O que é preciso para construir uma rede de confiança zero

O modelo de confiança zero , centrado na noção de que nada dentro ou fora do perímetro de rede pode ser confiável sem verificação, está ganhando cada vez mais atenção de empresas que lutam para impedir violações de dados usando abordagens convencionais.

As organizações que querem implementar o modelo, no entanto, precisam estar preparadas para abandonar as práticas baseadas em noções profundamente incorporadas de pessoas de confiança e da rede corporativa segura, disseram especialistas em segurança da SecurIT, um evento organizado pela CSO sobre o assunto, no mês passado, em San Francisco.

O modelo de confiança zero

A empresa de análise Forrester Research cunhou o termo ‘confiança zero’ em 2010 para descrever um modelo de segurança em que qualquer um e qualquer dispositivo que tente se conectar a um ativo de rede é tratado como indigno de confiança. O modelo enfatiza o uso de credenciais de dispositivo e usuário como base para conceder ou negar acesso a ativos de rede.

Tanto a Forrester quanto outras empresas de consultoria disseram várias vezes que a abordagem era fundamental para evitar que invasores se movimentassem sem serem detectados dentro de uma rede em busca de alvos de alto valor após terem violado o perímetro. Várias violações de dados recentes ocorreram porque os controles de segurança convencionais e as ferramentas de prevenção de vazamento de dados não conseguiam identificar atividades maliciosas sendo executadas por agentes externos usando credenciais roubadas para se movimentarem livremente. O problema está na prática de longa data  de confiar implicitamente nos usuários e no tráfego na rede interna, tratando apenas usuários externos como não confiáveis.

Atores de ameaças não são o único problema. Uma força de trabalho móvel crescente e o uso crescente de serviços em nuvem para hospedar aplicativos e serviços também tornaram mais difícil para muitas empresas estabelecer e impor um perímetro de rede. A antiga abordagem castelo-e-fosso de acesso a recursos internos por meio de um perímetro fortemente reforçado não funciona mais devido à dispersão dos dados corporativos e às diversas maneiras pelas quais eles podem ser acessados.

“A confiança é uma vulnerabilidade perigosa que pode ser explorada”, afirma John Kindervag, ex-analista da Forrester e criador do modelo de confiança zero e atualmente diretor de tecnologia da Palo Alto Networks. Para ser seguro, as organizações precisam superar a noção de usuário e rede confiáveis ​​e não confiáveis.

“No modelo de confiança zero, nada é confiável”, diz Kindervag. Não pode haver mais redes confiáveis, dispositivos confiáveis ​​ou pessoas confiáveis. “Precisamos limpar a ideia de que as pessoas estão na rede”, e focar nos pacotes que passam por ela, diz ele. Todo o tráfego – não apenas externo – precisa ser monitorado.

O longo caminho para a confiança zero
Implementar uma rede de confiança zero pode ser um desafio. O Google, um dos pioneiros neste espaço, passou cerca de seis anos se distanciando de sua VPN e do modelo privilegiado de acesso à rede para a sua própria versão de um ambiente de confiança zero. Ao longo do caminho, a empresa precisou redefinir e reestruturar funções e classificações de trabalho, criar um serviço de inventário totalmente novo para rastrear dispositivos, permitir melhor visibilidade de seus aplicativos e revisar políticas de autenticação de usuários e controle de acesso. 

Um dos principais princípios a ter em mente ao embarcar no caminho para a confiança zero é que nada pode ter acesso a recursos internos até que possa ser verificável de forma confiável. A rede em si não deve determinar quais serviços você pode acessar, disse Tom Kemp, CEO da Centrify.

A confiança atribuída a um usuário não pode ser baseada no fato de esse usuário estar tentando acessar um aplicativo corporativo de dentro do perímetro de sua rede ou fora dele. Em vez disso, o acesso precisa ser baseado no que você sabe sobre o usuário, o que você sabe sobre o dispositivo e o que está sendo acessado, diz Kemp.

