.png)
O que você precisa para aplicar a política Zero Trust — de forma rápida e segura
Nesta série, consideramos as características indispensáveis para descobrir, criar e distribuir com sucesso uma política de segmentação de confiança zero. Nesta semana, concluímos analisando detalhadamente o que é necessário para implementar uma política de segmentação de confiança zero. Uma política de Confiança Zero que não chega a ser totalmente aplicada simplesmente não é capaz de impedir malware, ransomware ou agentes maliciosos. Existem considerações importantes a serem levadas em conta para garantir que todas as políticas de Zero Trust possam ser aplicadas rapidamente em toda a infraestrutura – e sem interromper o funcionamento dos aplicativos.
Esteja seguro, não se arrependa
Ao trabalhar em ambientes de nuvem e data centers existentes, o primeiro requisito é fazer o Juramento de Hipócrates: Não causar dano! Todas as soluções de microsegmentação utilizam agentes. Você precisa de um agente seguro, e nenhum agente inline é totalmente seguro. Qualquer agente que implemente um firewall embutido, filtragem ou outras funções de segurança não pode ser considerado seguro. Se o agente não for fechado corretamente, a aplicação para de funcionar, o que é operacionalmente inseguro. Se o agente embutido falhar ao abrir, o mecanismo de segurança desaparece, o que é a definição de computação insegura. A única tecnologia de agente segura para aplicação da lei é um agente fora do fluxo de dados. Você deve exigir uma solução que mantenha as regras em vigor, mesmo que o agente do fornecedor falhe ou seja removido. Exija um agente que instale e atualize sem a necessidade de reinicialização. Os agentes devem ser executados no espaço do usuário. Rejeite qualquer coisa que modifique o kernel, instale adaptadores de rede personalizados ou que, de alguma forma, fique embutida no sistema. Não há necessidade de reinventar algo tão básico quanto um firewall com estado quando praticamente tudo em um data center ou na nuvem já inclui um.
Aplique em tudo
Depois de implementar uma política de Confiança Zero, o melhor lugar para colocá-la é... em todos os lugares! Todos os sistemas operacionais dos últimos doze anos possuem um firewall com estado perfeitamente funcional – iptables/Netfilter e a Plataforma de Filtragem do Windows. Tecnologias semelhantes existem para AIX, Solaris e até mesmo para mainframes. Switches de rede, balanceadores de carga e firewalls de hardware aceitam regras de firewall. Por que não usar tudo? Implemente o Zero Trust em todos os lugares e automatize a aplicação das políticas em tudo o que você já possui. A aplicação das normas deve incluir seu ambiente de contêineres Kubernetes, instâncias da Amazon, Azure e Google Cloud , serviços SaaS e até mesmo manter seus dispositivos de tecnologia operacional (OT) fora do ambiente de TI. Nem vale a pena considerar agentes proprietários de fornecedores para impor políticas de Zero Trust quando todos os dispositivos já suportam tudo o que você precisa.
Melhore a velocidade da confiança
As implantações do Zero Trust ocorrem com a taxa de confiança na segurança da política. Afinal, uma política de Zero Trust exige especificar tudo o que é desejado — tudo o mais é negado. Isso implica que as políticas de Zero Trust devem ser perfeitas. Quantos fluxos existem em um data center? Parece difícil confiar na perfeição em todos esses fluxos. Relaxe. A segmentação Zero Trust não precisa ser difícil. Certifique-se de que você será capaz de aplicar até mesmo um único serviço em uma pequena extremidade da escala. Afinal, alguns dos fluxos mais vulneráveis são os principais serviços e sistemas de gerenciamento que afetam todas as máquinas do ambiente. Muitos usam uma única porta ou um pequeno alcance. Qualquer boa solução deve ser capaz de aplicar seletivamente apenas essas poucas portas. Eles são fáceis de definir, fáceis de concordar e essenciais para proteger. No outro extremo do espectro, está simplesmente impondo desejos de políticas como “Impedir que todos os meus sistemas DEV conversem com o PROD, exceto pela seguinte lista de serviços compartilhados, mas limite-a o máximo possível”. Ninguém terá um conhecimento perfeito de todos os sistemas DEV e de todos os sistemas PROD — é muito dinâmico e complexo. Mas as melhores soluções de segmentação Zero Trust podem facilmente definir limites de fiscalização que fornecem essa funcionalidade exata e, ao mesmo tempo, preservam a liberdade de questões de ordenação de regras ou de violar a herança de políticas. Com que rapidez todos da equipe podem ter certeza de que a política é correta e segura? Procure uma solução que possa ser aplicada no nível de uma única declaração de política e, ao mesmo tempo, impor metas amplas de separação. Quando ambas são igualmente simples, é fácil fazer com que as políticas de Zero Trust sejam aplicadas por meio do controle de mudanças.
Em resumo
Isolar sistemas de nuvem, endpoints e data centers com regras rigorosas é o objetivo principal do Zero Trust. Soluções que se baseiam apenas na visibilidade ou no monitoramento nunca podem ser consideradas Segmentação de Confiança Zero. Uma boa solução de segmentação deve ser, antes de tudo, segura e não depender de tecnologias inline que apresentem falhas, seja em modo aberto ou fechado, colocando todo o ambiente em risco. A aplicação das normas deve ser abrangente e aproveitar todos os firewalls que você já adquiriu, desde os firewalls integrados ao sistema operacional até os equipamentos de hardware e rede instalados nos racks. Implementar políticas de segmentação Zero Trust para contêineres, nuvem e em todo o ambiente computacional significa que muitas soluções diferentes são necessárias. Então, por que não usar o que já existe em cada uma delas? Por fim, é importante poder construir a aplicação de políticas a partir de uma única declaração, até formas fáceis de segmentar ambientes inteiros. A microsegmentação refinada avança na velocidade da confiança compartilhada de que os sistemas não serão interrompidos. Assim, uma solução com aplicação altamente flexível e precisa sempre proporcionará os resultados mais rápidos em termos de Zero Trust.
ICYMI, leia o resto desta série:
