Pilares da tecnologia de Confiança Zero – Parte 2
Nesta unidade, continuamos e discutimos os objetivos de implantação de Confiança Zero restantes.
Proteger dados com a Confiança Zero
Os três principais elementos de uma estratégia de proteção de dados são:
- Conheça seus dados: se não souber quais dados confidenciais você tem localmente e nos serviços de nuvem, não poderá protegê-los adequadamente. Você precisa descobrir os dados em toda a organização e classificar todos os dados por nível de sensibilidade.
- Proteja os dados e evite a perda de dados: os dados confidenciais precisam ser protegidos pelas políticas de proteção de dados que rotulam e criptografam dados ou bloqueiam o compartilhamento em excesso. Isso garante que somente usuários autorizados possam acessar os dados, mesmo quando os dados são transferidos para fora do ambiente corporativo.
- Monitorar e corrigir: você deve monitorar continuamente os dados confidenciais para detectar violações de política e comportamento de usuário suspeito. Isso permite que você execute a ação apropriada, como revogar o acesso, bloquear usuários e refinar suas políticas de proteção.
Objetivos de implantação da Confiança Zero nos dados
Uma estratégia de proteção de informações precisa abranger todo o conteúdo digital da organização. Como uma linha de base, você precisa definir rótulos, descobrir dados confidenciais e monitorar o uso de rótulos e ações em seu ambiente. O uso de rótulos de confidencialidade é discutido no final deste guia.
Ao implementar uma estrutura de Confiança Zero de ponta a ponta para dados, recomendamos que você se concentre primeiro nesses objetivos de implantação iniciais:
I. As decisões de acesso são regidas pela criptografia.
II. Os dados são automaticamente classificados e rotulados.
Após concluir esses objetivos, concentre-se nesses objetivos de implantação adicionais:
III. A classificação é aumentada pelos modelos de machine learning inteligente.
IV. As decisões de acesso são regidas por um mecanismo de política de segurança de nuvem.
V. Impeça o vazamento de dados por meio de políticas de DLP com base em um rótulo de confidencialidade e inspeção de conteúdo.
Proteger pontos de extremidade com Confiança Zero
A Confiança Zero segue o princípio : "Nunca confie, sempre verifique". Em termos de pontos de extremidade, isso significa sempre verificar todos os pontos de extremidade. Isso inclui não apenas dispositivos de prestador de serviço, parceiro e convidado, mas também aplicativos e dispositivos usados por funcionários para acessar dados de trabalho, independentemente da propriedade do dispositivo.
Em uma abordagem de Confiança Zero, as mesmas políticas de segurança são aplicadas independentemente se o dispositivo é corporativo ou de propriedade pessoal por meio do BYOD (traga seu próprio dispositivo), se o dispositivo é totalmente gerenciado por ele ou se somente os aplicativos e os dados são protegidos. As políticas se aplicam a todos os pontos de extremidade, sejam dispositivos IoT, PC, Mac, smartphone, tablet ou portáteis (wearable) ou onde quer que estejam conectados, sejam eles a redecorporativa segura, banda larga doméstica ou Internet pública.
Objetivos de implantação de Confiança Zero do ponto de extremidade
Ao implementar uma estrutura de Confiança Zero de ponta a ponta para proteger pontos de extremidade, recomendamos que você se concentre primeiro nestes objetivos iniciais de implantação:
I. Os pontos de extremidade são registrados com provedores de identidade de nuvem. Para monitorar a segurança e o risco em vários pontos de extremidade usados por qualquer pessoa, você precisa de visibilidade em todos os dispositivos e pontos de acesso que possam estar acessando seus recursos.
II. O acesso é concedido somente a pontos de extremidade e aplicativos em conformidade e gerenciados pela nuvem. Defina as regras de conformidade para garantir que os dispositivos atendam aos requisitos mínimos de segurança para a concessão do acesso. Além disso, defina regras de correção para dispositivos sem conformidade para que as pessoas saibam como resolver o problema.
