Guia do usuário para implementação de Connection Zero Trust em ambientes de múltiplas nuvens

R: A adoção do Zero Trust em ambientes multicloud ajuda as organizações a melhorar sua postura de segurança cibernética, mitigar riscos associados a serviços de nuvem, melhorar a proteção de dados e fortalecer a resiliência geral da segurança.

P: Como as organizações podem medir seu progresso na jornada Zero Trust?

R: As organizações podem medir seu progresso na jornada Zero Trust avaliando sua implementação de acesso de privilégios mínimos, segmentação de rede, mecanismos de autenticação contínua e recursos de monitoramento e resposta.

Introdução

A resiliência cibernética reúne planejamento de continuidade de negócios, segurança cibernética e resiliência operacional. O objetivo é conseguir manter as operações com pouco ou nenhum tempo de inatividade, mesmo se o pior cenário — um ataque cibernético devastador ou outro desastre — ocorrer.
No mundo de hoje, a resiliência cibernética deve estar entre os objetivos da North Star de todas as organizações. Em uma escala global, o crime cibernético agora custa às suas vítimas mais de US$ 11 trilhões por ano, um número que deve ultrapassar US$ 20 trilhões até o final de 2026.1 As despesas associadas a violações de dados, ransomware e ataques de extorsão continuam a aumentar, crescendo em média mais de cinco por cento ao ano desde 2020.2 Mas esses custos não são suportados uniformemente por todas as vítimas. Algumas organizações — como aquelas em setores altamente regulamentados, como a saúde — veem maiores despesas médias associadas a violações, enquanto outras — como organizações com programas de operações de segurança maduros que alavancam automação e IA — tendem a ter custos mais baixos.
As lacunas entre as vítimas de crimes cibernéticos que sofrem perdas devastadoras e aquelas que veem apenas impactos menores de um evento de violação aumentarão à medida que os agentes de ameaças aprimoram suas capacidades. Tecnologias emergentes como a IA generativa estão possibilitando que os invasores lancem ataques menos sofisticados (como phishing) em escala cada vez maior. Também está se tornando mais fácil criar comprometimento de e-mail comercial (BEC) altamente personalizado e engenharia social campafins.
Para proteger suas receitas e reputações — e garantir que possam manter a confiança de seus clientes — organizações de todos os tamanhos e setores devem abandonar as antigas formas de pensar e implementar a defesa cibernética.
É exatamente isso que o Zero Trust aborda.

11 trilhões de dólares
custo anual do cibercrime em todo o mundo1

Aumento de 58%
em ataques de phishing de 2022 a 20233

Aumento de 108%
em ataques de comprometimento de e-mail comercial (BEC) no mesmo período4

Statista, Custo estimado do crime cibernético em todo o mundo 2018-2029, julho de 2024.
IBM, Relatório de Custo de uma Violação de Dados de 2023.
Zscaler, Relatório de Phishing ThreatLabz 2024
Segurança anormal, relatório de ameaças de e-mail do primeiro semestre de 1

Zero Trust: Uma nova visão para proteger ecossistemas de tecnologia modernos

Com cada vez mais organizações movendo partes importantes de suas infraestruturas de TI para a nuvem, é essencial adotar estratégias de segurança cibernética que sejam adequadas aos ambientes de tecnologia de hoje. Elas são tipicamente complexas, distribuídas e sem fronteiras. Nesse sentido, elas são radicalmente diferentes das redes locais — com servidores e computadores de mesa protegidos por um firewall de perímetro — que as abordagens de segurança legadas foram criadas para proteger.
O Zero Trust foi inventado para preencher essa lacuna. Projetado para eliminar as vulnerabilidades que surgem quando os usuários são confiáveis automaticamente por padrão (como quando estão dentro do perímetro de uma rede legada), o Zero Trust é bem adequado para ambientes de TI modernos, onde usuários em uma ampla variedade de locais estão constantemente acessando dados e serviços dentro e fora da rede corporativa.
Mas entender o que é preciso para adotar o Zero Trust nem sempre é simples. Nem é fácil descobrir como avançar a maturidade do Zero Trust da sua organização. Selecionar as tecnologias certas para implementar requer percorrer um mar de reivindicações de fornecedores concorrentes e, mesmo antes de fazer isso, você precisa encontrar a estratégia certa.
Para facilitar, elaboramos este guia prático. Nele, você encontrará um plano de cinco etapas para ajudar sua organização a acelerar seu progresso na jornada para Zero Trust.

