O que é a Confiança Zero? Como funciona e porque é essencial  

A confiança zero é uma estrutura de cibersegurança que trata todos os pedidos de acesso como uma potencial ameaça, independentemente da sua origem. Utiliza controlos de identidade rigorosos e verificação contínua para proteger os sistemas. Ninguém é automaticamente fiável, nem mesmo as pessoas dentro da rede. Saiba mais sobre o modelo de confiança zero e porque é importante.

PROTECÇÃO CONTRA ROUBO DE IDENTIDADE

Com o atual trabalho remoto e as constantes ameaças cibernéticas, a tradicional abordagem "castelo e fosso" à segurança nem sempre é suficiente. A Confiança Zero é uma alternativa mais completa. 

Zero Trust é uma estrutura de cibersegurança que trata todos os pedidos de acesso como uma potencial ameaça, independentemente da sua origem. Utiliza controlos de identidade rigorosos e verificação contínua para proteger os sistemas. Ninguém é automaticamente fiável, nem mesmo as pessoas dentro da rede. 

Abandona a confiança cega e substitui-a por um controlo constante para garantir que apenas as pessoas (e dispositivos) certas podem aceder à rede e aos sistemas. Não se trata apenas de bloquear os atacantes; trata-se de uma proteção constante dentro e fora da rede. 

O que é a segurança Zero Trust? 

A segurança Zero Trust é um modelo que nunca pressupõe confiança. É um método de configuração de uma rede que tem controlo total e constante sobre o acesso. Baseia-se em dados em tempo real, como o estado do dispositivo ou o comportamento do utilizador, para decidir se o acesso deve ser concedido. 

Pense nisto como um guarda de segurança que verifica a identificação sempre que se desloca de uma sala para outra, mesmo que já tenha entrado. A autorização Zero Trust trata todos os utilizadores da mesma forma - prove a sua capacidade ou será expulso da rede. Não importa se é a primeira vez que alguém se conecta ou se é a 200ª. É uma segurança sem pressupostos, adaptada ao mundo em que vivemos atualmente. 

Como é que o Zero Trust se compara à segurança tradicional 

A segurança Zero Trust verifica tudo. A segurança tradicional confia no perímetro da rede. Os modelos tradicionais funcionavam como uma cidade murada e, uma vez passado o portão, era de confiança. A Segurança Zero Trust inverte isso. Assume que os atacantes podem já estar dentro e verifica todos os pedidos, bem como limita potencialmente as permissões com privilégios Just-In-Time e Just-Enough-Access (JIT/JEA). 

O modelo de segurança Zero Trust consiste em verificações constantes e é mais robusto, partindo do princípio de que as ameaças podem vir de dispositivos e utilizadores em que se confiou no passado. Cada ligação tem de ser verificada em tempo real antes de entrar (ou voltar a entrar) na rede.  

Princípios Core do modelo Zero Trust 

O modelo de segurança Zero Trust assenta em três grandes ideias: verificar explicitamente, utilizar o acesso com o mínimo de privilégios possível e partir sempre do princípio de que pode ocorrer uma violação. 

Em primeiro lugar, verifica as credenciais utilizando o contexto em tempo real. Informações como a localização, o estado do dispositivo e o comportamento do utilizador podem ser verificadas e analisadas. Depois, dá aos utilizadores o mínimo de acesso necessário para fazerem o seu trabalho. E, por fim, parte do princípio de que os atacantes podem já estar no interior, pelo que inclui controlos rigorosos e deteção rápida. 

Estes princípios não são apenas diretrizes, são linhas de orientação. Fazem da Confiança Zero mais do que uma palavra de ordem. É uma forma mais inteligente de manter os espaços digitais seguros e é adoptada por muitas organizações que necessitam de segurança elevada. A Ordem Executiva 14028 dos EUA sobre Cibersegurança impôs a arquitetura Zero Trust e exigiu "serviços de nuvem seguros, arquitetura de confiança zero e implementação de autenticação multifactor e encriptação dentro de um período de tempo específico". 

A verificação contínua em ação 

No Zero Trust, a autenticação não é um ato isolado. Ela acontece constantemente. Cada movimento que um utilizador faz é verificado em relação ao contexto, utilizando o estado do dispositivo, a localização, o histórico de início de sessão e muito mais. Se o sistema for comprometido, o acesso pode ser reduzido ou encerrado em tempo real - esta é uma grande parte da estratégia Zero Trust. 

É uma questão de consciencialização. Ao observar a forma como os utilizadores e os sistemas se comportam e ao manter um olho num quadro mais amplo, a Confiança Zero mantém o pulso no que é normal e age rapidamente quando algo não é. 

Arquitetura Zero Trust e acesso à rede 

A arquitetura Zero Trust (ZTA) é a forma como a infraestrutura Zero Trust passa do conceito à realidade. É a espinha dorsal técnica que impõe os princípios de segurança fundamentais do modelo em todo o ambiente digital. 

Uma peça chave desta configuração é o Zero Trust Network Access (ZTNA). Em vez de abrir toda a rede, o ZTNA oferece aos utilizadores ligações seguras e individuais diretamente às aplicações de que necessitam e nada mais. É como substituir um passe de acesso total por uma chave inteligente que só abre as portas certas (e apenas quando é necessário). 

"Pegamos em todo este problema chamado cibersegurança e dividimo-lo em pequenos pedaços. E o mais fixe é que não há interrupções. O máximo que posso estragar em qualquer altura é uma única superfície de proteção." - John Kindervag, criador do Zero Trust 

Confiança zero e VPN 

As VPNs criam um túnel para toda a rede. Quando alguém entra na rede, muitas vezes tem acesso a mais do que aquilo de que realmente necessita. Trata-se de um grande risco de segurança. A ZTNA é mais completa e gerida de forma contínua, implementando os passos acima referidos. 

Resumindo: as VPNs são do tipo "tudo ou nada" e nem sempre dão tanto espaço para nuances ou controlos extra. A ZTNA é o suficiente e na hora certa. 

Principais componentes de um quadro de segurança Zero Trust 

O Zero Trust não é um produto único ou uma solução plug-and-play. É uma abordagem em camadas e em evolução que abrange todas as partes do seu ambiente. A estrutura assenta em vários componentes-chave que funcionam em conjunto para reduzir o risco e bloquear o acesso de forma inteligente: 

  • Identity - Quem está a solicitar o acesso? 
  • Dispositivos - Que dispositivo estão a utilizar e se é seguro? 
  • Redes - De onde vem o pedido e se o tráfego é fiável? 
  • Aplicações e cargas de trabalho - A que estão a tentar aceder e porquê? 
  • Dados - Que dados estão a ser protegidos, partilhados ou movidos? 
  • Visibilidade e análise - O que está a acontecer em todo o sistema? 
  • Automatização e orquestração - Como são acionadas as respostas e aplicadas as políticas? 

Verificação Identity e do dispositivo 

Tudo no Zero Trust começa com a confiança, que precisa de ser construída. Começa com a verificação da identidade e do dispositivo. Os utilizadores têm de provar quem são utilizando a autenticação multifactor (MFA). Esta é uma linha crítica de defesa contra phishing e roubo de credenciais. Mas a identidade por si só não é suficiente. O dispositivo também é importante. 

É um portátil aprovado pela empresa ou um smartphone aleatório? Está corrigido e atualizado ou apresenta sinais de comprometimento? As verificações de postura do dispositivo analisam aspectos como a configuração de segurança, a versão do SO e se o dispositivo é gerido ou não. 

Se um utilizador iniciar sessão a partir de um dispositivo desconhecido ou de risco, o acesso pode ser negado ou limitado. Se algo estiver errado ou se houver uma ligeira alteração no comportamento, a ZTNA pode acionar uma verificação intensiva ou cortar totalmente a ligação. 

Tecnologias utilizadas na segurança Zero Trust 

A infraestrutura Zero Trust é alimentada por um conjunto de tecnologias inteligentes e adaptáveis que mantêm a ideia funcional. Estas ferramentas, incluindo MFA, encriptação e deteção de ameaças, trabalham em conjunto para criar o ambiente seguro já discutido. 

