Planejar um modelo de segurança de Confiança Zero em sua organização

  • 4 minutos

A maneira mais fácil de pensar sobre a Confiança Zero é supor que tudo está na Internet aberta, até mesmo recursos que acreditamos que estão seguros em nossos espaços protegidos. Muitas vezes, as organizações trabalham sob o pressuposto de que "Se estiverem na minha rede, não há problema". Consideram que a rede está segura porque implementou medidas de segurança suficientes, como firewalls, software antivírus e controlos de acesso. Também acreditam que podem confiar nos funcionários e dispositivos a que se ligaram.

Infelizmente, há uma falha crítica nesta suposição. Pressupõe que todos os funcionários e dispositivos na rede são fidedignos e seguros, o que nem sempre é o caso. Os atores maliciosos podem explorar vulnerabilidades na rede ou nos dispositivos ligados à mesma para obter acesso e causar danos. Além disso, os funcionários ou empreiteiros podem comprometer acidentalmente ou intencionalmente a rede clicando num e-mail de phishing, visitando um site malicioso ou transferindo um ficheiro infetado.

Com o modelo de segurança Confiança Zero, as organizações passam do mundo dos pressupostos implícitos que fazem com base em elementos únicos para a verificação explícita de todos os elementos de acesso. Muitas organizações endurecem os seus pontos de acesso externo ao exigir autenticação multifator (MFA) ou certificações para aceder à respetiva VPN. Uma estratégia de Confiança Zero requer acesso flexível a aplicativos, sistemas e dados. Ao mesmo tempo, as organizações devem manter a segurança para os usuários e os recursos necessários para realizar seus trabalhos. As cinco etapas que as organizações devem seguir para proteger sua infraestrutura de identidade incluem:

  1. Verifique suas credenciais. Se os utilizadores no seu sistema de identidade estiverem a utilizar palavras-passe fracas e não a fortalecê-las com a MFA, não é uma questão de se ou quando fica comprometido. Em vez disso, a frequência com que os utilizadores comprometem a sua infraestrutura de identidade torna-se a questão maior.
  2. Reduza a área da superfície de ataque. Para dificultar a vida dos hackers, reduza a área da superfície de ataque eliminando o uso de protocolos mais antigos e menos seguros, limitando pontos de entrada de acesso e exerça um controle mais significativo do acesso administrativo aos recursos.
  3. Automatize a resposta a ameaças. Reduza os custos e os riscos diminuindo o tempo que os criminosos têm para se inserir em seu ambiente.
  4. Esteja mais consciente. Utilize a auditoria e o registo de eventos relacionados com segurança e alertas relacionados para ajudar a detetar potenciais padrões comprometedores. Estes padrões podem indicar ataques internos ou tentativas ou penetração externa bem-sucedida da sua rede.
  5. Habilite a autoajuda do usuário. Reduza o atrito permitindo que os usuários permaneçam produtivos, mesmo enquanto você permanece atento.

Leitura adicional. Para obter mais informações, confira Cinco etapas para proteger sua infraestrutura de identidade.

Mover de um modelo de confiança implícita para uma de verificação explícita

Para implementar um modelo de Confiança Zero e assumir que todos os utilizadores, aplicações e máquinas estão na Internet, tem de passar de um modelo de confiança implícita para um de verificação explícita. Tem de explicitamente:

  • Verifique as afirmações de autenticação. Não suponha que tem um utilizador numa sessão de alta garantia (por exemplo, autenticação multifator) devido à rede.
  • Verifique os dispositivos. Não suponha que o utilizador tem um computador válido devido à rede.
  • Classificar e encriptar dados. Não permita automaticamente o acesso a partilhas de ficheiros porque o utilizador está na rede.

Para determinar o risco geral de cada sessão, uma estratégia de Confiança Zero robusta deve considerar o contexto completo da sessão, que inclui:

  • A identidade do usuário.
  • O estado do dispositivo do usuário.
  • As aplicações que o utilizador executa.
  • A confidencialidade dos dados que o usuário está tentando acessar.

Uma Confiança Zero aplica políticas holísticas que definem quando permitir, bloquear ou restringir o acesso. Essas políticas controlam o acesso exigindo desafios de autenticação extras, como:

  • autenticação multifator
  • limitando a funcionalidade, como downloads
  • aplicando controles de conformidade, como termos de uso

Estas políticas holísticas bloqueiam ameaças internas e externas, tais como:

  • Um hacker tentando obter acesso usando credenciais roubadas em um dispositivo desconhecido.
  • Um usuário verificado executando um dispositivo íntegro que está tentando acessar os dados que ele não tem permissão para ver.

Essa estratégia também pode criar grades de proteção para que os funcionários possam usar recursos organizacionais com responsabilidade.

Confiança Zero com o acesso condicional Microsoft Entra

Microsoft Entra ID fornece a verificação de identidade forte, adaptável e baseada em normas necessária numa estrutura Confiança Zero.

Importante

O Azure Active Directory (Azure AD) agora é Microsoft Entra ID. Saiba mais.

Embora Microsoft Entra ID forneça autenticação intrinsecamente forte (incluindo proteção adaptável automática contra muitos ataques), também permite que os administradores expressem os seus requisitos de acesso em termos simples. Praticamente todos os aspetos de cada início de sessão (incluindo o risco de sessão ou utilizador associado) estão disponíveis para definir as condições em que o sistema aplica políticas de acesso. Uma estrutura de controles regula o acesso. Por exemplo, fatores de autenticação extras, termos de uso, acesso limitado e outras semânticas de sessão. Esses controles garantem que as organizações estejam “seguras no acesso” em sua abordagem de Confiança Zero.

Ferramenta de Avaliação de Confiança Zero

Os seguintes fatores afetam o planeamento e a execução de uma implementação do modelo de segurança Confiança Zero:

  • Requisitos organizacionais diferentes
  • Implementações de tecnologia existentes
  • Estágios de segurança

A Avaliação de Confiança Zero ajuda as organizações a determinar onde elas estão em sua jornada por suas identidades, dispositivos, aplicativos, infraestrutura, rede e dados. Também lhes indica em que fase de maturidade estão (Tradicional, Avançado ou Ideal). A avaliação fornece recomendações sobre como avançar para a fase seguinte.

Para fazer a avaliação de Confiança Zero, confira a ferramenta Avaliação de Confiança Zero.

Leitura adicional. Para saber mais sobre a própria implementação da Microsoft de um modelo de segurança de Confiança Zero, confira Implementando um modelo de segurança de Confiança Zero na Microsoft.