O que é Zero Trust

Zero Trust é uma estratégia de segurança cibernética baseada no princípio central de “nunca confie, sempre verifique”. O termo entrou em uso comum à medida que especialistas do setor observavam um número crescente de ataques cibernéticos nos quais perímetros de rede eram violados com sucesso. No início dos anos 2000, a maioria das redes corporativas tinha uma “zona confiável” interna que era protegida por firewalls, um modelo conhecido como abordagem de castelo e fosso para segurança cibernética.
À medida que os ambientes de TI e o cenário de ameaças evoluíram, tornou-se cada vez mais importante.asinFicou claro que praticamente todos os aspectos desse modelo eram falhos.

Os perímetros de rede simplesmente não podem ser protegidos de maneiras 100% à prova de falhas.
Sempre será possível para atacantes determinados encontrarem buracos ou brechas.
Sempre que um invasor consegue obter acesso à "zona confiável", fica muito fácil roubar dados, implantar ransomware ou causar danos de alguma outra forma, porque não há nada que impeça a movimentação.
À medida que as organizações aumentamasinÀ medida que as empresas adotam a computação em nuvem — e permitem que seus funcionários trabalhem remotamente — o conceito de estar conectado à rede torna-se cada vez menos relevante para sua postura de segurança.
O Zero Trust foi criado para enfrentar esses desafios, fornecendo um novo modelo para proteger dados e recursos baseado na validação contínua de que um usuário/dispositivo deve receber acesso antes de poder se conectar a qualquer serviço ou recurso.

Zero Trust está se tornando um padrão intersetorial

O Zero Trust foi amplamente adotado por organizações em muitos setores verticais diferentes. De acordo com uma pesquisa recente, quase 70% dos líderes de tecnologia estão em processo de implementação de políticas de Zero Trust em suas empresas.5 Também houve esforços de longo alcance para adotar o Zero Trust no setor público. A Ordem Executiva de 2021 sobre Melhoria da Segurança Cibernética da Nação, por exemplo, solicitou que o governo federal e as organizações em setores de infraestrutura crítica avançassem em sua maturidade de Zero Trust.6 Tanto o National Institute of Standards and Technologies (NIST) quanto a Cybersecurity and Infrastructure Security Agency (CISA) publicaram definições detalhadas de Zero Trust, juntamente com orientações abrangentes sobre como alcançá-lo.

Zero Trust: Definições oficiais

Instituto Nacional de Padrões e Tecnologias (NIST):
Zero Trust (ZT) é o termo para um conjunto em evolução de paradigmas de segurança cibernética que movem as defesas de perímetros estáticos baseados em rede para focar em usuários, ativos e recursos. Uma arquitetura Zero Trust (ZTA) usa princípios Zero Trust
para planejar infraestrutura e fluxos de trabalho industriais e empresariais. O Zero Trust pressupõe que não há confiança implícita concedida a ativos ou contas de usuário com base apenas em sua localização física ou de rede (ou seja, redes locais versus a Internet) ou com base na propriedade do ativo (empresarial ou de propriedade pessoal). Autenticação e autorização (sujeito e dispositivo) são funções discretas executadas antes que uma sessão para um recurso empresarial seja estabelecida. O Zero Trust é uma resposta às tendências de rede empresarial que incluem usuários remotos, traga seu próprio dispositivo (BYOD) e ativos baseados em nuvem que não estão localizados dentro de um limite de rede de propriedade empresarial. O Zero Trust se concentra na proteção de recursos (ativos, serviços, fluxos de trabalho, contas de rede, etc.), não em segmentos de rede, pois a localização da rede não é mais vista como o principal componente para a postura de segurança do recurso. 7

Agência de Segurança Cibernética e de Infraestrutura (CISA):
Zero Trust fornece uma coleção de conceitos e ideias projetados para minimizar a incerteza na aplicação de decisões precisas de acesso por solicitação com privilégios mínimos em sistemas e serviços de informação em face de uma rede viewed como comprometido. Zero Trust Architecture (ZTA) é um plano de segurança cibernética empresarial que usa conceitos Zero Trust e abrange relacionamentos de componentes, planejamento de fluxo de trabalho e políticas de acesso. Portanto, uma empresa Zero Trust é a infraestrutura de rede (física e virtual) e as políticas operacionais que estão em vigor para uma empresa como um produto de um plano ZTA.8

Fazendo progresso em sua jornada de confiança zero

Zero Trust é amplamente aceito como um padrão de segurança que as organizações devem buscar. É também, como as definições acima deixam claro, um conceito complexo.
A maioria das organizações com programas de segurança estabelecidos já terá implementado pelo menos alguns controles projetados para proteger sua rede corporativa interna (por exemplo, firewalls físicos). Para essas organizações, o desafio é se afastar do modelo legado (e das formas de pensar que o acompanham) em direção à adoção do Zero Trust — gradualmente, mantendo-se dentro do orçamento e continuando a avançar a visibilidade, o controle e a capacidade de responder a ameaças.
Isso pode não ser fácil, mas é bem possível com a estratégia certa.

Etapa 1: comece entendendo as estruturas de Zero Trust.

A definição de Zero Trust do NIST descreve-o como uma arquitetura — ou seja, uma maneira de planejar e implementar uma infraestrutura de segurança empresarial e um conjunto de fluxos de trabalho com base nos princípios de Zero Trust. O foco está na proteção de recursos individuais, não de redes ou partes (segmentos) de redes.
O NIST SP 800-207 também inclui um roteiro para a adoção do Zero Trust. A publicação descreve os blocos de construção necessários para criar uma Zero Trust Architecture (ZTA). Diferentes ferramentas, soluções e/ou processos podem ser usados aqui, desde que desempenhem o papel certo dentro do design da arquitetura.
Da perspectiva do NIST, o objetivo do Zero Trust é impedir o acesso não autorizado aos recursos e, ao mesmo tempo, tornar a aplicação do controle de acesso o mais granular possível.

Há duas áreas principais de ênfase:

Mecanismos para tomar decisões sobre quais usuários ou fluxos de tráfego têm acesso aos recursos
Mecanismos para fazer cumprir essas decisões de acesso

Existem várias maneiras de implementar uma Arquitetura Zero Trust. Elas incluem:

Abordagem baseada na governança de identidade
Abordagem baseada em microssegmentação na qual recursos individuais ou pequenos grupos de recursos são isolados em um segmento de rede protegido por uma solução de segurança de gateway
Abordagem baseada em perímetro definido por software na qual uma solução de rede como rede de longa distância definida por software (SD-WAN), borda de serviço de acesso seguro (SASE) ou borda de serviço de segurança (SSE) configura toda a rede de modo a restringir o acesso aos recursos de acordo com os princípios ZT
O Zero Trust Maturity Model da CISA é baseado em conceitos semelhantes. Ele enfatiza a imposição de controles de segurança de granularidade fina que governam o acesso dos usuários a sistemas, aplicativos, dados e ativos, e a construção desses controles, mantendo as identidades, o contexto e as necessidades de acesso a dados dos usuários em mente.
Essa abordagem é complicada. De acordo com a CISA, o caminho para Zero Trust é um processo incremental que pode levar anos para ser implementado.
O modelo da CISA inclui cinco pilares. Avanços podem ser feitos dentro de cada uma dessas áreas para dar suporte ao progresso da organização em direção ao Zero Trust.

