Por Wagner Silva, Especialista em Segurança na idwall
Na coluna Palavra do Especialista, profissionais de diferentes áreas da idwall compartilham sua expertise
Quando falamos em segurança cibernética, logo vem à tona uma enxurrada de termos técnicos, recomendações de boas práticas e frameworks de compliance. E, com o mundo se tornando mais digital a cada dia, crescem também os desafios relacionados à segurança de recursos — que já não estão mais limitados às fronteiras do data center das empresas.
A segurança baseada em perímetro — segmentando as redes com Firewalls, Proxy, IPS, IDS — em que os acessos externos são considerados inseguros e os acessos internos são vistos como seguros, não é (e talvez nunca tenha sido) suficiente para manter a segurança de uma rede na realidade atual. Os recursos “on premises” têm perdido protagonismo diante da crescente migração de serviços e recursos essenciais para ambientes de nuvem privadas, públicas ou mistas.
Esse fenômeno foi acelerado intensamente com o advento da pandemia de Covid-19, que de uma hora para a outra forçou as empresas a disponibilizar recursos para trabalho remoto, fazendo com que o perímetro ficasse muito mais abstrato e aumentando muito as preocupações inerentes à segurança de dados. Apenas utilizar VPNs se mostrou insuficiente para entregar níveis aceitáveis de segurança.
O que você vai conferir:
Como a Arquitetura Zero Trust resolve esses problemas?
Uma solução alternativa é a Arquitetura Zero Trust, que se difere das abordagens de segurança baseadas em perímetro. O método propõe que a rede é hostil e não se pode confiar nela; portanto, usuários, dispositivos e fluxos de trabalho sempre devem ser verificados e, além disso, deve-se exigir que todo tráfego da rede seja autenticado e criptografado.
Nessa abordagem, também é proposto que a gestão de acessos deve ser repensada e que permissões mínimas devem ser concedidas. Ao considerar a real necessidade de cada interação existente na rede, novos acessos ainda demandarão novas verificações — mesmo que um usuário tenha sido capaz de se autenticar para um outro recurso da rede.
Perfis de dispositivos também são utilizados para a criação de políticas diferenciadas para ativos corporativos e ativos não gerenciados (BYOD). Dessa forma, mesmo que o usuário apresente as credenciais corretas, uma camada extra verifica se um determinado dispositivo pode ser utilizado para um tráfego específico.
Por exemplo, pode ser que o acesso a uma aplicação de missão crítica seja autorizado para um determinado usuário a partir de um dispositivo gerenciado (computador) e validado pela empresa. Porém, eventualmente pode não fazer sentido que esse mesmo usuário com as mesmas credenciais acesse essa aplicação de um dispositivo móvel.
Quais técnicas fazem parte da Arquitetura Zero Trust?
Algumas das técnicas e ferramentas utilizadas pela arquitetura Zero Trust incluem:
- múltiplos fatores de autenticação incorporados ao método binário tradicional;
- camadas extras de verificações, como solicitação de certificados SSL, por parte do cliente;criptografia de todo o tráfego de rede com IPsec e SPA (Single Packet Authorization) para fluxos específicos;
- monitoramento de tráfego;
- adoção de ferramenta de SIEM, que deve ser utilizada em funções como centralização de logs, correlação de eventos, automação de sistemas, central de alertas, repositório de compliance e Threat Intelligence.
Outros importantes controles devem ser considerados, como a adoção de ferramentas de Patch Management, EDR e DLP para a gestão dos endpoints. Isso possibilita que quaisquer vulnerabilidades sejam rapidamente endereçadas e ações de mitigação sejam tomadas rapidamente.
Diversas soluções no mercado cobrem os componentes necessários para implementação da Arquitetura Zero Trust — certamente não existe uma solução única que seja capaz de mitigar as diversas ameaças a que sistemas, usuários e dispositivos estão expostos. Porém, é necessário mapear a maturidade de segurança de cada ambiente, identificar os pontos mais críticos, definir prioridades, levantar os recursos e implementar as soluções aderentes a cada realidade.
Como e por que a idwall segue a Arquitetura Zero Trust em suas soluções?
Aqui na idwall, o time de segurança está atento aos desafios da segurança cibernética que permeiam o mundo digital — sabemos que ações de mitigação de risco devem formar um ciclo infinito de medidas de proteção. Por isso, mesmo implementando diferentes e abrangentes soluções para proteger usuários, dispositivos e sobretudo dados, vários componentes da suíte de segurança que adotamos já são compatíveis com a Arquitetura Zero Trust.
Nossos esforços têm se concentrado em garantir autenticação segura e controle de acesso em todas as camadas de nossos sistemas (físico e lógico). Um exemplo simples, que pode ajudar você a entender o que isso significa, é a adoção de soluções de DaaS (Directory as a Service) para centralizar a autenticação de nossos serviços sem ter que manter controladores de domínios on-premises.
A vantagem de soluções como essa é que elas já têm integração com os mais variados serviços do mercado — como Jira, Confluence e Splunk —, além de tirar o ônus da manutenção local e frequente que esse tipo de sistema exige. Adicionalmente, os sistemas DaaS modernos fazem com que a adoção de MFA (Multi-Factor Authentication) seja extremamente simples e rápida de executar.
Porém, ao contrário do que se pode imaginar, um dos maiores desafios não é a implementação de políticas de segurança ou de todo o ferramental e parametrizações necessárias, e sim ter a cultura de segurança com adesão que ultrapasse a fronteiras dos times de segurança e outras áreas da TI.
Todos precisam colaborar: ter visibilidade de eventos, alertas e vulnerabilidades é apenas o começo. Examinar os relatórios gerados e tomar ações efetivas e revisitar todo o “ecossistema de segurança” são tarefas desafiadoras, críticas e fundamentais para a continuidade de negócios — diferentemente de um jogo, quando passamos de fase na segurança as preocupações da fase anterior não vão embora, simplesmente se acumulam.
Por isso, temos diversas iniciativas e ações em andamento na idwall visando avaliar a efetividade das soluções ativas e ampliar a proteção com camadas extras de segurança. Além disso, constantemente fazemos uma análise criteriosa do real estágio de maturidade de segurança em que nos encontramos para que possamos identificar pontos de melhoria e, a partir daí, definir estratégias e metas factíveis para alcançar um patamar mais elevado.
Afinal, quando o assunto são práticas de segurança, não devemos nunca “baixar a guarda”. Em nossa missão de construir relações de confiança com nossos clientes e de proporcionar Trust as a Service, pode parecer paradoxal falar em Arquitetura Zero Trust. No entanto, é fundamental entender a diferença e as funções complementares das duas ideias: é justamente por criar um ambiente tecnológico seguro e suficientemente livre de ameaças externas que podemos, enquanto empresa, prover serviços e verificações de identidade de maneira eficaz.
Para saber mais sobre as estratégias de segurança da informação da idwall, visite nossa Central de Confiança! E, se quiser entender como as nossas soluções podem fortalecer e otimizar os seus processos de onboarding digital e validação de identidade, entre em contato pelo formulário abaixo:
