Zero Trust não é difícil... se você for pragmático

Algumas semanas atrás, Rob Lemos, da Dark Reading,discutiu os motivos pelos quais, apesar de reconhecerem os óbvios benefícios de segurança, as organizações e seus profissionais de segurança hesitam em implementar um modelo Zero Trust. As principais preocupações são que ambientes “abandonados” têm muitas dívidas técnicas que precisam ser superadas para alcançar o status de Zero Trust e, portanto, elas só podem ser aplicadas a novos ambientes líquidos (o que geralmente chamamos de “greenfield”, normalmente como parte de alguma migração para a nuvem). Além disso, as organizações presumem que os benefícios só podem ser obtidos quando tudo estiver “Zero Trust” (se é que esse estado existe) — que não há nenhum estado intermediário no caminho para o Zero Trust que seja benéfico e alcançável. 

Esses são mitos que precisam ser destruídos.

A Estrutura Zero Trust da Forrester abrange sete pilares que, quando combinados, fornecem uma estratégia abrangente para proteger a empresa.

Para que uma organização considere que alcançou uma postura completa de Zero Trust, ela deve:

1. Implemente o menor privilégio em todas as suas cargas de trabalho, redes, pessoas, dispositivos e dados. 
2. Garanta que esses controles sejam totalmente controlados e mantidos por meio da automação.
3. Aproveite a visibilidade não como um subproduto, mas como um facilitador para #1 e #2. Monitore continuamente, realimentando a automação para garantir que a integridade do estado Zero Trust seja mantida. 

Isso parece uma tarefa e tanto — não é de admirar que algumas empresas optem por adiar a colocação em prática. E isso antes mesmo de começarem a analisar as ofertas de tecnologia que afirmam oferecer “Confiança Zero” completa em um único produto — elas são como os muitos remédios caseiros questionáveis para a COVID-19 que circulam nas redes sociais atualmente. 

Mas e se, em vez de adotar a abordagem em cascata para oferecer segurança Zero Trust em nossos ambientes, adotássemos uma abordagem mais incremental e ágil? Poderíamos obter benefícios enquanto ainda estamos nisso (sem fim?) viagem? E poderíamos integrar mais capacidades à medida que progredimos?

A resposta, sem surpresa, é um sonoro 'Sim' a todas as opções acima. Então, como vamos fazer isso? 

Aqui está minha recomendação. Essa abordagem (um pouco simplificada) permite que uma organização dê passos pequenos e realistas para alcançar uma postura de Zero Trust. 

1. Identifique o que proteger: identifique os dados, aplicativos ou processos de negócios que você está focado em proteger nesta fase. 
2. Determine em qual pilar do Zero Trust se concentrar: Determine para quais pilares do Zero Trust você criará controles. A Illumio é uma empresa de segmentação — ajudamos as organizações a se concentrarem principalmente na visibilidade, nas cargas de trabalho e nas redes. 
3. Especifique o controle exato: Agora, especifique o controle exato que você está tentando obter nessa fase. Vamos supor que você queira segmentar as cargas de trabalho que executam seu processo comercial crítico do resto da rede. Portanto, o resultado do Zero Trust que você está tentando alcançar é o menor privilégio de acesso pela rede às cargas de trabalho que executam esse processo crítico. 
4. Prescreva quais dados são necessários: agora você precisa dos dados e da visibilidade (no caso da Illumio, fornecemos um mapa) para criar a política específica que alcançará o resultado. Ela consiste em metadados relevantes para identificar cargas de trabalho e suas dependências associadas, além de dados de tráfego que determinarão a natureza dessas dependências.
5. Crie a política: com esses pontos de dados, você pode criar uma política de segmentação Zero Trust para esse processo comercial específico e validá-lo. Teste antes de implementar — caso contrário, você não receberá nenhum agradecimento. 
6. Valide, implemente e monitore: uma vez que a política esteja em vigor, o monitoramento de tráfego e adulteração disponível nos permite monitorar continuamente a postura do seu ambiente e reagir a quaisquer mudanças, manualmente ou por meio de automação. 
7. Enxágue e repita as etapas de 1 a 6. 
    

Cada etapa se baseia no que já foi feito, melhorando continuamente o estado geral de segurança e até mesmo permitindo que ambientes abandonados adotem e se beneficiem do Zero Trust. 

Alcançar Zero Trust de uma só vez em todo o seu ambiente é difícil. Dito isso, é possível criar um MVP da ZT e iterar para alcançar uma postura abrangente para sua organização, e estamos aqui para ajudar.

Para saber mais, visite nossa página sobre como operacionalizar sua estratégia Zero Trust com microssegmentação.