Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece uma visão geral das estruturas de Confiança Zero conhecidas e mostra como Microsoft Confiança Zero modelo de adoção ajuda você a passar da compreensão da estrutura para a adoção em escala.
Confiança Zero não é uma única estrutura. É um modelo de segurança que se alinha a vários padrões do setor e do governo. Esses padrões não são soluções concorrentes. Cada um aborda um aspecto diferente de Confiança Zero, como definir conceitos fundamentais, avaliar o progresso ou coordenar a adoção em uma organização.
Embora as estruturas do setor ajudem a definir o que Confiança Zero deve alcançar, as organizações ainda precisam de uma maneira de traduzir essas diretrizes em uma estratégia e arquitetura específicas para planejamento, design e implantação de soluções.
O modelo de adoção Confiança Zero do Microsoft faz exatamente isso. Ele fornece uma estratégia e uma arquitetura de referência, alinhadas a frameworks do setor e baseadas neles, para acelerar a adoção e a implementação do Confiança Zero.
Dica
Microsoft oferece um amplo conjunto de workshops para adoção de segurança — os workshops Security Adoption Framework (SAF). Nossa orientação estruturada do modelo de adoção está alinhada à orientação conduzida por especialistas do Microsoft Unified, fornecida nesses workshops. Saiba mais sobre workshops do SAF.
NIST Confiança Zero
National Institute of Standards and Technology (NIST) Special Publication (SP) 800-207 Confiança Zero Architecture estabelece uma definição reconhecida pelo setor de arquitetura Confiança Zero. Ele explica o que é Confiança Zero e como as decisões de confiança são tomadas, independentemente de qualquer fornecedor, produto ou roteiro de implantação específico.
O NIST SP 800-207 é mais útil quando as organizações precisam de uma definição comum e autoritativa de conceitos Confiança Zero que podem ser compartilhados entre equipes de segurança, TI e arquitetura.
Funcionalidades do NIST
O NIST posiciona explicitamente Confiança Zero como uma arquitetura em que o acesso aos recursos nunca é implicitamente confiável.
Os princípios de Confiança Zero no NIST incluem os seguintes:
- Presumir comprometimento (violação) para orientar uma abordagem holística e prática para a segurança.
- Verificando a confiança explicitamente antes de conceder acesso aos ativos.
- Limitando o raio de explosão concedendo o menor privilégio necessário.
Os principais conceitos de arquitetura se concentram em:
- Avaliação dinâmica contínua de solicitações de acesso usando sinais contextuais.
- Lógica de decisão de política centralizada que avalia sinais em relação à política organizacional.
- A funcionalidade de aplicação de políticas junto aos recursos protegidos aplica a decisão.
A arquitetura conceitual Confiança Zero definida pelo NIST se concentra em como as decisões de acesso são avaliadas e impostas usando mecanismos de política, pontos de imposição e sinais contextuais.
Observe que:
- O NIST SP 800-270 não define pilares de tecnologia ou domínios de segurança, como identidade, pontos de extremidade ou proteção de dados.
- Identidade, postura do dispositivo, aplicativos e dados são modelados como assuntos, recursos e fontes de contexto que informam decisões de confiança, em vez de como domínios arquitetônicos separados.
O modelo de adoção security da Microsoft baseia-se nessa arquitetura aplicando seus princípios e componentes em uma estrutura operacional.
Embora o NIST defina como as decisões de confiança são tomadas e impostas, nosso modelo de adoção organiza essas funcionalidades em disciplinas de segurança e pilares de tecnologia para orientar o planejamento de negócios, a propriedade, o design da solução, a implementação e o acompanhamento de progresso.
Implementation
As diretrizes de implementação são fornecidas no NIST SP 1800-35 Implementando uma arquitetura Confiança Zero.
Para estas diretrizes de implementação:
- A NIST colaborou com 24 fornecedores, incluindo Microsoft, no desenvolvimento de um guia com etapas práticas para organizações ansiosas por implementar projetos de referência de segurança cibernética para Confiança Zero.
- Microsoft participou como um dos fornecedores que fornecem tecnologia para implementar recursos de Confiança Zero em:
- Gerenciamento de identidade e acesso.
- Gerenciamento e configuração de endpoints.
- Proteção e monitoramento de ameaças.
- Proteger o acesso aos recursos distribuídos.
Este diagrama é o resultado da colaboração NIST SP 1800-35. Ele pode ser baixado de Arquitetura de Referência de Segurança Cibernética da Microsoft (MCRA). Saiba mais sobre o MCRA
Modelo de Maturidade de Confiança Zero da CISA
O Cybersecurity and Infrastructure Security Agency (CISA) Confiança Zero Maturity Model está organizado em torno de adoção e avaliação. Esse modelo de maturidade ajuda as organizações a organizar e avaliar sua postura atual, priorizar melhorias e acompanhar o progresso.
Funcionalidades da CISA
Ao contrário do NIST, o CISA não define uma arquitetura de referência e, em vez disso, avalia os recursos independentemente de padrões de design específicos.
