Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Salvar em Nova pasta de favoritos

+

Criar pasta
Salvar Escolher Pasta
Como começar um modelo de segurança de confiança zero?
Home > Tendências

Como começar um modelo de segurança de confiança zero?

Primeira e mais óbvia recomendação é começar pequeno. Mas prepare-se para uma jornada desconhecida e interminável

Neal Weinberg, Network

13/12/2019 às 8h00

Foto: Shutterstock

A venerável VPN, que há décadas fornece aos trabalhadores remotos um meio seguro para a rede corporativa, está entrando em extinção. Esse movimento está acontecendo com a migração das empresas para uma estrutura de segurança mais ágil e granular chamada confiança zero, mais adaptada ao mundo atual dos negócios digitais.

Mas então, como uma empresa, que dedicou milhões de dólares à construção e reforço das suas defesas de perímetro, muda repentinamente e adota um modelo que trata a todos, seja um executivo que trabalha dentro da sede corporativa ou um contratado que trabalha na Starbucks, como igualmente não confiáveis?

A primeira e mais óbvia recomendação é começar pequeno, ou, como o analista principal da Forrester, Chase Cunningham, coloca, "tente ferver um dedo de água e não todo o oceano. Para mim, a primeira coisa seria cuidar de fornecedores e terceiros", encontrando uma maneira de isolá-los do resto da rede.

O analista do Gartner, Neil MacDonald, concorda. Ele identifica três aplicações emergentes para a confiança zero:

  • Novos aplicativos móveis para parceiros da cadeia de suprimentos;
  • Cenários de migração na nuvem;
  • Controle de acesso para desenvolvedores de software.

CIO2503

E-book por:

O controle de acesso para os seus grupos de operações de DevOps e TI é exatamente o que Matt Sullivan, arquiteto de segurança sênior da Workiva, implementou em sua companhia, cuja infraestrutura de TI é totalmente baseada em nuvem.

Sullivan estava procurando uma maneira mais eficaz de dar aos membros da equipe acesso à nuvem para instâncias específicas de desenvolvimento e preparação. Ele abandonou sua VPN tradicional em favor do controle de acesso zero confiança da ScaleFT, startup que foi adquirida recentemente pela Okta.

Sullivan diz que agora, quando um novo funcionário recebe um laptop, esse dispositivo precisa ser explicitamente autorizado por um administrador. Para acessar a rede, o funcionário se conecta a um gateway central que aplica as políticas apropriadas de gerenciamento de identidade e acesso.

Confiança zero centrada na rede ou na identidade

Garrett Bekker, analista principal do 451 Group, explica que o cenário dos fornecedores está se fundindo em dois campos: existe o grupo centrado na rede, que se concentra mais na segmentação de rede e firewalls com reconhecimento de aplicativos, e o campo centrado na identidade, que se inclina para o controle de acesso à rede e o gerenciamento de identidades.

Para Robert LaMagna-Reiter, CISO da FNTS, é importante revisar toda a infraestrutura. "A confiança zero nos permitiu aplicar de forma mais granular o que as pessoas estão fazendo no dia a-dia, diz comenta. Segundo o executivo, o sucesso da sua iniciativa teve como base inicial o investimento em entender completamente as funções dos colaboradores, identificar quais ativos e aplicativos os funcionários precisavam para realizar os seus trabalhos e monitorar o comportamento dos trabalhadores na rede.

A Entegrus, empresa de distribuição de energia em Ontário, Canadá, está igualmente comprometida com a confiança zero, mas a sua abordagem está centrada no controle de acesso à rede. Com profissionais espalhados por uma grande área geográfica, cada um carregando diversos dispositivos, Dave Cullen, gerente de sistemas de informação da Entegrus, sabia que tinha uma ampla superfície de ataque que precisava ser protegida.

"Tínhamos um requisito comercial para começar a reconstruir nossa rede", explica Cullen. A necessidade de uma revisão de rede deu ao executivo a oportunidade de iniciar o caminho para a confiança zero. Ele decidiu trabalhar com a PulseSecure para implantar as suas ferramentas de controle de acesso remoto e de rede com base em confiança zero.

“Nós o implantamos lentamente”, diz Cullen, que utilizou uma abordagem que envolvia projetos-piloto e ajustes em laboratório antes da implantação em campo. A prioridade era garantir que a infraestrutura de confiança zero fosse perfeita para os funcionários.

“Confiança zero para mim é mais sobre processos inteligentes e fluxos de dados e as necessidades dos negócios. Não se trata apenas de usar um firewall e uma segmentação de rede. Na verdade, trata-se mais de responder dinamicamente a um ambiente em constante mudança ”, acrescenta Cullen.

Cunningham, da Forrester, reconhece que há algum nível de dor envolvido na transição para a confiança zero. Mas ele descreve as opções da seguinte maneira: "Você prefere sofrer um pouco agora e acertar, ou sofrer a longo prazo e terminar com uma grande falha?"

Prepare-se para uma jornada interminável

Para quem considera a confiança zero, aqui estão duas sugestões principais. Primeiro, não há um roteiro de implantação, não há padrões do setor e não há alianças de fornecedores, pelo menos ainda não. De fato, não existe uma estratégia singular.

Segundo, a jornada nunca acaba. LaMagna-Reiter ressalta: "nunca há uma conclusão. Não há uma definição clara de sucesso". A confiança zero é um processo contínuo que ajuda as empresas a responder às mudanças nas condições dos negócios.

Tags
Vai um cookie?

A CIO usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Fechar anúncio

15