A confiança zero representa uma mudança de um modelo centrado na localização para uma abordagem centrada na identidade, no contexto e nos dados, com controles de segurança detalhados entre usuários, sistemas, aplicativos, dados e ativos que mudam ao longo do tempo.
—CISA, Modelo de Maturidade Zero Trust, Versão 2.0

Os cinco pilares do modelo de maturidade Zero Trust

Etapa 2: Entenda o que significa progredir em direção à maturidade.
O Modelo de Maturidade Zero Trust da CISA descreve quatro stages de progresso em direção à maturidade: tradicional, inicial, avançado e ótimo.
É possível progredir em direção à maturidade dentro de cada um dos cinco pilares (identidade, dispositivos, redes, aplicativos e cargas de trabalho e dados). Isso normalmente envolve adicionar automação, melhorar a visibilidade coletando dados para uso em análises e melhorar a governança.

Avançando a maturidade do Zero Trust

Digamos, por exampque sua organização esteja executando um aplicativo nativo da nuvem na AWS.
Fazer progresso dentro do pilar “identidade” pode incluir passar do provisionamento e desprovisionamento de acesso manual para este aplicativo (tradicional) para começar a automatizar a aplicação de políticas relacionadas à identidade (inicial). Para promover sua maturidade Zero Trust, você pode aplicar controles de gerenciamento de ciclo de vida automatizados que sejam consistentes em todo este aplicativo e em vários outros que você está executando (avançado). Otimizar a maturidade Zero Trust pode incluir automatizar completamente o gerenciamento de ciclo de vida de identidade just-in-time, adicionar aplicação de política dinâmica com relatórios automatizados e coletar dados de telemetria que permitam visibilidade abrangente em todo este aplicativo e todos os outros em seu ambiente.
Quanto mais madura for sua organização, mais você conseguirá correlacionar eventos entre os cinco pilares. Dessa forma, as equipes de segurança podem entender como eles estão relacionados ao longo do ciclo de vida do ataque — que pode começar com uma identidade comprometida em um único dispositivo e, em seguida, passar pela rede para atingir dados confidenciais em seu aplicativo nativo da nuvem em execução na AWS.

Roteiro Zero Trust

Etapa 3: identifique a estratégia de adoção ou migração Zero Trust que funcionará melhor para sua organização.

A menos que você esteja construindo uma nova arquitetura do zero, geralmente fará mais sentido trabalhar de forma incremental. Isso significa implementar componentes de arquitetura Zero Trust um por um, enquanto continua a operar em um ambiente híbrido baseado em perímetro/Zero Trust. Com essa abordagem, você fará progresso gradual em suas iniciativas de modernização em andamento.

Passos a serem seguidos em uma abordagem incremental:

Comece identificando as áreas de maior risco cibernético e empresarial. Faça mudanças aqui primeiro, para proteger seus ativos de dados de maior valor, e siga em frente sequencialmente a partir daí.
Examine cuidadosamente todos os ativos, usuários, fluxos de trabalho e trocas de dados dentro da sua organização. Isso permitirá que você mapeie os recursos que precisa proteger. Depois de entender como as pessoas usam esses recursos, você pode criar as políticas necessárias para protegê-los.
Priorize projetos com base no risco e oportunidade do negócio. Qual causará o maior impacto na sua postura geral de segurança? Qual será o mais fácil de concluir rapidamente? Qual será o menos perturbador para os usuários finais? Fazer perguntas como essas capacitará sua equipe a tomar decisões estratégicas.

Etapa 4: Avalie as soluções tecnológicas para ver quais delas melhor correspondem aos seus processos de negócios e ao ecossistema de TI atual.
Isso exigirá introspecção e também uma análise do que está no mercado.

As perguntas a serem feitas incluem o seguinte:

Nossa empresa permite o uso de dispositivos de propriedade dos funcionários? Se sim, essa solução funcionará com sua política atual de traga seu próprio dispositivo (BYOD)?
Essa solução funciona dentro da nuvem pública ou nuvens onde construímos nossa infraestrutura? Ela também pode governar o acesso a aplicativos SaaS (se os estivermos usando)? Ela pode funcionar também para ativos locais (se os tivermos)?
Esta solução suporta a coleta de logs? Ela se integra à plataforma ou solução que usamos para tomada de decisão de acesso?
A solução oferece suporte a todos os aplicativos, serviços e protocolos em uso em nosso ambiente?
A solução é adequada para as formas de trabalho dos nossos funcionários? Seria necessário treinamento adicional antes da implementação?

Etapa 5: implemente a implantação inicial e monitore seu desempenho.

Quando estiver satisfeito com o sucesso do seu projeto, você pode desenvolver isso dando os próximos passos em direção à maturidade do Zero Trust.

Confiança Zero em Ambientes Multi-nuvem

Por design, o Zero Trust é destinado ao uso em ecossistemas de TI modernos, que quase sempre incluem componentes de um ou mais provedores de nuvem. O Zero Trust é um ajuste natural para ambientes multi-nuvem. Dito isso, construir e aplicar políticas consistentes em diversos tipos de dispositivos, usuários e locais pode ser desafiador, e depender de vários provedores de nuvem aumenta a complexidade e a diversidade do seu ambiente.
Dependendo do seu vertical, objetivos de negócios e requisitos de conformidade, a estratégia individual da sua organização será diferente da de todos os outros. É importante levar essas diferenças em consideração ao selecionar soluções e desenvolver uma estratégia de implementação.
Construir uma arquitetura de identidade multicloud forte é muito importante. Os dispositivos de usuários individuais precisam ser capazes de se conectar à sua rede interna, aos recursos da nuvem e (em muitos casos) a outros ativos remotos. Uma solução como SASE, SSE ou SD-WAN pode habilitar essa conectividade ao mesmo tempo em que oferece suporte à aplicação de políticas granulares. Uma solução de controle de acesso à rede (NAC) multicloud que foi criada especificamente para aplicar o Zero Trust pode tornar possível a tomada de decisões de autenticação inteligente, mesmo em ambientes muito diversos.

Não se esqueça das soluções fornecidas pelos fornecedores de nuvem.
Provedores de nuvem pública como AWS, Microsoft e Google oferecem ferramentas nativas que podem ser aproveitadas para analisar, melhorar e manter sua postura de segurança na nuvem. Em muitos casos, aproveitar essas soluções faz sentido para os negócios. Elas podem ser tanto econômicas quanto altamente capazes.

O valor de trabalhar com um parceiro confiável

Muitas das decisões de design arquitetônico que devem ser tomadas ao implementar o Zero Trust são complexas. O parceiro de tecnologia certo será bem versado em todos os produtos, serviços e soluções de tecnologia disponíveis no mercado hoje, então ele terá uma noção aguçada de quais são os melhores para o seu negócio.

Dica de especialista:

Procure um parceiro que seja bem versado em integração entre diversas nuvens e plataformas públicas.
O controle de custos pode ser um problema em ambientes multicloud: usar soluções fornecidas por fornecedores pode ser menos dispendioso, mas pode dificultar a manutenção de controles consistentes em diferentes plataformas ou infraestruturas. Descobrir a melhor estratégia pode exigir uma análise de custo-benefício, bem como um profundo entendimento do seu ambiente de TI.
O parceiro certo pode ajudar você com essa tomada de decisão. Eles devem ter parcerias extensas com vários fornecedores de soluções de segurança, para que possam ajudar você a ver as reivindicações anteriores de fornecedores individuais para descobrir quais soluções são realmente as mais adequadas para suas necessidades. Eles também podem garantir vantagenstagpreços personalizados em seu nome, pois eles trabalham com vários fornecedores ao mesmo tempo.
Procure um fornecedor que possa preencher um compromisso de consultoria pontual, se necessário, mas que também tenha a expertise para fornecer serviços gerenciados a longo prazo. Dessa forma, você pode ter certeza de que não encontrará uma carga administrativa excessiva e que poderá obter o valor total das ferramentas e soluções selecionadas.