III. As políticas de DLP (prevenção contra perda de dados) são impostas para dispositivos corporativos e BYOD. Controle o que os usuários podem fazer com os dados depois que eles têm acesso. Por exemplo, para proteger os dados, restrinja o salvamento de arquivos em locais não confiáveis (como o disco local) ou restrinja o compartilhamento de copiar e colar com um aplicativo de comunicação do consumidor ou aplicativo de chat.
Após concluir esses objetivos, concentre-se nesses objetivos de implantação adicionais:
IV. A detecção de ameaças do ponto de extremidade é usada para monitorar o risco de dispositivos. Use um painel único para gerenciar todos os pontos de extremidade de maneira consistente e use um SIEM para rotear logs de pontos de extremidade e transações, de modo a obter menos alertas, mas alertas acionáveis.
V. O controle de acesso é restringido no risco do ponto de extremidade para dispositivos corporativos e BYOD. Integre dados do Microsoft Defender para Ponto de Extremidade ou de outros fornecedores de MTD (Defesa contra Ameaças Móveis), como uma fonte de informações para políticas de conformidade de dispositivos e regras de Acesso Condicional de dispositivos. O risco do dispositivo influenciará, de forma direta, quais recursos poderão ser acessados pelo usuário do dispositivo.
Proteger a infraestrutura com a Confiança Zero
O Azure Blueprints, as Políticas do Azure, o Microsoft Defender para Nuvem, o Microsoft Sentinel e o Azure Sphere podem contribuir muito para melhorar a segurança da sua infraestrutura implantada e habilitar uma abordagem diferente para definir, projetar, provisionar, implantar e monitorar sua infraestrutura.
Objetivos da implantação de Confiança Zero da infraestrutura
Ao implementar uma estrutura de Confiança Zero de ponta a ponta para gerenciar e monitorar sua infraestrutura, recomendamos que você se concentre primeiro nesses objetivos de implantação iniciais:
I. As cargas de trabalho são monitoradas e alertadas para o comportamento anormal.
II. Cada carga de trabalho recebe uma identidade de aplicativo – e é configurada e implantada de maneira consistente.
III. O acesso humano aos recursos requer o Just-In-Time.
Após concluir esses objetivos, concentre-se nesses objetivos de implantação adicionais:
IV. Implantações não autorizadas são bloqueadas e o alerta é disparado.
V. A visibilidade granular e o controle de acesso estão disponíveis entre cargas de trabalho.
VI. Acesso de usuário e recurso segmentado para cada carga de trabalho.
Proteger redes com a Confiança Zero
Em vez de acreditar que tudo por trás do firewall corporativo é seguro, uma estratégia de Confiança Zero de ponta a ponta pressupõe que as violações são inevitáveis. Isso significa que você deve verificar cada solicitação como se ela se originasse de uma rede não controlada, e o gerenciamento de identidades desempenha um papel crucial nesse caso.
Objetivos de implantação da Confiança Zero na rede
Ao implementar uma estrutura de Confiança Zero de ponta a ponta para proteger redes, recomendamos que você se concentre primeiro nesses objetivos de implantação iniciais:
I. Segmentação de rede: muitos microperímetros de nuvem de entrada/saída com um pouco de microssegmentação.
II. Proteção contra ameaças: filtragem e proteção nativas de nuvem para ameaças conhecidas.
III. Criptografia: o tráfego interno do usuário para o aplicativo é criptografado.
Após concluir esses objetivos, concentre-se nesses objetivos de implantação adicionais:
IV. Segmentação de rede: microperímetros de nuvem de entrada/saída totalmente distribuídos e microssegmentação mais profunda.
V. Proteção contra ameaças: proteção contra ameaças baseada em machine learning e filtragem com sinais baseados em contexto.
VI. Criptografia: todo o tráfego é criptografado.