Zero Trust—Separando o Hype da Realidade

Se ainda não estava claro, a Conferência RSA 2022 comprovou que zero trust é a conversa que todo fornecedor de tecnologia quer ter e, de alguma forma, associar aos seus produtos. Recentemente, no InfoSec 2022, também vimos o mesmo. Mas como uma organização deve eliminar o hype para entender o verdadeiro valor do princípio?

Certamente, zero trust não é um novo conceito. Afinal, há 13 anos o Google anunciou sua implementação BeyondCorp, mas a mudança para o trabalho híbrido acelerou a necessidade de as organizações adotarem os princípios desse modelo de segurança à medida que procuram acrescentar tecnologia para ajudar a garantir suas transformações—uma transformação de segurança, se você quiser.

O desafio para as organizações hoje é olhar para além do marketing dos fornecedores e considerar os resultados, não os bordões do momento ao avaliar a tecnologia para ajudar os projetos de transformação da segurança. Portanto, como ponto de partida, vamos nos lembrar dos princípios básicos de zero trust do Forrester, os editores originais da definição do modelo de zero trust.

• Todas as entidades não são confiáveis por padrão;
• O princípio do privilégio mínimo é aplicado;
• O monitoramento de segurança abrangente é implementado

Mais recentemente, a Forrester acrescentou aos princípios básicos originais que o modelo deveria utilizar "verificação contínua, contextual, baseada no risco entre os usuários e seus dispositivos associados". 

Em princípio, muitas soluções de segurança foram projetadas com os princípios básicos em mente, ou seguem o princípio básico central—mas é nas minúcias que podemos obter alguns detalhes extras para ajudar a analisar se um fornecedor realmente o ajuda a passar para um modelo de zero trust. 

Embora o gerenciamento de identidade e acesso moderno desempenhe um papel importante na transição bem-sucedida para um modelo ou estratégia de zero trust, este deve ser apenas o primeiro passo no processo, cobrindo o aspecto de verificação/autenticação baseado no framework. Mas zero trust não termina com identidade e autorização para usar uma aplicação ou acessar um recurso.

Uma vez autenticado, cada acesso a um determinado recurso ou uma ação devem ser considerados com base no contexto. Portanto, no mínimo, faça estas duas perguntas simples para qualquer fornecedor de segurança com quem você considere trabalhar: 

1. Sua solução utiliza um modelo de política adaptativa contínua sem a necessidade de gerenciar manualmente os conjuntos de regras?
2. A solução leva em conta a mudança do perfil de risco do usuário e do dispositivo?

É por isso que aqui na Netskope preferimos usar o termo "zero trust contínuo e adaptativo"—um pilar de cada uma de nossas soluções. 

Fazer estas perguntas não vai responder completamente a dúvida se um fornecedor de segurança vai ajudá-lo a progredir em sua estratégia de zero trust, mas é um ótimo ponto de partida para separar o "marketing" do verdadeiro valor do conceito.