Zero Trust não é difícil... se você for pragmático

Algumas semanas atrás, Rob Lemos, do Dark Reading discutida razões pelas quais, apesar de reconhecerem os benefícios óbvios de segurança, as organizações e seus profissionais de segurança hesitam em implementar uma Modelo Zero Trust. As principais preocupações são que ambientes “abandonados” têm muitas dívidas técnicas que precisam ser superadas para alcançar o status de Zero Trust e, portanto, elas só podem ser aplicadas a novos ambientes líquidos (o que geralmente chamamos de “greenfield”, normalmente como parte de alguns migração para a nuvem). Além disso, as organizações presumem que os benefícios só podem ser obtidos quando tudo estiver “Zero Trust” (se é que esse estado existe) — que não há nenhum estado intermediário no caminho para o Zero Trust que seja benéfico e alcançável.

Esses são mitos que precisam ser destruídos.

O Zero Trust Framework da Forrester se estende por sete pilares que, quando combinados, fornecem uma estratégia abrangente para proteger a empresa

Para que uma organização considere ter alcançado uma postura completa de Zero Trust, ela deve:

1. Implemente o menor privilégio em todas as suas cargas de trabalho, redes, pessoas, dispositivos e dados.
2. Garanta que esses controles sejam totalmente controlados e mantidos por meio da automação.
3. Aproveite a visibilidade não como um subproduto, mas como um facilitador para #1 e #2. Monitore continuamente, realimentando a automação para garantir que a integridade do estado Zero Trust seja mantida.

Isso parece uma tarefa e tanto — não é de admirar que algumas empresas optem por adiar a colocação em prática. E isso antes mesmo de começarem a analisar as ofertas de tecnologia que afirmam oferecer “Confiança Zero” completa em um único produto — elas são como os muitos remédios caseiros questionáveis para a COVID-19 que circulam nas redes sociais atualmente.

Mas e se, em vez de adotar a abordagem em cascata para oferecer segurança Zero Trust em nossos ambientes, adotássemos uma abordagem mais incremental e ágil? Poderíamos obter benefícios enquanto ainda estamos nisso (sem fim?) viagem? E poderíamos integrar mais capacidades à medida que progredimos?

A resposta, sem surpresa, é um sonoro 'Sim' a todas as opções acima. Então, como vamos fazer isso?

Aqui está minha recomendação. Essa abordagem (um pouco simplificada) permite que uma organização dê passos pequenos e realistas para alcançar uma postura de Zero Trust.

1. Identifique o que proteger: Identifique os dados, aplicativos ou processos de negócios que você está focado em proteger nessa fase.
2. Determine em qual pilar do Zero Trust focar: Determine para quais pilares do Zero Trust você criará controles. A Illumio é uma empresa de segmentação — ajudamos as organizações a se concentrarem principalmente na visibilidade, nas cargas de trabalho e nas redes.
3. Especifique o controle exato: Agora, especifique o controle exato que você está tentando alcançar nessa fase. Vamos supor que você queira segmente as cargas de trabalho que executam seu processo comercial crítico a partir do resto da rede. Portanto, o resultado do Zero Trust que você está tentando alcançar é o menor privilégio de acesso pela rede às cargas de trabalho que executam esse processo crítico.
4. Prescreva quais dados são necessários: Agora você precisa dos dados e da visibilidade (no caso da Illumio, fornecemos um mapa) para criar a política específica que alcançará o resultado — ela consiste em metadados relevantes para identificar cargas de trabalho e suas dependências associadas, além de dados de tráfego que determinarão a natureza dessas dependências.
5. Elabore a política: Com esses pontos de dados, você pode criar uma política de segmentação Zero Trust para esse processo comercial específico e validá-lo. Teste antes de implementar — caso contrário, você não receberá nenhum agradecimento.
6. Valide, implemente e monitore: Uma vez implementada a política, o monitoramento de tráfego e adulteração disponível nos permite monitorar continuamente a postura do seu ambiente e reagir a quaisquer alterações, manualmente ou por meio de automação.
7. Enxágue e repita as etapas de 1 a 6.
   

Cada etapa se baseia no que já foi feito, melhorando continuamente o estado geral de segurança e até mesmo permitindo que ambientes abandonados adotem e se beneficiem do Zero Trust.

Alcançar Zero Trust de uma só vez em todo o seu ambiente é difícil. Dito isso, é possível criar um MVP da ZT e iterar para alcançar uma postura abrangente para sua organização, e estamos aqui para ajudar.

Para saber mais, visite nossa página sobre como operacionalizar sua estratégia Zero Trust com microssegmentação.