Tabela de conteúdo

O que é Zero Trust para a nuvem?

Tabela de conteúdo

Zero Trust é um modelo de segurança de TI que elimina a noção de confiança para proteger redes, aplicativos e dados. Isso contrasta fortemente com o modelo tradicional de segurança de perímetro, que presume que os malfeitores estão sempre no lado não confiável da rede, e os usuários confiáveis estão sempre no lado confiável. Com o Zero Trust, essas suposições são anuladas e presume-se que todos os usuários não são confiáveis.

De acordo com a Forrester Research, uma empresa líder em pesquisa e consultoria, uma solução Zero Trust deve:

  • Garanta que somente o tráfego conhecido e permitido ou a comunicação legítima de aplicativos seja permitida segmentando e ativando a política da Camada 7.

  • Utilize uma estratégia de acesso com privilégios mínimos e aplique rigorosamente o controle de acesso.

  • Inspecione e registre todo o tráfego. Caso contrário, pode ser bastante simples para um invasor obter acesso à rede de uma empresa.

Esses princípios podem ser simples de implementar em uma rede corporativa, mas como eles se aplicam à nuvem? O senhor pode aplicar os mesmos conceitos à nuvem, conduzindo o acesso por meio de um gateway de segurança para obter acesso seguro com privilégios mínimos. No entanto, ficou claro que a implementação de um gateway não é suficiente para o Zero Trust na nuvem. A implementação do senhor deve inspecionar todo o tráfego de todos os aplicativos, ou não estará realmente fornecendo Zero Trust.

 

Por que as empresas precisam de confiança zero em um ambiente de nuvem

A implementação do Zero Trust em uma rede corporativa é baseada no controle da rede pela própria organização. Ele estabelece onde os limites podem ser colocados e impõe controles de acesso para proteger aplicativos confidenciais, como os que estão nos data centers no local, contra acesso não autorizado e movimentação lateral.

Hoje, muitas vezes é mais econômico hospedar um aplicativo na nuvem em vez de em um data center. Na verdade, de acordo com a IDG, uma empresa líder em mídia tecnológica, mais de 73% das empresas agora têm aplicativos ou infraestrutura na nuvem.1 Esses ambientes de nuvem, operados por provedores de serviços de nuvem e fornecedores de SaaS , não fazem parte da rede de uma organização, portanto, os mesmos tipos de controles de rede não se aplicam.

Como resultado, a maioria das empresas:

  • Ter aplicativos e dados espalhados em vários locais. 

  • Estão perdendo o discernimento:

    • Quem está acessando seus aplicativos e dados, ou mesmo quais dispositivos estão sendo usados para acessá-los (por exemplo, smartphones, tablets, laptops etc.), já que a maioria dos ativos está em infraestrutura de terceiros.

    • Como os dados estão sendo usados e compartilhados.

Para resolver esses problemas, as empresas costumam usar uma variedade de tecnologias de acesso, dependendo de onde estão seus ativos. A maioria das empresas usa uma combinação de:

 

Localização 

Tecnologia usada para acesso

Data centers no local

Acesso remoto VPN

Aplicativos privados (data center, nuvem híbrida) 

Perímetro definido por software

Nuvem pública

Proxy de entrada ou firewall virtualizado

Aplicativos SaaS 

Proxy CASB

Essa mistura de tecnologias cria uma arquitetura de segurança fragmentada, na qual é difícil ter certeza de quais políticas estão em vigor para proteger determinados dados na nuvem. Os ambientes de nuvem são fundamentalmente diferentes das redes tradicionais e mudam continuamente, o que significa que a abordagem de segurança de uma empresa deve ser abrangente e adaptável.

É por isso que 9 em cada 10 profissionais de segurança cibernética estão atualmente preocupados com a segurança na nuvem. Eles dizem que seus três principais desafios são: proteção contra perda e vazamento de dados (67%), ameaças à privacidade dos dados (61%) e violações de confidencialidade (53%). Eles também têm dificuldades com questões de controle de segurança, como obter visibilidade da segurança da infraestrutura (43%), conformidade (38%) e estabelecer políticas de segurança consistentes em ambientes de nuvem e no local (35%).2

Portanto, para ter sucesso, as empresas devem implementar uma arquitetura de segurança única e unificada que:

  • Oferece aos usuários acesso seguro aos aplicativos e dados de uma empresa na nuvem pública, aplicativos SaaS e nuvem privada/data centers.

  • Controla e limita quem tem acesso a esses ativos e como eles podem ser usados.

  • Inspeciona o tráfego e aplica políticas de segurança de forma contínua.

À medida que as organizações migram para a nuvem, é importante incorporar o Zero Trust ao projeto da nova infraestrutura de nuvem. A seguir, algumas ideias sobre como começar.

 

Como implementar a confiança zero na nuvem usando uma metodologia de cinco etapas

Antes de começar, é importante definir as metas da sua empresa para a implementação do Zero Trust na nuvem, bem como os resultados comerciais desejados.

  • Etapa 1: Identifique que tipo de aplicativos (por exemplo, públicos, privados, SaaS etc.) e dados (por exemplo, confidenciais, sensíveis, sem importância) sua empresa possui, onde estão e quem os acessa e usa. Em seguida, defina sua superfície de proteção: os dados, aplicativos, ativos e serviços mais importantes para sua empresa.

  • Etapa 2: Mapeie os fluxos de transação (ou seja, como seus aplicativos realmente funcionam).

  • Etapa 3: Arquitetar a nova infraestrutura de nuvem e criar limites entre usuários e aplicativos.

  • Etapa 4: Desenvolva as políticas Zero Trust da sua empresa com base em quem deve ter acesso ao quê e aplique controles de acesso contextuais com base nos princípios de privilégios mínimos. Eduque os usuários sobre as políticas de segurança da sua empresa e o que se espera deles quando estiverem acessando e usando os aplicativos e dados da sua empresa na nuvem.

  • Etapa 5: Monitore e mantenha seu ambiente Zero Trust. Isso significa inspecionar e registrar continuamente todo o tráfego para identificar atividades incomuns e decidir como tornar as políticas mais seguras. Com o monitoramento ativo, sua superfície de proteção pode crescer, permitindo que o senhor faça alterações na arquitetura para aumentar ainda mais a segurança.

 

Dicas para aplicar o Zero Trust em um ambiente de nuvem

Para facilitar a manutenção do Zero Trust na nuvem:

  • Use medidas de segurança fornecidas pela nuvem para implementar o Zero Trust na nuvem.

  • Ofereça aos usuários uma experiência segura, consistente e contínua onde quer que eles estejam fisicamente localizados, como desejam se conectar ou quais aplicativos desejam usar. Caso contrário, se a experiência do usuário for muito complicada ou exigir muitas mudanças sempre que ele trabalhar em um novo local ou usar um aplicativo diferente, ele não a aceitará.

  • Reduzir a superfície de ataque limitando o acesso do usuário com base no contexto.

 

Benefícios

Alguns dos benefícios de implantar o Zero Trust na nuvem incluem:

  • Melhor visibilidade dos dados, ativos e riscos.

  • Segurança consistente e abrangente.

  • Velocidade e agilidade para ficar à frente das tecnologias em evolução.

  • Redução do custo operacional e da complexidade.

Mais artigos sobre Zero Trust:

Receba as últimas notícias, convites para eventos e alertas de ameaças