De uma perspectiva mais ampla, os princípios da abordagem Zero Trust podem ser aplicados a todo o ciclo de vida de desenvolvimento da aplicação, incluindo o design do sistema, as plataformas de hardware usadas e os procedimentos de aquisição.2 No entanto, esse artigo discute os aspectos operacionais da implementação da abordagem Zero Trust para defender aplicações e dados no tempo de execução.
Em termos gerais, a segurança Zero Trust usa tecnologias para atingir uma das três metas distintas:
O gráfico a seguir demonstra esse modelo transacional de segurança Zero Trust geral, com as seções seguintes se aprofundando em cada classe de tecnologias.
As duas primeiras tecnologias — autenticação e controle de acesso — estão intimamente relacionadas e são motivadas diretamente pelos princípios de “verificação explícita” e “menor privilégio”, pois elas estão no núcleo da aplicação de “Quem pode fazer O que”. Implementações de autenticação mais sofisticadas observam o comportamento contínuo de um agente, capturando a mentalidade de “avaliar continuamente”.
As tecnologias de autenticação têm tudo a ver com construir a confiança em uma identidade atestada: Quem está atuando em uma transação. O processo de autenticação possui três componentes:
A forma mais básica de declaração, geralmente, é mencionada como um “usuário” — um humano, ou agente que atua em nome de um humano, que deseja realizar uma transação. No entanto, no caso da abordagem Zero Trust usada dentro de uma aplicação, um agente pode ser uma carga de trabalho (como um processo, serviço ou contêiner), portanto, o conceito generalizado de identidade deve incluir esses agentes. Em outros casos, a noção de Quem não inclui apenas o humano ou a carga de trabalho, mas considerações ou dimensões adicionais da identidade. Dessa perspectiva, dimensões adicionais da identidade podem incluir o ecossistema de dispositivos que está sendo usado para a interação ou o local do agente. Por exemplo, um usuário “Alice” pode estar em um PC marcado como “ABC- 0001” usando uma instância de navegador identificada específica, com origem no endereço IPv4 10.11.12.13.
Alguns sistemas permitem que usuários não autenticados, às vezes, mencionados como usuários “convidados” ou “anônimos”, realizem um conjunto limitado de transações. Para esses sistemas, as etapas adicionais para fornecer a identidade e para o sistema renderizar um veredito não são relevantes. No entanto, para qualquer identidade atestada específica, os seguintes métodos são normalmente usados para suportar essa declaração:
Geralmente, se for necessário um alto nível de confiança, diversos métodos são usados. Isso fica claro no modelo Google BeyondCorp3, que exige a autenticação multifatorial (MFA) antes de permitir transações com valores mais elevados. As soluções de autenticação mais sofisticadas associam uma “confiança” a cada identidade e especificam um nível de confiança mínimo para cada tipo de transação, com base no valor e no risco da transação.
Por fim, observe que alguns desses métodos não são ações estáticas únicas, mas podem e devem ser contínuas conforme o princípio da avaliação “contínua”. Nesses casos, a pontuação da confiança atribuída à declaração de identidade pode aumentar ou diminuir ao longo do tempo. Por exemplo, a identificação do navegador ou o endereço IP podem mudar em uma única sessão do usuário, o que pode ser visto como suspeito, reduzindo a confiança: ou, à medida que mais dados são coletados sobre o comportamento do agente em uma sessão, a pontuação de confiança pode aumentar ou diminuir dependendo de como o comportamento atual se compara com observações anteriores.
A autenticação dinâmica pode trabalhar em conjunto com o controle de acesso em sistemas mais avançados. Como o primeiro nível dessa interação, a política de controle de acesso pode especificar uma pontuação de confiança mínima para diferentes classes de transações, como mencionado anteriormente. O próximo nível da interação permite que o subsistema de controle de acesso forneça o feedback para o subsistema de autenticação, normalmente pedindo que a autenticação adicional aumente a pontuação de confiança para o limite mínimo.
Após usar técnicas de autenticação para confirmar Quem está atuando em uma transação, as próximas perguntas são: O que esse agente está permitido a fazer? E Para quem? Essa é a competência das tecnologias de controle de acesso.
Para realizar uma analogia de segurança física, imagine que você deseja visitar uma base militar. Após os guardas determinarem com confiança se você é um civil, um político ou um soldado, eles usam essa determinação para decidir em quais edifícios você pode entrar e se você pode levar uma câmera para cada edifício que permitiram que você entrasse. A política que governa essas escolhas pode ser muito simples e se aplicar a todos os edifícios (por exemplo, “políticos podem entrar em qualquer edifício”) ou pode ser mais refinada (como “políticos podem entrar apenas nos edifícios e , mas podem levar câmeras apenas para o edifício ”).
Ao serem aplicadas no contexto de cibersegurança, as técnicas de controle de acesso devem incorporar o princípio Zero Trust de “menor privilégio”. Em outras palavras, a política de controle de acesso ideal deve apenas permitir exatamente os privilégios de que o agente precisa e proibir todos os outros privilégios. Além disso, uma política robusta ideal seria condicional em um nível mínimo específico de confiança sobre a autenticidade da identidade do agente, com o limite de confiança especificado na granularidade de cada privilégio permitido.
Portanto, o valor de uma solução de controle de acesso pode ser julgado pelo quanto ela está alinhada a esses ideais. Uma solução de segurança de Zero Trust deve incluir especificamente o controle de acesso e deve avaliar a tecnologia de controle de acesso junto com as dimensões demonstradas abaixo e descritas em seguida.
De acordo com o princípio de “avaliar (e reavaliar) continuamente”, toda crença na autenticidade do agente deve ser ajustada ao longo do tempo. Em uma solução simples, isso pode ser apenas um tempo limite; em sistemas mais sofisticados, a confiança pode variar com base nas observações do comportamento do agente ao longo do tempo.
Se a autenticação e o controle de acesso forem implementações de mentalidade “sempre verificar” e “menor privilégio”, então, a visibilidade e a análise contextual são fundamentais para os princípios de “avaliar continuamente” e “presumir uma violação”.
A visibilidade é o precursor necessário da análise — um sistema não pode mitigar o que ele não pode ver. Assim, a eficácia da solução de segurança Zero Trust será diretamente proporcional à profundidade e expansão da telemetria que pode ser coletada das operações do sistema e de fora do contexto. No entanto, uma infraestrutura de visibilidade moderna será capaz de fornecer dados, metadados e contexto possivelmente muito mais úteis do que qualquer humano razoavelmente desamparado poderá gerenciar de maneira oportuna. Como resultado do desejo por mais dados e da capacidade de condensar esses dados em percepções mais rapidamente, um requisito essencial é o auxílio de máquinas para os operadores humanos.
Essa assistência normalmente é implementada usando algoritmos automatizados que englobam o espectro de análises baseadas em regras a métodos estatísticos e algoritmos avançados de aprendizado de máquina. Esses algoritmos são responsáveis por traduzir o grande fluxo de dados brutos em uma consciência situacional consumível e operacionalizada que pode ser usada por operadores humanos para avaliação e, se necessário, remediação. Por esse motivo, análises auxiliadas por ML andam de mãos dadas com a visibilidade.
O pipeline generalizado de dados brutos (visibilidade) até a ação (remediação) é exibido a seguir:
A visibilidade é a implementação — o “como” — do princípio da abordagem Zero Trust de “avaliar continuamente”. Ela inclui manter um inventário de entrada (Catálogo) de dados disponíveis e telemetria em tempo real, além da retenção (coleta) de dados de histórico.
A maturidade da visibilidade de uma abordagem Zero Trust deve considerar quatro fatores:
A latência fornece um vínculo inferior de o quão rapidamente uma possível ameaça pode ser respondida. A latência de uma solução de Zero Trust deve ser medida em segundos ou menos; caso contrário, ela será como qualquer análise — independentemente da precisão — e será muito tarde para evitar o impacto da exploração, como a criptografia/exfiltração de dados ou a indisponibilidade devido à exaustão dos recursos. Sistemas mais sofisticados podem permitir mitigações síncronas e assíncronas. A mitigação síncrona inibiria a conclusão da transação até que a total visibilidade e análise sejam concluídas. Como a mitigação síncrona provavelmente adiciona latência à transação, esse modo de operação seria reservado particularmente para transações anômalas ou arriscadas, permitindo que todas as outras transações enviem telemetria e sejam analisadas de maneira assíncrona.
Essa preocupação é relevante se os dados vierem de diversas origens ou tipos de sensores de dados, que é um cenário comum. Esse fator normalmente é dividido em duas sub-preocupações.
Um valor essencial derivado de uma solução de visibilidade de alta qualidade é a capacidade de descobrir atividades suspeitas como um indicador de uma possível violação. Para fazer isso de maneira eficiente, a solução deve receber a telemetria em todas as “camadas” relevantes da entrega de aplicações: a aplicação em si, obviamente, mas também a infraestrutura das aplicações, a infraestrutura de rede e até mesmo os eventos no dispositivo cliente. Por exemplo, identificar um usuário vindo de um novo dispositivo, nunca visto antes, pode ser levemente suspeito por si só; mas, quando combinado com informações de rede (como mapeamento de GeoIP de um país estrangeiro), o nível de suspeita fica muito elevado. Esse nível de suspeita é manifestado como uma menor pontuação de confiança na identidade do usuário. No contexto de uma política de segurança de abordagem Zero Trust, quando esse agente tenta realizar uma transação de alto valor (como transferência de fundos para uma conta estrangeira), a solução de controle de acesso pode decidir por bloquear a transação com base na baixa confiança.
Em relação à mentalidade Zero Trust, quanto mais profunda e completa for a solução de visibilidade, mais eficiente o sistema pode ser na limitação apropriada de transações e na detecção de violações
Por fim, toda coleta de dados deve estar em conformidade com os requisitos de estatutos e licenças reativos à segurança, à retenção e ao uso de dados. Portanto, uma solução de visibilidade robusta deve atender a cada uma dessas necessidades. A compreensão das restrições sobre o uso de dados implicadas pela governança deve ser fatorada em uma solução de visibilidade de abordagem Zero Trust. Por exemplo, se um IP for considerado como Informações de identificação pessoal (PII), então o uso e a retenção em longo prazo de endereços IP para análise devem atender ao uso permitido dos endereços IP.
