Por que a ZTNA deixa lacunas de segurança — e como a ZTS as preenche

As much as many Zero Trust vendors would like you to believe, Zero Trust is not a single product or technology, but instead an overall strategy for the entire IT environment.

O Zero Trust, como o nome sugere, é um modelo que nega o acesso aos recursos digitais de uma empresa por padrão e concede permissões somente conforme necessário, com base na identidade e no tipo de recurso.

Para proteger as cargas de trabalho críticas de uma organização, os três itens essenciais do Zero Trust são:

• Governança de identidade
• Segmentação Zero Trust (ZTS)
• Acesso à rede Zero Trust (ZTNA)

While most organizations have already adopted Identity Governance, the latter 2 components of Zero Trust go hand in hand and play a major role in securing an organization's infrastructure.

O que é ZTNA e por que é importante?

A ZTNA foi amplamente adotada nos últimos dois anos, para proteger o perímetro de uma organização e o tráfego norte-sul. O ZTNA fornece um mecanismo simples, mas robusto, para que os usuários acessem aplicativos na nuvem ou no data center, autenticando usuários com base em suas identidades e funções.

Além disso, quando os usuários recebem acesso, diferentemente de uma VPN tradicional, eles recebem acesso somente ao aplicativo de que precisam e têm acesso negado à própria rede corporativa. Isso reduz a superfície de ataque à rede exposta no perímetro.

As 3 principais áreas em que o ZTNA cai

Embora o ZTNA tenha provado ter muitas vantagens, não é uma solução à prova de balas para sua rede.

Na realidade, as violações ainda acontecem.

As the complexity of attacks increases, it becomes imminent to adopt an "assume breach" mindset where the goal of the organization should be to reduce the internal attack surface and contain breaches to as few resources as possible.

O ZTNA faz um ótimo trabalho ao garantir o acesso externo a aplicativos de usuários remotos, mas há vários cenários em que o ZTNA não pode oferecer benefícios. É por isso que uma abordagem de defesa aprofundada é essencial.

Existem 3 áreas principais nas quais o ZTNA não oferece proteção:

• movimento lateral entre terminais: as soluções ZTNA fornecem acesso a recursos de usuários remotos aos aplicativos. No entanto, quando um usuário está no escritório, isso não impede nem regula o acesso de vários dispositivos do usuário final. Um endpoint infectado dentro do ambiente corporativo pode se mover lateralmente por vários endpoints e servidores, obtendo acesso a dados confidenciais do usuário e, ao mesmo tempo, propenso a ataques de ransomware em grande escala.
• Lateral movement between servers: ZTNA doesn't have the ability to protect against attack vectors that originate inside the data center. A great example would be the SolarWinds supply chain attack of 2020 in which attackers gained access to the networks and systems where SolarWinds was deployed.
• Falha dos provedores de serviços de identidade: as soluções da ZTNA depositam sua confiança para autenticar usuários em seu ambiente em provedores de serviços de identidade (IdPs). Os invasores se aproveitaram disso falsificando os IdPs e ignorando os MFAs. Uma vez lá dentro, os invasores estão livres para causar estragos, exfiltrar dados e infectar os ativos essenciais de uma organização.

Como o ZTS ajuda quando o ZTNA cai?

ZTS and ZTNA are fundamental building blocks in any Zero Trust journey. It's clear that an organization cannot solely rely on ZTNA to protect against malicious actors.

A ZTS preenche essa lacuna protegendo o tráfego leste-oeste que é deixado em aberto pela ZTNA e fornece a visibilidade necessária do tráfego de rede para continuar sua jornada com o Zero Trust.

It's common knowledge that you can only secure what you can see. In addition to securing the east-west traffic, ZTS provides end-to-end visibility from endpoints (remote and the office) all the way to the applications in the data center or the cloud. Organizations can leverage this visibility when implementing other Zero Trust solutions.

Com o ZTS, uma abordagem " assume que a violação " é aplicada em todo o ambiente para que os nós não possam se comunicar uns com os outros, a menos que seja explicitamente permitido. Isso garante que as violações sejam contidas e não possam se espalhar por toda a rede.

A mudança de uma mentalidade de prevenção de violações para uma mentalidade de contenção de violações foi validada pela Ordem Executiva 14028 da Casa Branca emitida em 2021. O EO pede às agências federais — e a todas as organizações — que adotem uma estratégia de segurança Zero Trust que destaca especificamente a Segmentação Zero Trust (também chamada de microssegmentação) como um de seus principais pilares.

Learn more about the highlights from Executive Order 14028 in this article.

A ZTS aborda as 3 principais deficiências apresentadas pela ZTNA

Os endpoints que podem se comunicar com outros endpoints são um presente para qualquer atacante se espalharem rapidamente. Portanto, os endpoints dentro ou fora da rede corporativa precisam ser protegidos usando o ZTS. Quando as portas são deixadas abertas, os endpoints se tornam um vetor de ataque atraente e uma importante fonte de propagação de ransomware na rede. Depois que os endpoints são infectados, os invasores podem migrar para ativos essenciais dentro do data center.

Com a visibilidade obtida com o ZTS, você pode simplesmente criar regras de segmentação nas quais políticas granulares podem ser aplicadas em servidores de aplicativos, permitindo que somente determinados servidores se comuniquem entre si por meio de protocolos específicos. Por exemplo, podemos permitir a comunicação entre um servidor web e um servidor de banco de dados na porta 3306 (MySQL), mas queremos restringir o acesso do banco de dados ao servidor web.

O ZTS prova ser uma valiosa proteção contra falhas caso os invasores ignorem o mecanismo de autenticação do IDP. Mesmo que um atacante entre, ele não conseguirá se mover lateralmente pelo ambiente, reduzindo assim o raio de explosão de um ataque.

A grande maioria dos ataques cibernéticos depende da descoberta da rede e do movimento lateral. Sem a ZTS, além da ZTNA, uma organização fica vulnerável à exploração repetida dessas táticas.

Illumio + Appgate: alcance o nirvana cibernético implementando o ZTS e o ZTNA

A ZTS e a ZTNA desempenham um papel importante na proteção de uma infraestrutura moderna. Combiná-los é como você torna suas redes excelentes novamente e atinge o nirvana cibernético!

Illumio and Appgate are leading the way in helping organizations implement effective and efficient Zero Trust security protection. Illumio and Appgate were ranked as Leaders in the Forrester Wave‚Ñ¢: Zero Trust eXtended Ecosystem Platform Providers.

Com o Illumio e o Appgate, você pode criar rapidamente a segurança Zero Trust para proteger o tráfego perimetral e interno em seus ambientes de computação híbrida.

Learn more about Illumio + Appgate in this article. And get the three-step, best practice approach to implementing Zero Trust security with Illumio and Appgate in the solution guide.