- O modelo usa domínios baseados em pilares, incluindo Identidade, Dispositivos, Redes/Ambiente, Aplicativos/Cargas de Trabalho e Dados.
- Ele também define três recursos de corte cruzado : Visibilidade e Análise, Automação e Orquestração e Governança.
- E captura quatro estágios de maturidade: Tradicional, Inicial, Avançado e Ideal.
- A governança também não é tratada como um pilar autônomo, mas como uma funcionalidade de corte cruzado que garante o alinhamento dos negócios, a propriedade clara e os resultados mensuráveis em todos os domínios.
Implementation
O modelo se alinha e informa o modelo de adoção de segurança Microsoft, enquanto Microsoft o estende ainda mais introduzindo disciplinas como Arquitetura para fazer a ponte entre estruturas conceituais como o NIST SP 800-207 com implementação prática.
| CISA | Disciplina/pilar de adoção | Detalhes |
|---|---|---|
|
Identity A identidade aborda autenticação, autorização, risco de identidade, ciclo de vida. Aplicativos e cargas de trabalho abrangem controles de acesso do aplicativo, identidade de carga de trabalho e interação segura do aplicativo. |
Disciplina: Identidade e acesso Tecnologia: Identidade |
O controle de acesso em Microsoft abrange as camadas de identidade e de aplicativo, enquanto a CISA as separa. |
|
Governança Políticas, controles e imposição em toda a empresa. |
Disciplina: estratégia, integração, governança Arquitetura de segurança Tecnologia: Tudo. |
Os recursos de política e controle da CISA se alinham diretamente aos resultados de SecOps. Microsoft adiciona foco extra em outros aspectos de governança (alinhamento de negócios, gerenciamento de riscos, funções e muito mais) e foco dedicado na disciplina arquitetônica e arquiteturas de referência. |
|
Dispositivos Inventário de dispositivos, postura, conformidade; segmentação de rede, conectividade segura, controles ambientais. Incluindo dispositivos não tradicionais, restritos e especializados. |
Disciplina: Identidade e acesso, segurança de infraestrutura, segurança de OT/IoT Tecnologia: pontos de extremidade |
A confiança na infraestrutura é estabelecida por meio da integridade do dispositivo e da conectividade controlada, alinhando-se com a meta Confiança Zero para minimizar o raio da explosão e o movimento lateral. Microsoft considera os dispositivos OT/IoT como uma disciplina distinta devido a motivos exclusivos de propriedade e gerenciamento de riscos. |
|
Aplicativos e cargas de trabalho Aplicativos e cargas de trabalho abrange controles de acesso a aplicativos, identidade de carga de trabalho e interação segura entre aplicativos. |
Disciplina: Segurança de Desenvolvimento Tecnologia: Aplicativos |
O foco da carga de trabalho do CISA alinha-se às metas de DevSecOps inserindo segurança nos ciclos de vida do aplicativo e do serviço, em vez de tratá-la como uma atividade pós-implantação. |
|
Redes Segmentação de rede, conectividade segura, controles ambientais. |
Disciplina: Identidade e acesso Tecnologia: Redes |
Microsoft combina todo o acesso (identidade, aplicativos e redes) em uma única disciplina para ajudar a impulsionar a estratégia clara, a arquitetura e a consistência de políticas entre tecnologias. |
|
Dados Classificação de dados, inventário, controle de acesso, criptografia e proteção independentemente do local da rede. |
Disciplina: Segurança de Dados Tecnologia: Dados |
Ambos os modelos colocam os dados como principal alvo de proteção e reforçam a transição do Confiança Zero da segurança de perímetro para controles centrados nos dados. |
|
Visibilidade & Análise, Automação &Orquestração Coleta de telemetria, monitoramento contínuo, detecção, automação de resposta e imposição de política em escala. |
Disciplina: SecOps Tecnologia: Tudo |
As capacidades transversais da CISA se alinham diretamente aos resultados de SecOps, que incluem a detecção de ameaças, a automação de respostas e a reavaliação contínua da confiança em todos os domínios. |
| Estágios de maturidade em todos os pilares | Postura de segurança | O gerenciamento da postura é o objetivo central do modelo da CISA: avaliar o estado atual, identificar lacunas, priorizar melhorias e acompanhar o progresso do Confiança Zero ao longo do tempo. |
Para obter informações, consulte Implementing the CISA Confiança Zero Maturity Model with Microsoft cloud services.
Modelo de Referência Confiança Zero do The Open Group
O Modelo de Referência Confiança Zero do Grupo Aberto aborda Confiança Zero de uma perspectiva de integração e funcionalidade corporativa. Em vez de definir etapas de implementação específicas, ela descreve os recursos e estruturas de governança que as organizações precisam definir, integrar e operar Confiança Zero em escala.
Recursos do Open Group
Os recursos incluem:
- Capacidades + ABBs (Blocos de Construção de Arquitetura) definem capacidades de segurança que impulsionam resultados sustentáveis de segurança e as pessoas, os processos e as tecnologias necessárias para viabilizá-las.
- Modelos de colaboração e integração mostram como integrar a segurança com estratégia, gerenciamento de riscos, operações e outros aspectos da organização.
Os recursos são compostos por pessoas, elementos de processo e tecnologia que trabalham juntos:
- Pessoas: definidas como funções no padrão Funções de Grupo Aberto e Glossário
- Processo: definido como blocos de construção de arquitetura (ABBs) na mesma norma do Modelo de Referência Confiança Zero
- Tecnologia: definida como ABBs na mesma norma do Modelo de Referência Confiança Zero
Este diagrama mostra estes recursos:
Este diagrama mostra como esses recursos se alinham às funções do NIST Cybersecurity Framework (NIST CSF):
Implementation
O modelo corresponde ao nosso modelo de adoção recomendado.
| Abrir Grupo | Disciplina de adoção | Alinhamento |
|---|---|---|
|
Estratégia Confiança Zero & Governança Define como as organizações estabelecem Confiança Zero como uma estratégia alinhada aos negócios, incluindo governança, gerenciamento de riscos, propriedade de políticas e alinhamento de pessoas, processos e tecnologia. |
Estratégia, integração e governança | Tanto o Open Group quanto o Microsoft posicionam explicitamente Confiança Zero como uma estratégia empresarial, não um conjunto de controle técnico. Isso dá suporte diretamente ao alinhamento executivo, à propriedade e à integração em toda a organização. |
|
arquitetura Confiança Zero baseada em capacidades Fornece blocos de construção arquitetônicos e agrupamentos de capacidade para projetar arquiteturas Confiança Zero, sem prescrever tecnologias ou produtos específicos. |
Arquitetura de segurança | Isso preenche o espaço entre as diretrizes abstratas de arquitetura e implementação do NIST, permitindo que os arquitetos traduzam princípios Confiança Zero em designs de escala empresarial. |
|
Funcionalidades de identidade, autenticação, autorização e imposição de políticas Define os recursos necessários para verificar a identidade, avaliar a confiança dinamicamente e impor decisões de acesso de forma consistente entre ambientes. |
Identidade e acesso | Alinha-se diretamente ao acesso à segurança como uma disciplina de adoção: quem pode acessar o que, sob quais condições e como essa decisão é imposta. |
|
Funcionalidades de proteção centrada em dados Enfatiza a proteção de informações independentemente da localização, incluindo classificação de dados, proteção e acesso controlado por políticas. |
Segurança de dados | Espelha a mudança de Confiança Zero da segurança de perímetro para a segurança centrada em dados, alinhando-se naturalmente com a proteção de dados como um domínio de adoção. |
|
Funcionalidades de visibilidade, monitoramento, análise e resposta Inclui recursos para coletar telemetria, monitorar sinais de confiança e adaptar a política com base no risco observado. |
SecOps | Permite avaliação contínua e aplicação contínua — essenciais para as operações de Confiança Zero e o monitoramento de segurança em escala. |
|
Recursos de segurança para interação entre aplicações e serviços Aborda como aplicativos e serviços participam de Confiança Zero, incluindo interações seguras, identidade de serviço e imposição de runtime. |
Segurança de desenvolvimento | Dá suporte à integração de Confiança Zero em ciclos de vida de aplicativos modernos e comunicação serviço a serviço. |
|
Funcionalidades de segurança de plataforma e ambiente Aborda a operação segura de plataformas, redes e ambientes que hospedam cargas de trabalho, sem tratar a rede como um limite de confiança. |
Segurança da infraestrutura | Alinha a segurança da infraestrutura aos princípios do Confiança Zero, tratando a infraestrutura como passível de aplicação, mas não como inerentemente confiável. |
|
Ambiente estendido e suporte a ativos não tradicionais Reconhece explicitamente a convergência de TI/OT/IoT e a necessidade de capacidades de Confiança Zero em ambientes restritos e heterogêneos. |
Infraestrutura (segurança de OT/IoT) | Corresponde à realidade de adoção em que o OT/IoT exige uma propriedade distinta, mas ainda deve se alinhar à estratégia de Confiança Zero empresarial. |
|
Maturidade baseada em funcionalidade e melhoria contínua Fornece um modelo de capacidade destinado a avaliar o estado atual, orientar a melhoria e adaptar-se ao longo do tempo à medida que as ameaças e a tecnologia evoluem. |
Postura de segurança | As posições Confiança Zero como um programa contínuo, não uma implantação única, alinhando-se diretamente com as metas de gerenciamento de postura. |
Mapear tecnologias de Microsoft para o modelo
O modelo de Referência de Confiança Zero também inclui um resumo geral dos componentes de Confiança Zero. Este diagrama mostra como as tecnologias de Microsoft são mapeadas para esses componentes:
Estratégia de Confiança Zero do Departamento de Defesa
O Departamento de Defesa dos EUA divulgou um Roteiro e Estratégia do DoD Confiança Zero.
Para obter informações sobre como configurar os serviços de nuvem da Microsoft para a Estratégia de Confiança Zero do DoD, consulte Configurar os serviços da Microsoft para a Estratégia de Confiança Zero do DoD.
Próximas Etapas
Escolha um cenário de negócios e saiba como as disciplinas de segurança são mapeadas para o cenário.