Este blog post faz parte da série Jornada Zero Trust, na qual apresentamos meios de implementar uma arquitetura Zero Trust de forma simplificada. Caso seja a sua primeira leitura, recomendamos que confira os passos iniciais. Já os requisitos para implementação do controle de acesso você confere neste post.
Chegamos ao estágio final da nossa jornada Zero Trust. Neste post, discutiremos os componentes críticos exigidos para completá-la e alcançar uma arquitetura verdadeiramente segura.
Porém, como existe uma fórmula de implementação única para Zero Trust, a criação de um framework é necessária. Essa estrutura precisa ser adaptada às necessidades e ao ambiente próprios de cada organização.
Então, apresentaremos quatro desses componentes de forma clara e concisa para que você possa implementá-los na sua arquitetura Zero Trust.
1. Monitoramento de rede
Hoje em dia, uma arquitetura Zero Trust precisa suportar as demandas de estruturas operacionais modernas. Enquanto as organizações confiavam nos bons hábitos de segurança por parte das pessoas, o Zero Trust substituiu esse mindset por uma postura vigilante, conhecida como Zero Trust Network Access (ZTNA).
Por um lado, significa que as organizações assumem a complexa — porém necessária — responsabilidade de verificar continuamente cada dispositivo que acessa a rede e monitorar métricas como:
- tempo levado para detecção de ameaças usando os recursos atuais;
- quantidade de eventos maliciosos identificados;
- eficácia de mitigação de ataques;
- correlação entre os eventos de segurança e a política de controle de acesso vigente;
- violação de segurança a partir de uma vulnerabilidade explorada.
Tudo isso passa pelo monitoramento de rede, o qual, além de compor um mecanismo de proteção em tempo real, é indispensável para desenvolver a inteligência contra ameaças cibernéticas (threat intelligence, em inglês) – que é a base para o ciclo de melhoria contínua.
Como monitorar redes de maneira eficiente e simplificada?
Dada a importância da alta visibilidade e inteligência contra ameaças para Zero Trust, a Plataforma de Edge Computing da Azion oferece ferramentas e funcionalidades que fornecem informações em tempo real integráveis com soluções de SIEM ou big data via Data Stream e GraphQL, proporcionando uma visão holística e compreensível do sistema.
Além disso, a plataforma também oferece recursos de orquestração para automatizar/programar respostas de segurança por meio do Network Layer Protection. Isso ajuda a simplificar as operações de segurança, bem como detectar e reagir a potenciais ameaças rapidamente, inclusive seguindo as políticas de segurança Zero Trust próprias da organização.
2. Microssegmentação de aplicações
Nos últimos anos, um dos requisitos-chave para qualquer arquitetura Zero Trust tem sido a microssegmentação de rede. Na prática, é a divisão de uma rede em segmentos (ou zonas) menores e independentes, nas quais podem ser implementadas políticas de segurança de forma compartimentada. É como um conjunto de clusters: todos os segmentos trabalham juntos, mas são gerenciados individualmente.
Porém, devido à complexidade das aplicações e às demandas de segurança modernas, a microssegmentação passou a ser orientada à aplicação, não apenas à rede. Agora, a evolução do controle de acesso, no que diz respeito à granularidade e delimitação de espaço percorrível na rede, por exemplo, contempla a aplicação como um todo.
Como implementar a microssegmentação?
A Plataforma de Edge Computing da Azion oferece os recursos necessários para que uma organização garanta às aplicações alta disponibilidade e controle de acesso granular.
Por exemplo, com o Azion Load Balancer, é possível distribuir workloads entre diferentes nodes com objetivo de prevenir indisponibilidade e sobrecargas nos servidores e isolar diferentes partes da rede, evitando assim que impactem umas nas outras.
Como a rede é apenas um entre vários componentes da aplicação, é conveniente, na perspectiva de Zero Trust, segmentar a segurança para que incidentes do tipo não afetem também o API gateway, servidor DNS, base de dados e outros elementos importantes.
