Das siglas à ação: desmistificando o Zero Trust
Zero Trust: é um daqueles termos que tem circulado pelo que parece ser uma eternidade. No entanto, apesar do seu longo mandato, há uma certa mística em torno dele, um enigma que foi ainda mais complicado por uma série de siglas que foram incluídas na mistura - SSE, SASE, SWG, ZTNA, CASB, RBI - a lista parece interminável.
As empresas, apanhadas no meio da tempestade, ficam em um turbilhão de confusão enquanto um oceano de fornecedores apregoa o seu próprio produto Zero Trust como a solução definitiva para todos os problemas de segurança. Mas, como todos os especialistas e nem tão especialistas lhe dirão, implementar o Zero Trust não é tão simples quanto comprar um produto pronto para uso. É mais como uma filosofia. Mas, infelizmente, as filosofias são difíceis de ser implantadas pelas empresas e, no final, as empresas precisam de alguma tecnologia ou de uma solução para tornar as coisas reais. E é exatamente aqui que a confusão se instala com mais frequência.
Proteger o usuário
Vamos retirar as camadas de Zero Trust e passar do esotérico para o tangível. Vamos focar onde o Zero Trust realmente deixa sua marca: a proteção do usuário. Historicamente, os usuários da rede tinham acesso quase irrestrito aos recursos da empresa, salvo talvez um desafio de nome de usuário e senha. Isso pode se tornar um problema sério quando as credenciais ou o dispositivo de um usuário são comprometidos por um hacker. De maneira ideal, teríamos algo em vigor para proteger o usuário e seu dispositivo sem criar um fardo que comprometa a produtividade. Já foi dito que o Zero Trust é como um plástico bolha invisível para os usuários. É uma analogia estranha, mas que atinge a essência do que é o Zero Trust, a combinação de segurança aprimorada com uma experiência de usuário perfeita.
Isso nos leva à VPN, a tão criticada enteada da segurança cibernética. Com sua natureza desajeitada e pesada, é um eco da era da internet discada, só que sem os tons do modem. Inicie seu cliente VPN, insira suas credenciais, aguarde a conexão, navegue na intranet labiríntica da empresa e desconecte-se para retornar à internet normal. É uma dança bem ensaiada, o tango da VPN.
O advento do trabalho remoto colocou as VPNs no centro das atenções e as rachaduras começaram a aparecer. Os aplicativos corporativos tradicionais estavam sendo substituídos por alternativas SaaS, deixando as VPNs em uma luta frenética para acompanhar o ritmo. O resultado? Gargalos e lentidão de conexão e até falhas de conectividade.As VPNs geralmente são protegidas por um desafio de senha de login e fornecem o mesmo acesso à rede normalmente concedido a usuários no local.
O resultado é claro. As VPNs são excessivamente amplas, atrapalham a experiência do usuário, enfrentam dificuldades com a integração em nuvem e falham quando se trata de escalabilidade e acesso onipresente. Acrescente a ameaça de um ataque DDoS direcionado à frágil infraestrutura da VPN e você terá um desastre esperando para acontecer.
Entre na nova era. A era do “trabalhar de qualquer lugar”. O crescimento explosivo de aplicativos baseados em nuvem, usuários remotos e dispositivos pessoais exige uma reformulação total do modelo de segurança de perímetro de rede.A antiga proteção, as soluções de VPNs baseadas em dispositivos, simplesmente não consegue acompanhar o ritmo. Entrando pelo lado esquerdo do palco, temos o acesso à rede Zero Trust (ZTNA).
A filosofia Zero Trust em ação
A filosofia por trás do Zero Trust está enraizada em um princípio simples: nunca confiar, sempre verificar. O ZTNA incorpora esse espírito, fornecendo acesso direto, granular e com reconhecimento de contexto aos recursos, sem acesso muito abrangente à rede. É um divisor de águas, que oferece uma experiência do usuário superior, segurança robusta, visibilidade e escalabilidade. É a resposta para a força de trabalho híbrida de hoje.
Mas espere, a filosofia Zero Trust não envolve apenas acesso remoto. Claro que não. Os princípios Zero Trust se estendem ao navegador da internet com gateway seguro da web (SWG) e isolamento do navegador remoto (RBI).E não vamos esquecer do e-mail. Mais de 90% de todos os ataques cibernéticos começam com um e-mail de phishing. Passei a acreditar que a filosofia “nunca confiar, sempre verificar” deveria se estender à caixa de entrada com proteção contra phishing de e-mail.
Defender os usuários finais é essencial, mas proteger dados importantes da empresa também é fundamental. CASB e DLP também fazem parte do universo Zero Trust, ajudando a impedir vazamentos de dados. Na era da IA e dos chatbots, isso é mais pertinente do que nunca. Estabelecer, aplicar e monitorar políticas sobre como e para onde os dados se movem em sua rede também é uma grande parte do Zero Trust.E à medida que as empresas reprojetam suas redes com arquiteturas de segurança definidas por software, a relevância do modelo Zero Trust só aumenta.
Se Zero Trust é a solução milagrosa, por que nem todos estão aderindo? Se hoje estivéssemos desenvolvendo do zero, o Zero Trust seria a escolha inequívoca.Selecionaríamos uma plataforma Zero Trust, vincularíamos o IDP de sua escolha e imediatamente começaríamos a provisionar os usuários com ZTNA e o restante do arsenal. Mas as transições não são instantâneas. Muitas vezes, isso ocorre porque as equipes de rede e segurança não estão sincronizadas. Outras vezes, é o investimento considerável, já realizado na infraestrutura de VPN atual, que atrasa a mudança. Pode até ser que haja uma escassez de recursos para executar a mudança. Mas sejamos claros, estas são explicações e não justificativas.
Sabemos que as ameaças à segurança além de serem reais estão aumentando. O usuário fica exposto e enfrenta o medo constante de desencadear inadvertidamente um ataque cibernético com um clique mal avaliado no e-mail. Em vez de culpar os usuários, deveria ser nossa responsabilidade, como líderes de segurança, protege-los. O modelo Zero Trust, com os seus princípios de “nunca confiar, sempre verificar”, oferece uma estratégia eficiente e adaptável que aborda as deficiências das VPNs tradicionais e da segurança baseada em rede. E a maneira mais simples de adotar o Zero Trust é por meio de uma plataforma única, em vez de reunir soluções pontuais de vários fornecedores. Adotar o Zero Trust, com sua proteção em camadas para usuários finais e dados, não precisa ser complicado. Mas em uma era de trabalho remoto, SaaS e IA, adotar o Zero Trust não é apenas uma escolha estratégica, é uma necessidade.
Base para a confiança
Adotar o modelo Zero Trust representa uma mudança de paradigma essencial no cenário de segurança cibernética em constante evolução. Ao reconhecer que as defesas tradicionais baseadas em perímetros não são mais suficientes, as organizações podem colher inúmeros benefícios, incluindo maior proteção de dados, superfícies de ataque reduzidas e maior resiliência contra ameaças sofisticadas. Adotar o Zero Trust não é apenas uma escolha tecnológica; é um imperativo estratégico que capacita as organizações a salvaguardar os seus ativos essenciais e a construir uma base para a confiança num mundo que de outra forma seria incerto.
A Cloudflare permite que as organizações implementem o Zero Trust com uma oferta combinada de segurança e rede como serviço (SASE) que oferece segurança, desempenho e confiabilidade em um pacote completo. Aproveitando o alcance global da rede da Cloudflare, a Cloudflare oferece conexões de internet rápidas e confiáveis, não importa onde seus funcionários estejam localizados. Com a segurança Zero Trust aplicada a todas as solicitações de acesso, todo o tráfego é autenticado e ela protege seus funcionários e dados contra ameaças. Com o Cloudflare Zero Trust, você pode evitar acessos indesejados, mitigar a perda de dados e assumir o controle de tudo por meio de uma interface unificada. Não importa onde você esteja em sua jornada de transformação digital, você terá proteção.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Autoria
John Engates — @jengates
Diretor de tecnologia, Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
Os requisitos para proteger usuários e dados mudaram
Zero Trust permite proteção abrangente
Como construir uma base de confiança e assumir o controle
Outros artigos desta série:
Transformar a segurança cibernética nos conselhos administrativos
Conectar a segurança cibernética ao valor estratégico da empresa