A crescente necessidade de Zero Trust Network Access
À medida que preparamos o terreno para uma adoção mais ampla da metodologia e das soluções Zero Trust Remote Access, vale a pena dar uma olhada rápida na mentalidade tradicional.
Os perímetros tradicionais foram criados com a suposição de que todos os dispositivos e usuários dentro da rede ou perímetro de segurança são confiáveis, estão dentro dos limites de controle de acesso interno e, portanto, permitiam acesso a recursos relacionados. Era enfatizado impedir o acesso de dispositivos e usuários externos, com o uso de VPNs.
Infelizmente, como foi comprovada em muitos incidentes de violação, a prática de confiar o acesso do usuário apenas às defesas de rede pode acarretar em explorações por meio de vários métodos, incluindo roubo de senha, sequestro de contas e indivíduos aproveitando privilégios de acesso excessivamente permissivos.
Avance o relógio para a última década e aumente a adoção de aplicativos em nuvem e tecnologias móveis, sublinhada pelo crescimento maciço da força de trabalho remota, o resultado é uma significativa ofuscação e indefinição dos perímetros em geral – com ataques externos e ameaças internas ainda mais intensas.
A adoção prolífera de tudo relacionado à nuvem (IaaS, PaaS e SaaS) continua a gerar grande fragmentação nas estratégias de segurança e ferramentas usadas para enfrentar esses desafios, com muitos profissionais lutando para encontrar soluções escaláveis que garantam a continuidade dos negócios e possibilitem a proteção adequada.
ZTNA – Atende melhor aos requisitos de segurança internos e externos
Então, como as organizações podem conter essa onda de ameaças que cresce entre usuários, dispositivos, redes e aplicativos? Um fio comum que pode ser controlado é garantir segurança no “acesso”. Avaliar cada link, usuário ou host antes de permitir acesso ajuda bastante a proteger o acesso corporativo de qualquer local. E é aqui que os conceitos de Zero Trust Access e Zero Trust Network Access (ZTNA) surgem como alternativa líder.
Por sua vez, a empresa de análise Gartner define ZTNA como: “um produto ou serviço que cria um limite de acesso lógico baseado em identidade e contexto em torno de um aplicativo ou conjunto de aplicativos. Os aplicativos são ocultados da descoberta e o acesso é restrito por meio de um agente confiável a um conjunto de entidades nomeadas. O corretor verifica a identidade, o contexto e a adesão à política dos participantes especificados antes de permitir o acesso e proíbe movimentação lateral em outros lugares da rede. Isso remove os ativos do aplicativo da visibilidade pública e reduz significativamente a área de superfície de ataque”.
Ao considerar opções além do modelo tradicional de segurança de perímetro é importante ter um entendimento sólido do que pode ser confiável. A implementação de uma abordagem de segurança ZTNA permite que funcionários e parceiros externos ou terceirizados acessem com segurança os aplicativos internos de uma organização e colaborem independentemente do dispositivo que usam (gerenciado ou não gerenciado) ou do local de onde estão se conectando.
O ZTNA também adota a estratégia de empregar microssegmentação que protege os aplicativos privados de uma organização dentro de perímetros definidos por software e fornece acesso de “privilégio mínimo” a usuários autorizados, eliminando assim o risco de movimento lateral associado ao acesso completo à rede.
Zero Trust Network Access na Prática
Então agora vamos falar sobre a aplicação prática do ZTNA. Os princípios básicos do ZTNA operam em técnicas preventivas destinadas a impedir violações, minimizar o movimento e, em geral, reduzir a superfície de ataque.
- Passando do acesso no nível da rede para o acesso no nível do aplicativo
Primeiro, o ZTNA estabelece uma superfície de controle (com microssegmentação e camuflagem de aplicativos) onde todos os recursos confidenciais e caminhos de acesso permanecem ocultos até que uma solicitação de acesso seja autenticada, licenciada e entendida como confiável para cumprir todas as políticas de segurança relevantes existentes.
- Desacoplar usuários de seus dispositivos
Em seguida, a ZTNA cria políticas de acesso adaptáveis, de identidade e sensíveis ao contexto, impondo controles separados centrados no usuário e no dispositivo para permitir o acesso a aplicativos específicos.
- Eliminando a ameaça de descoberta de dados na internet pública
Agora, com ao ZTNA em vigor, as empresas não precisam mais abrir portas de firewall de entrada para habilitar conexões externas, criando uma darknet virtual com camuflagem completa de aplicativos, impedindo assim a descoberta de aplicativos na Internet pública.
- Protegendo aplicativos legados
Mais importante ainda, os recursos de monitoramento centralizado do ZTNA fornecem visibilidade profunda dos aplicativos legados, detectando atividades incomuns do usuário e prevenindo ameaças. A integração com soluções de autenticação e identidade multifatoriais complementam as verificações de controle de autenticação, garantindo que todos os acessos sejam autorizados e protegidos.
ZTNA Melhores Práticas
Atualmente, existem muitas abordagens variadas para que o ZTNA avance entre os profissionais e fornecedores de soluções. No entanto, o primeiro passo para criar uma abordagem de segurança ideal é que as organizações revisem e compreendam completamente seu ambiente de nuvens, aplicativos privados, usuários e ecossistema de dispositivos.
A partir daí, obter visibilidade detalhada do uso atual e dos padrões de comportamento do usuário, juntamente com as práticas de negócios suportadas, ajuda imensamente os profissionais de segurança a entender diversos riscos e requisitos e a noção de aplicar corretamente as políticas contextuais em tempo real.
Também é importante entender que não existe uma solução ZTNA completa. Construir uma abordagem de segurança integrada requer uma arquitetura que considere a rede, os dados, a identidade, o contexto e os incidentes. Este também é um passo fundamental para adotar outro novo modelo que o Gartner desenvolveu que combina serviços de rede e segurança, incluindo CASB e ZTNA em uma estrutura abrangente chamada “Secure Access Service Edge” ou SASE
Com essa finalidade, a Lookout oferece uma abordagem líder de mercado de CASB, ZTNA e Data Loss Prevention integrados, abordando um escopo crítico de requisitos do cliente nesses modelos emergentes que abrangem acesso, descoberta, monitoramento, proteção de dados, aplicação de políticas e compliance.