Operacionalizando o Zero Trust — Etapas 2 e 3: Determinar em qual pilar Zero Trust focar e especificar o controle exato

This blog series expands on ideas introduced in my March post, “Zero Trust is not hard … If you’re pragmatic”.

Nesse post, descrevi seis etapas para alcançar o Zero Trust. Aqui, vou me aprofundar em duas das seis etapas descritas para fornecer uma estrutura sólida que possa ser usada por profissionais de microssegmentação em organizações grandes e pequenas para tornar seus projetos mais bem-sucedidos. Antes de começar, aqui está uma representação visual de cada etapa:

Etapa 2: Determine em qual pilar do Zero Trust focar

In part 1 of this series, I looked at “Identifying what to protect” and recommended that to achieve your long-term goal – enterprise-wide adoption of Zero Trust – it was wise to start small, and look for candidate applications that ideally matched at least 2 out of the 3 criteria listed below:

• Tenha um forte motivador para adotar os princípios de segurança Zero Trust, ou seja, um requisito regulatório ou de conformidade, uma constatação de auditoria que precisa ser resolvida ou uma resposta a uma violação.
• São marcados como aplicativos críticos.
• Tenha vontade de ser cobaia.

Imagine I have hunted round my organisation and have found an application that handles PCI data and, hence, needs to be compliant with PCI-DSS requirements. It also happens to have an audit finding around ‘excessive network access’, is marked as a critical component in my customer payments system, and, after much convincing, the application team has agreed to work with me in adopting a Zero Trust framework to properly secure their application. If I quickly scan back to my list of selection criteria, I can see that my chosen application ticks all 3 requirements.

Então, agora vou determinar em qual pilar de confiança zero focar nesta iteração — eis quais são os pilares:

Da mesma forma que você deve adotar uma abordagem muito focada ao identificar quais aplicativos proteger neste estágio, você deve aplicar uma atitude semelhante ao determinar como abordar o Zero Trust em si. Tentar abordar cada pilar em um ciclo seria ambicioso e irreal, pois você provavelmente precisaria implementar um conjunto diversificado de controles e tecnologias, o que prejudicaria o objetivo recomendado de fazer um progresso relativamente rápido e mensurável.

Forrester actually provide a Zero Trust Maturity Model Assessment Tool to help practitioners identify gaps in their organisation’s adoption of Zero Trust and these results can be used to identify the specific Zero Trust pillar(s) to focus on. Let’s assume you have run this assessment against my chosen application and it identifies significant gaps in the protection of workloads running the application – and specifically it highlights that they are easily accessible from across my network. This would lead you to focus this particular iteration on protecting the workloads that host your application, ensuring that you gain excellent visibility in this area.

Etapa 3: especificar o controle exato

A proteção da carga de trabalho abrange muitos recursos de segurança, incluindo, mas não se limitando a, proteção e correção eficazes do sistema operacional e de qualquer aplicativo instalado, controles de proteção contra ameaças baseados em host, como antivírus, EDR, monitoramento da integridade de arquivos, firewall baseado em host, etc.

Step 2 of the Zero Trust Maturity Assessment has identified excessive network access to the application workloads as the most significant gap in Zero Trust, so I recommend focusing on host-based firewalling, or more generally micro-segmentation, as the security control to apply in order to move your application one step further forward in its Zero Trust journey.

From my own personal experience as a practitioner before joining Illumio, I know that in order to effectively implement micro-segmentation, you need excellent visibility into your application’s upstream and downstream dependencies, so that you have the right information with which to build and validate the least privilege, whitelist-based, Zero Trust policies that will protect your workloads.

So, when you focus on workload protection and the visibility and analytics associated with this, and have further clarified that you plan to only build micro-segmentation controls at this stage, you are now ready to identify the input data needed to make this vision a reality. And that’s exactly what I will focus on in the next edition of this series.

Mal posso esperar pela minha próxima postagem para saber mais? Visite nossa página sobre como operacionalizar sua estratégia Zero Trust com microssegmentação para obter informações privilegiadas.