Conheça a Conexão

Para proteger as organizações contra os crescentes riscos cibernéticos, implementar uma arquitetura Zero Trust é de vital importância. Mas também é complexo. Desde a compreensão das estruturas Zero Trust até a escolha de tecnologias,
Ao desenvolver uma estratégia de implementação, avançar sua maturidade em Zero Trust pode ser um projeto de longo prazo com muitas partes móveis.
A parceria com o serviço e a solução certos pode tornar o progresso em direção ao Zero Trust mais fácil e acessível. A longo prazo, sua equipe pode ter certeza de que você está mitigando alguns dos maiores (e potencialmente mais caros) riscos que sua empresa enfrenta.
Connection, uma empresa Fortune 1000, acalma a confusão da TI ao fornecer aos clientes soluções tecnológicas líderes do setor para aumentar o crescimento, elevar a produtividade e capacitar a inovação. Especialistas dedicados focados em serviços excepcionais personalizam ofertas sob medida para as necessidades exclusivas do cliente. Connection oferece expertise em várias áreas de tecnologia, fornecendo soluções para clientes em mais de 174 países.
Nossas parcerias estratégicas com empresas como Microsoft, AWS, HP, Intel, Cisco, Dell e VMware facilitam para nossos clientes encontrar as soluções necessárias para avançar sua maturidade Zero Trust.

Como a conexão pode ajudar

A Connection é sua parceira para implementação de Zero Trust. De hardware e software a consultoria e soluções personalizadas, estamos liderando o caminho em áreas críticas para o sucesso com ambientes Zero Trust e multicloud.

Explore nossos recursos
Infraestrutura moderna
Serviços de segurança cibernética

Entre em contato com um dos nossos especialistas em conexão hoje mesmo:

Contate-nos
1.800.998.0067

©2024 PC Connection, Inc. Todos os direitos reservados. Connection® e we solve IT® são marcas comerciais da PC Connection, Inc. ou de suas subsidiárias. Todos os direitos autorais e marcas comerciais permanecem propriedade de seus respectivos proprietários. 2879254-1224

EM PARCERIA COM

Por meio de nossos relacionamentos duradouros com clientes e expertise com tecnologias Cisco, estamos sempre melhorando a maneira como fazemos negócios com a Cisco. Nosso alcance de conhecimento e serviços de consultoria da Cisco pode acelerar sua vantagem competitiva, ajudar a aumentar a produção e melhorar as eficiências. A Connection, junto com a Cisco, pode orientá-lo em sua jornada para transformar seu negócio na era digital.

Como um Parceiro de Soluções Microsoft, a Connection oferece produtos, expertise técnica, serviços e soluções para ajudar sua empresa a se adaptar ao cenário de tecnologia em constante mudança. Nós impulsionamos a inovação para sua organização por meio da entrega e implantação de hardware, software e soluções de nuvem da Microsoft — aproveitando nossa amplitude de conhecimento e capacidades comprovadas para garantir que você obtenha o máximo de seus investimentos na Microsoft.

Documentos / Recursos

Implementação de Conexão Zero Trust em Ambientes Multi Cloud [pdf] Guia do Usuário
Implementação de Zero Trust em ambientes multi-nuvem, Implementação de confiança em ambientes multi-nuvem, Implementação em ambientes multi-nuvem, em ambientes multi-nuvem, ambientes de nuvem, ambientes

Referências

Manual do usuário

Deixe um comentário

Cancelar resposta