Nos EUA Agências Federais, o momento é certo para Zero Trust

O desafio cada vez maior de proteger dados críticos, especialmente em uma era de ambientes de trabalho móveis e baseados em nuvem, tem levado um número cada vez maior de agências federais a adotar um modelo de segurança Zero Trust que atende melhor às suas necessidades neste mundo digitalmente robusto.

De acordo com uma pesquisa recente , quase metade dos executivos de TI do governo federal relataram que suas agências estão mudando para estratégias de segurança centradas na identidade, ou Zero Trust, para proteger seus recursos digitais. O estudo, produzido pela FedScoop e financiado pela Duo Security, descobriu que as agências federais estão se afastando das táticas tradicionais de defesa de perímetro de rede e se tornando mais abertas a um ambiente de dados sem perímetro que usa ferramentas de identidade e autenticação como o principal meio de acesso.

Nada é mais revelador sobre o ímpeto acelerado do Zero Trust e sua subsequente adoção do que a recente Ordem Executiva de Segurança Cibernética destacando sua criticidade, especialmente com a Casa Branca publicando recentemente uma versão final de sua estratégia de arquitetura Zero Trust, com a intenção de melhorar significativamente a segurança cibernética dos sistemas de agências governamentais nos próximos anos. Essa mudança coincidiu com um aumento drástico em ambientes multinuvem e trabalhadores remotos, dois componentes de um ambiente de trabalho moderno que o modelo Zero Trust aborda muito bem.

O uso acelerado do modelo Zero Trust, tanto em agências federais quanto no mundo empresarial em geral, coincide com a crescente percepção de que os métodos tradicionais para proteger o perímetro de uma rede não são mais suficientes. Como não há mais uma rede confiável dentro de um perímetro definido, a abordagem “Confiar, mas verificar” se tornou obsoleta. Em vez disso, as equipes de segurança federais precisarão aderir a três princípios mais eficazes:

• Nunca confie, exceto quando os usuários e os terminais realmente conquistam essa confiança.
  
  
• Sempre verifique — uma diretriz que se aplica ao contexto, aplicação, análise de comportamento de localização e outros componentes que são necessários para derivar uma abordagem baseada em risco apropriada à atividade do ponto de extremidade.
  
  
• Monitore continuamente — com o entendimento de que não é suficiente autenticar apenas uma vez e assumir que o risco será baixo daquele ponto em diante. Somente a autenticação contínua garantirá segurança contínua.

A F5 foi recentemente nomeada como um dos 18 fornecedores a colaborar com o NCCoE do NIST no Projeto de Implementação de Arquitetura Zero Trust para desenvolver abordagens práticas e interoperáveis para projetar e construir Arquiteturas Zero Trust. Nossa profunda experiência em trabalhar com as principais organizações federais na linha de frente da adoção do Zero Trust ajuda a abordar essas questões importantes. O amplo portfólio de segurança de aplicativos da F5 abrange quatro pontos de controle principais dentro de uma arquitetura Zero Trust, conforme descrito abaixo:

Pontos finais: Acesso confiável ao aplicativo

O F5 Labs relatou que violações relacionadas ao acesso em 2020 representaram a maior proporção de causas de violações conhecidas: 34%. Uma solução confiável de acesso a aplicativos é essencial em uma época em que violações relacionadas ao acesso estão aumentando.

O F5 BIG-IP Access Policy Manager (APM) fornece autenticação moderna para todos os aplicativos, simplificando e centralizando o acesso a aplicativos, APIs e dados, independentemente de onde os usuários e seus aplicativos estejam localizados. Não importa se o aplicativo está localizado no local ou na nuvem, o resultado é uma melhor experiência do usuário com SSO e uma experiência de usuário comum em um ambiente mais seguro usando a arquitetura Zero Trust.

Com o Identity Aware Proxy (IAP), o APM implanta uma validação de modelo Zero Trust que protege todas as solicitações de acesso ao aplicativo. Em agências federais, o processo de autenticação de usuários privilegiados começa com o APM exibindo um documento dos EUA. Aviso do governo ao usuário, que exige aceitação antes de prosseguir com a autenticação. O APM também solicita credenciais fortes do usuário usando diversas opções diferentes, como verificá-las em uma Lista de Revogação de Certificados ou em um servidor de Protocolo de Status de Certificado Online para garantir que as credenciais não tenham sido revogadas.

Depois que o usuário privilegiado tiver permissão de acesso ao sistema, o APM consultará atributos adicionais para determinar quais recursos o usuário pode acessar. Há também vários recursos avançados para garantir a integridade do cliente, como verificar se o cliente está usando Equipamento Fornecido pelo Governo (GFE), está em conformidade com o Sistema de Segurança Baseado em Host (HBSS) e/ou está executando um sistema operacional compatível.

Infraestrutura de rede: SEGURANÇA DE APLICAÇÕES

A infraestrutura de rede é necessária para garantir que os aplicativos sejam seguros e estejam disponíveis para atingir o Zero Trust. Uma pesquisa do F5 Labs revela que quase 90% dos carregamentos de páginas são criptografados com SSL/TLS, o que significa que a criptografia se tornou a norma atualmente. No entanto, as ameaças criptografadas persistem. Na verdade, é comum que invasores usem criptografia para ocultar cargas maliciosas e contornar controles de segurança.

Considere uma solução de visibilidade SSL para eliminar ameaças fornecendo descriptografia/criptografia robusta de tráfego SSL/TLS de entrada e saída com controle de criptografia centralizado. Esta solução deve fornecer orquestração baseada em políticas para eliminar pontos cegos e fornecer orquestração baseada em políticas que permita visibilidade econômica em toda a cadeia de segurança para qualquer topologia de rede, dispositivo ou aplicativo.

Aplicações: Segurança da camada de aplicação para proteção de agências

Nossa pesquisa do F5 Labs revela que as organizações, em média, implantam 765 aplicativos. Com tantos alvos em potencial para cibercriminosos, as agências precisarão permanecer vigilantes na proteção desses aplicativos como parte de sua estratégia Zero Trust.

Suas soluções de segurança na camada de aplicativos — sejam eles na nuvem, no local, baseados em SaaS ou totalmente gerenciados — devem fornecer segurança no aplicativo ou próximo a ele e proteger a pilha de aplicativos em uma arquitetura Zero Trust.

Suas soluções WAF federais também devem proteger contra ataques DoS de Camada 7 com análises comportamentais que monitoram continuamente a integridade dos aplicativos. Outros recursos devem incluir proteção de credenciais para impedir acesso não autorizado a contas de usuários e proteger aplicativos contra ataques de API.

Serviço de Identidade: PARCERIAS

Considere implantar uma solução de um provedor com parcerias sólidas e estabelecidas com organizações como Microsoft , Okta e Ping . Ao integrar soluções confiáveis de acesso a aplicativos com esses provedores de Identidade como Serviço (IDaaS), você preenche a lacuna de identidade entre aplicativos baseados em nuvem, SaaS, de missão crítica e personalizados para oferecer uma experiência de acesso unificada e segura aos usuários.

As agências federais também precisam desenvolver parcerias fortes para garantir uma implantação bem-sucedida do Zero Trust. Convidamos você a entrar em contato conosco para obter a experiência e as soluções que você precisa. Nosso objetivo é ajudar você a migrar para o Zero Trust da maneira mais tranquila possível para que você possa começar a colher os benefícios para a melhoria da sua agência.

Igreja de Bill
Diretor de Tecnologia – F5 US Federal Solutions

(Uma versão anterior deste conteúdo foi publicada no final de 2020. Atualizado no início de 2022.)