Além da visibilidade, o outro maquinário necessário para implementar a “avaliação contínua” são as ferramentas analíticas necessárias para realizar uma avaliação significativa; ou seja, ter uma avaliação que possa ser operacionalizada por uma solução de Zero Trust.
Uma consideração para análise é o escopo e a amplitude dos dados de entrada. As entradas nos algoritmos de análise podem ser limitadas a um único fluxo de dados de uma única fonte, ou podem buscar em diversos fluxos, incluindo de várias fontes de dados e todas as camadas da infraestrutura e da aplicação.
Um segundo aspecto particularmente relevante da análise na estrutura Zero Trust é lidar com o volume e a taxa de dados ingeridos, que excederá a capacidade de ingestão de qualquer humano. Portanto, algum tipo de assistência de máquina para formar percepções que possam ser ingeridas por humanos é necessário. Novamente, a sofisticação da assistência pode ser descrita como uma progressão.
Assim como com a abordagem baseada em regras, a assistência de ML pode ser para a detecção apenas ou pode estar vinculada à remediação automática. Além disso, a assistência de ML pode ser usada em conjunto com um sistema baseado em regras, em que o “veredito” (ou opinião ou confiança) da ML pode ser usado como uma entrada em uma regra, como “realizar a ação se ”.
O princípio final da mentalidade Zero Trust é “presumir a violação”. Para esclarecimento e fornecer uma perspectiva, métodos implementados de autenticação e controle de acesso são eficientes na prevenção da esmagadora maioria de transações mal intencionadas. No entanto, por uma grande paranoia, alguém pode presumir que os mecanismos de aplicação da autenticação e do controle de acesso serão derrotados por algum adversário sortudo ou suficientemente motivado. A detecção de violações, necessária para responder a essas escapadas de maneira oportuna, requer a visibilidade e análises auxiliadas por máquina. Portanto, é pelo fato de que outros mecanismos de aplicação serão derrotados ocasionalmente que as tecnologias de visibilidade que alimentam as análises contextuais auxiliadas por ML são uma necessidade essencial para suportar a solução de remediação baseada em riscos da segurança Zero Trust.
Para os casos de “falsos negativos”, em que uma transação mal intencionada real derrotou a autenticação e o controle de acesso, o mecanismo de remediação automatizada baseada em riscos deve ser usado como uma barreira. Mas, como essa tecnologia é aplicada como uma barreira contra transações que passaram pelas verificações de aplicação anteriores, há uma preocupação maior em relação à marcação incorreta do que era, na verdade, um “negativo verdadeiro” (uma transação válida desejável) em “falso positivo” (marcado incorretamente como transação mal intencionada). Para mitigar essa preocupação, todas as ações de remediação acionadas por uma crença em uma possível má intenção, que, por algum motivo, não foi pega pela autenticação ou pelo controle de acesso, devem ser baseadas nos três fatores a seguir:4
A segurança Zero Trust é uma abordagem mais moderna em relação a abordagens anteriores à segurança como a defesa em profundidade, estendendo o método anterior ao assumir uma visão centrada na transação sobre a segurança — Quem está tentando fazer O que Para quem. Essa abordagem permite a proteção não só do acesso externo a uma aplicação, mas também a proteção de elementos internos da aplicação.5 Por essa visualização transacional fundamental, a segurança Zero Trust está enraizada em um conjunto de princípios fundamentais que são usados para defender aplicações no ambiente mais complexo e desafiador de hoje, com os princípios sendo mapeados para um conjunto de soluções de nível do sub-sistema, ou métodos, que englobam esses princípios. Os princípios fundamentais e a maneira como eles são mapeados para os métodos da solução estão descritos a seguir.
Estas ferramentas — os métodos de autenticação, o controle de acesso, a visibilidade, a análise contextual e a remediação de consciência de riscos — são necessárias e suficientes para evitar uma grande variedade de tipos de ataque.
1 https://www.f5.com/services/resources/white-papers/why-zero-trust-matters-for-more-than-just-access
2A abordagem Zero Trust pode, e deve, ser aplicada mesmo “à esquerda” do pipeline de CI/CD. Ferramentas como as de avaliação de vulnerabilidade, análise estática, bancos de dados de CVE, bancos de dados de reputação de código fonte aberto e sistemas de monitoramento da integridade da cadeia de suprimentos são consistentes com a mentalidade Zero Trust.
3https://cloud.google.com/beyondcorp-enterprise/docs/quickstart
4Observe que a linha entre o controle de acesso contextual com consciência de riscos e o tópico geral de remediação de consciência de riscos é confusa e existe alguma sobreposição.
5Geralmente mencionado como proteção “Leste-Oeste” intra-aplicação, diferentemente da proteção “Norte-Sul” para a aplicação.