O que é uma arquitetura zero trust?

A importância de uma arquitetura zero trust

As organizações estão atualmente passando por uma rápida transformação digital, impulsionada pela adoção de serviços na nuvem, ambientes de trabalho híbridos, dispositivos de IoT e aplicativos SaaS. Essa evolução tornou as arquiteturas tradicionais de segurança de rede obsoletas, expondo fraquezas críticas em modelos baseados em perímetro construídos principalmente com firewalls e VPNs. Essas ferramentas legadas, projetadas para um mundo local, não conseguiram acompanhar a agilidade e a sofisticação exigidas pelas empresas modernas e, na verdade, aumentaram o risco cibernético no mundo atual. 

Uma arquitetura zero trust (ZTA) surgiu como a solução para esses desafios. Ao repensar fundamentalmente a segurança de uma perspectiva de “nunca confie, sempre verifique”, o zero trust supera as vulnerabilidades das arquiteturas tradicionais, garantindo conectividade segura de qualquer para qualquer usuário, dispositivos, cargas de trabalho, sistemas de IoT/OT e parceiros B2B. Este artigo explora por que as arquiteturas tradicionais falham e como o zero trust transforma a segurança para lidar com o cenário de ameaças moderno. 

As deficiências das arquiteturas tradicionais 

As arquiteturas baseadas em perímetro, frequentemente chamadas de modelos de “castelo e fosso”, foram projetadas para uma era em que usuários, aplicativos e dados residiam principalmente no local, conectados à rede corporativa. Essas arquiteturas dependem fortemente de firewalls e VPNs para proteger o perímetro da rede, ao mesmo tempo em que concedem amplo acesso às entidades dentro da rede. Embora esse modelo centrado em rede tenha funcionado razoavelmente bem no passado, ele é cada vez mais ineficaz nos ambientes distribuídos e baseados na nuvem de hoje.

Como funcionam as arquiteturas tradicionais 

As arquiteturas tradicionais giram em torno da rede, e suas ferramentas subjacentes, como firewalls e VPNs, visam:

• Estabelecer um perímetro de segurança: tudo dentro da rede é considerado confiável, tudo fora é considerado não confiável e os firewalls são usados essencialmente como guardiões que separam os dois. 
• Fazer retorno do tráfego: os usuários remotos precisam se conectar a data centers centralizados e à rede via VPN para acessar aplicativos (incluindo aplicativos de nuvem externos), o que aumenta a latência e a complexidade.
• Verificar o tráfego: os firewalls realizam verificações superficiais do tráfego que entra e sai da rede, mas muitas vezes deixam ameaças passarem pelas defesas sem serem vistas e têm dificuldade para proteger o tráfego criptografado.

As quatro principais fraquezas das arquiteturas tradicionais

1. Superfície de ataque expandida: firewalls e VPNs têm endereços IP públicos por design para permitir acesso de usuários legítimos, mas isso também expõe a rede a criminosos cibernéticos na web. À medida que as organizações se expandem para mais locais, nuvens e trabalhadores remotos, isso significa mais extensão de rede, mais firewalls e VPNs e mais endereços IP públicos. Dessa forma, a superfície de ataque cresce, aumentando a vulnerabilidade.
2. Comprometimento: sejam implantados como dispositivos virtuais ou de hardware, os firewalls não têm o desempenho necessário para inspecionar o tráfego criptografado em escala. Com 95% do tráfego web atual sendo criptografado, isso significa que as organizações estão cegas para a maioria das ameaças cibernéticas que as atacam, porque a maioria das ameaças agora está escondida dentro do tráfego em TLS/SSL.
3. Movimentação lateral de ameaças: quando os invasores violam o perímetro, eles podem se mover lateralmente pela rede, acessando recursos conectados. Embora a segmentação de rede por meio de firewalls adicionais seja frequentemente uma solução proposta, ela só serve para aumentar os riscos, a complexidade e o custo, sem resolver o problema subjacente: a própria arquitetura baseada em firewall e perímetro.
4. Perda de dados: a incapacidade dos firewalls de inspecionar o tráfego criptografado permite que dados sigilosos saiam da rede sem serem detectados. Além disso, as ferramentas tradicionais não são adequadas para proteger caminhos modernos de vazamento de dados, como compartilhamento de arquivos em aplicativos SaaS.

Como uma arquitetura zero trust transforma a segurança 

O zero trust é fundamentalmente diferente das arquiteturas tradicionais. Em vez de proteger redes, ele protege o acesso direto aos recursos de TI. Em vez de administrar o acesso com base na identidade (que pode ser roubada), ele administra o acesso com base no contexto e no risco. Uma nuvem desenvolvida especificamente fornece a arquitetura como um serviço e na borda, atuando como um painel de controle inteligente que oferece conexões seguras e individuais entre usuários, dispositivos, cargas de trabalho, filiais e aplicativos, independentemente da localização. Em outras palavras, o zero trust desvincula a segurança e a conectividade da rede. Com ele, as organizações podem usar efetivamente a internet como sua rede corporativa.

