O que é a BeyondCorp?
A BeyondCorp® é uma arquitetura de segurança cibernética desenvolvida no Google que transfere o controle de acesso do perímetro tradicional da rede para dispositivos e usuários individuais. O objetivo é permitir que os usuários trabalhem com segurança a qualquer hora, em qualquer lugar e em qualquer dispositivo, sem precisar usar uma rede privada virtual, ou VPN, para acessar os recursos de uma organização.
Por que as organizações usam a BeyondCorp
Anos atrás, as organizações mantinham todos os seus aplicativos e dados em data centers no local. O modelo de segurança que eles usavam baseava-se na noção de que tudo o que era ruim estava fora do perímetro e tudo o que estava interno era confiável. No entanto, os atacantes que contornaram as proteções de perímetro conseguiram avançar rapidamente sobre os objetivos com movimento lateral, encontrando poucos protocolos de proteção.
A BeyondCorp surgiu com a pergunta: "Como o senhor projetaria sua segurança se nada fosse confiável?" Em outras palavras, como o senhor protegeria seus aplicativos se a sua rede interna fosse tão pouco confiável quanto uma rede pública?
Isso fez com que muitas organizações repensassem completamente sua abordagem à segurança e buscassem novas maneiras de aplicar consistentemente políticas de segurança em vários ambientes diferentes, como data centers no local; serviços em nuvem, como Google Cloud Platform (GCP™), Amazon Web Services (AWS®) e Microsoft Azure®; aplicativos de software como serviço, como Box.com e Office 365®; entre outros.
Como funciona a BeyondCorp
Os dois princípios mais importantes da BeyondCorp são:
Controle de acesso à rede e aos aplicativos: Na BeyondCorp, todas as decisões sobre a concessão de acesso a uma pessoa ou dispositivo a uma rede são tomadas por meio de um mecanismo de controle de acesso. Esse mecanismo fica na frente de cada solicitação de rede e aplica regras e políticas de acesso com base no contexto de cada solicitação - como identidade do usuário, informações do dispositivo e localização - e na quantidade de dados confidenciais em um aplicativo. Ele fornece às organizações uma maneira automatizada e escalável de verificar a identidade de um usuário, confirmar que ele é um usuário autorizado e aplicar regras e políticas de acesso. No entanto, apenas o controle de acesso não é suficiente para garantir uma segurança eficaz.
Visibilidade: Quando um usuário tem acesso à rede ou aos aplicativos de uma organização, a organização deve visualizar e inspecionar continuamente todo o tráfego para identificar qualquer atividade não autorizada ou conteúdo malicioso. Caso contrário, um invasor pode se movimentar facilmente dentro da rede e obter os dados que quiser sem que ninguém saiba.
Como a BeyondCorp se relaciona com o Zero Trust
Muitas pessoas estão familiarizadas com o Zero Trust, um modelo de segurança de TI que remove o conceito de confiança de uma rede para que uma organização possa proteger melhor seus ativos. Com o Zero Trust e o Zero Trust for the Cloud, todos, sejam internos ou externos a uma determinada organização, precisam passar por várias etapas de segurança (conforme definido pela Forrester Research, uma empresa líder em consultoria):
Permitir que os usuários acessem com segurança todos os recursos, independentemente do local
Use uma estratégia de privilégios mínimos e aplique rigorosamente o controle de acesso
Inspecionar e registrar todo o tráfego
A BeyondCorp fornece uma base para a implementação do Zero Trust. O terceiro elemento - inspeção e registro de todo o tráfego - desempenha um papel importante no estabelecimento da Confiança Zero, pois não se deve presumir que todo o tráfego de um endpoint seja confiável ou seguro para os dados. Por esse motivo, as organizações que implementam a BeyondCorp também devem considerar a implementação dos princípios Zero Trust para reduzir ainda mais o risco.
Leitura adicional
