BLOG

Zero Trust — perguntas a fazer

Miniatura F5
F5
Publicado em 17 de janeiro de 2019

Ter uma “Estratégia de Confiança Zero” é muito parecido com ter uma “Estratégia de Nuvem”; não tem muito sentido sem o contexto do que você está tentando alcançar e onde você está hoje. Até o nome pode enganar, pois você tem que confiar em algo. Uma definição básica de Zero Trust seria "não confiar em um usuário ou dispositivo com base na localização da rede", mas se fosse tão simples, já teríamos terminado de implementá-lo. Como arquiteto de soluções globais na F5, tenho a oportunidade de analisar muitas arquiteturas de acesso e, embora muitas sejam ambiciosas, poucas atingiram suas metas de Zero Trust.

Uma definição melhor pareceria ser encontrada na reformulação do limite de confiança para incluir identidade, dispositivo e aplicativo, em vez de um perímetro de rede. Esta certamente não é uma ideia nova e tenho visto muitos clientes darem passos nessa direção, mas está ganhando mais força agora, à medida que os fornecedores abordam os principais desafios para fazê-la realmente funcionar em ambientes sem seu próprio exército de desenvolvedores para construir uma solução personalizada. Para aumentar a confusão, há uma variedade de modelos para escolher, como proxies, microtúneis, microssegmentação, proxyless, além de termos concorrentes e conceitos relacionados, como microssegmentação e Perímetro Definido por Software (SDP). Como você define o sucesso em algo tão vago, com tantas opções, e por onde você começa a avaliar as soluções? Primeiro você precisa saber quais são seus objetivos e necessidades. Então, eu começaria com algumas perguntas como estas...

Que tipo de aplicativos você deseja proteger?

Os proxies tendem a ser bons em lidar com aplicativos da web, fornecendo recursos de SSO, boa experiência do usuário e implantação e gerenciamento relativamente fáceis. Você também deseja fornecer confiança zero para acesso ao servidor? Algumas soluções oferecem proxies SSH e RDP. Para todos esses três protocolos, também há soluções sem proxy que se integram diretamente ao código do aplicativo ou aos módulos de autenticação do servidor disponíveis, mas esteja ciente de que isso significa que você não pode interromper o tráfego antes que ele chegue ao servidor/aplicativo, então você está assumindo mais riscos.

Se os alvos do seu aplicativo incluírem mais do que isso, é provável que você precise estender para uma solução baseada em túnel. Nem todas as soluções de túneis são criadas iguais. Alguns utilizam VPNs tradicionais, que limitam sua conectividade a um único gateway. Os microtúneis tendem a ser uma abordagem melhor, permitindo que você estabeleça muitos túneis para diferentes pontos de extremidade para ajudar a atender aos requisitos de acesso onde quer que seus aplicativos estejam.

Que tipo de proteção precisa ser implementada?

Esta é uma ótima oportunidade para garantir que você tenha multifatores na frente de cada aplicativo, alguma forma de proteção contra credenciais e força bruta, proteção contra bots, visibilidade de tráfego com integração de serviços de segurança como Prevenção de Perda de Dados e Sistemas de Prevenção de Intrusão, e um Firewall de Aplicativo Web para seus aplicativos web. Ao implementar um modelo consistente de acesso, você também está criando um local consistente para inserir todos esses serviços. Fique atento às soluções de confidencialidade de ponta a ponta. Parece atraente até você perceber que isso significa que você terá que ignorar todos os seus serviços de segurança. O Zero Trust nunca deve reduzir sua postura de segurança. Terminar túneis em um gateway e, em seguida, rotear o tráfego por meio de dispositivos de visibilidade e segurança é uma boa estratégia.

Você precisa de Single Sign-On (SSO)?

Soluções de túnel normalmente não conseguem entregar a identidade ao aplicativo e às vezes dependem de o ambiente ter outra autenticação contínua em vigor. Você pode precisar de proxies ou integração direta de código para fornecer o SSO que está procurando. Entregar isso é provavelmente a chave para o sucesso com muitas das suas partes interessadas. A solução certa, bem implantada, pode melhorar a experiência do usuário e, ao mesmo tempo, a segurança.

Qual é sua estratégia de análise?

Você deve ter grandes expectativas aqui. Ao implementar uma estrutura de política consistente para acesso em toda a organização, um benefício importante deve ser entender quem acessa qual recurso, de qual dispositivo, de onde e quando. Essa coleta de dados deve ser usada e analisada junto com dados de outras ferramentas de segurança para identificar e mitigar ameaças. Esta é uma oportunidade de abordar riscos dentro da organização aprimorando sua cadeia de eliminação em cada etapa, incluindo visibilidade, identificação de ameaças e mitigação. Os fornecedores neste espaço ainda não estão entregando o pacote completo, então certifique-se de procurar maneiras de integrar análises de terceiros na solução para aprimorá-la. Procurar fornecedores que se concentrem em integrações de parceiros além de suas próprias soluções (em vez de tentar entregar tudo em uma única plataforma) é uma boa tática aqui.

Que tipo de experiência do usuário você deve esperar?

Os proxies tendem a fornecer uma experiência de usuário superior para aplicativos da web porque não exigem nenhuma alteração no comportamento do usuário em seu navegador e menos componentes são necessários também no lado do cliente. Entretanto, outras soluções podem exigir clientes de túnel. É razoável esperar que um usuário final desconheça total ou quase totalmente os túneis. VPNs tradicionais tendem a ter uma experiência de usuário negativa em comparação com microtúneis e têm outras limitações, conforme discutido acima.

Quais plataformas você precisa oferecer suporte?

Algumas soluções oferecem uma plataforma excelente para desktops, mas não para dispositivos móveis. Certifique-se de avaliar a solução e determinar se ela pode atender às necessidades dos usuários nos principais sistemas operacionais de desktop, dispositivos móveis e aplicativos móveis nativos, conforme necessário, e se há uma experiência de usuário e um conjunto de recursos consistentes.

PRÓXIMOS PASSOS

Defina seus objetivos, que provavelmente devem incluir melhor experiência do usuário, melhor integração de serviços de segurança, multifator na frente de tudo e uma estratégia de integração analítica para começar. Isso ajudará a determinar quais fornecedores e arquiteturas valem a pena investir seu tempo para uma avaliação mais profunda. Em seguida, concentre-se nos fornecedores com boas estratégias de parceria. Nenhum fornecedor oferecerá tudo o que você espera dessa arquitetura e você quer uma plataforma na qual possa construir. Você será mais feliz no longo prazo, acredite em mim!