As 3 verdades do Zero Trust de John Kindervag para agências governamentais

In the last few years, the U.S. public sector has received a multitude of guidance on Zero Trust – from CISA’s Zero Trust Maturity Model to EO 14028 and NIST SP 800-207. It can feel like an overwhelming amount of information to sort through or know where to begin at your agency.  

That’s why the Federal Tech Podcast sat down in a recent episode with John Kindervag, the godfather and creator of Zero Trust and Chief Evangelist at Illumio, to understand the three key truths about Zero Trust. This information is vital to helping agencies find and stay on the right track as they comply with Zero Trust mandates.

1. Você não pode fazer Zero Trust de uma só vez

De acordo com Kindervag, um dos principais equívocos sobre o Zero Trust, especialmente no governo federal, é que você pode alcançar o Zero Trust de uma só vez e dentro de um prazo específico.  

No entanto, isso está longe de ser como ele projetou a estratégia.

“É uma jornada que você segue e está nela para sempre”, explicou Kindervag.  

Starting Zero Trust now is essential for agencies to build mission resilience. But knowing when your agency will reach full Zero Trust is impossible because it’s an ongoing effort. Kindervag said that the more important questions agencies should be asking is what they’re securing, not when.

“Não me preocupo tanto com o tempo, mas com a implementação dos incentivos e programas corretos”, disse Kindervag.  

He recommends agencies begin with getting complete, end-to-end visibility into their environment. With this insight, they can see where risk lies, prioritize securing the areas that are most at risk and most critical to the mission, and then work through one protect surface at a time: “You build Zero Trust out in chunks,” he said.

2. Zero Trust não é difícil

A Kindervag criou a estratégia de segurança Zero Trust para ressoar em toda a organização, desde a liderança de alto nível até os profissionais de segurança. Para esse fim, a estratégia foi projetada para ser simples de entender e implementar.

“Por que todas essas pessoas estão fazendo com que o Zero Trust pareça tão difícil?” ele brincou. “É incremental. Você faz isso com uma superfície protegida de cada vez.”

Ao tornar a fiscalização um processo iterativo, as equipes de segurança podem se concentrar em um sistema, aplicativo ou recurso por vez, do mais crítico ao menos importante. Um grande benefício disso é que causa pouca ou nenhuma interrupção na missão.

“Você implementa os controles Zero Trust, uma superfície de proteção após a outra, e isso a torna ininterrupta”, explicou Kindervag. “O máximo que você pode estragar é uma superfície protegida. Você não pode estragar toda a rede ou todo o ambiente.”

3. Implemente o Zero Trust proativamente

O Zero Trust se baseia no fato de que as violações são inevitáveis; ele reflete a estratégia de segurança de melhores práticas para a superfície de ataque moderna.  

“A superfície de ataque é como o universo — está em constante expansão”, disse Kindervag.

As ferramentas tradicionais de segurança de prevenção e detecção foram criadas para uma época em que os ambientes de computação eram muito menores, mais simples e todos dentro de um único perímetro. Atualmente, as redes são complexas, distribuídas e sem perímetro.  

A Zero Trust architecture helps agencies manage the increased risk resulting from this evolution. “Zero Trust inverts the problem, reducing it down to something small and easily known called a protect surface,” Kindervag explained.

While prevention and detection tools are still important, they’re not enough to secure against ever-evolving cyber threats. It’s vital that agencies build proactive security for both the network exterior and interior. Zero Trust technologies, including foundational tools like Zero Trust Segmentation (ZTS), help agencies proactively prepare for breaches.

“Muitas pessoas não farão nada até que algo ruim aconteça”, disse Kindervag, observando que essa é uma forma ultrapassada de pensar em segurança. “É como quando chega uma tempestade de granizo e você quer obter um seguro para seu carro. O que a seguradora diz a você? Não, é tarde demais. "

" Você precisa ficar na frente da segurança, não atrás dela”, recomendou Kindervag.

Os 5 passos para o Zero Trust

Kindervag encourages agencies to follow his five-step process for Zero Trust implementation as they build Zero Trust compliance:

1. Defina sua superfície de proteção: você não pode controlar a superfície de ataque porque ela está sempre evoluindo, mas você pode reduzir a superfície de proteção da sua organização em partes pequenas e facilmente conhecidas. A superfície de proteção geralmente inclui um único elemento de dados, serviço ou ativo.

2. Mapeie a comunicação e os fluxos de tráfego: você não pode proteger o sistema sem entender como ele funciona. Obter visibilidade em seus ambientes mostra onde os controles são necessários.

3. Arquitete o ambiente Zero Trust: depois de obter visibilidade completa da rede, você pode começar a implementar controles feitos sob medida para cada superfície de proteção.

4. Crie políticas de segurança Zero Trust: crie políticas que forneçam uma regra granular que permita que o tráfego acesse o recurso na superfície protegida.

5. Monitore e mantenha a rede: injete a telemetria de volta na rede, criando um ciclo de feedback que melhora continuamente a segurança e cria um sistema resiliente e antifrágil.

Illumio can help your agency work through these five steps on your Zero Trust journey. Learn more about how we support government agencies, and contact us today to get started.