Eis algumas das principais tecnologias que tornam possível a Confiança Zero: 

  • Autenticação multi-fator (MFA): Confirma a identidade com mais do que apenas uma palavra-passe, acrescentando uma segunda camada de proteção crucial. 
  • Microssegmentação: divide a rede em zonas isoladas, para que uma violação numa área não se espalhe por todo o sistema. 
  • Encriptação: Protege os dados sensíveis, tornando-os ilegíveis sem as chaves corretas. 
  • Controlos de acesso baseados no risco: Ajusta o acesso de forma dinâmica com base em factores como o comportamento, a localização, o estado do dispositivo e muito mais. 
  • Deteção de ameaças em tempo real: Utiliza a IA e a análise para detetar actividades suspeitas no momento em que estas ocorrem, respondendo depois automaticamente. 

Encriptação e proteção de dados 

Num ambiente Zero Trust, os dados são protegidos como uma prioridade máxima. Os dados devem ser encriptados em repouso e em trânsito, o que significa que estão bloqueados, quer estejam armazenados ou a ser transmitidos através de redes. A encriptação no modelo de segurança Zero Trust significa que, mesmo que alguém os intercepte, não os consegue ler. 

Mas a encriptação, por si só, não é suficiente. A aplicação de políticas garante que apenas os utilizadores e aplicações certos podem aceder a informações confidenciais. Isto inclui a utilização de protocolos seguros (como HTTPS e TLS), a aplicação de regras de classificação de dados e o controlo de quem acede ao quê, quando e como.  

Assim, se o seu dispositivo se ligar a um ambiente Zero Trust, verá que só pode aceder a determinadas aplicações e programas. 

Casos de utilização para a confiança zero 

Um modelo Zero Trust não se destina apenas a grandes empresas ou a ambientes ultra-secretos. Os seus princípios aplicam-se a todas as indústrias e casos de utilização e podem ser especialmente úteis no mundo atual baseado na nuvem. Aqui estão alguns cenários em que ele realmente se destaca: 

  • Proteger os trabalhadores remotos e as aplicações na nuvem - Quer os funcionários estejam a trabalhar em casa, num café ou em viagem, o Zero Trust garante que só acedem ao que precisam e nada mais. 
  • Prevenção de ataques de ransomware e phishing - Ao limitar o acesso e verificar todos os movimentos, além de encriptar os dados, o Zero Trust pode travar os atacantes mesmo que as credenciais sejam roubadas. 
  • Permitir o acesso seguro a terceiros - Os utilizadores externos podem ter um acesso preciso e limitado no tempo sem abrir toda a rede. 
  • Gerir as ameaças internas - Mesmo os utilizadores de confiança podem representar riscos. A Confiança Zero limita a sua capacidade de causar danos através de um controlo rigoroso daquilo a que podem aceder. 

TI sombra e controlo de aplicações 

As TI sombra, ou seja, as ferramentas e aplicações não autorizadas que surgem sem a aprovação das TI, podem introduzir discretamente grandes riscos. 

Com o Zero Trust, é possível bloquear serviços em nuvem não autorizados. É mais fácil detectá-los antecipadamente através da monitorização e tomar medidas rapidamente. As ferramentas de visibilidade mostram o que os utilizadores estão realmente a fazer, e não apenas o que supostamente deveriam estar a fazer. 

A partir daí, é tudo uma questão de controlo. O acesso às aplicações pode ser restringido a ferramentas aprovadas, mantendo o ambiente limpo e seguro sem prejudicar a produtividade. Algumas áreas permanecerão fora dos limites. 

Implementação da segurança Zero Trust 

A implementação da Confiança Zero envolve normalmente as seguintes etapas: 

  1. Para começar, faça um balanço de tudo, incluindo utilizadores, dispositivos, aplicações, cargas de trabalho e os dados que ligam tudo isto. É necessário saber quem está no seu ambiente.  
  1. A partir daí, trace os fluxos de trabalho típicos e os padrões de acesso. Quem precisa de quê e quando? Isto dá-lhe o contexto para definir políticas significativas. 
  1. Uma vez definidas as suas políticas, o objetivo é automatizar a aplicação tanto quanto possível. Desta forma, as respostas são rápidas, consistentes e isentas de erros humanos.  
  1. Não pare depois de ter configurado a rede: a monitorização contínua garante que detecta qualquer coisa invulgar no momento em que acontece. 

Passos para iniciar a implementação 

Normalmente, é uma boa ideia começar com controlos de identidade e de dispositivos. Os primeiros passos de uma boa arquitetura Zero Trust incluem uma forte autenticação multi-fator e a segmentação da rede para garantir que as permissões são adequadas. 

Implemente a autenticação multi-fator, reforce as políticas de palavra-passe e garanta que a integridade do dispositivo faz parte da equação de acesso. Isto proporciona-lhe uma base de segurança sólida sem ter de rever tudo no primeiro dia. 

Em seguida, aplique os princípios de confiança zero às suas aplicações mais críticas. Estas são as que contêm dados sensíveis ou que conduzem as operações diárias. Bloqueie-as primeiro, antes de sair. A arquitetura Zero Trust pode envolver um firewall de última geração (NGFW), que pode facilitar a segmentação da rede para autenticação Zero Trust.

Depois, expanda o seu âmbito para abranger redes, cargas de trabalho e dados. Inclua a encriptação que já discutimos e a deteção de ameaças em tempo real para garantir um nível completo de segurança.  

Vantagens estratégicas do Zero Trust 

O modelo Zero Trust alinha-se com as principais estruturas do sector, como a NIST 800-207, o que significa que não só é moderno, como também se baseia em normas. Isso facilita a comprovação da devida diligência em auditorias e avaliações. Também ajuda as empresas a manterem-se em conformidade com as leis de privacidade de dados, como o RGPD, a HIPAA e outras, impondo os seus controlos de acesso e salvaguardando os dados confidenciais. 

Como outro bónus, pode mesmo melhorar a sua posição quando se candidata a um seguro cibernético. As seguradoras procuram cada vez mais modelos de segurança proactivos e em camadas. As medidas de segurança Zero Trust preenchem muitos desses requisitos. 

Benefícios para as empresas e os consumidores 

Para as empresas, o Zero Trust reduz os danos potenciais de uma violação e diminui os esforços de recuperação dispendiosos. Menos exposição significa menos para limpar se algo correr mal. Também proporciona uma melhor visibilidade do seu ambiente, para que não esteja às cegas quando algo suspeito acontece. Sabe quem acedeu ao quê e quando.  

Se estiver a gerir uma empresa, este tipo de paz de espírito pode ajudá-lo a ter mais confiança de que tomou as medidas de segurança adequadas. 

E não nos esqueçamos da escalabilidade. Quer a sua equipa seja remota ou esteja totalmente no local, o Zero Trust é escalável com uma empresa ou organização, independentemente do local de trabalho. Isto traduz-se numa proteção mais forte e mais flexível que suporta a forma como as equipas modernas operam realmente. 

Também evita o tipo de violações de dados que podem potencialmente prejudicar a reputação. 66% dos consumidores dizem que não confiariam numa empresa após uma violação de dados, o que significa que é ainda mais importante que as empresas e organizações tomem medidas preventivas. A solução é simples: proteja-os, vigie-os e desligue-os se não precisar deles. Desta forma, mantém os benefícios e elimina os riscos. 

O que é a autenticação de dois factores (2FA)?

O que é uma firewall e como funciona?

O que fazer após uma violação de dados?

Phishing Scams: O que são e como evitá-los

Porque deve utilizar um gestor de senhas

Perguntas frequentes

A Confiança Zero é apenas para as grandes empresas?

Os sistemas de segurança Zero Trust podem beneficiar organizações de qualquer dimensão. As pequenas e médias empresas adoptam-no frequentemente em fases para aumentar a segurança sem sobrecarregar os recursos. 

Os sistemas mais antigos ainda podem funcionar com o Zero Trust

Sim, os sistemas antigos podem ser integrados numa estratégia Zero Trust utilizando segmentação, controlos de acesso e camadas de segurança modernas à sua volta.