Para isso, a Azion disponibiliza o Edge Firewall, que permite aprimorar o load balancing com controles específicos, alinhados com a segmentação da aplicação, independentemente da complexidade do back-end, a partir de recursos de programabilidade. Ao estabelecer a segurança programável, é possível aplicar regras de negócio, controle de acesso lógico, WAAP (web application and API protection) etc.
3. Segurança de endpoint moderna
Quando falamos em endpoints, consideramos ameaças externas e internas, as quais afetam um grande número de organizações anualmente, como aponta um estudo do Ponemon Institute. Os principais riscos relacionados estão listados na OWASP Top 10.
“A visibilidade é um dos pilares do modelo de segurança Zero Trust” foi um dos pontos mais reiterados ao longo desta série. E isso faz ainda mais sentido para endpoints, visto que o melhor meio de evitar os vetores de ataque é analisar os eventos que acontecem neles.
Como modernizar a segurança de endpoint?
Quando aplicações são migradas de uma infraestrutura cloud ou on-premise para a Azion, elas se transformam em edge applications integradas com um conjunto de ferramentas e funcionalidades de segurança avançadas que ajudam a:
- identificar tráfego anômalo;
- prevenir ataques zero-day;
- isolar ameaças OWASP Top 10.
Assim, é possível cobrir seus endpoints com uma infraestrutura projetada para os desafios da segurança cibernética moderna, sem a necessidade de ampliar o investimento em hardware e software, e também fornecer visibilidade dos eventos ligados aos endpoints.
Tão importante quanto a coleta e análise dos dados de eventos é a proteção deles. De acordo com a ISO/IEC 27001, dados podem gerar uma falsa sensação de segurança, quando frequentemente modificados ou excluídos.
Nesse sentido, os logs transmitidos via Data Stream, por exemplo, são criptografados de ponta a ponta, e protegidos por recursos de prevenção contra perda de dados em todas as etapas do pipeline.
4. Autenticação e autorização
Cada vez mais as organizações vêm reforçando a verificação do usuário conforme o avanço de sua sessão envolvendo um ativo ou serviço. Repare na sua próxima transação bancária via aplicativo móvel e veja quantas autenticações serão solicitadas até que ela seja efetuada, por exemplo.
Pensando em Zero Trust, é fundamental que o mesmo tipo de vigilância seja aplicado a tudo que a estratégia abrange, como acesso a dados e tarefas que requerem permissões administrativas, a fim de assegurar que a jornada seja conduzida com base no usuário, dispositivo ou qualquer outro critério estabelecido pela organização.
Como melhorar os processos de autenticação e autorização?
Esses procedimentos podem ser aprimorados com a Azion por meio da solução Secure Token. Ela pode ser usada para validar tokens gerados pela aplicação para cada requisição recebida e enviada pelo usuário, verificando-se, entre outros fatores, se a chave secreta está correta, se o token expirou ou se é válido.
Caso as condições estabelecidas no Secure Token não sejam cumpridas, o acesso ao conteúdo é negado automaticamente. Em outras palavras, sem a comprovação de que o ativo ou serviço na rede ainda está sendo acessado pelo mesmo usuário que obteve autorização inicial, a sessão se encerrará.
Vale frisar a importância de complementar a autenticação contínua com as melhores práticas de gerenciamento de acesso e identidade (Identity and Access Management - IAM), incluindo a implementação de tecnologias sofisticadas, como biometria, análise comportamental e inteligência artificial, todas disponíveis no Azion Marketplace.
Por fim, ao colocar em prática os quatro itens mencionados até aqui — considerando as fases anteriores foram seguidas à risca —, sua organização contará com uma arquitetura Zero Trust funcional e pronta para evoluir.
Se você deseja ficar por dentro dos próximos posts e materiais ricos sobre segurança que lançamos a todo momento, preencha os campos a seguir para receber a nossa newsletter.