Os princípios do zero trust

1. Verificar a identidade: toda solicitação de acesso começa com a autenticação da identidade do usuário ou outra entidade que está tentando acessar.
2. Determinar o destino: a plataforma zero trust identifica o destino solicitado e garante que ele seja legítimo e seguro.
3. Avaliar os riscos: a IA/ML avalia o contexto da tentativa de acesso para entender os riscos, levando em consideração o comportamento do usuário, a postura do dispositivo, a localização e inúmeras outras variáveis.
4. Aplicar política: a política é aplicada em tempo real por sessão, concedendo, negando ou fornecendo um nível intermediário de acesso com base no risco para garantir o acesso de privilégio mínimo.

Os quatro pontos fortes do zero trust

1. Minimiza a superfície de ataque: ao ocultar aplicativos atrás de uma nuvem zero trust, o zero trust elimina a necessidade de endereços IP públicos e impede conexões de entrada. Os aplicativos são invisíveis para a internet, reduzindo a superfície de ataque.
2. Impede o comprometimento: o zero trust utiliza uma nuvem de segurança de alto desempenho para fazer proxy e inspecionar todo o tráfego, incluindo o tráfego criptografado, em escala. Políticas em tempo real bloqueiam ameaças antes que elas cheguem aos usuários ou aplicativos.
3. Impede a movimentação lateral: o zero trust conecta os usuários diretamente aos aplicativos, não à rede. Essa segmentação granular garante que os invasores não possam se mover lateralmente entre os recursos, contendo efetivamente as violações.
4. Bloqueia a perda de dados: a arquitetura zero trust protege informações sigilosas em todos os possíveis canais de vazamento de dados, estejam eles em trânsito para a web (mesmo por meio de tráfego criptografado), em repouso na nuvem ou em uso nos terminais.

Zero trust em ação: protegendo a conectividade entre quaisquer elementos 

Um dos pontos fortes do zero trust é sua capacidade de proteger a conectividade entre quaisquer elementos. Isso significa que ele pode proteger qualquer uma das entidades que precisam de acesso aos seus recursos de TI, incluindo:

• Equipes de trabalho: os usuários podem acessar com segurança a web, aplicativos SaaS e aplicativos privados sem precisar de acesso à rede
• Nuvens: o zero trust protege as comunicações para cargas de trabalho em ambientes de nuvem pública, privada e híbrida, além de proteger os dados em repouso em suas nuvens e aplicativos SaaS.
• Dispositivos de IoT/OT: o zero trust garante conectividade segura para sistemas de IoT e tecnologia operacional (OT), protegendo esses ativos críticos de ataques cibernéticos
• Parceiros B2B: terceiros, como parceiros de canal, obtêm acesso seguro diretamente a aplicativos específicos, sem a necessidade de VPNs ou acesso em nível de rede

Considerações ao avaliar plataformas zero trust

Adotar uma plataforma zero trust é uma decisão fundamental para organizações que buscam modernizar sua infraestrutura de segurança. Com inúmeras opções disponíveis no mercado, é essencial avaliar possíveis soluções em relação a um conjunto de critérios principais para garantir que a plataforma esteja alinhada às necessidades específicas da sua organização. Abaixo estão algumas considerações fundamentais para orientar seu processo de avaliação:

Cobertura abrangente entre todas as entidades

Uma verdadeira plataforma zero trust deve proteger o acesso de todas as entidades críticas dentro de uma organização, incluindo equipes de trabalho, aplicativos, nuvens, sistemas de IoT/OT e parceiros. Garantir proteção unificada entre esses vetores é crucial para manter uma postura de segurança consistente e robusta sem deixar brechas para invasores explorarem.

Estabilidade financeira do provedor

A saúde financeira e a longevidade do provedor da plataforma não podem ser negligenciadas. Uma plataforma zero trust geralmente é um serviço essencial, e as organizações devem garantir que o provedor escolhido tenha estabilidade financeira e recursos para investir continuamente em inovação, evitando qualquer interrupção na prestação de serviços.

Histórico comprovado com clientes

Uma plataforma zero trust deve ter um histórico de sucesso em diversos setores e clientes. Procure estudos de caso documentados, recomendações ou depoimentos que demonstrem a eficácia da plataforma em proteger organizações de tamanho, complexidade ou setor semelhantes aos seus. A validação de implantações no mundo real ajuda a incutir confiança em seus recursos.

Capacidade de dimensionamento e desempenho em nível global

Hoje em dia, as organizações operam globalmente, exigindo uma plataforma zero trust que possa ser dimensionada perfeitamente e, ao mesmo tempo, ofereça desempenho consistente. A plataforma deve ter a infraestrutura para dar suporte a usuários, aplicativos e cargas de trabalho em diversas regiões geográficas com baixa latência, alta disponibilidade e conectividade confiável.

Resiliência para lidar com o inesperado

Em uma era de ameaças em constante evolução, a resiliência não é negociável. A plataforma deve ser capaz de lidar com contingências inesperadas, seja um aumento na atividade de usuário, desafios emergentes de segurança cibernética ou falhas técnicas imprevistas. Uma solução de zero trust resiliente garante serviço ininterrupto, mesmo nas condições mais adversas.

Integração de IA para maior segurança e eficiência

Por fim, à medida que as organizações avaliam plataformas zero trust, é importante considerar como a inteligência artificial (IA) é integrada à solução. Plataformas zero trust modernas, como a Zscaler Zero Trust Exchange, usam IA e aprendizado de máquina (ML) para otimizar a aplicação de políticas, detectar anomalias e agilizar os processos de tomada de decisão. A IA permite que as organizações respondam a ameaças com rapidez e precisão, preparando o cenário para avanços futuros em segurança cibernética.

Avaliar plataformas zero trust com essas considerações ajudará a garantir que sua organização selecione uma solução segura, confiável e adaptável. À medida que avançamos, o papel da IA no aprimoramento do zero trust se tornará um promotor inestimável de inovação e eficiência.

O papel da IA no zero trust 

A arquitetura zero trust é a base ideal para implementar segurança baseada em IA. Isso ocorre porque o enorme volume de dados que uma plataforma zero trust processa ao lidar com o tráfego dos clientes é ideal para treinar LLMs. Por sua vez, a IA aprimora os recursos de zero trust, dotando-os de maior inteligência, eficácia e automação. A Zscaler, por exemplo, integra IA/ML em toda a sua Zero Trust Exchange para melhorar inúmeras habilidades como:

• Detecção e bloqueio de ameaças: modelos de aprendizado de máquina ajudam a identificar e mitigar ameaças sofisticadas, como ataques de dia zero, em tempo real.
• Automatização da segmentação: a segmentação de aplicativos com tecnologia de IA garante que os aplicativos sejam acessíveis apenas a usuários autorizados, reduzindo a superfície de ataque interna e a possibilidade de erro humano associada à segmentação manual.
• Descoberta de dados sigilosos: a descoberta automática de dados por IA encontra e classifica automaticamente informações sigilosas em todos os canais possíveis de vazamento de dados.
• Aumento da produtividade do usuário: a análise de causa-raiz com tecnologia de IA identifica automaticamente os problemas subjacentes que causam problemas na experiência do usuário, aumentando a produtividade das equipes de trabalho e do suporte técnico de TI.

Além da segurança: os benefícios comerciais do zero trust 

Além de reduzir o risco cibernético, o zero trust oferece vários benefícios operacionais e financeiros:

• Complexidade reduzida: ao substituir firewalls, VPNs e diversas soluções específicas por uma plataforma unificada e moderna, as organizações podem simplificar seus ambientes de TI.
• Economia de custos: eliminar ferramentas legadas e, ao mesmo tempo, simplificar a segurança e a rede reduz a sobrecarga de gerenciamento e diminui o custo total de propriedade (TCO).
• Experiência de usuário aprimorada: a conectividade direta ao aplicativo elimina a latência associada ao retorno do tráfego, garantindo acesso rápido e contínuo para os usuários e aumentando a produtividade.
• Agilidade empresarial: o zero trust é uma arquitetura flexível que permite que as organizações protejam os aplicativos na nuvem e o trabalho híbrido, capacitando-as a se adaptarem de forma rápida e segura às necessidades empresariais em constante mudança.

Conclusão 

O ritmo acelerado da transformação digital exige uma arquitetura de segurança que possa acompanhar. As abordagens tradicionais baseadas em perímetro, com suas fraquezas inerentes, não são mais suficientes. A arquitetura zero trust, com seu foco em conectividade segura entre quaisquer elementos e políticas dinâmicas baseadas em contexto, oferece uma solução moderna para os desafios atuais de segurança cibernética. 

Ao integrar a IA ao zero trust, as organizações podem aprimorar ainda mais sua postura de segurança, otimizar as operações e melhorar as experiências do usuário. Com a Zscaler Zero Trust Exchange, as empresas podem adotar com confiança a transformação digital enquanto protegem seus usuários, dados e aplicativos, além de tudo o mais em seu ecossistema de TI. 

Para organizações prontas para dar o próximo passo, o caminho para o zero trust começa com a compreensão de seus princípios, pontos fortes e estratégias de implementação. Proteja seu futuro hoje com a Zscaler.

Comece sua jornada zero trust. Explorar mais