Zero Trust não é difícil... se você for pragmático

Algumas semanas atrás, Rob Lemos, da Dark Reading, discutiu os motivos pelos quais, apesar de reconhecerem os óbvios benefícios de segurança, as organizações e seus profissionais de segurança hesitam em implementar um modelo de Confiança Zero. A principal preocupação é que os ambientes "brownfield" possuem um nível excessivo de dívida técnica que precisa ser superado para alcançar o status de Zero Trust, e, portanto, ele só pode ser aplicado a ambientes totalmente novos (o que costumamos chamar de "greenfield", normalmente como parte de uma migração para a nuvem). Além disso, as organizações partem do princípio de que os benefícios só podem ser obtidos quando tudo estiver "Zero-Trustificado" (se é que tal estado existe) — que não há um estado intermediário no caminho para o Zero Trust que seja simultaneamente benéfico e alcançável. 

Esses são mitos que precisam ser destruídos.

A Estrutura Zero Trust da Forrester abrange sete pilares que, quando combinados, fornecem uma estratégia abrangente para proteger a empresa.

Para que uma organização considere que alcançou uma postura completa de Zero Trust, ela deve:

1. Implemente o menor privilégio em todas as suas cargas de trabalho, redes, pessoas, dispositivos e dados. 
2. Garanta que esses controles sejam totalmente controlados e mantidos por meio da automação.
3. Aproveite a visibilidade não como um subproduto, mas como um facilitador para #1 e #2. Monitore continuamente, realimentando a automação para garantir que a integridade do estado Zero Trust seja mantida. 

Isso parece uma tarefa e tanto — não é de admirar que algumas empresas optem por adiar a colocação em prática. E isso antes mesmo de começarem a analisar as ofertas de tecnologia que afirmam oferecer “Confiança Zero” completa em um único produto — elas são como os muitos remédios caseiros questionáveis para a COVID-19 que circulam nas redes sociais atualmente. 

Mas e se, em vez de adotar a abordagem em cascata para oferecer segurança Zero Trust em nossos ambientes, adotássemos uma abordagem mais incremental e ágil? Poderíamos obter benefícios enquanto ainda estamos nisso (sem fim?) viagem? E poderíamos integrar mais capacidades à medida que progredimos?

A resposta, sem surpresa, é um sonoro 'Sim' a todas as opções acima. Então, como vamos fazer isso? 

Aqui está minha recomendação. Essa abordagem (um pouco simplificada) permite que uma organização dê passos pequenos e realistas para alcançar uma postura de Zero Trust. 

1. Identifique o que proteger: identifique os dados, aplicativos ou processos de negócios que você está focado em proteger nesta fase. 
2. Determine em qual pilar do Zero Trust se concentrar: Determine para quais pilares do Zero Trust você criará controles. A Illumio é uma empresa de segmentação — ajudamos as organizações a se concentrarem principalmente na visibilidade, nas cargas de trabalho e nas redes. 
3. Especifique o controle exato: Agora, especifique o controle exato que você está tentando obter nesta fase. Vamos supor que você queira segmentar as cargas de trabalho que executam seus processos de negócios críticos do restante da rede. Portanto, o resultado de Zero Trust que você está tentando alcançar é o acesso com privilégios mínimos na rede para cargas de trabalho que executam esse processo crítico. 
4. Indique quais dados são necessários: Agora você precisa dos dados e da visibilidade (no caso do Illumio, fornecemos um mapa) para criar a política específica que alcançará o resultado desejado – isso consiste em metadados relevantes para identificar cargas de trabalho e suas dependências associadas, além de dados de tráfego que determinarão a natureza dessas dependências.
5. Crie a política: com esses pontos de dados, você pode criar uma política de segmentação Zero Trust para esse processo comercial específico e validá-lo. Teste antes de implementar — caso contrário, você não receberá nenhum agradecimento. 
6. Valide, implemente e monitore: uma vez que a política esteja em vigor, o monitoramento de tráfego e adulteração disponível nos permite monitorar continuamente a postura do seu ambiente e reagir a quaisquer mudanças, manualmente ou por meio de automação. 
7. Enxágue e repita as etapas de 1 a 6. 
    

Cada etapa se baseia no que já foi feito, melhorando continuamente o estado geral de segurança e até mesmo permitindo que ambientes abandonados adotem e se beneficiem do Zero Trust. 

Alcançar Zero Trust de uma só vez em todo o seu ambiente é difícil. Dito isso, é possível criar um MVP da ZT e iterar para alcançar uma postura abrangente para sua organização, e estamos aqui para ajudar.

Para saber mais, visite nossa página sobre como operacionalizar sua estratégia de Zero Trust com microsegmentação.