O foco precisa ser a autenticação segura dos usuários, o conhecimento de suas funções e de seus privilégios de acesso e ser capaz de identificar o comportamento anormal do usuário e do dispositivo. Isso também significa ser capaz de validar dispositivos com segurança, identificar o contexto no qual um dispositivo está sendo usado e garantir que todos os controles de segurança necessários estejam presentes neles. Nesse ambiente, recursos como a autenticação multifator (MFA) e a análise comportamental do usuário e da entidade (UEBA) são fundamentais para estabelecer a confiança. O objetivo com a confiança zero é “mudar para um modelo de nunca confiar, sempre verificar”, observa Kemp.

Projetando segurança de dentro para fora
Ao planejar a confiança zero, é vital projetar a segurança de dentro para fora e não de fora para dentro, como a maioria das organizações faz hoje. Você precisa se preocupar menos com sua superfície de ataque e se concentrar mais na “superfície de proteção” – os ativos digitais que você realmente precisa proteger, diz Kindervag.

O objetivo deve ser mover a segurança e os controles de acesso para perto da superfície que você deseja proteger, em vez de colocá-los longe no perímetro da rede. “As pessoas confundem segmentação de rede com confiança zero. Mas a menos que conheçamos a superfície de proteção, não adianta segmentar”.

A Akamai, que está a caminho de implementar um ambiente de confiança zero, já eliminou o perímetro de sua empresa. Isso porque a localização de um usuário não confere mais ou menos confiança, diz Charlie Gero, CTO do Grupo de Projetos Corporativos e Avançados da Akamai Technologies.

Em algum momento no final deste ano, a Akamai desativará todo o acesso VPN para funcionários remotos pela mesma razão. Logo depois, a Akamai também se livrará das senhas. Qualquer pessoa que deseje acessar os aplicativos e sistemas da empresa, incluindo funcionários, será inicialmente tratada como convidada. A confiança será estabelecida pela verificação do usuário, seus direitos de acesso e seu dispositivo.  

Um perímetro de segurança ainda estará em torno de máquinas individuais, mas a ideia de uma rede privilegiada instalada atrás de um perímetro corporativo ficou obsoleta, diz Gero. Esse modelo de confiança zero oferece uma maneira muito mais consistente e segura de permitir o acesso a ativos corporativos do que as abordagens centradas no perímetro, observa ele.

Poucas coisas são mais importantes quando se está começando a confiança zero do que a visibilidade. “A visibilidade é o primeiro passo fundamental”, para permitir uma rede de confiança zero”, diz Gero. “Isso ajudará você a criar uma estratégia”, diz ele, observando os esforços da Akamai para criar um inventário abrangente de todos os seus aplicativos e dispositivos quando a empresa inicialmente lançou o esforço.

Para proteger seus dados mais confidenciais, você precisa saber onde estão, como fluem pela empresa, os usuários que os acessam e os dispositivos que estão sendo usados ​​para acessá-los. Como o Google observou, quando você não pode confiar na rede para fornecer acesso seguro aos ativos da empresa, você precisa de dados confiáveis ​​e atuais sobre as pessoas e os sistemas que os acessam.

Para permitir a confiança zero também é vital ter métodos fortes para identificar com segurança e autenticar usuários e dispositivos. O Google, por exemplo, permite apenas dispositivos adquiridos e ativamente gerenciados pela empresa em sua rede. Todos os dispositivos têm uma identidade exclusiva estabelecida por meio de um certificado de dispositivo e precisam atender a controles de segurança rígidos para serem qualificados para acesso à rede. A empresa usa um banco de dados fortemente acoplado aos processos de RH do Google para identificar usuários e garantir que as informações sobre funções e privilégios de acesso estejam sempre atualizadas.

“Todo acesso a recursos da empresa é totalmente autenticado, totalmente autorizado e totalmente criptografado com base no estado do dispositivo e nas credenciais do usuário”, observou o Google em um dos vários whitepapers que a empresa divulgou sobre a BeyondCorp para ajudar outras pessoas a iniciar essa jornada.