuários precisam para fazer seu trabalho. Essa prática é conhecida como “privilege creep” e pode causar riscos adicionais de segurança cibernética para a empresa, pois acumulações desnecessárias de direitos podem resultar em perda ou roubo de dados.

Como a HPE pode ajudar a alcançar uma arquitetura zero trust?

">Project Aurora é a arquitetura de segurança zero trust da borda à nuvem da HPE para ajudar a proteger os clientes contra alguns dos ataques de malware mais sofisticados da atualidade. Com base na root of trust de silício da HPE, o Project Aurora mede tudo antes de ser habilitado ou liberado para execução e repete continuamente essa medição durante o tempo de execução.

O Project Aurora não é uma solução pontual, ele aborda a segurança de ponta a ponta para implantações da borda à nuvem, com novas soluções integradas de segurança começando no nível do silício. Ele incorpora tecnologias de segurança projetadas com verificação e atestado automatizados para estabelecer uma abordagem de defesa em profundidade, começando na camada fundamental mais baixa – o silício.

Ao integrar a segurança em uma cadeia de confiança segura do silício à carga de trabalho, o Project Aurora possibilitará que as organizações coloquem maior garantia em seus sistemas de software distribuídos, permitindo mais agilidade e flexibilidade para levar soluções diferenciadas e econômicas ao mercado.

O Project Aurora definirá as bases para fornecer mais serviços de zero trust em ">HPE GreenLake e outras ofertas da HPE. Inicialmente, ele será incorporado no HPE GreenLake Lighthouse para verificar de forma automática e contínua a integridade do hardware, firmware, sistemas operacionais, plataformas e cargas de trabalho, além das cargas de trabalho de fornecedores de segurança. Isso pode ajudar a minimizar a perda e a criptografia não autorizada (além de corrupção) de dados valiosos e propriedade intelectual.

No futuro, o Project Aurora será integrado aos serviços de nuvem HPE GreenLake para fornecer uma maneira independente de plataforma para definir, criar e implantar uma arquitetura zero trust distribuída da borda à nuvem.